楊明，郭樹旭

（1.吉林大學(xué)電子科學(xué)與工程學(xué)院 長(zhǎng)春 130012；2.中國(guó)移動(dòng)通信集團(tuán)公司 北京 100032）

分布式應(yīng)用安全策略集中化管理實(shí)現(xiàn)方法

楊明1,2，郭樹旭1

（1.吉林大學(xué)電子科學(xué)與工程學(xué)院 長(zhǎng)春 130012；2.中國(guó)移動(dòng)通信集團(tuán)公司 北京 100032）

隨著通信網(wǎng)絡(luò)建設(shè)規(guī)模的加大，分布式應(yīng)用系統(tǒng)關(guān)聯(lián)程度也日益加深。如何通過安全策略管理，提高系統(tǒng)安全整體管理能力是信息安全建設(shè)中的重要任務(wù)之一。本文提出了一種分布式安全策略集中化管理的實(shí)現(xiàn)方法，從體系框架、系統(tǒng)架構(gòu)、實(shí)施方法等方面進(jìn)行了詳細(xì)的闡述。將原本分散在各領(lǐng)域的網(wǎng)絡(luò)和信息安全策略進(jìn)行集中化管理，進(jìn)一步發(fā)揮集中化管理效率的優(yōu)勢(shì)，滿足當(dāng)前分布式應(yīng)用環(huán)境對(duì)信息安全整體性、協(xié)同性的需求。

安全策略；網(wǎng)絡(luò)安全；集中化；分布式應(yīng)用；信息系統(tǒng)

1 引言

隨著通信技術(shù)的不斷發(fā)展,通信網(wǎng)絡(luò)的規(guī)模越來越大，分布式應(yīng)用系統(tǒng)集中化管理是發(fā)展的趨勢(shì)，安全策略管理是應(yīng)用系統(tǒng)安全管理的核心[1]。分布式應(yīng)用安全策略的分散管理加大了系統(tǒng)安全管理的難度，已經(jīng)不能適應(yīng)信息安全管理的需要。因此，隨著分布式應(yīng)用系統(tǒng)關(guān)聯(lián)程度的不斷加深，必須對(duì)分布式安全策略進(jìn)行科學(xué)管理和控制，才能保障網(wǎng)絡(luò)安全運(yùn)行。本文提出了一種分布式應(yīng)用安全策略集中化管理方法，通過將原本分散在網(wǎng)管、計(jì)費(fèi)、信息系統(tǒng)等領(lǐng)域的網(wǎng)絡(luò)和信息安全策略進(jìn)行集中化管理，進(jìn)一步發(fā)揮集中化管理的效率，為打造優(yōu)秀的、統(tǒng)一的、整體化的網(wǎng)絡(luò)和信息安全體系夯實(shí)了基礎(chǔ)。

2 安全策略集中化管理體系框架

2.1 體系框架

網(wǎng)絡(luò)與信息安全策略集中化管理以安全戰(zhàn)略目標(biāo)為中心，制定整體安全策略框架，包括安全標(biāo)準(zhǔn)體系、安全技術(shù)體系、安全組織體系、安全運(yùn)維體系，從組織、標(biāo)準(zhǔn)、技術(shù)、運(yùn)維4個(gè)層面確保安全戰(zhàn)略目標(biāo)的實(shí)現(xiàn)，以適應(yīng)多業(yè)務(wù)、多流程、多系統(tǒng)安全管理的需要。安全策略集中化管理體系框架如圖1所示。

2.2 核心流程

圖1 安全策略集中化管理體系框架

以體系架構(gòu)為基礎(chǔ)，以面向風(fēng)險(xiǎn)的安全評(píng)估為始點(diǎn)，通過信息資產(chǎn)調(diào)查、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)繪制、弱點(diǎn)和風(fēng)險(xiǎn)分析、安全區(qū)域等級(jí)評(píng)估，結(jié)合網(wǎng)絡(luò)及系統(tǒng)弱點(diǎn)和等級(jí)化保護(hù)要求，對(duì)影響安全的風(fēng)險(xiǎn)點(diǎn)從安全域、弱點(diǎn)、威脅等方面進(jìn)行評(píng)估，完成多平臺(tái)、多系統(tǒng)、多業(yè)務(wù)管理的安全策略梳理，構(gòu)建和設(shè)計(jì)整體安全管理策略和流程。

