26安全管理技术

计算机网络安全技术传统网络管理技术及其发展安全管理的必要性基于ESM理念的安全管理机制安全管理系统的基本功能信息安全管理标准简介网络管理的基本任务及时了解网络拓扑变化及时检测网络内各条线路的流量，能统计各线路丢包率、错包率，为线路性能的分析提供科学依据及时发现网络故障发生点。记录网络设备、线路、终端、病毒、非法入网、违规操作、相关告警设置等各种严重和一般告警信息进行设备的配置管理进行日志管理，分门别类记录网络的各种故障进行安全管理ISO的FCAPS模型故障管理（FaultManagement）配置管理（ConfigurationManagement）计费管理（AccountingManagement）性能管理（PerformanceManagement）安全管理（SecurityManagement）故障管理网络故障对网络中故障进行检测、隔离、报告和修复。目标是保证计算机网络组件的稳定性、可用性和可服务性，即Reliability，AvailabilityandServiceability，简称RAS。基本功能▪检测被管对象的差错现象，接收被管对象的差错事件报告（也称故障单，TroubleTicket）；▪执行诊断测试、确定故障位置和性质；▪当存在备用设备或迂回路由时，提供新的网络资源用于服务；▪通过设备的维护或更换等措施进行修复；▪维护差错日志文件，记录差错信息，分析故障原因。配置管理配置管理是提供了标识、收集、更改网络配置数据的功能，目的是为了实现网络的最优化服务功能。基本功能▪收集网络配置信息；▪修改网络配置信息；▪安装软件；▪存取配置信息；▪发现和显示网络的拓扑结构；▪生成配置报告。计费管理计费管理用来度量网络资源的使用情况，目的是控制和监测各类网络服务的费用和成本。基本功能▪记录用户使用网络资源的情况和计算费用；▪统计网络利用率等效益数据，为网络运营部门提供制定资费政策的依据。性能管理性能管理的主要功能是以网络性能为准收集、分析和调整被管对象的状态，其目的是保证网络提供可靠、连续的服务。基本功能▪从被管对象中收集、统计与性能有关的数据，并产生相应记录▪分析性能信息，检测性能故障，产生性能告警等报告▪预测性能的长期变化趋势▪控制被管对象，保证网络的性能指标安全管理网络安全管理包括进网安全防护，限制非法入侵者入网；应用软件访问的安全防护，检查用户访问软件的权限；网络传输信息的安全防护，对网络传输信息的加密、防窃听、防破坏和篡改等等。基本功能▪安全措施信息的管理，如用户口令、密钥、访问权限的管理，并根据安全措施信息判断非法操作，拒绝非法操作。▪安全审查，检查网络各种潜在安全漏洞；▪安全报告，对影响网络安全事件进行记录、形成报告▪网络操作事件的记录，记录用户登录、退出，记录涉及网络安全的网络操作，以便进行安全追查等事后分析。网络管理体系结构网络管理实体网络管理协议管理代理管理信息库网络管理体系结构网络管理实体（Entity）即网络管理系统进程，它向运行在各网络设备上的网络管理代理（Agent）程序发出指令，对各种网络设备、网络资源进行监控和控制。网络管理协议是网络管理实体与网络管理代理程序间进行通信所遵守的规则和约定。网络管理体系结构网络管理代理是驻留在网络设备、网络资源等网络实体上的，被网络管理实体控制的进程。▪接收网络管理实体发来的指令；▪从管理信息库中读取或修改被管理对象的各种配置信息；▪以通知的形式向网络管理实体报告被管理对象上发生的重要事件。管理信息库（ManagementInformationBase，MIB）是被管理对象的信息集合。