专利名称:用于管理安全策略的方法和系统的制作方法
技术领域:
一般来说,本发明的实施例涉及自动安全管理,更具体地说,涉及为安全策略提供自动管理。
背景信息随着所管理的网络持续发展,安全策略管理已获得越来越多的关注。通常,一家机构的网络包括多个安全启用装置,诸如路由器、交换机、防火墙、网关、集线器、网桥、客户机、外围设备、服务器等。各种应用也可能是在每个可用网络装置上安全启用的。网络管理技术为这些装置或应用使用安全策略,以便有效并安全地管理网络。
例如,操作系统(OS)应用可包括要求用户密码在长度上至少为6个字符的安全策略。可能在OS内或网络的另一个装置上执行的另一个应用可包括要求密码具有至少8个字符长度的用户密码的安全策略。当然,安全策略可更普遍和全面地应用到网络上,例如,将特定网络业务量归入规定装置上规定端口的策略、要求加密的策略(例如,公钥结构(PKI)技术和其它)、限制访问规定的应用/终端用户的策略以及其它策略。
在当代典型的企业环境中,对网络基础设施和计算资源的安全控制主要由许多手工任务组成,用于网络安全控制和配置的每个任务通常是乏味的过程,该过程通常涉及由网络管理员来理解各种厂商专有结构和策略语言,网络管理员然后将企业安全策略手工映射到这些专有结构上。而且,策略不能系统地链接到企业网络所面临的入侵、攻击和威胁。该技术致命地增加了响应时间并减少了企业网络连续适合分布攻击和威胁环境的有效性,并且也导致了时间敏感数据的损失,这可能潜在地与设计关于对整个企业网络的攻击的最优对策相关。
当代标准的基于策略的网络管理体系不包括能使网络更适应环境变化的反馈机制。因此,现有的安全策略管理体系(主要是根据上述基于策略的网络管理体系)不具有根据任何捕获的安全入侵和/或威胁信息来提供动态安全策略反馈以及进行自适应策略更新的能力。而且,在正应用相同或相关安全策略的网络装置之间不存在或存在非常有限的信息共享。另外,缺乏提供集中查看和策略引擎的管理体系,它提供不同来源的数据(输入和反馈两种)的相关,以便于相应的智能策略部署。
因此,有必要在网络中实现改善的安全策略管理。这些实现和技术应当能将通用安全策略规范应用到不同的企业网络,并且能够动态提供可用于动态和自适应地管理网络安全策略的反馈。
附图简述
图1是依照本发明的一个实施例的安全管理系统的图。
图2是依照本发明的一个实施例的用于管理安全策略的方法的流程图。
图3是依照本发明的一个实施例的用于管理安全策略的另一个方法的流程图。
实施例描述描述用于管理安全策略的新方法、机器和系统。在下面实施例的详细描述中,参考通过说明性而非限制性方式示出可实施的本发明特定实施例的构成本文一部分的附图。以足够详细的方式描述这些实施例,使本领域中的一般技术人员能理解并实现它们。可利用其它的实施例并且进行结构、逻辑和电方面的改变而没有偏离本公开的精神和范围。因此,下面的详细描述不应视为限定的含义,仅通过所附权利要求来定义本文公开的本发明的实施例的范围。
安全启用装置是任何与网络通信的处理装置或外围装置。而且,安全启用装置不一定是物理装置,因为在某些情况下安全启用装置可能是表示逻辑装置的软件应用。相应地,为了本发明的各种实施例的目的,安全启用装置包括物理网络装置和逻辑(例如,应用)网络装置。
