专利名称:网络安全审计策略编辑方法及系统的制作方法
技术领域:
本发明涉及基于角色访问控制(Role Based Access Control:RBAC) 的网络安全审计策略编辑方法及系统,属于计算机网络安全领域。
背景技术:
基于角色访问控制的网络安全审计系统是通过将网络中传输的数据包 进行协议解析,再根据事先定义好的策略进行用户的操作行为审计。通常, 网络安全类产品都支持多种应用层协议,业务用户可以通过计算机网络访 问相关服务,进行细粒度审计;而进行细粒度审计服务是企业实现业务安 全的必选方案。基于角色访问控制的网络安全审计系统的一个核心功能单 元是审计策略的制订,在审计策略的制定中,除了需要充分体现审计对象 的本身属性外,还必须准确反映出各个审计对象之间复杂的逻辑关系。
大多数基于角色访问控制的网络安全审计系统的策略定义通常采用逐 步定义出审计对象,并通过树的形式体现审计对象之间的关系的方式来实 现。这种方式存在着以下局限性
1. 应用这种方式实现的策略定义操作方式单一,如果策略信息很大,
通常需要花费很长的时间,而且存在很多类似操作;
2. 由于缺少一个可管理的模式,造成难以与其他系统进行集成;
3. 策略重用性不好,即使需要审计的内容有很大的相似性, 一个部署 上定义的策略无法在与其相似的另一个部署上重复使用。
发明内容
为了克服现有技术在审计策略定义方式上的上述缺陷,本发明提供一 种网络安全审计策略编辑方法及系统,其以XML文件方式保存基于角色访问控制的网络审计系统的策略信息,以实现对审计策略进行导出、导入、
复制、粘贴等操作,简化策略制定过程。本发明的所采用的技术方案是 一种网络安全审计策略编辑方法,包括如下步骤
步骤1按照"角色访问主机的服务进行特定操作"的逻辑关系定义保 护主机、保护服务、角色和访问规则等数据信息,将其作为审计对象保存 到数据库中;
步骤2按照步骤1中所述的逻辑关系将已定义的数据信息写入XML 文件,以实现导出操作;
步骤3将已导出的XML文件中的信息写入数据库,以实现导入操作; 步骤4按照步骤1中所述的逻辑关系将所述己定义的数据信息写入
XML文件,然后再写入内存,以实现复制操作;
步骤5将步骤4中写入内存的信息写入数据库,以实现粘贴操作。
基于上述方法的一种网络安全审计策略编辑系统,其包括 一个或多 个终端服务器;数据存储装置;网卡;以及,数据输入装置和输出装置。 所述系统还包括以下逻辑处理单元
策略定义单元,用于定义保护主机、保护服务、角色和访问规则等数据 信息;
XML操作单元,用于将保护主机、保护服务、角色和访问规则等数据 信息以及各数据信息之间的关系保存为XML文件对象的操作单元;该XML 操作单元还用于将XML文件对象还原为保护主机、保护服务、角色和访问 规则等数据信息的操作单元;
剪切板操作单元,用于将操作对象保存到剪切板中和从剪切板中还原 操作对象的功能单元。
以上各个逻辑处理单元之间的连接关系是首先,通过策略定义单元
定义好保护主机、保护服务、角色和访问规则等数据信息作为审计对象。
各审计对象之间的逻辑关系是通过属性中外健保存的,定义时体现在对象
5的树型结构关系上。在定义完审计对象后通过XML操作单元将所述审计 对象保存为XML文件,从而实现导出操作;将审计对象保存为XML对象, 再通过剪切板操作单元进一歩将xml对象保存到剪切板中实现复制操作。
以上两个操作步骤反过来也成立,也就是说,通过XML操作单元将 XML文件解析成审计对象,实现策略导入操作;通过剪切板操作单元将其 中的XML对象转换成审计对象,实现策略的粘贴操作。
本发明的有益效果是应用本发明的方法可以方便策略传输,为分布 式管理带来便利。具体地,应用本发明的审计策略实现的导入、导出、复 制和粘贴等操作大大简化了策略的制定过程;策略重用性好,只需一次性 定义好审计对象,就可以在业务相似的环境中稍加修改或不用修改而多次 使用己定义好的审计对象,而且,应用本发明的策略的部署方便易行;应 用XML这种标准的存储模式存取审计策略,方便了与第三方或其他子系统 的集成。
