楊明，郭樹旭

（1.吉林大學電子科學與工程學院 長春 130012；2.中國移動通信集團公司 北京 100032）

分布式應用安全策略集中化管理實現(xiàn)方法

楊明1,2，郭樹旭1

（1.吉林大學電子科學與工程學院 長春 130012；2.中國移動通信集團公司 北京 100032）

隨著通信網(wǎng)絡建設(shè)規(guī)模的加大，分布式應用系統(tǒng)關(guān)聯(lián)程度也日益加深。如何通過安全策略管理，提高系統(tǒng)安全整體管理能力是信息安全建設(shè)中的重要任務之一。本文提出了一種分布式安全策略集中化管理的實現(xiàn)方法，從體系框架、系統(tǒng)架構(gòu)、實施方法等方面進行了詳細的闡述。將原本分散在各領(lǐng)域的網(wǎng)絡和信息安全策略進行集中化管理，進一步發(fā)揮集中化管理效率的優(yōu)勢，滿足當前分布式應用環(huán)境對信息安全整體性、協(xié)同性的需求。

安全策略；網(wǎng)絡安全；集中化；分布式應用；信息系統(tǒng)

1 引言

隨著通信技術(shù)的不斷發(fā)展,通信網(wǎng)絡的規(guī)模越來越大，分布式應用系統(tǒng)集中化管理是發(fā)展的趨勢，安全策略管理是應用系統(tǒng)安全管理的核心[1]。分布式應用安全策略的分散管理加大了系統(tǒng)安全管理的難度，已經(jīng)不能適應信息安全管理的需要。因此，隨著分布式應用系統(tǒng)關(guān)聯(lián)程度的不斷加深，必須對分布式安全策略進行科學管理和控制，才能保障網(wǎng)絡安全運行。本文提出了一種分布式應用安全策略集中化管理方法，通過將原本分散在網(wǎng)管、計費、信息系統(tǒng)等領(lǐng)域的網(wǎng)絡和信息安全策略進行集中化管理，進一步發(fā)揮集中化管理的效率，為打造優(yōu)秀的、統(tǒng)一的、整體化的網(wǎng)絡和信息安全體系夯實了基礎(chǔ)。

2 安全策略集中化管理體系框架

2.1 體系框架

網(wǎng)絡與信息安全策略集中化管理以安全戰(zhàn)略目標為中心，制定整體安全策略框架，包括安全標準體系、安全技術(shù)體系、安全組織體系、安全運維體系，從組織、標準、技術(shù)、運維4個層面確保安全戰(zhàn)略目標的實現(xiàn)，以適應多業(yè)務、多流程、多系統(tǒng)安全管理的需要。安全策略集中化管理體系框架如圖1所示。

2.2 核心流程

圖1 安全策略集中化管理體系框架

以體系架構(gòu)為基礎(chǔ)，以面向風險的安全評估為始點，通過信息資產(chǎn)調(diào)查、網(wǎng)絡拓撲結(jié)構(gòu)繪制、弱點和風險分析、安全區(qū)域等級評估，結(jié)合網(wǎng)絡及系統(tǒng)弱點和等級化保護要求，對影響安全的風險點從安全域、弱點、威脅等方面進行評估，完成多平臺、多系統(tǒng)、多業(yè)務管理的安全策略梳理，構(gòu)建和設(shè)計整體安全管理策略和流程。

安全策略實施的工作范圍包括業(yè)務支撐系統(tǒng)（BOSS、客服系統(tǒng)、經(jīng)營分析系統(tǒng)）、網(wǎng)絡支撐系統(tǒng)（話務網(wǎng)網(wǎng)管、IP網(wǎng)網(wǎng)管、信令監(jiān)控、電子運維系統(tǒng)）、管理信息系統(tǒng)（ERP、電子采購、計劃管理和OA）和數(shù)據(jù)業(yè)務系統(tǒng)（短信系統(tǒng)、WAP 系統(tǒng)、CMNet、GPRS、數(shù)據(jù)增值業(yè)務系統(tǒng)等）。

3 安全策略集中化管理系統(tǒng)架構(gòu)

通過構(gòu)建安全策略集中化管理體系框架，梳理安全策略核心流程以及對用戶、認證方式的集中和整合，完成對業(yè)務支撐、短信系統(tǒng)、ERP系統(tǒng)、電子采購、計劃管理等安全策略的梳理，形成安全策略集中化管理系統(tǒng)架構(gòu)。集中化安全策略管理系統(tǒng)架構(gòu)如圖2所示。

