專利名稱：一種分布式安全域邏輯邊界保護方法
技術領域：
本發明涉及到一種分布式安全域邏輯邊界保護技術，該技術基于統一安全域管理 策略，實現對安全域的邏輯邊界劃分，并基于分布式架構，對位于安全域內主機安裝安全域 邏輯邊界保護探針，實現安全域內用戶對各類信息資產的生成、使用、傳輸等行為的監控。 同時由各探針生成的安全事件信息，生成安全域的整體安全態勢判斷以及安全事件的追蹤 審計，從而實現滿足安全管理目標的安全域邏輯邊界保護。
背景技術：
傳統的安全保障系統中，邊界保護是由網絡防火墻來實現的。新的網絡基礎設施 (如無線網絡)的使用，以及新型網絡應用(如web active content)和新型網絡計算模 式(如P2P)的出現，削弱了防火墻的安全檢查和保障能力，各種穿透防火墻的攻擊和威脅 形式層出不窮。傳統防火墻不能適應新的安全形勢的需要，究其原因，在于兩個方面。其 一，傳統防火墻技術以防火墻作為邊界保護設備，保護的對象是網絡，網絡的安全邊界為其 物理邊界且物理邊界即為不同網絡間的接入點。在新的網絡形式下，這一假設已不再成立。 無線網絡改變了網絡的物理邊界形態，而web應用中的active content,以及P2P計算方 式，改變了網絡物理邊界與安全邊界重合的狀況，使得網絡物理邊界與安全邊界出現了分 離。其二，目前防火墻的工作原理，主要是在網絡的物理邊界對進出網絡的數據報文進行截 獲，按照既定的安全策略對數據流報文進行檢查、分析和轉發控制。由于采用連接中截獲檢 查方式，以及對應用層協議報文進行深度檢查的困難，防火墻難以對通過應用協議報文傳 送的數據或程序可能對被保護網絡內終端的潛在威脅做出正確的判斷和過濾處理。

發明內容
本發明是針對現有技術存在的缺陷，實現一種分布式安全域邏輯邊界保護方法， 它使得安全域的邊界定位從傳統的物理邊界拓展到邏輯邊界。將傳統防火墻技術的保護機 制從中段截獲檢查、控制方式拓展為中段控制與信息到達終端后的流向(是否跨越了安全 域)與行為(是否對其他安全域造成威脅)檢查、控制相結合的方式。從而突破傳統防火 墻技術的局限，通過安全域邏輯邊界保護機制，解決目前防火墻技術難以應付的邊界安全 威脅，實現分布式安全邊界保護目的。本發明為實現上述目的，采用如下技術方案本發明一種分布式安全域邏輯邊界保護方法包括如下步驟步驟1 創建統一的安全域管理策略，包括創建信息資產標識庫，即對待保護的 信息資產，依據安全管理目標，標識其安全管理屬性；根據不同的信息資產安全屬性劃分安 全域，并針對每個安全域設定用戶角色，制定角色權限將信息資產與角色權限相關聯；根據 安全管理目標，制定不同安全域的角色映射策略，實現跨安全域的信息資產訪問；步驟2 創建安全域管理策略服務器，該服務器提供用戶管理人機界面，負責存 儲、維護與管理已定制的安全域管理策略；
步驟3 創建安全域用戶身份認證服務器，該服務器負責實現各安全域內用戶的 身份認證，如果用戶身份認證成功后，將用戶綁定到不同的安全域角色；步驟4 系統狀態監視與日志審計服務器，該服務器負責監視接入各安全域內的 各主機的工作狀態，安全域網絡運行狀態，以及位于各主機上的安全域邊界保護探針的工 作狀態；并生成日志，提供緊急情況報警以及日志分析人機界面；步驟5 實現位于不同操作系統平臺的安全域邊界保護探針，該探針負責監測其 所有主機上的信息資產的生成、使用、傳輸行為，并根據登錄在該主機上用戶角色權限，實 現對以上行為的控制，生成安全事件日志。優選地，所述的統一的安全域管理策略通過三個安全策略描述類信息資產類、用 戶類和使用權限與條件類，來描述抽象的安全管理目標，并通過描述類的繼承實現具體安 全管理策略的定制。優選地，所述跨安全域的角色映射，通過不同安全域之間的角色映射，支持用戶在 組織內多安全域的跨域安全訪問，實現各安全域之間的安全的信息資產共享與細粒度的安 全域邏輯邊界安全保護。優選地，分布式的安全域邏輯邊界探針自我保護技術，通過在虛擬機實現的安全 域邏輯邊界探針，一部分運行于虛擬機之內，是探針的內核，另一部分則是運行在虛擬機之 外，實現對用戶行為的監視，并執行探針內核對用戶行為審計的結果，從而實現對探針自我 安全保護。