信息系統(tǒng)面臨愈發(fā)復雜的網(wǎng)絡安全威脅,,需要安全管理系統(tǒng)對安全設備進行統(tǒng)一運維管理。安全運維管理需要實現(xiàn)高效、跨平臺,、安全的數(shù)據(jù)交換,。針對安全運維管理的需求,,設計了一套安全設備管理協(xié)議,,從技術體制,、數(shù)據(jù)分類、報文定義以及傳輸安全等角度對協(xié)議進行設計,,以滿足安全管理系統(tǒng)和安全設備之間信息交互的實際需要,。
隨著信息技術的不斷進步,信息系統(tǒng)面臨的網(wǎng)絡安全威脅愈發(fā)復雜,。防火墻,、入侵檢測、漏洞掃描以及防病毒等網(wǎng)絡安全設備協(xié)同配合,,共同組成了網(wǎng)絡安全風險的防護屏障,。為了對不同安全設備進行統(tǒng)一管理,安全管理系統(tǒng)應運而生,。安全管理系統(tǒng)為使用者提供了安全設備數(shù)據(jù)統(tǒng)一采集和呈現(xiàn)平臺,通過不同設備的統(tǒng)一調(diào)度構建有效的防御手段,。本文分析安全運維管理的需求,,探討設備管理協(xié)議中的關鍵技術,提出了數(shù)據(jù)交換格式模型,。
01 安全管理需求
業(yè)界普遍認為,,網(wǎng)絡安全由技術、管理和運維3部分組成,,且其長期效能主要取決于安全運維管理水平[1],。安全運維管理的好壞對網(wǎng)絡安全體系的整體效能具有重要影響。
1.1 管理運維需求
在網(wǎng)絡安全體系中,,不同安全設備各司其職,,協(xié)作實現(xiàn)安全防護。安全管理系統(tǒng)通過高效的管理運維,,起到協(xié)調(diào)調(diào)度的作用,。管理運維需求主要包括設備狀態(tài)的統(tǒng)一監(jiān)控、安全風險的及時呈現(xiàn),、安全威脅的高效處置以及安全策略的迅速調(diào)整,。
1.2 數(shù)據(jù)交換需求
安全運維過程中,安全管理系統(tǒng)與安全設備間存在大量的數(shù)據(jù)交換需求,。不同安全設備形態(tài)各異,、技術體制不一,形成了異構的數(shù)據(jù)環(huán)境,。安全管理系統(tǒng)對各種安全設備進行統(tǒng)一運維管理,,必須設計跨平臺的通用傳輸協(xié)議,以降低系統(tǒng)間耦合度,,實現(xiàn)安全防護數(shù)據(jù)的互聯(lián)互通,,從而為運維人員進行決策提供更好的支撐,。為了保證管理協(xié)議的平臺的無關性和可擴展性,需要定義通用的安全信息描述機制和數(shù)據(jù)格式,。
1.3 安全性需求
安全運維管理過程中,,為了防止外部攻擊者獲取敏感信息,使用的傳輸協(xié)議必須通過加密等手段進行安全性保護,。
02 關鍵技術
2.1 XML
可擴展標記語言(eXtensible Markup Language,,XML)是一種用于標記電子文件使其具有結構性的標記語言。它遵循W3C規(guī)范的語法要求,,形式與內(nèi)容分離,,具有良好的自描述性,同時易于擴展,,擁有豐富的第三方開發(fā)庫,,非常適合在不同架構的系統(tǒng)之間進行信息傳輸使用。隨著XML的應用越來越廣泛,,在眾多應用場景下,,XML憑借其優(yōu)點已經(jīng)成為事實上的數(shù)據(jù)交換標準。
2.2 Web Service
Web Service是一種跨編程語言,、跨操作系統(tǒng)平臺的遠程調(diào)用技術,。Web Service技術的典型特點是平臺無關性和開放性。運行在不同系統(tǒng)上的異構應用無須借助專門的第三方軟硬件,,就可相互交換數(shù)據(jù)或?qū)崿F(xiàn)集成,。不同應用之間只要共同遵循了Web Service規(guī)范,無論它們所使用的語言,、平臺或內(nèi)部協(xié)議是什么,,都可以實現(xiàn)數(shù)據(jù)的相互交換。
2.3 SOAP
簡單對象訪問協(xié)議(Simple Object Access Protocol,,SOAP)是一種基于XML的輕量數(shù)據(jù)交換協(xié)議規(guī)范,,能夠在不同信息系統(tǒng)之間交換結構化數(shù)據(jù),是Web Service的一種主流實現(xiàn)形式,。