安全策略定义要在网络的一个或多个安全启用装置上执行的安全过程、限制和/或逻辑。可以用各种数据格式表示安全策略;可由许多安全启用装置直接使用或执行这些数据格式中的一些。在一些实施例中,安全策略是以解释性编程语言(例如,无需编译和静态链接即可执行的语言)书写的脚本,由安全启用装置执行,以便在安全启用装置上强加安全限制。在其它实施例中,安全策略可作为驱动用于在安全启用装置上处理的应用的现有安全逻辑的输入文件来分析。而在更多实施例中,安全策略是在安全启用装置上处理的安全应用的输入参数值。而且,可采用每个安全启用装置所需的格式为每个安全启用装置提供安全策略的数据格式安全策略集中存储在策略存储库中,并且由策略决策点管理和分发。存储库可为单独的数据库、包含数据仓库、电子文件、任何其它在计算机可访问介质中的存储位置的数据库集合。存储库包括一个或多个允许存储库中的安全策略被查询和更新的现有或定制开发的接口语言(例如,结构查询语言(SQL)、轻型目录访问协议(LDAP)、等等)。另外,可用接口语言开发一个或多个接口应用以提供对策略存储库的手动查询和更新的自动性。
在本发明的一个实施例中,采用本地可扩展标记语言(XML)格式将安全策略存储在关系数据库中。访问策略存储库的接口语言是SQL,采用SQL书写的一个或多个客户搜索和编辑应用允许在策略存储库中检索和修改所期望的安全策略。这些客户搜索和编辑应用可以是自行执行的应用或者与管理或监视安全策略的终端用户交互的应用。
最初,可通过将机构书写的安全策略转化为表示并唯一标识策略存储库中的策略的正式电子表示来填充策略存储库。在一些实施例中,借助于机构的网络的网络安全管理员,由数据库或存储库管理员执行这种转化。当将单独书写的策略转变成策略存储库中的正式表示时,单独书写的策略可转化为各种分开的子策略。
在一个实施例中,策略存储库中安全策略的最初正式表示的数据格式用中间数据语言格式(例如,XML及其它)实施。而且,可单独开发各种策略翻译器,从而将特定安全策略的中间数据语言格式译成特定安全启用装置可使用的数据格式。
因此,在一些实施例中,安全策略在策略存储库中单一存储并表示,但仍能被译为各种安全启用装置所需的各种数据格式。在一个实施例中,将策略翻译器实现为可扩展式样单语言转换(XSLT)应用,它使用一个或多个可扩展式样单(XSL)把在策略存储库中表示为XML的安全策略译为各个安全启用装置所需的特定数据格式。可使用各种编程语言和技术来提供从安全策略的中间数据格式向特定安全启用装置所需的特定数据格式的转化。所有这些实现要包括在本发明的实施例中。
图1说明根据本发明的一个实施例的安全管理系统100的图。安全管理系统100包含在网络环境中的计算机可读介质中。安全管理系统100包括策略存储库110、策略决策点(PDP)112、策略执行点(PEP)113、策略反馈点(PFP)120。
策略存储库110保存安全策略。而且,策略存储库110通过策略数据接口与策略控制台111和PDP 112交互。这允许管理员查询、查看并修改策略存储库110中的策略。
PDP 1112将安全策略推送到一个或多个PEP 113。PEP 113是参与安全网络的安全启用装置接口。因此,PEP 1131可为应用或装置,例如在网络上可访问的服务器、防火墙、路由器或任何其它计算装置。PDP 112可使用传输协议接口和数据格式(例如,COPS(通用开放策略服务协议)、SNMP、SSH(安全套接壳)/Telnet、其它CLI)与PEP113交互,从而传送在PEP 113上要启用和执行的安全策略。
PFP 120是设计用来将网络安全策略动态链接到威胁环境的反馈点,使得所管理的网络具有自适应性和更多弹性。PFP 120包括从可都为PEP本身的入侵检测系统(IDS)、脆弱性扫描器等获得的综合反馈信息。PFP可包括设计用来与用于网络中的特定安全启用装置交互的模块。因此,PFP的部件可采用网络中的安全启用装置所需的IDMEF、SNMP或任何其它的CLI或协议来通信。