安全策略實(shí)施的工作范圍包括業(yè)務(wù)支撐系統(tǒng)（BOSS、客服系統(tǒng)、經(jīng)營(yíng)分析系統(tǒng)）、網(wǎng)絡(luò)支撐系統(tǒng)（話務(wù)網(wǎng)網(wǎng)管、IP網(wǎng)網(wǎng)管、信令監(jiān)控、電子運(yùn)維系統(tǒng)）、管理信息系統(tǒng)（ERP、電子采購(gòu)、計(jì)劃管理和OA）和數(shù)據(jù)業(yè)務(wù)系統(tǒng)（短信系統(tǒng)、WAP 系統(tǒng)、CMNet、GPRS、數(shù)據(jù)增值業(yè)務(wù)系統(tǒng)等）。

3 安全策略集中化管理系統(tǒng)架構(gòu)

通過構(gòu)建安全策略集中化管理體系框架，梳理安全策略核心流程以及對(duì)用戶、認(rèn)證方式的集中和整合，完成對(duì)業(yè)務(wù)支撐、短信系統(tǒng)、ERP系統(tǒng)、電子采購(gòu)、計(jì)劃管理等安全策略的梳理，形成安全策略集中化管理系統(tǒng)架構(gòu)。集中化安全策略管理系統(tǒng)架構(gòu)如圖2所示。

系統(tǒng)架構(gòu)中設(shè)立集中安全策略管理中心，具備策略身份認(rèn)證、鑒權(quán)、分發(fā)、加密等功能，對(duì)全網(wǎng)安全策略進(jìn)行統(tǒng)一管理?？梢霗C(jī)器學(xué)習(xí)算法動(dòng)態(tài)生成安全策略的配置方式，方便安全策略在系統(tǒng)中的實(shí)施和應(yīng)用[2]。為加快安全策略管理效率，可設(shè)立區(qū)域安全策略信息分中心，與集中安全策略管理中心進(jìn)行策略同步，輔助其進(jìn)行分區(qū)域管理。安全策略管理中心使全網(wǎng)安全得到統(tǒng)一管理，資源得到統(tǒng)一調(diào)度，極大地保障了網(wǎng)絡(luò)安全。

圖2 集中化安全策略管理系統(tǒng)架構(gòu)

當(dāng)用戶訪問應(yīng)用系統(tǒng)時(shí)，由集中安全策略管理中心或區(qū)域分中心提供統(tǒng)一的、集中的安全策略管理服務(wù)，包括身份鑒權(quán)、分配用戶權(quán)限等，通過鑒權(quán)后，用戶根據(jù)安全策略管理中心加密安全策略會(huì)話票據(jù)訪問應(yīng)用系統(tǒng)，安全策略認(rèn)證一般流程如圖3所示。

圖3 集中化安全策略認(rèn)證流程

安全策略管理中心與各業(yè)務(wù)系統(tǒng)的接口程序采用SOA架構(gòu)的部署方式，一方面，能夠支持不同體系架構(gòu)、不同開發(fā)語言、異構(gòu)網(wǎng)絡(luò)環(huán)境下的各應(yīng)用系統(tǒng)的集成，提高平臺(tái)的標(biāo)準(zhǔn)化和集成化，并且不會(huì)因局部節(jié)點(diǎn)出現(xiàn)故障而影響全局業(yè)務(wù)，也提高了平臺(tái)的穩(wěn)定性和可用性；另一方面，各應(yīng)用系統(tǒng)開發(fā)、維護(hù)、管理等接口更加快捷、方便，如開發(fā)新的應(yīng)用系統(tǒng)時(shí)，可以直接使用集中認(rèn)證服務(wù)，簡(jiǎn)化開發(fā)流程。集中安全策略管理中心功能包括統(tǒng)一目錄、單點(diǎn)登錄、身份管理（含訪問策略管理、策略分發(fā)、策略鑒權(quán)、策略加密等）、策略審計(jì)、集中接入等部分[3,4]，如圖4所示。

（1）統(tǒng)一目錄

通過規(guī)范用戶信息，建立全國(guó)統(tǒng)一的用戶目錄，實(shí)現(xiàn)與全國(guó)性應(yīng)用系統(tǒng)的用戶同步，實(shí)現(xiàn)對(duì)用戶基本信息和生命周期的管理，為安全策略集中化管理奠定基礎(chǔ)。

