跨域环境下安全基线部署与监控技术研究.docVIP

跨域环境下安全基线部署与监控技术研究 　　摘要　在企业网络环境下服务器管理当中，服务器的安全可由安全基线来定义与保护。现行的安全基线可以有效地对所部署至的服务器加以保护，然而安全基线的部署与监控尚存在一些限制与不便之处。本文提出了一种新的跨域环境下安全基线的部署与监控方法，支持跨域环境的安全基线部署与监控。使用基于此方法设计并实现的安全基线管理系统进行实验。结果证明方法是有效可行的。 　　关键词　安全基线；基线部署；基线监控 　　中图分类号TP39 文献标识码A 文章编号　1674-6708（2013）82-0193-02 　　0　引言 　　基线在字典中的含义是：测量时作为基准的线段。具体到安全基线的概念，则是安全领域中的最低的安全需求。用常见的木桶原理类比，安全基线就是对木桶中各块木板的最短长度的规定[1-3]。 　　微软针对其旗下的操作系统，包括Windows　XP，Windows　Vista，Windows　7，Windows　Server　2003，Windows　Server　2008，Windows　Server　2008　R2，以及Office办公组件，Internet　Explorer浏览器等推出了相应的安全基线。用户可以为相应的系统或软件配置安全基线[4-5]。 　　微软的安全基线部署方式不支持跨域，也缺乏跨域环境下的监控手段。 　　当企业网络中存在跨域环境时，无法方便地进行安全基线的部署以及监控。 　　在企业网络环境下服务器管理当中，服务器的安全可由安全基线来定义与保护。现行的安全基线可以有效地对所部署至的服务器加以保护，然而安全基线的部署与监控尚存在一些限制与不便之处。 　　本文针对现行安全基线部署及监控方式的不足，提出了一种新的跨域环境下安全基线的部署与监控方法，支持跨域环境的安全基线部署与监控。并使用基于此方法设计并实现的安全基线管理系统进行实验并分析其结果。 　　1　总体设计 　　在企业网络中选取一台服务器作为管理机，其它机器，包括服务器以及接入内网的办公用计算机等作为目标机。管理机的任务是将相应的安全基线分发至目标机，并对目标机已部署的基线进行监控。同时管理机也可以对自身进行相同的管理。目标机则将接收到的安全基线进行部署。 　　部署流程 　　定制基线：安全基线是针对目标系统的各项安全配置的集合，这些配置通常由企业服务器的管理人员和安全专家讨论确定。 　　转换基线：根据基线中的各项配置生成目标机上的可配置文件。 　　分发基线：管理机将生成的可配置文件发送至相应的目标机。 　　部署基线：目标机导入接收到的可配置文件。安全基线生效。 　　监控流程： 　　监控分为对目标机上安全基线管理服务的监控和对目标机上已部署的安全基线的监控两部分。 　　对安全基线管理服务的监控：目标机每隔一定时间向管理机发送信息，信息中包含工作状态。 　　对目标机上已部署的安全基线的监控： 　　提取基线：目标机从自身系统中提取出安全配置项。 　　发送基线：目标机将安全基线发送至管理机。 　　比较基线：管理机将接收到的基线与原始的部署基线相比较，查看是否一致。 　　异常处理：当基线比较结果为不一致时采取预定的应对措施。 　　2　设计与实现 　　所实现的安全基线管理系统采用C/S架构开发。服务器端提供安全基线的转换、分发、检测、监控功能，客户端以服务的形式常驻于目标机，负责将接收到的安全基线导入至系统以及将提取出的基线发送至服务器端。 　　2.1　通信协议 　　服务器端与客户端之间采用Socket通信，主要分为四部分： 　　1）初始化时，客户端向服务器端发送机器以及客户端配置信息； 　　2）部署基线时，服务器端向客户端发送安全基线，客户端返回部署结果； 　　3）客户端运行时向服务器端发送运行状态； 　　4）检测基线时，服务器向客户端发送请求，客户端返回提取的基线。 　　2.2　服务器端 　　服务器端启动后常驻于管理机系统当中。服务器端通过指定端口监听客户端的连接请求以及接收客户端的状态信息。 　　部署： 　　服务器将已经转换为可配置文件的安全基线发送至客户端。之后等待客户端返回部署结果。 　　监控： 　　安全基线：定期对目标机已部署的基线进行检测。在管理机操作系统当中添加计划任务，在预定的时间触发服务器，服务器向客户端发送提取当前安全配置的请求，待客户端返回所提取的安全配置项之后，将由对应的安全基线所转换成的安全配置项与提取结果相比较，查看结果是否一致。 　　当原始基线与当前基线的比较结果为不一致时，管理机会根据预先配置采取接受当前基线为新的原始基线、拒绝更改、发送提示信息，请求管理人员处理等三种处理方式之一执行。当请求管理人员处理时，管理人员可以针对安全