基于安全策略的网络安全管理系统和方法

1、一种基于安全策略的网络安全管理系统，其特征在于：
网络安全管理系统包括：
—系统支持平台，该系统支持平台作为管理系统的服务器安装在需要保护的网络，负责 对所管辖网络的策略执行点和策略管理中心进行认证、授权，负责安全策略的发布和保存， 联入网络的非法主机发现嵌入网络的合法主机脆弱性发现；
—策略管理中心，该策略管理中心负责对所管辖网络的安全进行管理，负责对安全策略 进行定义，并指定安全策略的应用对象；
—策略执行点，该策略执行点安装在需要保护的系统和设备上，负责下载和执行策略， 对所在设备和系统进行保护；
—日志服务器，该日志服务器负责收集、汇总日志信息，以便集中审计和事件追查。
2、按照权利要求1所述的基于安全策略的网络安全管理系统，其特征在于：系统支持 平台具有如下功能模块：
分布协调模块，负责系统的分布式管理的后台支持，负责各级系统支持平台的信息交流 和命令解析；
管理模块，负责接收并处理来自策略管理中心的命令，并调用系统支持平台中的其它模 块执行该命令；
认证模块，负责对所管辖范围内的策略管理中心、策略执行点以及下级系统支持平台进 行认证和授权；
用户模块，负责与策略执行点进行交互，管理策略执行点的各项信息，并将这些信息反 馈给系统支持平台中的其它模块；
联动模块，负责本系统与防火墙、防病毒、漏洞扫描、入侵检测和网络产品的联动保护；
配置模块，负责本系统的配置和数据的后台保存和查询；
通信加密模块，负责通信数据的加解密和分类，保证通信数据的安全；
漏洞扫描模块，负责对合法主机的存在的漏洞进行扫描；
非法外联发现模块，负责发现联入网络内的非法主机。
3、按照权利要求1所述的基于安全策略的网络安全管理系统，其特征在于：策略管理 中心具有如下功能模块：
人机交互接口，负责与管理者交互，实现人机交互，提供管理界面；
权限控制模块，负责对管理者的权限进行限制，不同的管理者拥有不同配置和管理权限；
查询模块，负责响应日志查询和配置检索命令，并返回结果；
配置模块，负责响应各项配置操作，并将配置的变更通知给系统支持平台；
远程监控模块，负责响应管理者的监控命令，并返回结果；
登录认证模块，负责执行管理者的认证请求，与系统支持平台交互后返回结果；
日志管理，负责与日志相关的后台操作；
通信加密模块，负责通信数据的加解密和分类，保证通信数据的安全。
4、按照权利要求1所述的基于安全策略的网络安全管理系统，其特征在于：每个策略 执行点包含一个策略下载引擎和N个策略执行引擎，N≥1，
策略下载引擎，负责下载策略和配置本地环境，它包括如下模块：
人机交互接口，负责与本地用户交互，提供管理界面；
用户管理模块，负责本地用户的管理，响应配置和查询操作，并返回结果；
登录认证模块，负责与系统支持平台交互，进行认证；
日志管理模块，负责本地日志的统一管理，并与日志服务器交互保存到远端数据库；
策略本地管理模块，负责策略的本地保存和更新；
本地通信模块，负责与策略执行引擎交互，传递策略和日志；
通信加密模块，负责网络通信数据的加解密和分类，保证通信数据的安全；
策略执行引擎，负责执行策略，并保护所在的系统和设备，它包括如下模块：
策略本地执行模块，负责策略的执行，并返回响应；
策略解析模块，负责解析策略；
本地通信模块，负责与策略下载引擎通信，传递策略和日志。
5、按照权利要求1所述的基于安全策略的网络安全管理系统，其特征在于：日志服务 器具有如下功能模块：
日志分析模块，负责对接收到的日志进行分析和保存；
报警模块，负责对日志根据分类进行报警处理；
通信加密模块，负责通信数据的加解密和分类，保证通信数据的安全。
6、按照权利要求1所述的基于安全策略的网络安全管理系统，其特征在于：系统支持 平台支持多级分布式部署，在大规模网络部署时，可以将系统支持平台根据所属的网络大小 和管理级别划分为N级，N≥1，各级平台之间存在管辖关系，其中一级管理二级及以下级， 二级管理三级及以下级，依次类推，每个系统支持平台相互独立工作，也可以与其他系统支 持平台协同工作或互为备份。
7、按照权利要求1所述的基于安全策略的网络安全管理系统，其特征在于：该系统能 够与其他安全产品联动，从而达到共同防御的目的，包括和防火墙、防病毒、漏洞扫描、入 侵检测、网络产品等的联动。
8、一种基于安全策略的网络安全管理方法，其特征在于：安全策略是对需要进行安全 保护的目标和方法的定义，该方法是基于安全策略的定义、发布、运行来实现的，包括如下 步骤：
①在策略管理中心定义安全策略，设定需要保护的目标；
②通过系统支持平台将策略发布到目标设备和系统的策略执行点上；
③策略执行点执行策略后将结果通知日志服务器。
9、按照权利要求8所述的一种基于安全策略的网络安全管理方法，其特征在于：步骤 ①中安全策略分为防火墙策略集、应用程序安全、邮件保护、Web保护、权限保护、入侵检 测、高级策略、系统监管、抗拒绝服务攻击、数据备份与还原、加密与安全传输。

技术领域\n本发明属于网络安全控制技术领域，特别涉及一种基于安全策略的网络安全管理系统和 方法。\n背景技术\n为了解决日益增加的网络安全问题，人们采用多项技术，如防火墙、入侵检测、虚拟专 用网、病毒防护、漏洞扫描等。这些技术能够在一定程度上保证网络的安全，但是还存在一 些缺点，主要是：\n不能解决来自组织内部的攻击。传统安全技术大都是面向机构边界的，相对而言，缺乏 针对桌面的安全和内部网络安全的技术手段；\n很难提供整体安全解决方案。大型网络的安全是一个系统工程，需要多种技术手段之间 的配合、支持和协调，然而目前可见的安全技术手段之间的协同工作能力还很差；其次，安 全技术手段之间应当是互补的，比如功能互补、层次结构互补等，\n不能提供有效的集中安全管理。大型网络的安全应当是集中的策略管理，统一部署，机 构安全管理者应当能够保证安全策略在每个角落中实施，而传统安全技术是分散式的管理， 难以做到集中管理和统一部署。\n网络边界模糊带来新的危险通道。以防火墙为例，传统防火墙的工作依赖于网络边界的 界定。