图1为根据本发明的一种网络安全审计的策略编辑方法流程图; 图2为根据本发明的一种网络安全审计的策略编辑系统结构图; 图3为根据本发明实现的对审计策略导出、复制、导入和粘贴方法流
程图。
具体实施例方式
下面结合附图和具体实施例对本发明进一步说明
实施例1:我们结合具体的实施例来说明根据本发明的一种网络安全 审计的策略编辑方法整个实现过程。如图3所示的一种网络安全审计策略 编辑方法的流程图,其包括如下步骤
步骤1按照"角色访问主机的服务进行特定操作"的逻辑关系定义好保护主机、保护服务、角色和访问规则等数据信息,将其作为审计对象保
存到数据库中;所述"角色访问主机的服务进行特定操作"的逻辑关系体 现为主机对象包含了哪些服务对象,具体表示主机提供什么服务,或者理 解为主机的哪些服务需要进行审计。服务对象下面定义了需要访问服务的 角色,将角色的访问操作定义为访问规则,这样就形成一种树状逻辑关系。
步骤2按照步骤1中的逻辑关系将已定义的信息写入XML文件, 以实现导出操作;
步骤3将己导出的XML文件中的数据信息即审计对象写入数据库, 以实现导入操作;
步骤4按照步骤1中的逻辑关系将已定义的数据信息即审计对象写 入XML文件,再写入内存以实现复制操作;
步骤5将步骤4中写入内存的数据信息即审计对象写入数据库以实 现粘贴操作。
在本实施例中的上述步骤l中的主机,是需要通过审计进行保护的主 机,定义时需要提供IP地址、类型等数据信息。
服务是业务主机提供的应用,根据审计系统的能力不同可以包含 telnet、 http、 ftp等服务。
访问规则定义出了需要进行审计的用户操作行为。在一个实施例中, 审计用户A进行的telnet删除操作,就可以用一条访问规则来定义。如何 定义规则主要是方便审计引擎的理解和解析,在此基础上最好能保持一定 的通用性。在一个实施例中,可以使用下面的格式来表示
telnet—input[〃nocase]八del 语义上可以理解为telnet用户输入包含del命令(删除命令)。
角色的定义设定了以什么样的形式来审计访问业务主机的一类业务用 户,在一个实施例中,例如可以包括规则匹配后是否记录上下行报文、是 否记录TCP会话数据等信息。
审计对象之间的组织关系是树形关系,主机下是各种服务,每个服务
7下并列有角色和访问规则。各个审计对象之间以这样树形关系组织起来是 为了反应出"角色访问主机的服务进行特定操作"的关系。
上述步骤2中使用XML文件来存储策略信息,主要是因为XML除了 可以很好地体现审计对象的本身属性外,还可以更好地表现审计对象之间 的关系,给应用处理带来很大便利。
上述步骤3中将己导出的XML文件中的数据信息写入数据库,将XML 文件中的数据信息按照它们的组织关系存储到数据库相关表中,以达到策 略导入的目的。
上述步骤4中的复制操作过程是先将策略信息写入XML文件,再 将XML文件映射到内存剪切板中,达到复制的效果。
上述步骤5中的粘贴操作将步骤4中写入内存的数据信息按照步骤3 中的方法写入数据库中,以达到粘贴的效果。 实施例2:下面结合具体数据对实施例1作进一步说明。
首先,假设我们有一台业务主机,它主要提供telnet服务,现在我们 需要对访问该业务主机的用户操作行为进行审计。审计规则可以这样定义, 首先定义主机对象,我们将该主机对象命名为Serverl01; ID为该主机 对象的唯一标识,取值为001;该主机对象的IP地址为192.168.30.101; 类型为单主机,取值为l;当然,还可以定义服务对象是子网。
然后定义服务,这里服务定义为Telnet;同样存在一个ID,取值为 001;服务还要有一个端口号,telnet协议的端口号取值23。