SOAP基于HTTP協(xié)議定義了一個框架,,描述消息中的內(nèi)容是什么、是誰發(fā)送的,、誰應當接受并處理它以及如何處理它們,。它通過定義SOAP信封(envelop)實現(xiàn)數(shù)據(jù)格式的標準化,將XML數(shù)據(jù)封裝于信封之中進行信息交互,,使得異構的系統(tǒng)間能夠進行互操作,。
2.4 IDEA
國際數(shù)據(jù)加密算法(International Data Encryption Algorithm,IDEA)是一種對稱加密算法,,由中國學者來學嘉和密碼專家Massey共同設計[3],。它的原理為來自不同代數(shù)群的混合運算,。加密過程由8圈迭代和1次輸出變換組成,密鑰長度為128位,,對計算資源要求不高,,能夠在不同平臺上實現(xiàn)高速加解密。
IDEA的工作流程如圖1所示,,其加密和解密使用同樣的密鑰K,。發(fā)送方將明文P使用密鑰K進行加密后得到密文C,然后通過網(wǎng)絡將密文C傳輸給接收方,。接收方使用同樣的密鑰K進行逆運算,,解密后得到明文P,以實現(xiàn)信息傳遞時的安全性保護,。
圖1 IDEA加解密流程
與其他傳統(tǒng)加密算法相比,,IDEA在混淆性、擴散性,、安全性以及加解密效率等方面具有較為明顯的優(yōu)勢,,目前已經(jīng)在各種有加密需要的信息交換場景下得到了廣泛應用。
03 管理協(xié)議設計
3.1 服務開設
安全管理系統(tǒng)和安全設備分別通過發(fā)布Web服務描述語言(Web Services Description Language,,WSDL),對外提供基于SOAP的Web Service,。雙方基于該WSDL實現(xiàn)對方發(fā)布的Web Service的客戶端,,通過互相訪問實現(xiàn)信息的上行/下行傳輸。
3.2 數(shù)據(jù)定義
信息數(shù)據(jù)報文作為安全管理信息的載體,,是安全管理系統(tǒng)和安全設備進行信息交互的核心,。數(shù)據(jù)交換格式是系統(tǒng)間信息交換的編碼規(guī)范,是保證安全防護體系中各系統(tǒng)實現(xiàn)互連互通的基礎,。
為了信息數(shù)據(jù)報文的通用性和可擴展性,,在安全管理協(xié)議中,所有數(shù)據(jù)報文都以XML的格式描述,。XML具有高可擴展性,。使用XML對安全信息進行描述既能滿足基礎管理需求,也便于根據(jù)需要進行擴展,,以實現(xiàn)管理協(xié)議的高效,、通用,同時能滿足靈活,、易擴展等需求,。
如表1所示,根據(jù)報文作用的不同,,將安全管理系統(tǒng)與安全設備之間的數(shù)據(jù)報文分為以下幾類,。
表1 數(shù)據(jù)報文分類
針對報文類型的不同,,安全管理系統(tǒng)和安全設備在進行信息傳輸時調(diào)用不同的接口方法,實現(xiàn)數(shù)據(jù)的分類處理,。通過報文分類,,方便安全設備的快速適配,同時便于后續(xù)擴展,。
在設計管理協(xié)議時,,需要充分考慮不同安全設備的相同點與差異性,同時協(xié)議設計需要有可擴展性,,為后續(xù)新安全設備的加入留出空間,。數(shù)據(jù)報文分為所有設備都應遵循的通用數(shù)據(jù)格式(如設備運行狀態(tài)視圖)和針對某類設備的專用數(shù)據(jù)格式(如防火墻的網(wǎng)絡訪問控制策略)。所有數(shù)據(jù)報文均以語義化的方式進行描述,,便于理解,,也易于程序進行處理。
XML Schema定義(XML Schema Definition,,XSD)是一種對XML文件的構造進行定義的規(guī)范,,能夠檢查給定的XML文件是否符合XSD的定義。安全管理協(xié)議對所有數(shù)據(jù)報文定義均通過XSD進行格式限制,,以實現(xiàn)信息的規(guī)范化描述,,同時便于接收方驗證信息的合法性,防止格式不正確的非法報文對系統(tǒng)性能造成影響,。
3.3 交互流程
設備管理協(xié)議的交互流程如圖2所示,。通過服務探測與配置信息發(fā)布,安全管理系統(tǒng)與安全設備建立管理關系,。
圖2 協(xié)議交互流程
?、侔踩芾硐到y(tǒng)訪問安全設備對外發(fā)布的Web Service地址,確認服務正常,;
?、诎踩芾硐到y(tǒng)向安全設備發(fā)送參數(shù)配置報文,告訴安全設備與安全管理系統(tǒng)進行信息交互時需要的必要信息,;安全設備收到報文后,,根據(jù)其中內(nèi)容將相關信息進行持久化保存,并向安全管理系統(tǒng)回復接收成功,;
