通用网络安全管理系统及其管理方法

1.一种通用网络安全管理系统，包括：
外围设备，包括现有网络环境中各种网络基础设施；
安全代理终端，向安全管理中心提供所在外围设备的实时信息，并为所在外围设备提供安全服务；
安全管理中心，提供配置安全代理终端、采集安全事件、处理安全事件、查询安全事件、发送响应命令功能；
终端管理设备，为管理人员提供远程登陆到安全管理中心的功能；
数据库组件，包括探测器模块数据库、安全事件数据库和响应策略数据库，探测器模块数据库中存储有用于安装在探测器上的功能模块；安全事件库中存储有不同类型的安全事件定义，用于确认核心功能组件输入信息的威胁性；响应策略库中存储有针对各种安全事件的处理策略，并根据核心功能组件的输入信息返回相应处理策略；
核心功能组件，包括探测器管理组件、安全事件采集组件、安全事件查询组件和策略生成组件；该探测器管理组件从探测器模块数据库中选择与安全代理终端匹配的功能模块加载到安全代理终端，该安全事件采集组件对功能模块返回的安全事件进行分析和过滤，将结果写入安全事件数据库，同时调用策略生成组件在响应策略数据库查询该结果，并发送响应策略数据库返回的处理策略给安全代理终端，该安全事件查询组件为网络安全管理员提供安全事件数据库进行查询历史安全事件的接口；
所述的安全管理中心包括：接口组件、数据库组件、核心功能组件和用户接口组件，该核心功能组件从接口组件接收安全代理终端的状态信息，传输给数据库组件查询出相应处理策略，通过接口组件发送给安全代理终端，并通过用户接口组件以浏览器/服务器模式为网络安全管理人员提供操作接口；该安全代理终端安装在外围设备上，与安全管理中心相连接；安全管理中心通过基于XML的安全通信协议与多个安全代理终端进行信息交互；
终端管理设备通过远程登陆对安全管理中心进行管理操作。
2.根据权利要求1所述通用网络安全管理系统，其特征在于：安全代理终端包括：探测器、响应组件和接口组件，该探测器接收外围设备中的各种安全事件，通过接口组件发送给安全管理中心处理，响应组件则把从接口组件接收到的具体操作指令发送给外围设备。
3.根据权利要求1所述通用网络安全管理系统，其特征在于：所述的基于XML的通信协议包括：从安全管理中心到安全代理终端的探测器配置命令的信息交互、从安全代理终端到安全管理中心的安全事件消息的信息交互和从安全管理中心到安全代理终端的响应命令的信息交互。
4.根据权利要求1所述通用网络安全管理系统，其特征在于：所述的外围设备通过探测器和响应组件与终端安全插件相连，包括个人计算机、各类服务器、以及组建网络的交换机、路由器和防火墙网络基础设施。
5.根据权利要求1所述通用网络安全管理系统，其特征在于：所述的终端管理设备通过用户接口组件与安全管理中心相连，为网络安全管理人员提供远程登陆到安全管理中心的功能。
6.一种通用网络安全管理方法，包括：
A.网络安全管理初始化步骤：
(A1)网络管理员在终端管理设备上通过网页浏览器连接到安全管理中心，在数据库中选取匹配不同外围设备的功能模块和安全策略；
(A2)安全管理中心将相应的功能模块和安全策略远程加载到各外围设备的安全代理终端上，使其具备特定的功能；
B.已知安全威胁管理步骤：
(B1)当外围设备出现异常时，首先由部署在该设备上的探测器对异常进行初步分析，并由事先加载在探测器里的功能模块产生安全事件，发送到安全管理中心；
(B2)安全管理中心收到安全事件后，综合其他安全代理终端发来的相关信息，判断产生异常的原因，根据响应策略库的设置，生成响应命令发送到安全代理终端，同时向管理员发出警报并提供安全事件数据库中的记录；
(B3)安全代理终端收到响应命后，如果异常的原因为网络外部攻击，则配置各个相关外围设备及时阻断攻击；如果异常的原因为网络内部人员违规操作，则及时向内网用户发出警告并阻断违规行为；如果异常的原因为网络设备本身漏洞问题，则自动从相关服务器下载补丁文件及时修复漏洞；
C.未知安全管理步骤：