（2）單點(diǎn)登錄

建立基于全國(guó)統(tǒng)一密碼認(rèn)證的平臺(tái)，提供統(tǒng)一的SSO及票據(jù)服務(wù)。用戶在訪問不同應(yīng)用時(shí)，只需要登錄一次，即通過一個(gè)應(yīng)用中的安全驗(yàn)證后，訪問其他應(yīng)用時(shí)，無需重新登錄。

（3）身份管理

通過統(tǒng)一的身份認(rèn)證平臺(tái)，為用戶提供安全認(rèn)證。集中認(rèn)證管理是將安全策略統(tǒng)一管理，對(duì)不同業(yè)務(wù)應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備統(tǒng)一授權(quán)，規(guī)范應(yīng)用系統(tǒng)的認(rèn)證方式，達(dá)到提高整個(gè)系統(tǒng)的整體性、可管理性和安全性的效果。

（4）策略審計(jì)

采集安全策略執(zhí)行中產(chǎn)生的各種日志 （包含賬戶活動(dòng)、操作行為、數(shù)據(jù)庫(kù)執(zhí)行等），通過配置收集策略對(duì)采集到的數(shù)據(jù)進(jìn)行分析，判斷安全策略的執(zhí)行是否符合規(guī)定，發(fā)出告警和報(bào)表信息。

（5）集中接入

通過集中接入平臺(tái)，實(shí)現(xiàn)不同體系架構(gòu)、不同開發(fā)語言、異構(gòu)網(wǎng)絡(luò)環(huán)境下的各應(yīng)用系統(tǒng)的集成，為各應(yīng)用系統(tǒng)服務(wù)器和信息平臺(tái)提供數(shù)據(jù)交互的接口，降低集中管理數(shù)據(jù)的復(fù)雜性。

4 安全策略實(shí)施方法

以安全策略集中化管理體系框架為基礎(chǔ)，推進(jìn)安全標(biāo)準(zhǔn)體系、安全技術(shù)體系、安全組織體系、安全運(yùn)維體系建設(shè)，為安全策略集中化實(shí)施奠定基礎(chǔ)。

（1）安全組織體系

安全組織體系是安全策略實(shí)施的關(guān)鍵，主要負(fù)責(zé)網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的安全策略、制度、規(guī)劃的制訂和實(shí)施，確定各種安全管理崗位和相應(yīng)的安全職責(zé)，協(xié)調(diào)安全策略實(shí)施中的分工和合作，保證安全戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。

圖4 集中安全策略管理中心功能

（2）安全標(biāo)準(zhǔn)體系

對(duì)全網(wǎng)應(yīng)用系統(tǒng)的信息安全管理工作標(biāo)準(zhǔn)進(jìn)行梳理，在人員、組織、技術(shù)、流程等各個(gè)方面建立安全管理制度和管理標(biāo)準(zhǔn)，制定安全策略標(biāo)準(zhǔn)體系和工作實(shí)施細(xì)則，形成較完整的安全標(biāo)準(zhǔn)體系。

（3）安全技術(shù)體系

安全策略得以有效實(shí)施，安全技術(shù)體系是基礎(chǔ)。安全技術(shù)體系覆蓋鑒別、認(rèn)證、訪問控制、內(nèi)容安全、冗余和恢復(fù)以及審計(jì)5個(gè)部分，通過技術(shù)手段實(shí)現(xiàn)安全策略分發(fā)、鑒權(quán)、加密、審計(jì)、接入等集中化管理能力。

（4）安全運(yùn)維體系

安全運(yùn)維體系是全網(wǎng)安全策略集中化的執(zhí)行和保障環(huán)節(jié)。通過構(gòu)建基于SOA架構(gòu)的集中安全策略管理中心，實(shí)現(xiàn)安全事件監(jiān)控、安全預(yù)警、風(fēng)險(xiǎn)管理以及策略管理的集中化、可視化、可控化、可量化。

5 結(jié)束語

網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，分布式應(yīng)用日趨復(fù)雜，網(wǎng)絡(luò)安全工作的重要性也與日俱增。安全策略管理是網(wǎng)絡(luò)安全管理的核心，分布式安全策略管理不僅增加了系統(tǒng)間大量的協(xié)調(diào)工作以及開發(fā)難度和成本，在一定程度上也降低了系統(tǒng)整體安全性。