随着无线网络、移动网络和移动计算、虚拟专用网等技术的普及，网络边界逐渐变得 模糊，使得传统的访问控制难以充分发挥作用。\n不对现有的网络环境做改变。传统的网络安全解决方案几乎都需要对用户原有的网络环 境进行改造，网络改造和新技术的学习需要耗费大量的人力和物力。\n高成本。传统技术手段的部署基本上都需要改造原有的网络环境和结构，以及购买专用 设备或系统，实施成本高。系统的维护、管理和使用对人员的素质要求高，需要安全培训， 增加了人力成本，降低了核心业务的效率。\n不能有效避免安全设备在网络边界对网络性能造成的影响。大型网络对带宽的需求很大， 使得网络带宽不断增加。传统的边界式安全技术(如防火墙)依靠一个(或几个)安全设备 需要为网络中上千个节点保证安全，容易成为整个网络的性能瓶颈。另外，边界式安全技术 往往会成为网络的单一失效点，影响整个网络的可用性。\n不能有效防止内部对外发起的攻击。传统的安全解决手段主要防止外部对内的攻击；当 组织内部有人向外发起攻击并被追查时，这种攻击将极大地损害组织的形象。\n发明内容\n本发明的目的是通过安全策略的集中设计和控制管理，提供一套网络安全管理系统，实 现网络环境下统一的安全策略定制、分发、管理和控制，并通过安全事件的协同预警和快速 定位，既保护了网络的安全也保护了主机系统的安全；既防止了敏感信息的泄漏，也更好的 阻止内外的攻击，并减小客户为保障安全需要付出的高额管理控制成本。\n本发明的另一目的是提供一种网络安全管理方法。\n本发明目的是这样实现的。\n一种基于安全策略的网络安全管理系统，包括：\n——系统支持平台，该系统支持平台作为管理系统的服务器安装在需要保护的网络，负 责对所管辖网络的策略执行点和策略管理中心进行认证、授权，负责安全策略的发布和保存； 联入网络的非法主机发现和联入网络的合法主机脆弱性发现。\n——策略管理中心，该策略管理中心负责对所管辖网络的安全进行管理，负责对安全策 略进行定义，并指定安全策略的应用对象；\n——策略执行点，该策略执行点安装在需要保护的系统和设备上，负责下载和执行策略， 对所在设备和系统进行保护；\n——日志服务器，该日志服务器负责收集、汇总日志信息，以便集中审计和事件追查。 系统支持平台具有如下功能模块：\n分布协调模块，负责系统的分布式管理的后台支持，负责各级系统支持平台的信息交流 和命令解析；\n管理模块，负责接收并处理来自策略管理中心的命令，并调用其它模块执行该命令；\n认证模块，负责对所管辖范围内的策略管理中心、策略执行点以及下级系统支持平台进 行认证和授权；\n用户模块，负责与策略执行点进行交互，管理策略执行点的各项信息，并将这些信息反 馈给其他模块；\n联动模块，负责本系统与其它产品的交互，形成与其它产品的联动保护；\n配置模块，负责本系统的配置和数据的后台保存和查询；\n通信加密模块，负责通信数据的加解密和分类，保证通信数据的安全。\n漏洞扫描模块，负责对合法主机的存在的漏洞进行扫描；\n非法外联发现模块，负责发现联入网络内的非法主机。\n策略管理中心具有如下功能模块：\n人机交互接口，负责与管理者交互，实现人机交互，提供管理界面；\n权限控制模块，负责对管理者的权限进行限制，不同的管理者拥有不同配置和管理权限；\n查询模块，负责响应日志查询和配置检索命令，并返回结果；\n配置模块，负责响应各项配置操作，并将配置的变更通知给系统支持平台；\n远程监控模块，负责响应管理者的监控命令，并返回结果；\n登录认证模块，负责执行管理者的认证请求，与系统支持平台交互后返回结果；\n日志管理，负责与日志相关的后台操作；\n通信加密模块，负责通信数据的加解密和分类，保证通信数据的安全；\n每个策略执行点包含一个策略下载引擎和N个策略执行引擎，N≥1。\n策略下载引擎，负责下载策略和配置本地环境，它包括如下模块：\n人机交互接口，负责与本地用户交互，提供管理界面；\n用户管理模块，负责本地用户的管理，响应配置和查询操作，并返回结果；\n登录认证模块，负责与系统支持平台交互，进行认证；\n日志管理模块，负责本地日志的统一管理，并与日志服务器交互保存到远端数据库；\n策略本地管理模块，负责策略的本地保存和更新；\n本地通信模块，负责与策略执行引擎交互，传递策略和日志；\n通信加密模块，负责网络通信数据的加解密和分类，保证通信数据的安全；\n策略执行引擎，负责执行策略，并保护所在的系统和设备，它包括如下模块：\n策略本地执行模块，负责策略的执行，并返回响应；\n策略解析模块，负责解析策略；\n本地通信模块，负责与策略下载引擎通信，传递策略和日志。\n日志服务器具有如下功能模块：\n日志分析模块，负责对接收到的日志进行分析和保存；\n报警模块，负责对日志根据分类进行报警处理；\n通信加密模块，负责通信数据的加解密和分类，保证通信数据的安全。\n系统支持平台支持多级分布式部署，在大规模网络部署时，可以将系统支持平台根据所 属的网络大小和管理级别划分为N级，N≥1，各级平台之间存在管辖关系，其中一级管理 二级及以下级，二级管理三级及以下级，依次类推，每个系统支持平台相互独立工作，也可 以与其他系统支持平台协同工作。\n基于安全策略的网络安全管理系统能够与其他安全产品和网络产品联动，从而达到共同 防御的目的，包括和防火墙、防病毒、漏洞扫描、入侵检测、网络设备等的联动。\n一种基于安全策略的网络安全管理方法，安全策略是对需要进行安全保护的目标和方法 的定义，该方法是基于安全策略的定义、发布、运行来实现的，包括如下步骤：\n①在策略管理中心定义安全策略，设定需要保护的目标；\n②通过系统支持平台将策略发布到目标设备和系统的策略执行点上；\n③策略执行点执行策略后将结果通知日志服务器。\n上述步骤①中安全策略分为防火墙策略集、应用程序安全、邮件保护、Web保护、权限 保护、入侵检测、高级策略、系统监管、抗拒绝服务攻击、数据备份与还原、加密与安全传 输。\n本发明的安全管理控制系统采用集成化网络安全防卫思想，遵循P2DR安全模型，应用 集成防卫的理论与技术，支持分布式的体系结构，可保护终端用户主机和各种网络服务器、 网络设备和安全设备。