安全實施的統一指導：一個新的安全管理方法

摘 要：探究了安全管理（SM）工具的現狀，該管理工具以獨立、完整的方式存在，人們通過與其他人、系統相互作用看到安全實施的統一指導（UGSI）的藍圖，它是一個連續的信息流周期，但狀態信息和安全特征控制的UGSI過程沒有代替現存的概念。為加強現存專門的、部分工程化的解決方法提供服務，SM系統支持現存的工作方式。最后給出一些與描述典型的SM方案如何工作相關的建議，得出類似的與網絡管理系統及當前討論的管理方法相關的方法。

關鍵詞： 安全實施的統一指導； 安全管理信息庫； 評估； 策略

中圖分類號：TP309.2文獻標志碼：A

文章編號：1001—3695(2007)03—0140—04

信息系統安全不只是嚴格的技術問題，系統開發人員和操作人員需要完整的生命周期解決方法。完整的安全解決方法中的一個關鍵部分就是安全策略和機制，它包括確保安全設計和實施不間斷地滿足安全策略目標。

本文提出了安全實施的統一指導（UGSI）概念，它是一個影響管理、操作和評估階段功能及數據的安全概念。

1 安全管理基本概念

1.1 評估管理和操作安全管理

安全管理（SM）系統涉及全面的策略管理及其他OSI和SM功能、普遍的安全功能，如事件處理、審計和恢復。安全服務管理處理特別的安全服務，如保護層次之間的協商機制。安全機制管理包括鑰匙管理、譯碼、數字簽名、存取控制、完整性、鑒定、通信阻塞路徑控制和認證。管理自身的安全定義了方法和結構以確保重要身份和控制功能得到保護。

OSI參考模型不能識別在系統管理、安全管理和系統操作之間責任的劃分。相對而言，本文假定了SM的三個主要階段用以區分管理、操作和安全評估的特征。在UGSI中，本文從涉及何人、他們活動的目的以及受影響的信息類型等角度來考慮SM，其目的是說明每一階段中不同的假設、實際經驗和每一個階段用到的工具，從而證實本文所劃分的規則。

圖1說明了SM組件的一個視圖。從安全策略的角度看，一個安全管理過程定義了說明安全子系統行為的設置規則，這個過程支持操作的SM，控制一個或更多的安全機制。這些機制提供了在線安全服務，這些服務實際上影響了安全客戶。從事件傳感器到控制實體的反饋路徑提供了可操作的正常或異常檢測信息。由于時間和處理的需求，評估階段在很大程度上是一個脫機的、人工處理的過程，在圖1中是不可見的。當事件出現及發現的威脅改變時，使用動態反饋機制來修改安全狀態。

這個SM原始觀點存在兩個主要不足：①沒有將安全機制管理結合為一個統一、協調的功能；②沒有一個SM過程的生命周期視圖，以確保可以存取設置數據、操作數據和審計/執行數據。

一個通用的SM框架將幫助解決這些數據管理問題，同時用于安全實施和應用中。SM試圖確保提供的安全服務是充分的、服從組織安全策略的，同時是最小化的行政管理。如圖2所示，UGSI由數據的三個階段組成，它以一個重復循環的方式來操作，搜索一個安全管理的狀態。

管理的SM可以包括預先操作的系統開發和測試，但這里集中于用戶驅動的系統安裝、設置和維護。管理通過開放系統存取用戶需求并將系統的脆弱性降到最低，同時有意地限制某些活動以適應相應的安全策略。

在某一個時期沒有降低安全水平的情況下，管理活動可以停止或中斷，即管理的SM既是日常事務又是企業每天運轉的部分。

管理的SM和操作的SM不同點在于它們的目的不同。操作SM是一個更積極確保事物的驅動組件，它與檢測及適用于安全機制的反應相關。

工具應該設計為能在一定的層次下監督和維護安全狀態，這種層次由安全策略定義。由于要求保護的層次增加，相應的管理功能必須變得更加嚴格（表1）。例如，在層次3，存取控制由A3定義，A3比在層次2受到更多的限制同時更低一層。操作SM可以檢測不遵守安全策略的行為，這樣，安全管理工具必須是敏感的，同時對應于可靠的跟蹤和不可預測的安全事件的

反應必須是持續可用的。SM的評估階段是運行驅動的，它與判斷目標是否滿足以及潛在的改變如何影響安全系統相關。審計檢查和模式匹配均是評估活動，這樣的評估可以是短期或長期的活動。短期、快速反應評估通常支持在操作階段檢測到的即將發生威脅的反應；長期的評估可以支持安全策略計劃、威脅的趨勢分析或保護的質量。