通過建立集中安全策略管理中心，針對(duì)全局制定整體的、協(xié)同的安全策略，滿足了跨應(yīng)用、跨系統(tǒng)、跨平臺(tái)統(tǒng)一安全管理的需要，降低了安全管理的復(fù)雜性，提高了安全管理的效率；通過建立區(qū)域安全策略管理中心，實(shí)現(xiàn)集中安全策略管理中心的安全策略的分發(fā)、同步和區(qū)域化自治管理，使得各個(gè)自治域的服務(wù)器壓力得到了有效分流，提高了安全策略管理的及時(shí)性和多樣性；通過建立完善的安全策略管理體系，形成安全策略集中化統(tǒng)一流程、統(tǒng)一組織、統(tǒng)一IT支撐手段，為網(wǎng)絡(luò)和信息安全管理奠定基礎(chǔ)。

1 Matt Bishop.計(jì)算機(jī)安全：藝術(shù)與科學(xué).北京：清華大學(xué)出版社,2004

2 Yang Ming,Guo Shuxu.Research and realization of security policy in IPSec based on ID3 algorithm.In：1st International Conference on Multimedia Information Networking and Security(MINES 2009），2009

3 Sandhu R S.Role activation hierarchies.In:Proceedings of the third ACM/NIST role based access control workshop,fairfax,virginia,USA,ACM Press,October 1998

4 楊明,高翔.中國(guó)移動(dòng)風(fēng)險(xiǎn)管控信息化的探索與實(shí)踐.電信技術(shù),2009(6):61～64

5 黃元飛，栗欣.網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)研究現(xiàn)狀及熱點(diǎn)問題探討.電信科學(xué)，2008，24（1）

6 陳健.軟交換網(wǎng)絡(luò)安全威脅和需求淺析.電信科學(xué)，2008，24（1）

7 楊武.IMS網(wǎng)絡(luò)安全機(jī)制探討.電信科學(xué)，2008，24（1）

8 孫寧，張興明，朱珂.IPSec安全策略數(shù)據(jù)庫(kù)研究及其硬件實(shí)現(xiàn)方案.電信科學(xué)，2008，24（3）

9 王潮，賈翔宇，林強(qiáng).基于可信度的無線傳感器網(wǎng)絡(luò)安全路由算法.通信學(xué)報(bào)，2008，29（11）

10 薛楠，周賢偉，劉濤等.基于簇的分布式認(rèn)知無線電網(wǎng)絡(luò)安全體系結(jié)構(gòu).電信科學(xué)，2008，24（11）

11 姜延吉.多運(yùn)營(yíng)商環(huán)境下通信網(wǎng)絡(luò)安全的實(shí)現(xiàn).電信科學(xué)，2008，24（11）

12 鄭志彬.信息網(wǎng)絡(luò)安全威脅及技術(shù)發(fā)展趨勢(shì).電信科學(xué)，2009，25（2）

13 高天寒，郭楠，朱志良.基于動(dòng)態(tài)策略的分布式移動(dòng)IPv6網(wǎng)絡(luò)安全管理機(jī)制.通信學(xué)報(bào)，2009，30（1）

14 王帥，沈軍，金華敏.電信IPv6網(wǎng)絡(luò)安全保障體系研究.電信科學(xué)，2009，25（7）

15 李潤(rùn)恒，賈焰.在網(wǎng)絡(luò)安全事件流中異常檢測(cè)的方法.通信學(xué)報(bào)，2009，30（12）

16 劉外喜，唐冬，胡曉等.6LoWPAN網(wǎng)絡(luò)安全問題的分析.電信科學(xué)，2010，26（4）

A Centralized Management Method of Security Policy in Distributed Application System

Yang Ming1,2,Guo Shuxu1
（1.College of Electronic Science&Engineering,Jilin University,Changchun 130012,China;2.China Mobile Communications Corporation,Beijing 100032,China）

With the development of communication network scale,the connections between the distributed application systems are increasingly deepening.How to strengthen the security policies management,and enhance entire network information security management ability is an important task in the system’s construction.This paper presents a centralized security policies model based on the distributed environment,and explains the centralized security policies management framework,the centralized system management structure,the security policies implementation method in details.Through centralized the security policies in every field of distributed application systems,it can improve the management efficiency and satisfy the unified,collaborative security policies management needs.

security policy,network security,centralized,distributed application,information system

2011-05-11)