\n基于安全策略的网络安全管理系统是一个集成化的防卫体系，将安全认证、信息审计、 入侵监测、访问控制、数据保护等多项安全技术通过基于安全策略的管理方法、统一的安全 控制管理平台、分布式的体系结构来构建一套强大的安全管理控制系统。\n发明的效果\n1、基于安全策略的网络安全管理系统可以在一个网络内很好地实现安全的统一规划和部 署，从而达到整体安全性提高的效果。\n2、安全功能，本发明在安全性上既阻止了来自外部或内部的攻击，也防止了敏感信息的 泄漏。基于安全策略的网络安全管理系统提供了比其他安全系统更加丰富的功能(如表1所 示)：\n                表1本系统与其他系统的功能对比   功能点   防火   墙   入侵   检测   备份   恢复  VPN   防病毒   漏洞   扫描   内容   过滤   身份   认证   安全策略   管理系统   身份认证   Y   Y   访问控制   Y   Y   入侵检测   Y   Y   Y   系统监管   Y   抗DoS   Y   Y   Y   Web过滤   Y   Y   操作系统保护   Y   硬件限制   Y   漏洞扫描   Y   Y   非法外联发现   Y\n  邮件保护   Y   Y   Y   应用程序保护   Y   数据还原与保护   Y   Y   加密传输   Y   Y   防病毒   Y   自身可抗   网络病毒；   并可和防   病毒联动，   可扩展\n3、对大规模网络病毒的防范\n基于安全策略的网络安全管理系统可以保证网络有效地防范近两年出现的震荡波、冲击 波等网络病毒。通过应用防火墙策略、操作系统补丁策略等策略的集合，可以在新的大规模 病毒出现之前将网络内所有主机的安全提高到足以防范的地步。这样，即使有部分主机感染 网络病毒，但不会传播到其他主机。\n4、安全建设成本降低\n从成本角度来讲，安全建设的显性成本主要包括：设备成本和人员培训成本；除此以外， 还有巨大的隐性成本，例如：管理员人工成本、信息损失成本、网络结构变化成本和管理员 维护成本等等。\n采用基于安全策略的网络安全管理系统的设备采购成本约为采用传统安全解决方案成本 的1/2；\n基于安全策略的网络安全管理系统也大大降低了客户的隐性成本。(如表2所示)\n                          表2隐性成本的对比   基于安全策略的网络安全管   理系统   传统安全解决方案   管理员人工成本   只需要单一的管理员   不同设备可能需要不同的管理员   信息损失成本   防止了来自外部和内部的非法访   问和攻击   只能防止来自外部的非法访问和   攻击   网络结构变化成本   不需要改变网络结构   通常需要改变网络结构   管理员日常维护成   本   很少，可以远程维护   现场维护成本很高\n5、有效适应用户位置的变化\n基于安全策略的网络安全管理系统可以有效适应用户位置的变化。不论用户的主机在何 地连接网络，不论用户使用网络内的任何一台主机，都可以得到一致的安全保护。摆脱了传 统安全解决方案对网络接入点的限制。\n附图说明\n图1：系统支持平台的内部结构图\n图2：系统支持平台初始化步骤\n图3：策略管理中心内部结构图\n图4：策略管理中心初始化步骤\n图5：策略执行点内部结构图\n图6：策略下载引擎内部结构图\n图7：策略执行引擎内部结构图\n图8：策略执行点初始化步骤\n图9：日志服务器内部结构图\n图10：日志服务器初始化步骤\n图11：与防火墙联动示意图\n图12：与漏洞扫描联动示意图\n图13：与入侵检测联动示意图\n图14：与网络产品联动示意图\n图15：用户管理组织关系图\n图16：策略执行工作示意图\n图17：实际部署示意图\n下面结合附图对本发明作进一步说明。\n本发明面向各种规模用户，实现对重要信息、IT系统的保护和信息资产的统一安全管理。 既保护了网络的安全也保护了主机系统的安全，既防止了敏感信息的泄漏，也更好的阻止内 外的攻击。\n一、本发明由四部分组成，分别是系统支持平台(SSP)、策略管理中心(PMC)、策略 执行点(PEP)、日志服务器，各部分工作机制如下：\n系统支持平台(SSP)：负责系统的认证授权、日志管理、策略管理的后台支持，负责收 集网络系统和主机系统的安全信息和管理信息、负责策略的发布和保存。支持分布式多级部 署，能够适用于大规模网络环境的应用，图1为系统支持平台的内部结构图。\n系统支持平台的工作机制\n初始化步骤：\n如图2所示，首先在管辖域中安装系统支持平台，初始化每个平台的管辖域和相互之间 的关系，并启动各级平台\n认证步骤：\n1、接收PMC和PEP的连接请求\n2、接收PMC和PEP的认证请求，进行验证，返回成功或失败\n3、如果失败，断开连接\n配置步骤：\n1、SSP接收PMC的配置请求\n2、执行配置更新，并根据需要转发配置请求\n3、返回配置更新成功与否给PMC\n监控或命令步骤：\n1、SSP接收PMC的命令请求\n2、根据命令的目标对象，本地执行或者转发命令请求给SSP和PEP\n3、接收执行结果，并转发给PMC\n信息收集与查询步骤：\n周期收集各项信息(包括：网络设备、PEP、PSP)，维护各级之间的通信联系和状态信 息。\n策略管理中心(PMC)：负责组织机构管理、用户管理、策略定义和应用、系统监控、系 统设置、日志查询、报表分析，提供一个统一的管理平台。图3为策略管理中心内部结构图。\n策略管理中心的工作机制。\n初始化步骤：\n如图4所示。安装策略管理中心，并配置可以管理的系统支持平台和管辖域，一个系统 支持平台对应一个或多个管辖域，域之间可以存在包含关系。定义各级管理员，包括：系统 管理员、各个域管理员、操作员、审计员、权限审批者等各个级别的管理角色。定义需要管 理或者协同工作的网络设备和目标用户。