基于策略的网络安全设备管理系统.pdf

基于策略的网络安全设备管理系统 王新华’,2韦 卫’,3朱 震3 ，(中国科学院计算技术研究所，北京 100080) 2(中国科学院研究生院，北京 100039) 85) 3(联想研究院，北京 1000 摘 要 传统通用网络管理系统在安全性、大规模策略管理方面存在着功能局限，而基于策略的网络管理技术正处于起 步阶段，在策略自动分发及流量控制方面还未有较成熟的解决办法。文章针对网络安全设备管理这一特定领域，提出一 种基于策略的面向网络安全设备管理(PBSM)的系统，该系统较好地解决了安全设备的大规模集中策略管理的上述 问题。 关键词 策略管理 LDAP COPS PBNM JMX 文章编号 1002-8331-(2005)27-0112-04 文献标识码 A 中图分类号TP393.08 . ‘ NetworkSecurityManagementSystemBasedonPolicy WangXinhua WeiWei ZhuZhen myofSciences,Beijing100080) 1(InstituteofComputingTechnology,ChineseAcade (GraduateSchooloftheChineseAcademyofSciences，Beijing100039) 3(LenovoCorporateResearchDevelopment,Beijing100085) Abstract:Thetraditional networkmanagementhassomelimitationsinthefieldofsecurityandmultiple policiesmanagement.At sam e time,thetechniqueofPolicy-BasedNetworkManagementhasbeendevelopedfora shorttime,andthereis maturemind inpolicyauto-distributionandflowcontrol.Thispaperaimsatthespecialfield ofthenetworksecuritymanagement,andthenpresentsaPolicy-BasedSecurityManagement(PBSM)systemthatsolves suchproblemsinmultiplesecuritypoliciesmanagement. Keywords:policymanagement,LDAP,COPS,PBNM,JMX I 引言 (1)分“散管理”模式难以保证安全策略的一致性。由于没 随着信息网络规模的扩大和安全威胁的增加，安全设备的 有策略的集中管理和分发，只能将分散在各地、不同种类系统 管理成为网络管理的重点。文献1【1]总结了传统网络管理的原 就近分别管理，同一系统不同品牌的产品也需要分别管理，导 理和特点。实践表明，传统网管技术在大规模安全设备管理方 致安全信息互不相通，安全策略难以保持一致，整体安全防御 面存在严重的局限性，其原因在于缺乏集中管理，信“息孤岛” 强度不高。 效应明显，安全强度分布不均衡，影响了系统整体效能。文献1「] (2)设备类型多样性、信息粒度密集性和规则关联复杂性 提出了一种新的网络管理模式，即基于策略的网络管理 使得形成设备通用配置信息难以实现。目前市场上的安全设备 (PBNM)，文献[2]制定了信息交换协议标准COPS，文献[3]定义 种类繁多，但没有统一的技术标准，普遍缺乏兼容性，因而设备 了COPSClients，从而组成了集中的安全策略管理体系，成为 配置方法、CLI设计模式、参数