PFP 120将获得的安全威胁信息标准化并将信息传送到PDP112,然后根据用于策略存储库中安全策略记录的策略模式所规定的要求来转化标准化信息,并且通过策略数据接口更新策略存储库112,使更新对策略控制台111可用。在一些实施例中,策略存储库110的更新变化则自动传送到PDP 112或由PDP 112发现,基于预定义的条件和门限执行分析。在另一些实施例中,如果在将更新后的策略推送到PEP之前,用户干预不是必需的,则分析可导致对包括在策略存储库110中的多个安全策略的动态和自适应变化,并且由PDP 112自动推送到一个或多个PEP 113。在另一些实施例中,关于PDP 112检测的提示策略变化或事件的警告或通知被发送给适当人员。
安全管理系统100中的PFP 120反馈环允许动态和自适应的安全策略管理。传统的安全管理系统缺乏动态和自适应反馈环,因此不能通过根据指示网络正受到攻击或者对入侵者或攻击敏感且易受损的事件和数据更新策略来及时地保护网络。
例如,当IDS(是PEP之一)检测到诸如SQL Slammer的网络入侵时,PFP会收集这种入侵并向PDP传送,PDP一旦接收到这种反馈,则向所有受影响的安全启用装置发出修订策略以暂时拒绝对问题应用或资源的端口访问。因此,本发明的实施例的策略管理技术是自适应的,并能根据网络中变化的环境动态调整。
通过上面提供的描述读者会意识到,改善的方法100如何与安全体系一起使用以便更好地管理安全策略。安全策略被自适应地并且动态地在多个不同的安全启用装置上改变、翻译、监视并执行。另一方面,传统方法依赖对安全策略变更的手动干预,使用各种专有工具和专门人员来解决可能出现的不同问题。传统方法也缺少可采用时间敏感方式捕获安全启用装置提出的瞬态数据或事件、以便及时检测网络所面临的威胁或脆弱点的动态反馈。通过自动化和建立更动态和自适应的安全管理技术,本发明的实施例能及时有效地纠正和管理机构的安全启用装置和安全策略。
图2说明依照本发明的一个实施例、用于管理安全策略的另一个方法200的流程图。方法200经由计算机可访问介质是可访问的并且能分布在多个处理装置上或集中在通过网络可访问的单个处理装置上。方法200可使用软件和/或固件来实现。安全启用装置是能够执行安全策略的任何处理装置,例如但不限于路由器、网络集线器、网桥、交换机、网关、客户机、服务器、独立的智能设备、计算外部设备等。安全启用装置在网络上接口,网络可以是硬连线、无线、或硬连线和无线的组合。
安全策略集中存储在策略存储库中。安全策略的数据格式采用转化为网络的每个安全启用装置可使用和执行的格式的中间格式。在一个实施例中,中间格式是XML,策略存储库是使用以SQL或LDAP书写的应用来实现访问的数据库或目录。安全策略是由位于安全启用装置上的安全执行应用所使用的脚本、参数或文件。
一个或多个策略决策翻译器与策略存储库交互以获得、分发安全策略或将其推送到网络上适当的安全启用装置。策略决策翻译器包括将安全策略的中间数据格式转换为各个安全启用装置可使用的所需数据格式的逻辑。因此,在210,从策略存储库将安全策略分发或推送到安全启用装置用于执行。
一旦安全启用装置具有采用可用数据格式的安全策略,则在220,在安全启用装置上动态安装并执行安全策略。一些PEP包括监视和捕捉安全审计信息和报告或提出与网络中发生的各种安全事件相关的事件的逻辑。而且,这些PEP会包括CLI、应用编程接口(API)、或允许不同类型的安全日志信息或所报告安全事件应请求而捕捉和提供的特定协议。例如,一些安全启用装置应用可支持IDMEF,而另一些安全启用装置应用可支持SNMP。当然,安全启用装置应用也可使用各种其它命令和接口。所有这些不同的命令、接口和协议要包括在本发明的实施例中。