\n登录步骤：\n1、管理员输入管理员账号信息\n2、PMC向系统支持平台建立网络连接，并发出认证请求\n3、依据管理员的管辖权，系统支持平台对其进行认证\n4、系统支持平台验证通过后，登录进入到管理系统，读取当前配置。否则退出登录过程。\n配置步骤：\n1、定义和配置管辖域内的组织机构和用户群，定义和配置各级管理员，定义和配置各个 网络设备。\n2、配置下发给系统支持平台，系统支持平台校验后返回成功与否\n监控和命令步骤：\n1、发送监控指令或者特殊命令给SSP(目标对象可以是SSP或者PEP)\n2、接收SSP返回的监控内容或者执行结果\n注销步骤：\n1、PMC向SSP发出注销请求\n2、PMC断开与SSP的连接。\n策略执行点(pEP)：运行策略执行引擎，负责保护主机系统、服务器和网络设备的安全， 收集系统的各种安全信息和日志，执行定制的安全策略。策略执行点部署在需要保护主机、 服务器和网络设备上。内部结构图如图5、图6、图7所示。\n工作机制包括：\n初始化步骤：\n如图8所示。对需要保护的设备安装策略执行点、对需要的监控设备设置相应的参数。\n注册步骤：\n1、输入用户帐号信息和登录域\n2、向所辖域系统支持平台建立网络连接，并发出认证请求\n3、向SSP更新用户信息\n登录步骤：\n1、输入用户帐号信息和登录域\n2、向所辖域系统支持平台建立网络连接，并发出认证请求(网络发生故障可以切换到备 份系统支持平台)\n3、系统支持平台对其进行认证\n4、系统支持平台验证通过后，下载并执行策略\n监控和命令步骤：\n1、接收SSP转发的命令和监控请求\n2、本地执行命令，并将结果返回给该SSP\n注销步骤：\n1、向SSP发出注销请求\n2、停止与SSP的通信\n日志服务器：负责收集、汇总日志信息，以便集中审计和事件追查。(如图9所示)。\n工作机制包括：\n初始化过程：\n如图10所示。安装数据库系统和日志服务器，并配置日志服务器与数据库系统的连接和 通信方式(ODBC、ADO、DAO、OLEDB或者数据库系统方式)，启动日志服务器。\n收集日志：\n日志服务器收集各个部分的日志信息并记录到数据库中，对需要报警日志发出报警消息。\n本发明的网络通信协议包括：SSP和PEP之间的策略登录协议是基于TCP/IP协议，SSP 和PEP间基于UDP/IP协议，SSP和PMC之间的策略管理协议是基于TCP/IP。由于用户很 多，考虑到扩展性问题，SSP和PEP之间可以采用TCP和UDP两种方式实现，心跳机制一 般采用UDP实现，而登录采用TCP实现。SSP与其它设备的联动采用TCP/IP协议。\n本发明能够与其他安全产品联动机制，从而达到共同防御的目的。基于安全策略的网络 安全管理系统支持和多种现有安全设备的联动。包括如下：\n和防火墙的联动\n如图11所示，基于安全策略的网络安全管理系统和防火墙联动，可以保证只有经过安全 保护的主机才能对特定资源进行访问。\n1、策略执行点向系统支持平台申请认证；\n2、认证成功后，系统支持平台将用户的IP地址通知防火墙；\n3、防火墙根据系统支持平台的通知来决定是否允许该用户通过。\n系统支持平台和防火墙之间的通知可以采用以下几种机制：\n1、及时主动通知。系统支持平台一发现有认证用户变化，就通知防火墙；\n2、定时通知。系统支持平台每隔一段时间，就通知防火墙；\n3、主动询问。防火墙一旦发现有新的IP地址访问请求，就主动询问系统支持平台。\n和防病毒的联动\n利用基于安全策略的网络安全管理系统的远程病毒库升级功能，可以实现防病毒客户端 的自动强制升级。\n和漏洞扫描的联动\n图12所示与漏洞扫描的联动。\n基于安全策略的网络安全管理系统和漏洞扫描联动，可以保证系统支持平台将最有效的 策略部署到策略执行点上。\n1、漏洞扫描对被保护主机(策略执行点)进行漏洞探测；\n2、根据探测的结果(风险级别和漏洞类型)等通知系统支持平台；\n3、系统支持平台据此制定相应的策略，并应用到策略执行点上。\n和入侵检测的联动\n如图13所示，基于安全策略的网络安全管理系统和入侵检测联动，可以保证对安全事件 进行及时响应，防止安全事件的进一步恶化。\n1、入侵检测系统将检测到的安全事件报告给系统支持平台；\n2、根据检测内容，系统支持平台会采取不同的策略：如果事件的来源是认证了的策略执 行点，则策略将禁止该策略执行点的相关操作；如果事件的来源不是当前认证的策略执行点， 策略将通知相关的策略执行点对该来源的恶意行为采取相应保护和预防措施。\n和网络产品的联动\n如图14所示，基于安全策略的网络安全管理系统和网络产品联动，可以保证只有经过安 全保护的主机才能对特定资源进行访问。\n1、策略执行点向系统支持平台申请认证；\n2、认证成功后，系统支持平台将用户的IP地址通知网络产品；\n3、网络产品根据系统支持平台的通知来决定是否允许该用户通过。\n系统支持平台和网络产品之间的通知可以采用以下几种机制：\n1、及时主动通知。系统支持平台一发现有认证用户变化，就通知网络产品；\n2、定时通知。系统支持平台每隔一段时间，就通知网络产品；\n3、主动询问。网络产品一旦发现有新的IP地址访问请求，就主动询问系统支持平台。\n本发明采用多级可扩充的用户管理体系(域-组织-用户)，并支持多层的域和组织机构体 系，如图15所示，每个域可有各自的管理员，管理员也根据权限的不同支持四种管理级别(系 统管理员、域管理员、域操作员、审计员)。多个域可以部署在一个SSP上。也可以独立部署 在SSP上。域的分级管理是通过SSP的分级来实现的。\n二、本发明是基于安全策略的安全网络管理方法，并采用分布式多级管理体系，各部分 是各自具有一定的独立性，同时又相辅相成构成一个完整的集成化防卫体系，包括以下步骤：\n1、首先部署和安装系统支持平台，系统支持平台部署支持多级分布式部署，并且能够与 网络的实际管理体系相配合。在多级管理体系中，可以将系统支持平台根据所属的管理级别 进行划分(一级、二级、三级...)，其中各级平台之间存在管辖关系，一级管理二级及以下 级，二级管理三级及以下级，依次类推。