异构网络安全设备统一管理平台研究与构建.docx

异构网络安全设备统一管理平台研究与构建许浩 许卫中高东怀靳豪杰张军超( 第四军医大学网络中心 异构网络安全设备统一管理平台研究与构建 许 浩 许卫中 高东怀 靳豪杰 张军超 ( 第四军医大学网络中心，西安 710032) 摘 要 随着网络应用的不断发展，网络中安全设备的类型和数量不断增多，出现了异构安全设备难以协同、海量告警信息 难以处理以及对安全事件缺乏有效的响应处理流程等问题。针对这些问题，提出设计一种针对多种异构网络安全设备的统 一管理平台。简单介绍了平台的主要功能，提出了一种异构安全设备通信处理机制，使平台能够最大程度地支持异构安全 设备。 关键词 异构 网络安全 中图法分类号 TP393． 08; 安全管理 安全设备 文献标志码 A 当前防火墙、入侵检测、漏洞扫描、安全审计、 网络防病毒等安全防护系统在网络中得到了广泛 的应用，针对这类安全设备的管理逐步成为网络管 理的重点，其方法主要有三种: 一是通过安全设备 自身带有的控制管理平台进行管理，但这种方式管 理员需要学习、了解不同平台的使用及管理方法， 并应用这些管理控制平台去管理网络中的设备，随 着网络安全威胁的增加，管理员工作复杂度明显加 大，同时每个设备单独管理也无法充分发挥安全设 备的应用效能，容易形成“安全孤岛”; 二是通过简 单网络管理协议( SNMP) 进行管理，但由于缺乏统 一的标准 MIB 库支持，使得传统管理手段在安全设 备管理方面存在很大的局限性［1］; 三是通过各大安 全设备生产厂家提供的统一管理平台进行管理，这 类管理平台对同一品牌的设备支持较好，但是由于 不同品牌的安全设备自身异构性和差异性非常大， 在实际使用时，对其他品牌的设备支持一般，甚至 根本不支持，而且在实际环境中往往是多种品牌的 安全设备并存，因此，此类管理平台通常无法满足 管理员日常使用的所有需求。综合上述三种管理 手段的分析，结合当前安全管理的需求，需要为管 理员设计一种针对多种异构网络安全设备并存的 统一管理平台，其在架构上能自由扩展，功能上能 满足日常管理需求，充分发挥安全设备应用效能。 图 1 异构网络安全设备统一管理系统架构 异构安全设备管理平台架构 1 异构网络安全设备统一管理平台是在集成各 种安全防护系统的基础之上，负责全网安全设备的 统一管理，实现各种网络安全资源的集中监控、智 能审计及多种安全功能模块互 动的安全管理中 心［2］。为满足安全设备后续调整和变更的要求，按 照模块化、组件化的设计思想，以开放、简单和实用 为原则，将整个平台架构分为客户层、业务逻辑层、 数据交换层和后台数据层四个层次，具 体 如 图 1 所示。 客户层实现人机交互( 网页浏览器) ; 业务逻辑 2011 年 10 月 18 日收到 第一作者简介: 许 浩，男，第四军医大学网络中心讲师，硕士。研究 方向: 计算机网络安全与管理。E-mail: Xuhao@ fmmu． edu． cn。 204科 学 技术与 工 程12 卷层实现网络安全设备的主要业务逻辑，以及该系统自身维护管理的辅助 204 科 学 技 术 与 工 程 12 卷 层实现网络安全设备的主要业务逻辑，以及该系统 自身维护管理的辅助功能; 数据交换层实现与后台 数据库和第三方安全产品实现安全数据交换，降低 业务逻辑和管理对象的耦合性，在数据管理接口部 分采用目前流行的数据持久层技术实现; 后台数据 层主要用于存放该系统产生的各类数据及第三方 安全设备( 如防火墙、防病毒网关、入侵检测、漏洞 扫描和信息审计等安全防护系统) 。 本平台基于 B / S 结构，客户层采用 RIA ( 富互 联网应用程序) / AJAX 开发展示，业务逻辑层和数 据交换层基于 J2EE 架构，采用 Java 语言实现，后台 数据库采用 Oracle / SQL Server。上述四层中，业务 逻辑层各项具体的安全设备管理业务是平台的实 现重点，数据交换层的统一通信接口是各项管理业 务得以实现的基础。 行处理，对未处理的事件( 如某台服务器的安全漏 洞) 提交给后台管理员再次处理，并详细记录安全 事件处理方法和结果，对一直未能处理的事件采用 记录、标明事件处理人员、集中展现等方式对两级 人员形成监督机制。 2． 3 安全策略管理 安全策略管理模块主要完成策略信息管理、冲 突检测及策略设置辅助决策支持等功能。在标准 化各类安全设备策略定义的基础上，统一管理各安 全设备策略定义、部署及变更情况，并对当前实施 的策略进行冲突检测，及时发现由于网络规模复杂 程度的加大带来的策略设置冲突或不一致的情况， 确保全网安全策略配置的正确性和一致性［3］。在 安全事件分析的基础上，对比当前设置的安全策 略，为安全设备策略设置提供指