1.2 現存的安全管理應用

目前，入侵檢測系統（IDS）是一個主要的發展方向，COPS和SATAN已經改善了許多站點的安全情況。而在CA Unicenter TNG、 Sun Security Manager以及Tivoli TME10的管理框架內確實支持SM功能，但缺少監督管理作為連續循環的活動[2]。其他更多通用的管理模型如SNMPv3、DCE安全管理框架主要集中在幾個安全機制的協議和操作工具上[3]。

2 UGSI的組成部分

2.1 管理

管理階段包括安全服務的初始設置及增加、刪除、修改用戶資源信息的日常更新。在更新實施前，應該全面檢查安全策略的執行，這意味著安全策略已經調整為一系列執行規則。如果安全策略定義為一系列管理規則，這個過程可以自動執行。另外，一個人工操作的檢查過程可以檢查改變的延續性。廣泛地應用一些設置參數（如當前的安全水平），其他的參數只是與特別的安全機制相關（如鑰匙到期時間）。

在許多情況中，用于用戶鑒定的重要數據、鑰匙分配、存取控制、安全過濾以及路

徑服務將會存儲在一個或多個數據庫中。CISS模型訪問安全管理信息庫（SMIB）中的所有安全管理數據的聚合[4]。圖3說明在每個管理階段SMIB存取的類型。行政管理主要包含寫入數據；同時操作階段包括讀寫；而評估階段主要是只讀數據。

存取和更新配置數據的通用方法是很重要的。對于重要的管理數據必須使用一個本地配置文件，同時要求一個代理與使用標準協議的控制實體聯系。建立在安全設置信息的完整性和正確性之上的合適控制對于遵循安全策略是至關重要的。

發生改變的管理機構需要非常細致的工作，高級安全管理人員可能需要完全的授權來更新設置、操作和評估以及個人權限，同時安全管理人員可以完成本地任務。

2.2 操作

設計操作SM的目的是處理活動的安全威脅，如網絡管理領域的錯誤管理功能；操作SM具有很強的短期因素。根據對安全事件的追蹤，監督執行和組件運行的實時狀態對于改變的情況要作出必要的行動反應。例如，在一個寬松的安全環境，來自一個網絡組件傳感器的指示可能導致控制組件設置一個更寬松的過濾狀態（即減少登錄），這將提高運行直到積壓減少；另一方面，超過一個安全監督的界限（如重復登錄失敗的次數）可能示意一個攻擊會增加事件登錄，必須向系統操作員報警或自動反應以防止對系統完整性的損害。

2.3 評估

評估階段對于創造有效的管理系統來說是關鍵的，它是入侵檢測研究的本質，也是修改基于當前情況系統屬性主要的反饋循環。在操作中檢測和記錄的事件需要與已知的模式、相關的目標或出現的次數相匹配。根據一個事件的危險性和不確定性可以影響及時的或長期的配置改變，一定的威脅可能引發提前決定的反應，如階段中止、增加監督或欺騙機制。集中管理方法的一個主要好處是能夠評估個人事件。這種評估依據更高級執行系統的一個廣泛的角度以及更高層的軟件，而不是在分散的站點上。另一方面，一個使用分布式關聯數據庫的評估方法可以提供需要的冗余和度量。

評估不一定是一個靜態過程，如表1所示。當察覺的弱點增加時，安全水平可能導致一個更積極的態度。對比傳統的反應模式SM系統，這種方式變得更加超前。

3 SM概念的實際應用

3.1 病毒報告

在正常的運行中通過一個安全機制檢測到一個安全事件。例如在下午2:30，一個自動的病毒檢查器識別并報告了一個嵌入在郵件消息中的病毒，這個病毒從shjt.edu域發送到yan。這時病毒的檢查者通過給控制實體發送通知支持UGSI的操作組件，如圖4所示。

在通知反應的開始階段，事件管理者（分發者）模塊記錄有關的信息（表2）；同時在網絡操作控制臺啟動一個警報。網絡操作員根據警報的嚴重性和正在進行活動的重要性做出反應。此外，事件管理者通過郵件報告安全管理員以檢查當前的活動是否合適，是否需要通知行政管理。

在一個合作環境，可以為專門的監督站點傳遞警報信息，該信息描述一個有限但是大范圍的攻擊，可以通知應用者（郵件發送和接收者）。但在某種情況，這個通知可能不是希望的，因為它報告的情況超過了期望的反應能力。

最重要的是事件管理者通知事件相關器評估問題，給相關器的通知描述了到UGSI周期下一階段（安全評估）的轉變。事件管理者從初始通知中得到并發送數據，事件相關器使用這些提取的數據和信息，包括來自于監督控制實體的警報，評估和說明與期望的安全水平一致的行動過程。