同级之间可以定义之间的协同工作关系也可以相互 独立工作，部署方式十分灵活。同时同级平台之间可以互为备份，并支持故障切换方式。当 某级的平台出现故障，他的任务可以交由上级平台或者同级其他平台接管；提供了强大的故 障恢复机制。\n2、在策略管理中心定义安全策略，策略管理中心部署在PC、笔记本、工作站等多种运 行平台上，配置和管理整个体系，定义管辖域、管理员职权划分、定义组织机构和用户群、 定义策略以及策略集、分发策略集、日志查询和报表生成、用户监控、网络监控、系统监控；\n3、通过系统支持平台发布到目标设备和系统的策略执行点上，将策略执行点部署在需要 保护和管理的主机和/或设备上，包括：PC、笔记本、工作站、服务器、网络设备、安全设 备，根据默认策略或者用户自定义规则和策略，执行相应的保护；\n4、执行后，系统支持平台、策略管理中心和策略执行点将结果以日志形式通知日志服 务器，对需要报警日志发出报警消息；\n本发明是基于安全策略的，安全策略是根据保护目的和方法对安全技术进行了科学的分 类，并将其用一种统一的方法进行抽象的表示。策略描述的编写采用XML语言实现。关于 策略的定义如下：\n策略分为几个部分：基本部分、条件(Condition)、动作(Action)、日志(Log)。一个策 略可以容纳多种Condition和Action。\n为了支持多种平台，策略编译成不同的格式后分发到不同类型的平台上(也有一些平台 直接下载XML形式的策略后自己处理)。编译后的策略具有更加紧凑的格式，占用存储空间 小，有利于处理能力低下的设备平台。\n下面几个辅助类用以表达策略条件：\nAppCondition：AppName、AppVersion、AppDegist、AppExePath、AppCreateTimestamp、 AppSize等。\nFwAclCondition：AclProto、AclLocalIp、AclRemoteIp、AclLocalPort、AclRemotePort、 AclIcmpcode等。\nTimeCondition：TimeMonthMask、TimeDayOfMonthMask、TimeDayOfWeekMask、 TimeOfDayMask等。\n一个复杂的策略，可能其条件是多个类的子类。而更加灵活的策略条件是ExtCondition (可扩充策略条件)，它是基于属性/值对的，称为具有prop和val两个属性\nAction是划分为Drop(丢弃)、Reject(拒绝)、Pass(通过)、Skip(忽略)\nLog按照级别划分为   级别   英文关键字   缩写   中文关键字   描述   0   Emergencv   Emerg   紧急信息   可能造成系统瘫痪的错误   1   Alert   Alert   警报信息   严重错误，必须马上采取   2   Critical   Crit   严重错误   严重的错误   3   Error   Error   错误信息   一般性的错误   4   Warning   Warn   警告信息   警告信息   5   Notification   Notice   通知信息   比较重要的信息\n  6   Informational   Info   提示信息   一般信息   7   None   None   不日志   不产生日志\n策略可以划分为组，每个组其基本格式如下：\nPolicyGroup{ PolGroupName=POLICYGROUPNAME; PolGroupVersion=POLICYGROUPVERSION; PolGroupPriority=POLICYGROUPPRIORITY; Policy{ pid=PID; PolPriority=POLICYPRIORITY; XXXCondition{};... Action{ actionType=ACTIONTYPE; actionParam=ACTIONPARAMETER; }; }; Policy{...}; };\n下面是一个缓存的策略示范：\nPolicyGroup{ PolGroupName=“PG1”; PolGroupVersion=10; PolGroupPriority=20; Policy{ pid=185439; PolPriority=12; AppCondition{ AppName=iexplorer.exe; AppVersion=400000;//Version 4.0 }; Action{ ActionType=Alert; ActionParam=“Upgrade your IE please.”; }; }; Policy{ pid=xxx; PolPriority=0; AppCondition{ AppName=aftp.exe; }; Action{ ActionType=PASS; }; }; Policy{ pid=2001212; PolPriority=0; AppCondition{ AppName=foxmail.exe; }; FwAclCondition{ AclProto=TCP; AclRemotePort=25,110; }; Action{ ActionType=PASS; }; }; Policy{ pid=xxx; PolPriority=5; TimeCondition{ TimeDayOfWeekMask=0x3E;//Monday～Friday TimeOfDayMask=0x0003CF00;//8:00～12:00,14:00～18:00 }; XXX{}; YYY{}; Action{ ActionType=PASS; }; };\n单条策略的执行接图16所示的顺序完成的。\n该策略描述语言具有：\n(1)可扩充：因为策略描述语言需要适应多种安全访问控制机制，比如基于地址、协议、 端口的访问控制，基于内容的访问控制等；而且这些机制本身都在不断变化中。