本發明具有如下有益效果1.安全域的邏輯邊界概念該概念的提出使得用戶能實現細粒度的安全管理目 標。由于安全域邏輯邊界的劃分，簡化了安全管理復雜度，用戶可以從安全域的安全管理目 標、安全域內部安全管理目標二個不同的層次來設定安全管理目標；2.拓展了安全域保護邊界將安全域保護邊界從物理邊界拓展到依據安全管理 目標而標識的信息資產安全屬性所劃分的邏輯邊界，從而滿足了計算機新技術應用發展所 帶來的新安全防護需求；3.統一的安全域管理策略機制該安全策略機制通過三個安全策略描述類實現 由安全管理抽象目標到具體安全策略的描述、定制，安全策略描述類的由高層抽象類到具 體類的繼承機制簡化了策略定制的復雜度，排除安全策略之間可能出現的沖突；4.安全域的角色映射機制解決了組織內部多個安全域之間的信息資產的安全 共享，角色的映射機制將隸屬于不同安全域的角色映射到同一安全域的某個角色中，也簡 化了信息資產安全共享帶來的安全管理復雜度；5.實現信息資產的應用層安全保護通過安全邏輯邊界保護探針，實現基于系統 內核的信息資產使用行為監控，與防火墻等基于網絡層的安全保護技術相比，本技術能實 現在應用層上對信息資產的更強有力的安全保護；6.分布式的安全域邊界保護通過對位于安全域內不同主機之上的各探針生成 的安全事件信息進行信息匯總與審計，生成安全域的整體安全態勢判斷和安全事件的審 計；本技術相對于防火墻位于網絡某個點的安全保護技術，對于安全域態勢的判斷更為準 確，也能提供更多的審計結果；7.邊界保護探針的自身安全保護采用虛擬機技術實現探針自身重要代碼與數據的安全保護，進一步提高了本技術系統自身的安全可靠性，從而來增強了本技術對于安 全域的保護能力。


圖1 本發明的系統部署圖；圖2 本發明邏輯邊界保護探針結構圖；圖3 本發明的邏輯邊界保護流程圖。
具體實施例方式如圖1和3所示，分布式安全域邏輯邊界保護技術，包含以下幾個步驟步驟1 創建統一的安全域管理策略，主要包括創建信息資產標識庫，即對待保 護的信息資產，依據安全管理目標，標識其安全管理屬性；根據不同的信息資產安全屬性劃 分安全域，并針對每個安全域設定用戶角色，制定角色權限將信息資產與角色權限相關聯; 根據安全管理目標，制定不同安全域的角色映射策略，實現跨安全域的信息資產訪問；步驟2 創建安全域管理策略服務器，該服務器提供用戶管理人機界面，負責存 儲、維護與管理已定制的安全域管理策略；步驟3 創建安全域用戶身份認證服務器，該服務器負責實現各安全域內用戶的 身份認證，如果用戶身份認證成功后，將用戶綁定到不同的安全域角色；步驟4 系統狀態監視與日志審計服務器，該服務器負責監視接入各安全域內的 各主機的工作狀態，安全域網絡運行狀態，以及位于各主機上的安全域邊界保護探針的工 作狀態；并生成日志，提供緊急情況報警以及日志分析人機界面；步驟5 實現位于不同操作系統平臺的安全域邊界保護探針，該探針負責監測其 所有主機上的信息資產的生成、使用、傳輸行為，并根據登錄在該主機上用戶角色權限，實 現對以上行為的控制，生成安全事件日志。如圖2所示，分布式的安全域邏輯邊界探針自我保護技術，通過在虛擬機實現的 安全域邏輯邊界探針，一部分運行于虛擬機之內，是探針的內核，另一部分則是運行在虛擬 機之外，實現對用戶行為的監視，并執行探針內核對用戶行為審計的結果，從而實現對探針 自我安全保護。如圖3所示，所述跨安全域的角色映射，通過不同安全域之間的角色映射，支持用 戶在組織內多安全域的跨域安全訪問，實現各安全域之間的安全的信息資產共享與細粒度 的安全域邏輯邊界安全保護。