SNMP协议全称：简单网络管理协议（SimpleNetworkManagementProtocol）使管理者通过轮询被管代理，和被管代理自动发给管理者的陷阱（trap）信息，来设置被管对象的属性和监控网络事件的发生，从而达到网络管理目的SNMP是基于TCP/IP协议的应用层协议，采用无连接的传输层协议UDP传送网络管理报文SNMP协议SNMP的结构分为SNMP管理者（SNMPManager）和SNMP代理（SNMPAgent）每一个支持SNMP的网络设备中包含一个SNMPAgent，它随时记录网络设备的各种情况SNMP提供的管理操作▪管理进程从代理处获取被管对象的信息；▪管理进程通过代理设置或修改被管对象的属性基于Web的网络管理（Web-BasedManagement，WBM）使用Web浏览器作为客户端使用HTTP协议传输数据优点▪网管终端的可移动性▪地理上脱离了网管中心▪跨硬件平台和操作系统▪统一的管理界面▪平台独立性（适应不同的操作系统、体系结构、网络协议）▪互操作性（通过浏览器在不同管理系统之间切换）基于Web的网络管理的实现方案基于代理管理器的方案▪在网络管理平台上叠加一个Web服务器，使其成为浏览器用户的网络管理代理管理器基于Web的网络管理的实现方案嵌入式方案▪将Web能力嵌入到被管设备中▪每个设备都有自己的Web地址，使管理人员可以通过浏览器和HTTP协议直接进行访问和管理基于CORBA的网络管理CORBA（CommonObjectRequestBrokerArchitecture，公共对象请求代理体系结构）▪OMG（ObjectManagementGroup）为解决分布式处理环境下硬件和软件系统的互联互通而提出的一种解决方案▪利用对象请求代理（ORB）作为组件通信的软总线，用户可以透明地访问信息，而不必知道目标所在的软硬件平台或所在网络的具体位置基于CORBA的网络管理CORBA的特性▪独立于网络协议▪独立于编程语言▪独立于软硬件平台▪为可移植的、面向对象的分布式计算应用程序提供了不依赖于平台的编程接口和模型基于CORBA的网络管理▪利用CORBA实现管理系统▪利用CORBA定义被管对象▪利用CORBA实现完整的网络管理系统基于CORBA的网络管理SNMP/CORBA网关模型▪发挥现有网管模型在管理信息定义和通信协议方面的优势▪利用CORBA分布式和编程简单的特点，实现管理系统▪被管系统仍然采用传统模式通常的信息安全建设方法采购各种安全产品，由产品厂商提供方案：▪防病毒，防火墙，IDS，Scanner，VPN等通常由IT部门的技术人员兼职负责日常维护，甚至根本没有日常维护是一种以产品为核心的信息安全解决方案存在众多不足：▪难以确定真正的需求：保护什么？保护对象的边界？保护到什么程度？▪管理和服务跟不上，对采购产品运行的效率和效果缺乏评价▪通常用漏洞扫描代替风险评估，对风险的认识很不全面这种方法是“头痛医头，脚痛医脚”，很难实现整体安全不同厂商、不同产品之间的协调也是难题真正有效地信息安全建设技术和产品是基础，管理才是关键产品和技术，要通过管理的组织职能才能发挥最佳作用技术不高但管理良好的系统远比技术高超但管理混乱的系统安全先进、易于理解、方便操作的安全策略对信息安全至关重要建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全根本上说，信息安全是个管理过程，而不是技术过程三分技术，七分管理传统网络管理中的安全管理功能不足传统网络管理架构不能完全满足需要某些安全设备不支持SNMP协议某些安全设备不具备完整的MIB库SNMP协议本身不适合传输安全事件和安全日志信息SNMP不支持联动和协同难以实现安全事件的定位和追溯难以实现全网安全策略的部署加入全面安全管理职能单元的必要性实现各类计算机安全技术、产品之间的协调与联动，实现有机化充分发挥各类安全技术和产品的功能整体安全能力大幅度提高实现计算机安全手段与现有计算机网络应用系统的一体化使全网安全事件准确定位以及全网安全策略制定成为可能ESM（EnterpriseSecurityManagement）一种整体安全框架，其主要思想是采用多种智能Agent和安全控制中心，在同一安全策略（SecurityPolicy）的指导下，将系统中的各个安全部件协同起来，实现总体的安全策略，并且能够在多个安全部件协同的基础上实现监控、报表处理、统计分析等。