接下来定义角色Role,角色主要决定了操作规则匹配后审计引擎的动
作,这里我们定义报警方式为l代表报警;日志级别1,表示中级;是 否记录上下行报文l代表是。
最后定义访问规则Rule,假定我们要审计所有以roo用户名访问 telnet服务的登录动作,可以这样表示telnet_user[,,nocase〗Aroo;
定义好审计对象后,我们的审计策略就制定完毕了。
定义好审计对象和服务之后,需要关注的就是审计策略管理方式了,
8这也是本发明的主题;审计策略管理方式包括导出、导入、复制和粘贴等
操作。导出和复制操作都需要将对象数据及它们的关系保存到xml对象中,在一个实施例中,组织后xml文件内容如下< Server
IpAddr=〃192.168.30.101〃ServerID=〃001〃ServerName=〃Serve r 101 〃Se rve rTy pe=T><Service
Port=〃23〃ServiceID=〃16〃ServiceName="Telnet〃><Rule Expr=〃 telnet—usr[〃nocase]八L〃Port-〃23'、</Rule>
<Role AlertType=〃l〃DefaultLogLevl = 〃l〃Rec="l"></Role></Service></Server>
该xml文件依次定义了服务主机的IP地址为〃192.168.30.101〃,服务主机ID为〃001〃,服务主机名称为〃Serverl01",服务主机类型
为〃1〃;然后对该服务主机对象定义服务,服务端口 "23",服务ID: 〃16〃,
服务名称"Telnet";并在该服务中定义访问规则"telnet_usr[,,nocase]AL,[HA、。,,,^n: "23",同时在该服务中定义
角色,该角色的报警类型为"l",缺省标识级别为"l",响应级别为"l"。
将此xml对象保存为xml文件就实现了策略导出,而复制操作就是将这个xml对象保存到剪切板中;导入和粘贴操作就是上面两项操作的逆操作过程。要进行导入操作就需要遍历这个文件中的内容,按照文件中的关系将信息依次写入数据库,而粘贴操作就直接操作内存剪切板中的数据就可以了。
实施例3:图1为根据本发明的一种网络安全审计的策略编辑方法流程图,如图中所示,根据本发明的实施例,首先定义保护主机等审计对象信息;然后以XML为媒介,将审计对象写入XML文件以实现导出操作;再将XML文件写入内存数据库以实现导入操作,在该实施例中,XML以完整的策略形式存在,方便存储和网络传输。
实施例4:如图2所示的根据本发明的一种网络安全审计的策略编辑
系统逻辑处理单元结构图,该系统由三个部分构成审计对象定义单元(也
即策略定义单元);XML操作单元;剪贴板操作单元。
策略定义单元用于定义保护主机、保护服务、角色和访问规则等数据信息;XML操作单元,用于将保护主机、保护服务、角色和访问规则等数据信息以及各数据信息之间的关系保存为XML文件对象的操作单元;该XML操作单元还用于将XML文件对象还原为保护主机、保护服务、角色和访问规则等数据信息的操作单元;剪切板操作单元,用于将操作对象保存到剪切板中和从剪切板中还原操作对象的功能单元。
各个逻辑处理单元之间的连接关系是首先,通过策略定义单元定义
好保护主机、保护服务、角色和访问规则等数据信息作为审计对象;各审
计对象之间的逻辑关系是通过属性中外健保存的,定义时体现在对象的树
型结构关系上;在定义完审计对象后通过XML操作单元将所述审计对象
保存为XML文件,从而实现导出操作;将审计对象保存为XML对象,再
通过剪切板操作单元进一步将xml对象保存到剪切板中实现复制操作。以
上两个操作步骤反过来也成立,也就是说,通过XML操作单元将XML文
件解析成审计对象,实现策略导入操作;通过剪切板操作单元将其中的
XML对象转换成审计对象,实现策略的粘贴操作。