在230,集中策略反馈应用或策略反馈点(PFP)模块监视并跟踪安全威胁信息或事件信息。PFP的不同组件被设计为与CLI、API、和/或由特定安全启用装置应用识别的协议进行通信。PFP也可聚集并处理从各种安全启用装置获得的安全日志信息或事件信息。在240,PFP则将安全日志信息或事件信息标准化或翻译为PDP识别或需要的数据格式。一旦安全日志信息或事件信息被标准化并处理,在250它被更新到策略存储库。
将标准化反馈信息与策略存储库中适当受影响的安全策略链接或关联。这可以通过对在哪个安全启用装置上处理哪个安全策略了解的策略反馈应用来实现。或者,PFP可通过查询具有安全启用装置标识的策略存储库来识别安全策略。而在另一些情况下,安全日志信息可包括安全策略标识符。对于PFP存在各种技术,用以将获得的安全日志信息或事件信息适当地链接到策略存储库中适当受影响的安全策略。
PDP可配备触发或事件应用,以便当利用安全日志信息或事件信息更新安全策略记录时,自动执行多个专用的策略决策翻译器。在其它实施例中,多个策略决策翻译器被配置为连续处理或按照可配置的时间间隔处理,以便检查正更新到策略存储库中的安全策略记录的安全日志信息或事件信息。
专用的策略决策翻译器被设计和配置为评价安全反馈信息并基于定义的门限或检测的事件采取行动。有时候,策略决策翻译器能改变或临时改变策略存储库中的安全策略,并将这些改变动态推送到受影响的安全启用装置。因此,如252所述,策略决策翻译器能完成自适应和动态安全策略改变。在其它实施例中,如254所述,策略决策翻译器能动态和自动地从策略存储库发送警告或者触发多个其它应用执行。当发生策略改变和/或当没有发生策略改变但认为有必要通知适当的终端用户(例如网络安全管理员)时,可发出警告。而在其它实施例中,专用的策略决策翻译器可在正发送给适当的终端用户的警告中包括情报信息或提示策略变化信息。
因此,策略决策翻译器能用于将策略存储库中的安全策略译成安全启用装置特定的数据格式,并用于评价与策略存储库中特定安全策略相关的所更新安全日志信息或事件信息。评价可导致策略决策翻译器不采取行动、动态安全策略改变和/或发送其中包括情报或提示信息的警告。而且,在一些情况下,策略决策翻译器可基于对安全日志信息或事件信息的评价而触发并自动处理附加专用应用。
评价可包括对发生在安全启用装置上的安全破坏、入侵、安全威胁、安全脆弱性、异常条件或业务量、或任何其它期望评价的事件或情况的检测。评价仅限于在安全启用装置上报告和捕获的安全日志信息或事件中包含的可用信息。因此,可根据知识、经验和机构的要求来设计并实现专用的策略决策翻译器,以便实现安全管理的预期水平。
而且,在一些实施例中,策略存储库包括多个可由策略决策翻译器自动处理或由终端用户(例如,网络安全管理员)手动使用的策略创作和编辑应用。因此,利用用于本发明的实施例的各种理论,可集中管理、分发、修改和监视网络的安全策略。这些理论减轻了目前用于管理网络安全策略的手工劳动密集的专有技术。因此,利用本发明的实施例可实现更自适应、更动态、更有效的网络安全管理。而且,为了保护网络,安全策略和事务处理信息用于提供可导致自适应变化的动态反馈而无需人工干预。
图3说明依照本发明的一个实施例、用于管理安全策略的另一个方法300的图。在计算机网络环境中在各种计算机可访问介质内实现方法300。网络包括称为策略执行点(PEP)的多个物理或逻辑装置。PEP是能够执行并跟踪安全事务处理的任何装置,例如外围装置、处理装置和其它装置。而且,策略存储库包括关于发生在网络PEP上的安全事务处理和在各种PEP上通过网络管理的安全策略的信息。