(C1)当有新的安全威胁出现时，各安全代理终端中的探测器收集相关信息发送到安全管理中心；
(C2)安全管理中心综合分析收到的信息，提取主要特征发送给网络管理员，网络管理员根据该特征编写针对该威胁的功能模块和处理策略；
(C3)安全管理中心在数据库中添加该功能模块和处理策略，并远程安装在各安全代理终端的探测器和响应组件上。

通用网络安全管理系统及其管理方法\n技术领域\n[0001] 本发明属于计算机网络技术领域，特别是一种涉及网络安全的管理系统及方法，用于对包括路由器、交换机、防火墙、入侵检测系统和服务器在内的网络设备的集中管理与监控，\n背景技术\n[0002] 与网络安全相关的安全防范技术发展至今，已形成如下有效的技术方案：\n[0003] 1.防火墙技术——防火墙是一种设置在被保护网络与因特网之间的访问控制系统，其特点是在网络入口点检查网络通讯，根据管理员设置的安全规则，在保护内部网络安全的前提下，提供内外网络通讯，具有安全性、抗攻击性、可管理性、认证和加密性和与其它安全系统动态适应的特点。\n[0004] 2.入侵检测技术——入侵检测系统IDS是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，记录证据用于跟踪和恢复、断开网络连接，具有协议分析及检测能力、自身安全的完备性、防欺骗能力和模式更新速度快的特点。\n[0005] 3.行为审计技术——该技术对网络内部人员的行为进行监视与审计，及时发现和阻断非法登录、越权操作、擅自修改和删除数据、擅自改变软硬件配置、擅自删除系统日志来等自系统内部的安全威胁，并提供审计记录以还原攻击过程。\n[0006] 4.网络病毒防范技术——针对当前扩散迅速、严重危害信息系统安全的网络病毒，提供全方位、多层次的病毒防范，包括防火墙及网关防毒、邮件系统防毒、服务器防毒，以及客户端防毒，具有网络病毒检测与清除、集中式管理和远程管理、病毒特征库和扫描引擎自升级的功能。\n[0007] 5.漏洞检测与修复技术——该技术及时发现网络中存在的安全威胁，找出可能被恶意利用的系统漏洞，并及时向管理员报警，最后自动或手动地修复漏洞，能够极大的提高网络的安全性。\n[0008] 近年来，网络安全得到了前所未有的重视，这使得以上这些安全防范技术越来越多的被应用于政府机关、大中院校、公司企业的各类计算机网络中。然而，随着安全系统建设越来越大，安全防范技术越来越复杂，也出现了相应的问题，如全局的安全风险监控、安全管理和配置的统一协调、海量数据集中存储和分析处理、全局统一的预警和安全响应处理。于是，网络安全管理成为了研究的热点。\n[0009] 网络安全管理需要应用多种不同的网络安全技术和设备，使之更好的协同工作，对网络系统进行安全、合理、高效的维护。目前的安全管理产品有以下几种类型：\n[0010] 第一类产品是基于公钥基础设施PKI技术，为企业网络及应用提供统一的用户管理、身份鉴别和权限管理，该类产品通常是一个用户管理和鉴别中心，为网络管理和应用系统提供应用服务接口，典型的产品有CA公司的eTrust。\n[0011] 第二类产品是基于传统的计算机信息网络管理技术，可以提供全面的企业管理解决方案，安全管理只是其中的一部分功能，这类产品的代表是IBM的Tivoli系列产品、CA的Unicenter TNG。\n[0012] 第三类产品是安全设备厂商针对自己设备的功能和技术特点开发的集中管理软件系统，该类产品为安全设备提供集中贴切的设备配置、安全策略管理、设备状态监测、设备信息存储和分析功能，提高安全设备的易用性，这类产品的代表主要有CISCO公司的CSPM，CPM和NetScreen公司的NetScreen Global Pro。\n[0013] 第四类产品为统一威胁管理产品UTM，该类产品是将多种安全特性集成于一个硬件设备之中具有专门用途的设备，具有网络防火墙、网络入侵检测和网关防病毒的基本功能，该类产品的代表主要有CISCO公司的ASA5500系列和Fortinet公司的FortiGate系列产品。