主要是为了解决各类安全产品各自为战、难以组成一个整体安全防御体系的问题。ESM具有适应性强、可扩充性强、集中化安全管理等优点。统一监控和管理收集各类信息▪性能▪资源▪日志监控信息系统运行状况▪信息服务系统▪信息安全系统发现异常情况向各种安全机制发布相应的总体安全策略实现对安全机制的实时操控收集各种安全机制执行安全策略的结果安全协同利用原有设备之间的互动功能，部署安全联动策略，并监视联动执行情况收集安全系统产生的数据，采用自动或手动响应引擎，根据事先定义的安全策略及规则，对相关安全系统进行设置和操控，实现安全系统之间的间接联动基于权限控制的统一管理和区域自治提供统一管理功能为不同级别和性质的管理员提供其对应权限的管理视图提供区域自治能力▪对特定管辖区域的安全设备和安全系统实现自治管理▪对分布在整网中的某个单一安全子系统实现整体安全策略的发布和状态监控安全事件的处理对重复安全事件的合并处理对相互管理的安全事件进行合并处理根据相近零碎的历史事件集合对安全事件进行确认智能判断事件的真正起因，并提供人工修正判断的机制根据管理人员的职责，将合并与确认后的事件通知相应责任人，并提供处理建议根据责任人处理事件的情况以及结果，确定是否对事件性质进行升级告警管理控制台告警▪声音▪管理界面消息通知▪Email▪手机短信▪即时通信统计分析与决策支持对安全事件的类型、来源、目的、产生的效果、起因、发生的时间段进行综合分析，得到宏观的规律对重要事件的来源进行综合查证，精确定位对相近时间段发生的各种事件进行相关性分析，得出各类不同事件相互联系的规律，并指导自动联动规则和安全策略的制定根据宏观统计的结果，提供决策支持，并进行知识积累，为各类安全事件提供处理建议支持应急响应系统自身考虑备份和应急措施支持应急响应预案，可以定义应急情况和应急响应措施能通过综合分析，及时发现系统的严重异常情况，并及时以实现定义的措施通知责任人员在确认处于紧急情况的前提下，系统自动执行应急预案中设定的批量操作，并进行全程跟踪和记录ISO/IEC13335旧版被称作“IT安全管理指南”（GuidelinesfortheManagementofITSecurity，GMITS），新版称作“信息和通信技术安全管理”（ManagementofInformationandCommunicationsTechnologySecurity，MICTS）是ISO/IECJTC1制定的技术报告，是一个信息安全管理方面的指导性标准，其目的是为有效实施IT安全管理提供建议和支持。由5部分标准组成▪ISO/IEC13335-1:1996《IT安全的概念与模型》▪ISO/IEC13335-2:1997《IT安全管理和策划》▪ISO/IEC13335-3:1998《IT安全管理技术》▪ISO/IEC13335-4:2000《安全措施的选择》▪ISO/IEC13335-5:2001《网络安全管理指南》ISO/IEC13335目前，ISO/IEC13335-1:1996已经被新的ISO/IEC13335-1:2004（MICTS第1部分：信息和通信技术安全管理的概念和模型）所取代，ISO/IEC13335-2:1997也将被正在开发的ISO/IEC13335-2（MICTS第2部分：信息安全风险管理）取代。ISO/IECTR13335只是一个技术报告和指导性文件，并不是可依据的认证标准，信息安全体系建设参考BS7799，具体实践可以参考ISO/IEC13335BS7799被信息界喻为“滴水不漏的信息安全管理标准”BS7799是英国标准协会（Briti