系統(tǒng)架構(gòu)中設(shè)立集中安全策略管理中心，具備策略身份認證、鑒權(quán)、分發(fā)、加密等功能，對全網(wǎng)安全策略進行統(tǒng)一管理?？梢霗C器學習算法動態(tài)生成安全策略的配置方式，方便安全策略在系統(tǒng)中的實施和應用[2]。為加快安全策略管理效率，可設(shè)立區(qū)域安全策略信息分中心，與集中安全策略管理中心進行策略同步，輔助其進行分區(qū)域管理。安全策略管理中心使全網(wǎng)安全得到統(tǒng)一管理，資源得到統(tǒng)一調(diào)度，極大地保障了網(wǎng)絡安全。

圖2 集中化安全策略管理系統(tǒng)架構(gòu)

當用戶訪問應用系統(tǒng)時，由集中安全策略管理中心或區(qū)域分中心提供統(tǒng)一的、集中的安全策略管理服務，包括身份鑒權(quán)、分配用戶權(quán)限等，通過鑒權(quán)后，用戶根據(jù)安全策略管理中心加密安全策略會話票據(jù)訪問應用系統(tǒng)，安全策略認證一般流程如圖3所示。

圖3 集中化安全策略認證流程

安全策略管理中心與各業(yè)務系統(tǒng)的接口程序采用SOA架構(gòu)的部署方式，一方面，能夠支持不同體系架構(gòu)、不同開發(fā)語言、異構(gòu)網(wǎng)絡環(huán)境下的各應用系統(tǒng)的集成，提高平臺的標準化和集成化，并且不會因局部節(jié)點出現(xiàn)故障而影響全局業(yè)務，也提高了平臺的穩(wěn)定性和可用性；另一方面，各應用系統(tǒng)開發(fā)、維護、管理等接口更加快捷、方便，如開發(fā)新的應用系統(tǒng)時，可以直接使用集中認證服務，簡化開發(fā)流程。集中安全策略管理中心功能包括統(tǒng)一目錄、單點登錄、身份管理（含訪問策略管理、策略分發(fā)、策略鑒權(quán)、策略加密等）、策略審計、集中接入等部分[3,4]，如圖4所示。

（1）統(tǒng)一目錄

通過規(guī)范用戶信息，建立全國統(tǒng)一的用戶目錄，實現(xiàn)與全國性應用系統(tǒng)的用戶同步，實現(xiàn)對用戶基本信息和生命周期的管理，為安全策略集中化管理奠定基礎(chǔ)。

（2）單點登錄

建立基于全國統(tǒng)一密碼認證的平臺，提供統(tǒng)一的SSO及票據(jù)服務。用戶在訪問不同應用時，只需要登錄一次，即通過一個應用中的安全驗證后，訪問其他應用時，無需重新登錄。

（3）身份管理

通過統(tǒng)一的身份認證平臺，為用戶提供安全認證。集中認證管理是將安全策略統(tǒng)一管理，對不同業(yè)務應用系統(tǒng)、主機系統(tǒng)、網(wǎng)絡設(shè)備統(tǒng)一授權(quán)，規(guī)范應用系統(tǒng)的認證方式，達到提高整個系統(tǒng)的整體性、可管理性和安全性的效果。

（4）策略審計

采集安全策略執(zhí)行中產(chǎn)生的各種日志 （包含賬戶活動、操作行為、數(shù)據(jù)庫執(zhí)行等），通過配置收集策略對采集到的數(shù)據(jù)進行分析，判斷安全策略的執(zhí)行是否符合規(guī)定，發(fā)出告警和報表信息。

（5）集中接入

通過集中接入平臺，實現(xiàn)不同體系架構(gòu)、不同開發(fā)語言、異構(gòu)網(wǎng)絡環(huán)境下的各應用系統(tǒng)的集成，為各應用系統(tǒng)服務器和信息平臺提供數(shù)據(jù)交互的接口，降低集中管理數(shù)據(jù)的復雜性。

4 安全策略實施方法

以安全策略集中化管理體系框架為基礎(chǔ)，推進安全標準體系、安全技術(shù)體系、安全組織體系、安全運維體系建設(shè)，為安全策略集中化實施奠定基礎(chǔ)。

（1）安全組織體系

安全組織體系是安全策略實施的關(guān)鍵，主要負責網(wǎng)絡及應用系統(tǒng)的安全策略、制度、規(guī)劃的制訂和實施，確定各種安全管理崗位和相應的安全職責，協(xié)調(diào)安全策略實施中的分工和合作，保證安全戰(zhàn)略目標的實現(xiàn)。

圖4 集中安全策略管理中心功能

（2）安全標準體系

對全網(wǎng)應用系統(tǒng)的信息安全管理工作標準進行梳理，在人員、組織、技術(shù)、流程等各個方面建立安全管理制度和管理標準，制定安全策略標準體系和工作實施細則，形成較完整的安全標準體系。