\n[0014] 第五类产品是基于产业联盟或技术规范以实现不同厂商产品相互联动为目的的 一系列应用编程接口API标准和协议格式规范，该类产品的代表主要有天融信的TOPSEC开放式框架平台，但其联动主要还是集中在入侵检测技术和病毒防治技术上。\n[0015] 现有的各类网络安全管理产品都不同程度存在以下问题：\n[0016] 1.开放性差。各类网络安全管理产品大多是作为大型网络设备厂商的附属产品推出的，目的是实现其生产的各种主流网络设备及网络安全设备之间的联动与管理，UTM系统更是将各种设备集成到了一个独立的硬件平台中，它们对其他厂商产品的支持很不友好，竞争对手的产品和非主流的安全技术很难融入其中，现有的一些交互、联动类的产品，也是以产业联盟或技术规范的形式存在的，其它安全产品或是防范技术要想得到这些平台支持，就要被动遵从其标准，这在竞争激烈的网络安全市场中往往难以实现。\n[0017] 2.扩展性差。现有的各类网络安全管理产品都是针对已经存在的、具体的安全防范技术来实现其监视、控制与管理的，一旦有新的安全防范技术兴起或是网络环境中有非主流的安全防范需要，只有得到网络安全管理产品生产者的认可并经过产品升级后，这些新技术才能得到应用。\n[0018] 3.功能完备性弱。网络安全产品在开放性和扩展性上的缺陷还直接导致了产品功能的不完备，例如有些产品只能提供防火墙和入侵检测系统的联动，有些产品仅仅是是对被管理设备日志的进行查询和分析，却无法提供有效的响应。\n发明内容\n[0019] 本发明的目的在于克服上述已有技术的不足，提供一种模块化可扩展的通用网络安全管理系统及其管理方法，用以实施多层次安全防护的策略，将网络访问控制、入侵检测、病毒检测和漏洞管理安全技术应用到被保护的网络环境中，在统一的管理和控制下，使各种安全技术彼此补充、相互配合，对网络行为进行检测和控制，形成一个安全策略集中管理、安全检查机分散布置的分布式安全防护体系结构，以提高网络安全管理的开放性和功能性。\n[0020] 为实现上述目的，本发明的通用网络安全管理系统，包括：\n[0021] 外围设备，包括现有网络环境中各种网络基础设施；\n[0022] 安全代理终端，向安全管理中心提供所在外围设备的实时信息，并为所在外围设备提供安全服务；\n[0023] 安全管理中心，提供配置安全代理终端、采集安全事件、处理安全事件、查询安全事件、发送响应命令功能；\n[0024] 终端管理设备，为网络管理员提供远程登陆到安全管理中心的功能；\n[0025] 该安全代理终端安装在外围设备上，与安全管理中心相连接；安全管理中心通过基于XML的安全通信协议与多个安全代理终端进行信息交互；终端管理设备通过远程登陆对安全管理中心进行管理操作。\n[0026] 所述的安全代理终端包括：探测器、响应组件和接口组件，该探测器接收外围设备中的各种安全事件，通过接口组件发送给安全管理中心处理，响应组件则把从接口组件接收到的具体操作指令发送给外围设备。\n[0027] 所述的安全管理中心包括：接口组件、数据库组件、核心功能组件和用户接口组件，该核心功能组件从接口组件接收安全代理终端的状态信息，传输给数据库组件查询出相应处理策略，通过接口组件发送给安全代理终端，并通过用户接口组件以浏览器/服务器模式为网络安全管理人员提供操作接口。\n[0028] 所述数据库组件包括：探测器模块数据库、安全事件数据库和响应策略数据库，探测器模块数据库中存储有用于安装在探测器上的功能模块；安全事件数据库中存储有不同类型的安全事件定义，用于确认核心功能组件输入信息的威胁性；响应策略数据库中存储有针对各种安全事件的处理策略，并根据核心功能组件的输入信息返回相应处理策略。\n[0029] 所述核心功能组件包括：探测器管理组件、安全事件采集组件、安全事件查询组件和策略生成组件；该探测器管理组件从探测器模块数据库中选择与安全代理终端匹配的功能模块加载到安全代理终端，该安全事件采集组件对功能模块返回的安全事件进行分析和过滤，将结果写入安全事件数据库，同时调用策略生成组件在响应策略数据库查询该结果，并发送响应策略数据库返回的处理策略给安全代理终端，该安全事件查询组件为网络安全管理员提供安全事件数据库进行查询历史安全事件的接口。