当在策略存储库中动态改变或修改安全策略时,在初始化或在管理和操作网络期间,在310,策略决策点(PDP)应用或模块将策略存储库中的安全策略推送到受影响的PEP。
在操作网络期间,动态执行和运行安全策略,以便报告和跟踪发生在PEP上的安全事务处理。因此,在一些实施例中,在320,入侵检测系统(IDS)检测在PEP之一上未授权的入侵或其它网络脆弱点。在330,策略反馈点(PFP)接收来自IDS的安全事务处理数据并为接收的数据设置优先级。接着,在340,PDP通过策略数据接口或间接通过利用新安全事务处理数据对策略存储库的更新从PFP接收反馈数据。
在350,策略引擎根据安全事务处理数据和其设置的优先级为策略存储库建立任何需要的策略更新。可以对网络自适应和动态地进行策略改变,以便在网络和/或PEP上动态抵抗入侵或其它攻击。因此,当自适应进行策略改变时,则在352自动更新策略存储库。
在360,进行检查以确定策略变化是否要求在PDP方面的自动动作,并且是否进行动态策略改变和要求自动动作,然后在362,新策略改变被推送到适当的PEP并在适当的PEP上自动装入并执行。如果不需要动态策略改变,则在364,在策略控制台出现适当的记录/显示警告并且可选地向策略管理员发送自动警告。
上面的描述是说明性的而非限制性的。本领域的技术人员在查阅上述描述之后,对他们来说许多其它实施例将是显而易见的。因此应当参照所附权利要求以及这种权利要求所要求的等效物的全部范围确定本发明实施例的范围。
提供摘要以符合要求摘要的37C.F.R.§1.72(b),摘要使读者快速确定公开技术的特性和要点。应当理解所提交的摘要不是用于解释或限制权利要求的范围或意义。
在前面实施例的描述中,在单独实施例中将各种特征组合在一起用于使本公开流畅的目的。公开的这个方法不是要解释为反映如下意图本发明申请权利的实施例要求比在每个权利要求中明确叙述的特征更多的特征。而是如下面的权利要求所反映的,本发明主题在于比单个公开的实施例中所有特征要少一些的特征。因此,以下权利要求结合到实施例的说明中,每个权利要求表示它自己为单独的示范实施例。
权利要求
1.一种方法,包括检测来自一个或多个安全启用装置的安全信息;将所述安全信息标准化;以及在数据存储库中记录所述标准化安全信息。
2.如权利要求1所述的方法,其特征在于,还包括根据所述记录的标准化安全信息的至少一部分触发与安全策略相关的安全策略改变。
3.如权利要求1所述的方法,其特征在于,还包括根据所述记录的标准化安全信息的至少一部分评价安全策略。
4.如权利要求1所述的方法,其特征在于,在检测中,使用安全事务处理协议和安全事务处理命令行接口其中至少一个来检测所述安全信息。
5.如权利要求1所述的方法,其特征在于,在检测中,所述安全信息与发生在所述安全启用装置中的至少一个上的安全入侵、安全警告、安全破坏和异常行为中的至少一个相关。
6.如权利要求1所述的方法,其特征在于,在记录中,所述标准化安全信息向一个或多个安全策略提供动态策略反馈。
7.一种方法,包括从策略存储库向一个或多个安全启用装置分发安全策略;在所述安全启用装置中的一个或多个上执行多个所述安全策略;跟踪在所述一个或多个安全启用装置中的每一个上的安全事务处理;以及根据所跟踪的安全事务处理更新所述策略存储库。
8.如权利要求7所述的方法,其特征在于,在分发中,所述策略存储库是数据仓库、数据库和电子文件其中至少一个。
9.如权利要求7所述的方法,其特征在于,在分发中,所述一个或多个安全启用装置包括防火墙、路由器、交换机、网桥、网关、网络集线器、客户机、外围装置、安全资源、入侵检测系统和服务器其中至少一个。
