组件技术的网络安全管理架构分析.doc

组件技术的网络安全管理架构分析 内容摘要：随着互联网的应用越来越普及，进一步加快计算机网络资源共享进程，由此产生的网络安全问题也不容忽视。本文结合当前组件技术的应用现状，提出一种组件技术的网络安全管理架构，并以此为基础分析该架构的实现机制与安全机制，提高网络运行的稳定性、安全性。 关键词：组件技术； 网络安全； 架构； 机制 随着组件技术的应用，带来一次软件开发革命，为修改与复用提供了更好的技术支持。基于组件技术的三层软件开发结构，更利于系统分项与整体功能的实现，具有一定实用价值。正是鉴于组件这一特殊功能，可满足软件的即插即用功能，有针对性地进行修复与升级。但是随着组件技术的广泛应用，安全性能问题日益凸显，已不容忽视。本文结合笔者实际工作经验，重点依据网络安全管理模型，对相关技术进行具体分析： 组件技术的网络安全管理架构 目前，大多网络安全产品之间的功能具有重复性特点，单个的安全产品既希望获得更多功能，同时又难以满足用户的各方面需求。因此，在建设安全管理系统过程中，虽然用户也购买了较多产品，但是产品综合效益难以发挥。针对这一问题，最好的解决办法就是实现各种安全产品与安全软件的功能组合。这样，安全产品不再以独立的形态出现，安全组件技术应运而生。 每一种安全组件都需继承并顺利实现接口，完成某项或者某组特殊任务，但是每一项软件功能都有明确划分，不会出现功能重复。在用户应用安全管理系统时，根据具体要求从组件库中选择适用的安全组件，选定的安全组件借助综合平台实现集成功能。如图1所示： 图1：基于组件技术的网络安全管理架构 安 全控 管制 理台 基 安础 全服 管务 理台 分容 布器 式 在安全组件运行的平台上，统一分发、配置、加载、升级并管理安全组件。通过应用组件技术，提供了系统安全的系统性、灵活性、集成性、开放性、模块性、透明性及可管理性等优势。安全管理服务器作为整个系统运行的核心，在分布式运行环境中，可对外提供各种基础性服务，如策略管理、资产管理、事件管理、应急响应等。通过应用安全管理服务器，可对组件完成集中注册、存储、索引、分发等，加强对各项管理信息、相关策略的收集、索引、存储、分发等功能，同时支持审计。 通过应用数据库，给安全系统提供了数据查询、存储支持等功能。在安全管理控制台中，提供了统一的系统管理界面框架，以及各项服务配置的界面。可在该平台中实现策略编辑组件、监视组件等相关功能，可之间面向系统用户与管理员，管理员完成安全监督、安全策略、应急响应等工作。 分布式组件容器，分别部署于网络的各个端点位置，为组件运行提供基础环境，支持每个功能组件的统一运行环境、加载方式、通信模块以及通用功能等。通过组件技术，实现安全产品的深化改造，统一在系统中加载运行，统一管理安全产品的应用性能、网络配置以及安全性能，提高管理效率，确保整个系统的顺利运行。 网络安全管理架构的实现机制研究 通过组件技术，将入侵检测技术、漏洞扫描、防火墙技术、网络安全评估等相结合，利用多组件的动态协作模型，可确保安全组件既独立运行又相互通信、共同开展工作，提高工作效率与工作质量，同时实现网络与主机的保护功能。当前，组件技术的网络安全管理构架，设计与实现的主要内容分析如下： 1、防火墙和网络探测器 网络探测器建立在入侵检测技术基础上，拦截并获取网段中的数据包，从中找出可能存在的敏感信息或入侵信息，发挥保护作用。当网络探测器检测到攻击事件，就可实时记录并保存有关信息，将信息传输到管理控制台，实现报警提示。但是网络探测器自身并不能直接阻断具有攻击行为的网络连接，只能作提示所用。因此，为了及时发现攻击行为，应加强防火墙和网络探测器的协作，由网络探测器发出请求信号，通过防火墙切断网络连接。另外，如果防火墙自身发现了可疑但是不能确定的事件，也可将有关信息传送到网络探测器中，由网络探测器进行分析与评估。当网络探测器发出通知，要求防火墙切断网络连接，则调用API命令的函数：FW-BLOCK，其中包括命令源、源端口、目标端口、源IP、目标IP、组断电等。其中，命令源主要指发送命令的组件技术，阻断点则主要指防火墙阻断的具体位置。 2、防火墙和扫描器 扫描器定期或者按照实际需要，评估目标网络及主机的安全风险。如果发现漏洞，扫描器不能实现漏洞修补功能，而是通过管理人员的人工干预。如果在发现漏洞到修补漏洞的这段时间内，发现风险级别较高的漏洞但是无法及时采取措施，将增加系统的安全风险，给系统运行造成威胁。基于这一实际情况，可以实现扫描器与防火墙的协作功能，如果扫描器检测到主机中的服务存在高风险漏洞，即将信息传输到防火墙，由防火墙对外部网络的访问行为进行限制，当人工干预修补漏洞完毕之后，再请求防火墙开发外部信息的输入。通过实现这一操作过程，可在扫描器端口