上述仅为本发明的较佳实施例,并不用来限定本发明的实施范围。也就是说,任何依照本发明的权利要求范围所做的同等变化与修改,皆为本发明的权利要求范围所涵盖。
10
权利要求
1.一种网络安全审计策略编辑系统,该系统包括一个或多个终端服务器,数据存储装置,网卡,以及数据输入装置和输出装置,其特征在于包括以下逻辑处理单元策略定义单元,定义保护主机、保护服务、角色和访问规则等数据信息;XML操作单元,用于操作XML文件对象;剪切板操作单元,用于操作剪切板对象,将操作对象保存到剪切板中和从剪切板中还原操作对象的功能单元。
2. 根据权利要求l所述的一种网络安全审计策略编辑系统,其特征还在于所述XML操作单元用于将所述保护主机、保护服务、角色和访问规则等数据信 息以及各数据信息之间的关系保存为XML文件对象的操作单元。
3. 根据权利要求l所述的一种网络安全审计策略编辑系统,其特征还在于 所述XML操作争元还用于将所述XML文件对象还原为保护主机、保护服务、 角色和访问规则等数据信息的操作单元。
4. 根据权利要求1所述的一种网络安全审计的策略编辑系统,其特征在于 将所述策略定义单元中保护主机、保护服务、角色和访问规则之间的逻辑关系 体现在XML文件中,以实现导出操作。
5. 根据权利要求1所述的一种网络安全审计的策略编辑系统,其特征在于 将能体现所述策略逻辑关系的XML文件写入剪切板,进而实现复制和粘贴操作。
6. 根据权利要求1所述的一种网络安全审计策略编辑系统,其特征还在于所述逻辑处理单元之间的连接关系是首先,通过策略定义单兀定义好保扩主机、保护服务、角色和访问规则等数据信息作为审计对象,各审讣对象之间的逻辑关系是通过属性中外健保存的,定义时体现在对象的树型结构关系上;定 义完审计对象后,通过XML操作单元将所述审计对象保存为XML文件,从而 实现导出操作;将审计对象保存为XML对象,再通过剪切板操作单元进一步将 xml对象保存到剪切板中实现复制操作;以上两个操作歩骤反过来也成立,也 就是说,反过来,通过XML操作单元将XML文件解析成审计对象,实现策略导入操作;通过剪切板操作单元将其中的XML对象转换成审计对象,实现策略 的粘贴操作。
7. —种网络安全审计策略编辑方法,包括如下歩骤步骤1按照"角色访问主机的服务进行特定操作"的逻辑关系定义保护主 机、保护服务、角色和访问规则等数据信息,将其作为审计对象保存到数据库中;步骤2按照步骤1屮所述的逻辑关系将已定义的数据信息写入XML文件, 以实现导出操作;歩骤3将已导出的XML文件中的信息写入数据库,以实现导入操作; 步骤4按照歩骤1中所述的逻辑关系将所述己定义的数据信息写入XML 文件,然后再写入内存,以实现复制操作;步骤5将歩骤4中写入内存的信息写入数据库,以实现粘贴操作。
8. 根据权利要求7所述的一种网络安全审计策略编辑方法,其特征还在于 所述"角色访问主机的服务进行特定操作"的逻辑关系是指,主机对象包含了 哪些服务对象,也就是说,主机对象具体提供什么服务,或者主机对象的哪些 服务需要进行审计。
9.根据权利要求8所述的一种网络安全审计策略编辑方法,其特征还在丁-所述服务对象下面定义了需要访问服务的角色,并将角色的访问操作定义为访问规则,这样就形成一种树状逻辑关系。
全文摘要
本发明提供了一种基于角色访问控制(RBAC)的网络安全审计策略编辑方法及系统。其技术方案是以XML文件作为媒介,保存基于角色访问控制的网络审计系统的策略信息,进而实现对审计策略导出、导入、复制和粘贴等操作。根据本发明提供的方法,可以简化策略制定过程,并且方便策略传输,为分布式管理带来便利。
文档编号H04L12/24GK101651555SQ20081011838
公开日2010年2月17日 申请日期2008年8月15日 优先权日2008年8月15日
发明者李一博, 赵振东 申请人:北京启明星辰信息技术股份有限公司;北京启明星辰信息安全技术有限公司