分布式應用安全策略集中化管理實現方法

楊明，郭樹旭

（1.吉林大學電子科學與工程學院 長春 130012；2.中國移動通信集團公司 北京 100032）

分布式應用安全策略集中化管理實現方法

楊明1,2，郭樹旭1

（1.吉林大學電子科學與工程學院 長春 130012；2.中國移動通信集團公司 北京 100032）

隨著通信網絡建設規模的加大，分布式應用系統關聯程度也日益加深。如何通過安全策略管理，提高系統安全整體管理能力是信息安全建設中的重要任務之一。本文提出了一種分布式安全策略集中化管理的實現方法，從體系框架、系統架構、實施方法等方面進行了詳細的闡述。將原本分散在各領域的網絡和信息安全策略進行集中化管理，進一步發揮集中化管理效率的優勢，滿足當前分布式應用環境對信息安全整體性、協同性的需求。

安全策略；網絡安全；集中化；分布式應用；信息系統

1 引言

隨著通信技術的不斷發展,通信網絡的規模越來越大，分布式應用系統集中化管理是發展的趨勢，安全策略管理是應用系統安全管理的核心[1]。分布式應用安全策略的分散管理加大了系統安全管理的難度，已經不能適應信息安全管理的需要。因此，隨著分布式應用系統關聯程度的不斷加深，必須對分布式安全策略進行科學管理和控制，才能保障網絡安全運行。本文提出了一種分布式應用安全策略集中化管理方法，通過將原本分散在網管、計費、信息系統等領域的網絡和信息安全策略進行集中化管理，進一步發揮集中化管理的效率，為打造優秀的、統一的、整體化的網絡和信息安全體系夯實了基礎。

2 安全策略集中化管理體系框架

2.1 體系框架

網絡與信息安全策略集中化管理以安全戰略目標為中心，制定整體安全策略框架，包括安全標準體系、安全技術體系、安全組織體系、安全運維體系，從組織、標準、技術、運維4個層面確保安全戰略目標的實現，以適應多業務、多流程、多系統安全管理的需要。安全策略集中化管理體系框架如圖1所示。

2.2 核心流程

圖1 安全策略集中化管理體系框架

以體系架構為基礎，以面向風險的安全評估為始點，通過信息資產調查、網絡拓撲結構繪制、弱點和風險分析、安全區域等級評估，結合網絡及系統弱點和等級化保護要求，對影響安全的風險點從安全域、弱點、威脅等方面進行評估，完成多平臺、多系統、多業務管理的安全策略梳理，構建和設計整體安全管理策略和流程。

安全策略實施的工作范圍包括業務支撐系統（BOSS、客服系統、經營分析系統）、網絡支撐系統（話務網網管、IP網網管、信令監控、電子運維系統）、管理信息系統（ERP、電子采購、計劃管理和OA）和數據業務系統（短信系統、WAP 系統、CMNet、GPRS、數據增值業務系統等）。

3 安全策略集中化管理系統架構

通過構建安全策略集中化管理體系框架，梳理安全策略核心流程以及對用戶、認證方式的集中和整合，完成對業務支撐、短信系統、ERP系統、電子采購、計劃管理等安全策略的梳理，形成安全策略集中化管理系統架構。集中化安全策略管理系統架構如圖2所示。

系統架構中設立集中安全策略管理中心，具備策略身份認證、鑒權、分發、加密等功能，對全網安全策略進行統一管理。可引入機器學習算法動態生成安全策略的配置方式，方便安全策略在系統中的實施和應用[2]。為加快安全策略管理效率，可設立區域安全策略信息分中心，與集中安全策略管理中心進行策略同步，輔助其進行分區域管理。安全策略管理中心使全網安全得到統一管理，資源得到統一調度，極大地保障了網絡安全。

圖2 集中化安全策略管理系統架構

當用戶訪問應用系統時，由集中安全策略管理中心或區域分中心提供統一的、集中的安全策略管理服務，包括身份鑒權、分配用戶權限等，通過鑒權后，用戶根據安全策略管理中心加密安全策略會話票據訪問應用系統，安全策略認證一般流程如圖3所示。

圖3 集中化安全策略認證流程

安全策略管理中心與各業務系統的接口程序采用SOA架構的部署方式，一方面，能夠支持不同體系架構、不同開發語言、異構網絡環境下的各應用系統的集成，提高平臺的標準化和集成化，并且不會因局部節點出現故障而影響全局業務，也提高了平臺的穩定性和可用性；另一方面，各應用系統開發、維護、管理等接口更加快捷、方便，如開發新的應用系統時，可以直接使用集中認證服務，簡化開發流程。集中安全策略管理中心功能包括統一目錄、單點登錄、身份管理（含訪問策略管理、策略分發、策略鑒權、策略加密等）、策略審計、集中接入等部分[3,4]，如圖4所示。

（1）統一目錄

通過規范用戶信息，建立全國統一的用戶目錄，實現與全國性應用系統的用戶同步，實現對用戶基本信息和生命周期的管理，為安全策略集中化管理奠定基礎。

（2）單點登錄

建立基于全國統一密碼認證的平臺，提供統一的SSO及票據服務。用戶在訪問不同應用時，只需要登錄一次，即通過一個應用中的安全驗證后，訪問其他應用時，無需重新登錄。

（3）身份管理

通過統一的身份認證平臺，為用戶提供安全認證。集中認證管理是將安全策略統一管理，對不同業務應用系統、主機系統、網絡設備統一授權，規范應用系統的認證方式，達到提高整個系統的整體性、可管理性和安全性的效果。