（3）安全技術(shù)體系

安全策略得以有效實施，安全技術(shù)體系是基礎(chǔ)。安全技術(shù)體系覆蓋鑒別、認證、訪問控制、內(nèi)容安全、冗余和恢復以及審計5個部分，通過技術(shù)手段實現(xiàn)安全策略分發(fā)、鑒權(quán)、加密、審計、接入等集中化管理能力。

（4）安全運維體系

安全運維體系是全網(wǎng)安全策略集中化的執(zhí)行和保障環(huán)節(jié)。通過構(gòu)建基于SOA架構(gòu)的集中安全策略管理中心，實現(xiàn)安全事件監(jiān)控、安全預警、風險管理以及策略管理的集中化、可視化、可控化、可量化。

5 結(jié)束語

網(wǎng)絡規(guī)模不斷擴大，分布式應用日趨復雜，網(wǎng)絡安全工作的重要性也與日俱增。安全策略管理是網(wǎng)絡安全管理的核心，分布式安全策略管理不僅增加了系統(tǒng)間大量的協(xié)調(diào)工作以及開發(fā)難度和成本，在一定程度上也降低了系統(tǒng)整體安全性。

通過建立集中安全策略管理中心，針對全局制定整體的、協(xié)同的安全策略，滿足了跨應用、跨系統(tǒng)、跨平臺統(tǒng)一安全管理的需要，降低了安全管理的復雜性，提高了安全管理的效率；通過建立區(qū)域安全策略管理中心，實現(xiàn)集中安全策略管理中心的安全策略的分發(fā)、同步和區(qū)域化自治管理，使得各個自治域的服務器壓力得到了有效分流，提高了安全策略管理的及時性和多樣性；通過建立完善的安全策略管理體系，形成安全策略集中化統(tǒng)一流程、統(tǒng)一組織、統(tǒng)一IT支撐手段，為網(wǎng)絡和信息安全管理奠定基礎(chǔ)。

1 Matt Bishop.計算機安全：藝術(shù)與科學.北京：清華大學出版社,2004

2 Yang Ming,Guo Shuxu.Research and realization of security policy in IPSec based on ID3 algorithm.In：1st International Conference on Multimedia Information Networking and Security(MINES 2009），2009

3 Sandhu R S.Role activation hierarchies.In:Proceedings of the third ACM/NIST role based access control workshop,fairfax,virginia,USA,ACM Press,October 1998

4 楊明,高翔.中國移動風險管控信息化的探索與實踐.電信技術(shù),2009(6):61～64

5 黃元飛，栗欣.網(wǎng)絡與信息安全標準研究現(xiàn)狀及熱點問題探討.電信科學，2008，24（1）

6 陳健.軟交換網(wǎng)絡安全威脅和需求淺析.電信科學，2008，24（1）

7 楊武.IMS網(wǎng)絡安全機制探討.電信科學，2008，24（1）

8 孫寧，張興明，朱珂.IPSec安全策略數(shù)據(jù)庫研究及其硬件實現(xiàn)方案.電信科學，2008，24（3）

9 王潮，賈翔宇，林強.基于可信度的無線傳感器網(wǎng)絡安全路由算法.通信學報，2008，29（11）

10 薛楠，周賢偉，劉濤等.基于簇的分布式認知無線電網(wǎng)絡安全體系結(jié)構(gòu).電信科學，2008，24（11）

11 姜延吉.多運營商環(huán)境下通信網(wǎng)絡安全的實現(xiàn).電信科學，2008，24（11）

12 鄭志彬.信息網(wǎng)絡安全威脅及技術(shù)發(fā)展趨勢.電信科學，2009，25（2）

13 高天寒，郭楠，朱志良.基于動態(tài)策略的分布式移動IPv6網(wǎng)絡安全管理機制.通信學報，2009，30（1）

14 王帥，沈軍，金華敏.電信IPv6網(wǎng)絡安全保障體系研究.電信科學，2009，25（7）

15 李潤恒，賈焰.在網(wǎng)絡安全事件流中異常檢測的方法.通信學報，2009，30（12）

16 劉外喜，唐冬，胡曉等.6LoWPAN網(wǎng)絡安全問題的分析.電信科學，2010，26（4）

A Centralized Management Method of Security Policy in Distributed Application System

Yang Ming1,2,Guo Shuxu1
（1.College of Electronic Science&Engineering,Jilin University,Changchun 130012,China;2.China Mobile Communications Corporation,Beijing 100032,China）

With the development of communication network scale,the connections between the distributed application systems are increasingly deepening.How to strengthen the security policies management,and enhance entire network information security management ability is an important task in the system’s construction.This paper presents a centralized security policies model based on the distributed environment,and explains the centralized security policies management framework,the centralized system management structure,the security policies implementation method in details.Through centralized the security policies in every field of distributed application systems,it can improve the management efficiency and satisfy the unified,collaborative security policies management needs.

security policy,network security,centralized,distributed application,information system

2011-05-11)