相關器通過臨時配置更新自動啟動一些保護措施。自動更新包括減少破壞、要求立即行動防止進一步破壞的行動。保守行動可能包括中斷從可疑的資源地址發出的郵件或者隔絕感染的磁盤卷。需要確保保護方法不會導致無意識的拒絕服務，這種拒絕比最初的事件更有害。

當相關器建議一個特別的操作員采取行動時，這個操作員可能根本沒有及時作出反應。基于操作員經驗、安全水平及事件安全，反應可以是自動的。假設另外一個病毒在兩個月以前產生于相同的域，即shjt.edu域，在這種情況下，安全策略或基本配置的改變可能是適當的。由于shjt.edu域不是一個重要的合作伙伴，事件相關器選擇阻斷所有來自于shjt.edu域的通信。在這一點，相關的命令和信息從UGSI周期的評估階段傳遞到行政管理階段。

在行政管理階段，一個安全管理員設置并更新參數，以便控制安全機制操作以配合組織的安全策略。在UGSI概念中，所有的安全事件可以潛在地導致配置的改變，一個在評估階段產生的自動配置改變在必要時可以忽略手工操作。安全管理員執行檢查到的非緊急改變，將所有的改變記錄為內部安全事件。事件相關器沒有評估內部安全事件。圖5說明了經過這個模型所有階段的處理結果。

3.2 防火墻

通常Internet和Intranet服務包括一個本地的E—mail服務器、FTP服務器的內部FTP、對外的HTTP和Telnet、域名服務器。防火墻組織一般使用基于路由器數據包過濾器以及TIS防火墻工具包[5]。

當幾個弱點測試工具如COPS、Tiger和SATAN檢測配置問題時，它們是靜態的，不能根據本地安全策略進行配置。此外，不能使用本地安全事件作為動態更新評估的輸入，要求標準的安全策略格式、共同的事件和配置參數定義以及新的驗證工具。

3.3 安全防范

本文在金融部門計劃實施一個安全設施的管理，在兩個不同安全層次的系統之間提供一個可靠的界面。圖6說明了一個安全防范的主要組件。信息安全防范功能的活動指導將風險最小化，但要求最低限度的人為干預。

圖5 事件處理過程圖6 安全防范

當前的情況是將運行一個先進的關于安全防范評估的軟件，在運行過程中只允許合適的標記、格式化、從高級的安全域傳遞到低級域的簽名數據項。這個防范過程獨立地操作給定的合適配置，但是將產生狀態和警報信息指示它的操作是否正常。為了在安全防范中最小化邏輯，除了通告安全事件外，UGSI監督行動將通過控制實體發起。

安全防范操作之前，首先要配置需要的參數，包括配置數據和用戶數據的參數機制。配置數據決定安全設施如何通信和操作，在基本防護功能中使用用戶數據確保發出的數據有效。

表3列出了一些有代表性的數據，對于即時存取，安全防范可以在本地保存獨有的配置數據。由于幾個安全之外的機制使用用戶數據，用戶數據保存在SMIB中并按要求進行存取。授權的用戶表單和他們的公鑰幫助提供審計以跟蹤使用數字簽名而采取的行動。

配置數據以后就可以測試安全防范并將其投入到運行中。為了監督安全操作并使之最大化，首先采取質量度量方法，在安全應用中優先考慮的是解決問題的效率。因此，錯誤否定的數目應該接近于零，防止了否定系統所有潛在的災難性失敗，這也決定了系統的效率如何。如果發出信息大多被終止，而人工檢查表明沒有問題，說明在評估算法中智能化不足。

前面定義的設置數據在指示安全防范功能如何操作時使用。如果一個數據的緩沖接近于容量，可能產生一個控制實體的警報以減慢輸入。

如果這個防范的全過程和安全威脅級別很低，則可以設置級別較低的限制過程。例如，如果幾個文件積壓同時在等待處理，

其他事件可能向問題的控制實體發信號，如隔離失敗的安全屏蔽文件和要求人介入的文件。對于標記文件和人工評估結果的推理可以記錄或翻譯成修改后的設置數據，由人后繼處理。即使執行安全管理數據處理周期的工具不是高度自動化的，連續的反饋和加強規則的過程應該提高響應和反復操作的質量。加強系統執行的關鍵因素是使用評估結果來更新配置參數或相關的安全策略，同時反饋過程可以相互出現。在UGSI階段，可以增加協同作用作為自動化過程與安全應用之間更好的聯系，安全策略如下：