在本方法中，首先用戶要創建統一的安全域管理策略服務器，包括實現對安全域 的劃分，安全管理策略的定制，用戶角色權限的規定，不同安全域的角色映射策略；創建信 息資產標識庫，即對現有的待保護的信息資產根據其安全屬性管理目標，記錄其信息資產 標識；創建安全域用戶身份認證服務器，該服務器負責實現各安全域內用戶的身份認證，如 果用戶身份認證成功后，將用戶綁定到不同的安全域角色；對位于不同操作系統平臺的主 機安裝安全域邊界保護探針；當用戶登錄到某個安全域內的主機時，該主機上的探針將對 他進行身份驗證，一旦其通過身份驗證，該用戶即被綁定到安全域內的某個角色上，具有安 全策略所賦予的該角色權限；當用戶使用主機中的信息資產，探針通過內核實現其使用信息資產的行為監控，主要是當用戶生成新的信息資產時，探針將詢問該信息資產的相關安 全屬性，并將該信息資產標識發送到信息資產標識庫中；當用戶使用某個信息資產時，探針 通過對用戶進程行為的監視，并根據其保存的安全策略，決定用戶是否有權執行該項行為， 同時生成安全事件信息發送到系統狀態與日志審計服務器中；探針與系統狀態向日志審 計服務器間斷性發送的其工作狀態，使得本技術用戶可以從全局分析當前安全域的安全態 勢；當安全策略發生變更時，安全域管理策略服務器將與安全域內所有探針進行交互，更新 其安全策略庫；系統狀態向日志審計服務器與安全域管理策略服務器分別向用戶提供人機 界面實現對安全域安全態勢判斷與安全事件審計，以及安全策略的變更與維護管理。
權利要求
一種分布式安全域邏輯邊界保護方法，其特征在于包括如下步驟步驟1創建統一的安全域管理策略，包括創建信息資產標識庫，即對待保護的信息資產，依據安全管理目標，標識其安全管理屬性；根據不同的信息資產安全屬性劃分安全域，并針對每個安全域設定用戶角色，制定角色權限將信息資產與角色權限相關聯；根據安全管理目標，制定不同安全域的角色映射策略，實現跨安全域的信息資產訪問；步驟2創建安全域管理策略服務器，該服務器提供用戶管理人機界面，負責存儲、維護與管理已定制的安全域管理策略；步驟3創建安全域用戶身份認證服務器，該服務器負責實現各安全域內用戶的身份認證，如果用戶身份認證成功后，將用戶綁定到不同的安全域角色；步驟4系統狀態監視與日志審計服務器，該服務器負責監視接入各安全域內的各主機的工作狀態，安全域網絡運行狀態，以及位于各主機上的安全域邊界保護探針的工作狀態；并生成日志，提供緊急情況報警以及日志分析人機界面；步驟5實現位于不同操作系統平臺的安全域邊界保護探針，該探針負責監測其所有主機上的信息資產的生成、使用、傳輸行為，并根據登錄在該主機上用戶角色權限，實現對以上行為的控制，生成安全事件日志。
2.根據權利1所述的一種分布式安全域邏輯邊界保護方法，其特征在于所述的統一 的安全域管理策略通過三個安全策略描述類信息資產類、用戶類和使用權限與條件類，來 描述抽象的安全管理目標，并通過描述類的繼承實現具體安全管理策略的定制。
3.根據權利1所述的一種分布式安全域邏輯邊界保護方法，其特征在于所述跨安全 域的角色映射，通過不同安全域之間的角色映射，支持用戶在組織內多安全域的跨域安全 訪問，實現各安全域之間的安全的信息資產共享與細粒度的安全域邏輯邊界安全保護。
4.根據權利1所述的一種分布式安全域邏輯邊界保護方法，其特征在于分布式的安 全域邏輯邊界探針自我保護技術，通過在虛擬機實現的安全域邏輯邊界探針，一部分運行 于虛擬機之內，是探針的內核，另一部分則是運行在虛擬機之外，實現對用戶行為的監視， 并執行探針內核對用戶行為審計的結果，從而實現對探針自我安全保護。
全文摘要
本發明公布了一種分布式安全域邏輯邊界保護方法，包括創建統一的安全域管理策略；創建安全域管理策略服務器；創建安全域用戶身份認證服務器；系統狀態監視與日志審計服務器；實現位于不同操作系統平臺的安全域邊界保護探針。本發明基于分布式架構技術實現的安全域邊界控制機制，實現對受保護信息資產的流向(是否跨越了安全域)與行為(是否對其他安全域造成威脅)檢查與控制，從而將安全域保護從其物理邊界擴展到安全域邏輯邊界，實現在應用層上對信息資產的深度安全監測與細粒度的安全保護。
文檔編號H04L29/06GK101951384SQ20101050005
公開日2011年1月19日 申請日期2010年9月29日 優先權日2010年9月29日
發明者傅德勝, 周舒, 韓進 申請人:南京信息工程大學