（4）策略審計

采集安全策略執行中產生的各種日志 （包含賬戶活動、操作行為、數據庫執行等），通過配置收集策略對采集到的數據進行分析，判斷安全策略的執行是否符合規定，發出告警和報表信息。

（5）集中接入

通過集中接入平臺，實現不同體系架構、不同開發語言、異構網絡環境下的各應用系統的集成，為各應用系統服務器和信息平臺提供數據交互的接口，降低集中管理數據的復雜性。

4 安全策略實施方法

以安全策略集中化管理體系框架為基礎，推進安全標準體系、安全技術體系、安全組織體系、安全運維體系建設，為安全策略集中化實施奠定基礎。

（1）安全組織體系

安全組織體系是安全策略實施的關鍵，主要負責網絡及應用系統的安全策略、制度、規劃的制訂和實施，確定各種安全管理崗位和相應的安全職責，協調安全策略實施中的分工和合作，保證安全戰略目標的實現。

圖4 集中安全策略管理中心功能

（2）安全標準體系

對全網應用系統的信息安全管理工作標準進行梳理，在人員、組織、技術、流程等各個方面建立安全管理制度和管理標準，制定安全策略標準體系和工作實施細則，形成較完整的安全標準體系。

（3）安全技術體系

安全策略得以有效實施，安全技術體系是基礎。安全技術體系覆蓋鑒別、認證、訪問控制、內容安全、冗余和恢復以及審計5個部分，通過技術手段實現安全策略分發、鑒權、加密、審計、接入等集中化管理能力。

（4）安全運維體系

安全運維體系是全網安全策略集中化的執行和保障環節。通過構建基于SOA架構的集中安全策略管理中心，實現安全事件監控、安全預警、風險管理以及策略管理的集中化、可視化、可控化、可量化。

5 結束語

網絡規模不斷擴大，分布式應用日趨復雜，網絡安全工作的重要性也與日俱增。安全策略管理是網絡安全管理的核心，分布式安全策略管理不僅增加了系統間大量的協調工作以及開發難度和成本，在一定程度上也降低了系統整體安全性。

通過建立集中安全策略管理中心，針對全局制定整體的、協同的安全策略，滿足了跨應用、跨系統、跨平臺統一安全管理的需要，降低了安全管理的復雜性，提高了安全管理的效率；通過建立區域安全策略管理中心，實現集中安全策略管理中心的安全策略的分發、同步和區域化自治管理，使得各個自治域的服務器壓力得到了有效分流，提高了安全策略管理的及時性和多樣性；通過建立完善的安全策略管理體系，形成安全策略集中化統一流程、統一組織、統一IT支撐手段，為網絡和信息安全管理奠定基礎。

1 Matt Bishop.計算機安全：藝術與科學.北京：清華大學出版社,2004

2 Yang Ming,Guo Shuxu.Research and realization of security policy in IPSec based on ID3 algorithm.In：1st International Conference on Multimedia Information Networking and Security(MINES 2009），2009

3 Sandhu R S.Role activation hierarchies.In:Proceedings of the third ACM/NIST role based access control workshop,fairfax,virginia,USA,ACM Press,October 1998

4 楊明,高翔.中國移動風險管控信息化的探索與實踐.電信技術,2009(6):61～64

5 黃元飛，栗欣.網絡與信息安全標準研究現狀及熱點問題探討.電信科學，2008，24（1）

6 陳健.軟交換網絡安全威脅和需求淺析.電信科學，2008，24（1）

7 楊武.IMS網絡安全機制探討.電信科學，2008，24（1）

8 孫寧，張興明，朱珂.IPSec安全策略數據庫研究及其硬件實現方案.電信科學，2008，24（3）

9 王潮，賈翔宇，林強.基于可信度的無線傳感器網絡安全路由算法.通信學報，2008，29（11）

10 薛楠，周賢偉，劉濤等.基于簇的分布式認知無線電網絡安全體系結構.電信科學，2008，24（11）

11 姜延吉.多運營商環境下通信網絡安全的實現.電信科學，2008，24（11）

12 鄭志彬.信息網絡安全威脅及技術發展趨勢.電信科學，2009，25（2）

13 高天寒，郭楠，朱志良.基于動態策略的分布式移動IPv6網絡安全管理機制.通信學報，2009，30（1）

14 王帥，沈軍，金華敏.電信IPv6網絡安全保障體系研究.電信科學，2009，25（7）

15 李潤恒，賈焰.在網絡安全事件流中異常檢測的方法.通信學報，2009，30（12）

16 劉外喜，唐冬，胡曉等.6LoWPAN網絡安全問題的分析.電信科學，2010，26（4）

A Centralized Management Method of Security Policy in Distributed Application System

Yang Ming1,2,Guo Shuxu1
（1.College of Electronic Science&Engineering,Jilin University,Changchun 130012,China;2.China Mobile Communications Corporation,Beijing 100032,China）

With the development of communication network scale,the connections between the distributed application systems are increasingly deepening.How to strengthen the security policies management,and enhance entire network information security management ability is an important task in the system’s construction.This paper presents a centralized security policies model based on the distributed environment,and explains the centralized security policies management framework,the centralized system management structure,the security policies implementation method in details.Through centralized the security policies in every field of distributed application systems,it can improve the management efficiency and satisfy the unified,collaborative security policies management needs.

security policy,network security,centralized,distributed application,information system

2011-05-11)