(1)所有的服務不能要求不可實現的操作。

(2)所有的郵件和來自金融站點的文件將被編碼。

(3)對于遠程撥號存取服務，要求嚴格的鑒定。

(4)到來的Telnet和FTP是不允許的，除非對于設防的客戶服務器的FTP。

(5)密碼和用戶鑰匙至少在每六個月更新一次，至少是八個字符同時具有一定的隨機性。

(6)系統管理員至少每六個月使所有的賬戶重新生效。

(7)不允許郵件自動發送到外部賬戶。

(8)對于所有外面的郵件必須檢查安全擴散性（臟詞檢查）。

(9)對于所有到來的郵件，FTP和HTTP通信必須進行病毒檢查。

(10)不允許來自非本國域的站點進行存取操作。

(11)如果多于三個安全事件來自一個單域，則該域對于連續的存取將要求明確的授權。

3.4 安全和網絡管理

SM是分片執行的，更像是網絡管理優先出現于基于標準的SNMP（一種管理模式）和CMIP（一種管理模式） [1]。

安全和網絡管理包括調解活動以決定不明起源事件的因果關系，就如好的配置和評估管理在調解時幫助網絡管理者獲得更好的安全管理。安全管理在用戶和資源識別、優先權分配以及系統安全配置中是一個必要的投入。對于在審計跟蹤和事件記錄中的檢測方式，網絡和安全管理需要具有過濾過去及網絡其他部分事件的能力。這使得通過使用反饋來更新設置數據以完全利用計算機輔助SM成為可能。

4 UGSI 基礎

4.1 組件

行政管理定位在圖7的左上角，管理者可以決定安全策略應用、鑒定數據以及應用權限等。現存的網絡管理標準沒有詳細說明安全應用的MIB(管理信息庫)模塊（如一個防火墻MIB）或MIB數據是如何實際存儲的[6]。該SMIB可以包括存取控制目錄和安全策略以及活動安全狀態信息，MIB定義必須與應用功能緊密結合。盡管如此，一個標準數據API和SMIB的核心參數可以通過使用公用的模塊簡化SM開發。廣泛的應用前景和開放標準是各種選擇的主要驅動力[7]。

操作管理功能的核心是安全事件管理員，其決定如何處理安全事件和機制狀態的通報。事件管理員的下一步是管理協議界面模塊（MPI）。

MPI翻譯來自選擇的管理協議，該協議產生命令控制，同時從外部應用或監督管理站點接收通知和狀態信息，開發開放管理協議（XMP）為SNMP和CMIP提供類似功能。

事件相關器模塊提供評估功能，它使用當前事件數據、SMIB數據及從安全記錄中得到的歷史信息來決定復雜的方式。模式匹配引擎進行的工作以及入侵檢測方法正好符合這個角色。（來/去）相關器的雙向箭頭暗示產生基于它的（來/去）事件分析和當前安全事態。說明可以包括策略更新、機制配置改變或存取控制行動。

4.2 安全處理過程

下面列出的三個階段中的步驟為圖7提供線索，它們包括共享在操作、評估和配置階段支持數據的行動。步驟（1）通過（4）表示初始的警報；步驟（5）和（6）是行動，它們通過管理者收集事件的附加細節，這些事件的細節在報警消息中沒有說明，這樣的活動是許多網絡管理系統的典型活動。

在評估階段對于來自SMIB的類似數據事

件相關器首先發起一個需求。相關事件信息的一個外部管理節點，步驟⑥和⑦提供一個可選的需求，這些數據說明一個分布的協調探查或攻擊的線索。對于登錄或可能的行動，相關器將評估結果傳送回事件管理者。

5 結束語

在安全設備和應用增加的情況下對SM的需求也在增加，當前的手工存取控制方法和系

統安全配置是勞動密集的、易于出錯的。為了支持組織策略和操作SM需求，需要一種工具，這種工具能夠將安全管理和實時操作緊密集成，因此不得不考慮更好的評估方法以應對增加的復雜性和手段高明的攻擊。

為了朝著一個內聚的安全管理框架發展，本文提出一個三階段UGSI生命周期。其中一部分內容已經存在，要求進一步提純每個階段需要的具體數據，同時設計SMIB共享數據的結構，建立一個在模塊間分布信息的標準數據管理API。這里提出的反饋處理應該導致安全水平的加強，使得開發者改變工具以便更有效地共享SM階段的信息。按照這樣的方法，本文對一些機構的信息安全狀況作了深入的調查，獲得了

大量的原始資料。生成了信息安全集中管理體系（ISCMS）軟件平臺。其中包含基于Internet的ISCMS評估軟件，可以實際應用于信息安全管理質量的量化評估，并準備將這種評估方法和軟件進行推廣普及。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。