?、弁瓿刹襟E②后,設備根據(jù)參數(shù)配置報文中定義的各類數(shù)據(jù)上報模式和時間間隔,,定期向安全管理系統(tǒng)上報數(shù)據(jù),;當參數(shù)配置、安全策略有變化時,,安全管理系統(tǒng)主動向安全設備下發(fā),,安全設備根據(jù)報文進行解析執(zhí)行,。
3.4 傳輸加密
為了確保管理數(shù)據(jù)在信息交換時的安全性,安全管理協(xié)議要求通信雙方在發(fā)送數(shù)據(jù)前,,通過IDEA算法對數(shù)據(jù)報文進行加密,,并使用加密后的密文進行信息交互。
安全管理系統(tǒng)會為每個設備分配唯一的加解密密鑰,。即使單個設備的密鑰泄露,,攻擊者在不知道其他設備密鑰的情況下,無法對其他設備的通信報文進行解密,。
3.5 接口報文示例
安全管理系統(tǒng)和安全設備分別部署安全管理Web Service通信服務,,通過互相訪問實現(xiàn)安全設備視圖、策略,、事件,、日志上報和參數(shù)、策略下發(fā)等功能,。一個典型的Web Service接口描述如下:
int reportInfo(String devID,String dataType,String xml)
該接口由安全管理系統(tǒng)發(fā)布,,供安全設備調(diào)用,主要包含3個參數(shù),。第1個參數(shù)為安全設備的唯一標識,。安全管理系統(tǒng)通過該參數(shù)區(qū)分來自不同設備的數(shù)據(jù),并以此為依據(jù)生成IDEA加解密使用的密鑰,。第2個參數(shù)為加密后的數(shù)據(jù)報文標識,,用以區(qū)分上報數(shù)據(jù)的具體類型,供接收方判斷應該通過哪種方法對數(shù)據(jù)進行針對性處理,。第3個參數(shù)為加密后的報文數(shù)據(jù),包含安全管理業(yè)務的真正數(shù)據(jù),。接口的返回值為int型數(shù)據(jù),,根據(jù)不同的返回值,可以判斷接口調(diào)用是否成功或具體的錯誤類型,。
下面是一個“通信參數(shù)配置”報文的具體實現(xiàn),,以此為例說明數(shù)據(jù)格式的結構與含義。
報文以XML格式封裝:第1行表示數(shù)據(jù)報文由UTF-8編碼方式進行編碼,;第2行表示本報文的類型屬于配置報文,,需要接收者按照配置報文的解析方式進行解析;第3行表示本報文具體類型屬通信參數(shù)配置,,主要用于約束安全管理系統(tǒng)與安全設備間如何進行通信,;第4行表示安全管理系統(tǒng)的IP地址是192.168.11.250;第5行表示安全管理系統(tǒng)開放的端口是8080,;第6行表示安全管理系統(tǒng)給安全設備分配了一個唯一的設備ID,,在后續(xù)通信中,,安全設備需要將該設備ID作為自身的標識信息。安全設備收到該報文后進行解析,,即可得知安全管理系統(tǒng)的IP地址,、端口與分配給自己的身份標識。后續(xù)可利用該身份標識與安全管理系統(tǒng)進行通信,。
3.6 效能分析
通過以上對報文各字段的分析可知,,管理協(xié)議報文基于應用層,以語義化的方式,,通過定義不同字段名與該字段含義來表示不同的內(nèi)容,。因此,可以針對不同安全設備特點定義不同的數(shù)據(jù)格式,,實現(xiàn)安全管理信息的上傳和下發(fā),,不存在系統(tǒng)平臺適配或轉(zhuǎn)換問題。
本文設計的網(wǎng)絡安全設備管理協(xié)議已經(jīng)在某大型安全防護系統(tǒng)中應用,,供安全管理系統(tǒng)和安全設備進行信息交互時使用,。該安全防護系統(tǒng)廣泛部署于國內(nèi)各點位,多年來穩(wěn)定運行,。經(jīng)過驗證,,它能夠支撐安全管理系統(tǒng)與安全設備之間的通信需要,保障運維人員對整個網(wǎng)絡空間的統(tǒng)一安全管理,。
04 結 語
安全運維管理的核心是安全數(shù)據(jù)的交互,。本文從安全運維管理的現(xiàn)狀及需求出發(fā),提出了一種網(wǎng)絡安全設備管理協(xié)議,,分析涉及的關鍵技術,,設計數(shù)據(jù)交換格式模型,能夠解決安全管理系統(tǒng)和網(wǎng)絡安全設備的數(shù)據(jù)交互問題,。后續(xù)的工作主要包括進行數(shù)據(jù)壓縮優(yōu)化設計,、提升編碼效率和傳輸性能等。