10.如权利要求7所述的方法,其特征在于,在跟踪中,一个或多个自动应用检测何时安全破坏发生在所述安全启用装置中的一个或多个上,以及捕获所述安全破坏的安全信息。
11.如权利要求7所述的方法,其特征在于,在更新中,在更新到所述策略存储库之前,所述记录的安全事务处理被转化为标准化数据格式。
12.一种系统,包括具有一个或多个用于网络的安全策略的策略存储库;执行从所述策略存储库提供的所述安全策略中的一个或多个的安全启用装置;监视所述安全启用装置上的安全事务处理以及根据所述安全事务处理用安全信息来更新所述策略存储库的反馈应用。
13.如权利要求12所述的系统,其特征在于,还包括将来自所述策略存储库的所述一个或多个安全策略推送到所述安全启用装置以供执行的一个或多个策略决策点翻译器。
14.如权利要求13所述的系统,其特征在于,所述一个或多个策略决策点翻译器从所述策略存储库中检索采用中间数据格式的所述一个或多个安全策略,并使用翻译器应用将所述一个或多个安全策略译为所述安全启用装置使用的预期数据格式以供执行。
15.如权利要求12所述的系统,其特征在于,所述策略存储库是根据特定模式在逻辑上组合为所述策略存储库的数据存储器的集合。
16.如权利要求12所述的系统,其特征在于,所述策略存储库远离所述策略存储库。
17.如权利要求12所述的系统,其特征在于,反馈应用采用所述安全启用装置的安全协议来监视所述网络上的安全事件。
18.如权利要求12所述的系统,其特征在于,所述反馈应用在用所述安全信息更新所述策略存储库之前,将所述安全信息标准化为所述策略存储库使用的数据格式。
19.一种具有带有相关指令的机器可访问介质的产品,其中所述指令被执行时,提供对网络中安全策略的管理,所述机器包括执行以下操作的至少一个组件通过网络将安全策略从策略存储库推送到一个或多个安全启用装置;由所述一个或多个安全启用装置执行所述安全策略;监视发生在所管理的网络上的安全事件;将与所述安全事件相关的安全信息标准化;以及用所述标准化安全信息更新所述策略存储库。
20.如权利要求19所述的产品,其特征在于,还包括用于动态使用更新的标准化安全信息的至少一部分来调整多个安全策略的指令。
21.如权利要求20所述的产品,其特征在于,还包括用于根据所述更新的标准化安全信息的至少一部分从所述策略存储库动态触发多个安全相关应用以供执行的指令。
22.如权利要求19所述的产品,其特征在于,在推送中,所述策略存储库与安全创作和编辑应用交互。
23.如权利要求19所述的产品,其特征在于,在监视中,将所述安全启用装置使用的本地安全协议和命令用于获得与发生在所管理的网络上的安全事件相关的安全信息。
24.如权利要求19所述的产品,其特征在于,在标准化中,将所述安全信息从本地数据格式转换为所述策略存储库使用的中间数据格式。
全文摘要
方法、机器和系统管理网络的不同基础设施和计算装置的安全策略。安全策略存储库保存安全策略,由策略决策点PDP通过网络推送到适当的安全启用装置(策略执行点(PEP))供执行。使用闭合的反馈环,策略反馈点(PFP)收集并处理来自各种PEP中的入侵、警告、破坏和其它异常行为或从PEP产生的日志的数据。将该数据作为反馈发送到策略存储库。PDP检测数据并分析数据以确定策略更新(可为动态和自动的)是否需要自适应地进行并动态推送到PEP。PDP也能向控制台或管理员发送控制消息或警告。
文档编号G06F1/00GK1768518SQ200480008915
公开日2006年5月3日 申请日期2004年2月9日 优先权日2003年3月31日
发明者H·李, R·萨希塔, S·亚达夫 申请人:英特尔公司