\n(2)通用性：由于策略可以在多种平台上实施，所以策略描述语言应当是通用的，能够为 多种平台所支持。\n(3)支持策略冲突检测：复杂的安全策略中不可避免的会存在冲突，即几个策略规则之间 相互抵触，这会造成安全策略的错误配置或误解。策略冲突检测的方法往往是将策略规则转 化为正规逻辑表达方式，采用特定算法进行检测。\n(4)策略的易于理解性：易于理解的策略语言方便管理员制定正确无误的安全策略，方便 对安全策略的正确性检查和维护。\n虽然策略的制定是非常灵活的，策略可以非常复杂，但是为了管理的方便性，还是需要 将常见的几种策略作一个分类。\n一个策略除了基本条件部分外，都会有一些可选项，比如时间条件、环境条件(操作系 统及其版本、网络类型、是否处于屏保状态等)等。\n本发明中将策略根据功能和目标划分为11大类。策略的分类方式是本技术对安全策略理 念在实际环境应用的一个规划和应用方式。策略的分类是为策略定义的细化。\n防火墙策略集\n目的：阻断向内或向外的网络访问和攻击，限制网络资源的访问。\n内容：\n支持基于IP，ICMP，IGMP，TCP，UDP等协议的访问控制\n支持基于数据包大小的访问控制\n支持特定网络应用服务的访问控制，例如：HTTP，FTP，POP3，SMTP，TELNET，OICQ，， ICQ，MsnMessager等\n支持TCP、UDP网络端口的访问控制\n支持基于TCP标志位的访问控制\n基于Netbios的文件共享控制\n基于时间、日期的访问控制\n    语法描述：\nFwPolicy{ pid=PID; PolPriority=POLICYPRIORITY; ProtoCondtion{ ProtoType=(IP:ICMP:IGMP:TCP:UDP) ServType=(HTTP:FTP:POP3:SMTP:TELNET:OICQ:ICQ:Custom) PktParam=(PKTSIZE:TCPFLAG:IPADDR:HWADDR) } TimeCondition{ TimeCond=STARTENDTIME; DateCond=STARTENDDATE; }; Action{ actionType=ACTIONTYPE; actionParam=ACTIONPARAMETER; }; Log{ logGrade=LOGGRADE; logParam=LOGPARAMETER; } };\n应用程序安全\n目的：限制指定应用程序的网络访问权限；限定指定应用程序的执行权限\n内容：\n支持典型应用程序的版本控制、完整性校验等，例如：IE浏览器，OutLook，资源管理 器等\n支持扩展对用户自定义程序的版本控制、完整性校验\n限定应用程序的TCP、UDP开放网络端口\n限定应用程序的运行权限\n限定应用程序的安全运行配置\n强制应用程序管理员口令强度\n基于时间、日期的应用程序使用控制\n语法描述：\nAppPolicy{ pid=PID; PolPriority=POLICYPRIORITY; AppCondtion{ AppType=(IE、OUTLOOK、...) AppParam=APPPRIV:APPPATH:APPINFO } TimeCondition{ TimeCond=STARTENDTIME; DateCond=STARTENDDATE; }; Action{ actionType=ACTIONTYPE; actionParam=ACTIONPARAMETER; }; Log{ logGrade=LOGGRADE; logParam=LOGPARAMETER; } };\n邮件保护\n目的：限制基于网络邮件的信息泄漏；审计邮件内容，阻断可能的恶意邮件\n内容：\n基于黑、灰、白名单的邮件过滤\n禁止特定内容或关键字邮件的发送和接受\n提供多种格式邮件附件的过滤和检测\n提供邮件附件大小限制和邮件内容大小限制\n基于发件人和收件人的邮件过滤\n基于时间、日期的邮件使用控制\n支持对指定收件地址的邮件自动加密传输\n支持对指定发件地址的邮件自动解密\n语法描述：\nMailPolicy{ pid=PID; PolPriority=POLICYPRIORITY; MailCondtion{ MailAddr=RECVER:SENDER MailAttach=ATTACHINFO MailArgu=FORMAT:TYPE } ContentConditio{ Content=OBJKEY } TimeCondition{ TimeCond=STARTENDTIME; DateCond=STARTENDDATE; }; Action{ actionType=ACTIONTYPE; actionParam=ACTIONPARAMETER; }; Log{ logGrade=LOGGRADE; logParam=LOGPARAMETER; } };\nWeb保护\n目的：限制被保护主机的Web浏览访问权限；阻断可能的非法信息发布\n内容：\n限定用户网络浏览的权限\n支持基于URL的网页过滤\n支持基于关键字的网页过滤\n支持基于内容分类的网页过滤和限制(色情、政治、管理、新闻、非技术性等)\n限制网络论坛的发表权限\n文件类型、媒体类型过滤\n限制上传、下载文件\n限制JavaApplet、JavaScript，ActiveX\n限制Cookie\n限制Popup广告或弹出类似窗口\n基于时间、日期的WEB使用控制\n语法描述：\nWebPolicy{ pid=PID; PolPriority=POLICYPRIORITY; WebCondtion{ WebUrl=OBJURL WebArgu=MIME:REQUEST:REPLY:PRIV } ContentConditio{ Content=OBJKEY } TimeCondition{ TimeCond=STARTENDTIME; DateCond=STARTENDDATE; }; Action{ actionType=ACTIONTYPE; actionParam=ACTIONPARAMETER; }; Log{ logGrade=LOGGRADE; logParam=LOGPARAMETER; } };\n权限保护\n目的：保护主机重要资源的使用权限\n内容：\n保护主机重要资源的使用权限\n限定使用特定的本地文件资源(例如：目录访问、磁盘保护、文件的读取/修改/执行权限)\n限定共享权限\n限定系统服务的开启、关闭\n保护注册表不被篡改\n保护操作系统特定配置不被更改\n限制特定系统配置的执行\n限制指定硬件设备的使用(例如：USB设备、并口设备(打印机)、串口设备(Com1， Com2)、软盘、CDROM光驱、DVD光驱、红外线接口、ZIP盘等)\nCPU、硬盘、网卡(IP、MAC)、主板等设备或地址的绑定\n基于时间、日期的权限使用控制\n语法描述：\nPrivPolicy{ pid=PID; PolPriority=POLICYPRIORITY; FILECondtion{ PrivResource=FILE:DISK PrivArgu=PATHINFO } DevCondtion{ PrivResource=DEVICE(USB,PRINTER,CD/DVD....) PrivArgu=DEVINFO } SysCondtion{ SysEnv=REGISTER:SYSSERVICE PrivArgu=OSINFO } ProtectCond{ ProtectType=READ:WRITE:LIST:EXEC:DO } TimeCondition{ TimeCond=STARTENDTIME; DateCond=STARTENDDATE; }; Action{ actionType=ACTIONTYPE; actionParam=ACTIONPARAMETER; }; Log{ logGrade=LOGGRADE; logParam=LOGPARAMETER; } };\n入侵检测\n目的：检测并阻断可能的网络入侵攻击\n保护：\n提供基于特征的入侵检测\n支持基于异常的入侵检测\n阻止网络扫描、端口扫描、操作系统扫描等扫描攻击\n支持病毒检测\n语法描述：\nIdsPolicy{ pid=PID; PolPriority=POLICYPRIORITY; IdsCondtion{ IdsSig=IDSSIGNATURE } VirusCondtion{ VirusSig=VIRUSSIGNATURE } TimeCondition{ TimeCond=STARTENDTIME; DateCond=STARTENDDATE; }; Action{ actionType=ACTIONTYPE; actionParam=ACTIONPARAMETER; }; Log{ logGrade=LOGGRADE; logParam=LOGPARAMETER; } };\n高级策略\n目的：定制系统全局策略和发布通知\n保护：\n定制系统消息广播\n强制远程操作系统自动升级和自动安装操作系统补丁\n强制远程病毒库自动升级\n强制远程应用程序自动升级\n强制远程PEP自动升级\n远程系统锁死\n强制密码屏幕保护\n强制管理员密码口令强度\n限制类Sniffer网络监听\n设置缺省网络状态(允许、禁止)\n限制拨号访问权限\n用户的IP、MAC绑定\n合法主机脆弱性发现\n非法主机联入发现\n语法描述：\nAdvPolicy{ pid=PID; PolPriority=POLICYPRIORITY; AdvCondtion{ AdvType=MSG:UPDATE:PROTECT:MONITOR AdvArgu=ADVARGU(按照TYPE) } TimeCondition{ TimeCond=STARTENDTIME; DateCond=STARTENDDATE; }; Action{ actionType=ACTIONTYPE; actionParam=ACTIONPARAMETER; }; Log{ logGrade=LOGGRADE; logParam=LOGPARAMETER; } };\n系统监管\n目的：监视和控制网络主机和服务器的工作状态；监视网络设备和安全设备的工作状态\n内容：\n监控被保护设备的网络流量\n监控被保护设备的网卡工作状态(工作模式、带宽)\n监控被保护设备各项资源的使用情况\n监控和授权监管系统服务和进程的工作状态\n监控和授权监管硬盘分区和数据备份与还原\n监控和授权监管主机的文件系统备份与还原\n授权远程截取主机系统屏幕\n授权远程对主机系统键盘监管\n语法描述：\nMonPolicy{ pid=PID; PolPriority=POLICYPRIORITY; MonCondtion{ MonType=FLOW:NICMODE:OS:DISKRECOVER: FILERECOVER:SCREEN:KEY MonArgu=MONARGU(按照TYPE) } TimeCondition{ TimeCond=STARTENDTIME; DateCond=STARTENDDATE; }; Action{ actionType=ACTIONTYPE; actionParam=ACTIONPARAMETER; }; Log{ logGrade=LOGGRADE; logParam=LOGPARAMETER; } };\n抗拒绝服务攻击\n目的：保护和降低主机和服务遭受拒绝服务攻击的损害\n保护：\n限制ARP报警攻击\n限制UdpFlood攻击\n限制ICMPFlood攻击\n限制TCP协议的连接强度\n限制ICMP数据包的特性(长度、频度)\n基于权值分析的动态控制\n限制指定网段的流量大小\n支持基于网络地址区间的访问强度限制\n语法描述：\nDOSPolicy{ pid=PID; PolPriority=POLICYPRIORITY; DosCondition{ DosType=DYNAMIC:STATIC:ANALYSIS } ArpCondtion{ 　 ArpMac=SRCMAC:DSTMAC ArpLimit=LIMIT } TcpCondtion{ Tcp=TCPINFO TcpLimit=LIMIT } UdpCondtion{ Udp=UDPINFO UdpLimit=LIMIT } IcmpCondtion{ Icmp=ICMPINFO IcmpLimit=LIMIT } TimeCondition{ TimeCond=STARTENDTIME; DateCond=STARTENDDATE; }; Action{ actionType=ACTIONTYPE; actionParam=ACTIONPARAMETER; }; Log{ logGrade=LOGGRADE; logParam=LOGPARAMETER; } };\n数据备份与还原\n目的：备份和恢复硬盘数据，有效防范硬盘格式化、病毒攻击或者人为破坏导致的数据 丢失和系统崩溃；保护文件系统，有效恢复文件和数据\n内容：\n支持超大硬盘的数据保护\n支持CMOS数据的保护\n支持分区级和磁盘级的保护\n支持分区的隐藏、读写保护\n支持基于文件目录的数据保护\n支持基于文件类型的数据保护\n支持Win2000，Xp，2003操作系统\n支持FAT16，Fat32，NTFS等文件系统\n万分之三的磁盘占用率\n支持瞬间恢复数据技术\n支持自动恢复、手工恢复、自动保存、手动保存\n支持远程安装、远程控制、远程备份与恢复\n支持口令保护\n抗FDISK等格式化\n与PQ Magic等分区工具兼容\n支持特定目录的文件或子目录加密\n语法描述：\nRecoverPolicy{ pid=PID; PolPriority=POLICYPRIORITY; RecvCondition{ RecvType=DISK:FILE:PATH RecMothod=MANUAL:AUTO ProtecType=FULL:PASS:HIDE } TimeCondition{ TimeCond=STARTENDTIME; DateCond=STARTENDDATE; }; Action{ actionType=ACTIONTYPE; actionParam=ACTIONPARAMETER; }; Log{ logGrade=LOGGRADE logParam=LOGPARAMETER; }\n加密与安全传输\n目的：保护数据在传输过程中的隐密性和完整性\n内容：\n支持用户对指定地址访问时的VPN加密传输\n支持用户对非指定地址访问时的明文传输\n语法描述：\nCryptPolicy{ pid=PID; PolPriority=POLICYPRIORITY; CryptCondition{ CrypType=DES、ADES、MD5,SHA... AuthType=CLEARTEXT:CERT:SSL:TLS :OTP:KERBEROS:SASL } TimeCondition{ TimeCond=STARTENDTIME; DateCond=STARTENDDATE; }; Action{ actionType=ACTIONTYPE; actionParam=ACTIONPARAMETER; }; Log{ logGrade=LOGGRADE; logParam=LOGPARAMETER; } };\n本发明中安全策略的分发方式，包括如下内容：\n策略的分发采用“推”、“拉”结合，以“拉”为主的方式进行。SSP在策略变化后采用 “推”的手段告知所有管理域内的PEP，这可以采用组播的方式，以提高效率。如果网络不 能够支持组播，或者网络规模不大的话，也可以采用单播的方式。PEP在登录到SSP后，会 主动将策略“拉”过来。\n另外，PEP定时向策略服务器发送“心跳”(Heartbeat)信号，以告知SSP自己的存在和 一些与策略有关的信息，比如当前主机登录用户、主机操作系统及其版本、当前策略版本号 等。\n应用实例\n某客户是一个全国性的机构，从组织结构上分为国家中心、省级中心和各地区中心等几 个级别，国家中心和省级中心的技术力量相对较强，但各地市中心的技术力量相对较弱，组 织内部经常遇到很多安全问题，例如：网络病毒泛滥、不能及时安装系统补丁、系统默认共 享开放、无法防止内部有人访问非法网站、无法防止内部用户将信息外漏等等。\n针对客户的实际问题和需求，客户提供基于安全策略的网络安全管理系统解决方案，整 个系统由几部分组成：如图17所示，国家中心和省级中心各部署一台或多台(实现负载均 衡)系统支持平台以及策略管理中心；网络安全管理员利用策略管理中心可以设定管辖范围 内不同用户的策略和权限；这些策略和权限以及用户信息保存在系统支持平台上；国家中心 和省级中心的系统支持平台组成一个树状结构，保证各信息的同步和策略的统一；各用户的 策略根据所属的分组不同而不同。\n在组织内所有的用户主机和服务器上安装策略执行引擎，当用户登录网络时，引擎会从 所属的系统支持平台上自动下载安全策略，并且在本地自动执行。\n测试时间：2004年10月14日\n测试工具：X-Scan v3.1，扫描库选用2004年8月份    检测范围：192.168.2.86\n主要安全策略：\n禁止双向木马\n不允许获取本机名称\n禁止所有人连接低端口\n禁止所有开放共享\n允许向外ftp、telnet、http、smtp、pop3\n不允许别人用ping命令探测、允许向外ping探测\n部署基于安全策略的网络安全管理系统后，有效地解决和预防了原来系统中出现的各种 安全和管理问题，极大地减少了管理员对用户主机的维护和管理成本，透明有效地保证了用 户主机的安全，并且有效地防范和抗击了大规模蠕虫病毒的传播。\n在部署基于安全策略的网络安全管理系统之前，该主机存在很大的安全隐患，风险级别 较高；利用基于安全策略的网络安全管理系统，屏蔽了该主机绝大部分漏洞，使得系统风险 级别大大降低。