\n[0030] 所述的基于XML的通信协议包括：从安全管理中心到安全代理终端的探测器配置命令的信息交互、从安全代理终端到安全管理中心的安全事件消息的信息交互和从安全管理中心到安全代理终端的响应命令的信息交互。\n[0031] 为实现上述目的，本发明的通用网络安全管理方法，包括\n[0032] A.网络安全管理初始化步骤：\n[0033] (A1)网络管理员在终端管理设备上通过网页浏览器连接到安全管理中心，在数据库中选取匹配不同外围设备的功能模块和安全策略；\n[0034] (A2)安全管理中心将相应的功能模块和安全策略远程加载到各外围设备的安全代理终端上，使其具备特定的功能；\n[0035] B.已知安全威胁管理步骤：\n[0036] (B1)当外围设备出现异常时，首先由部署在该设备上的探测器对异常进行初步分析，并由事先加载在探测器里的功能模块产生安全事件，发送到安全管理中心；\n[0037] (B2)安全管理中心收到安全事件后，综合其他安全代理终端发来的相关信息，判断产生异常的原因，根据响应策略库的设置，生成响应命令发送到安全代理终端，同时向管理员发出警报并提供安全事件数据库中的记录；\n[0038] (B3)安全代理终端收到响应命后，如果异常的原因为网络外部攻击，则配置各个相关外围设备及时阻断攻击；如果异常的原因为网络内部人员违规操作，则及时向内网用户发出警告并阻断违规行为；如果异常的原因为网络设备本身漏洞问题，则自动从相关服务器下载补丁文件及时修复漏洞；\n[0039] C.未知安全管理步骤：\n[0040] (C1)当有新的安全威胁出现时，各安全代理终端中的探测器收集相关信息发送到安全管理中心；\n[0041] (C2)安全管理中心综合分析收到的信息，提取主要特征发送给网络管理员，网络管理员根据该特征编写针对该威胁的功能模块和处理策略；\n[0042] (C3)安全管理中心在数据库中添加该功能模块和处理策略，并远程安装在各安全代理终端的探测器和响应组件上。\n[0043] 本发明由于在各种网络设备中安装有安全代理终端，由网络管理员根据实际需求，从安全管理中心的探测器模块数据库和响应策略数据库中选取功能模块和响应命令远程加载，并且安全管理中心可自动管理相关安全代理终端处理安全事件，因此，具有通用性强和开放性好的优点；同时由于网络安全管理系统增加新的设备或安全策略时，只需开发相应的新模块和响应策略加载到安全代理终端即可，安全管理中心和安全代理终端均无需进行软硬件升级，因此，相比现有的网络安全产品，在开放性、扩展性和功能完备性上具有显著的优势。\n附图说明\n[0044] 图1为通用网络安全管理系统结构框图；\n[0045] 图2为实施例一的网络拓扑示意图；\n[0046] 图3为采用分级管理的网络拓扑示意图。\n具体实施方式\n[0047] 参照图1，本发明的通用网络安全管理系统包括：\n[0048] A.安全代理终端，安装在外围网络设备上，与安全管理中心相连接、为所在网络环境提供安全服务的，它主要由探测器、响应组件和接口组件组成。该探测器由安全管理中心根据外围设备的特点的装载配置功能，完成设备运行状态监视、入侵检测、行为监视、日志收集、漏洞检测的功能；该响应组件根据安全管理中心的响应命令指引对网络设备进行配置、消除威胁，可完成配置设备、阻拦入侵者、向内网用户发送警告、修复漏洞功能；该接口组件负责探测器、响应组件与安全管理中心之间的信息传输，采用基于XML的安全通信协议保证传输的可靠性和安全性。\n[0049] B.安全管理中心，安装在独立计算机系统上，同时连接多个安全代理终端，并通过安全代理终端管理多个网络设备，提供配置探测器、采集安全事件、处理安全事件、查询安全事件和发送响应命令的多种功能，它包括数据库模块、核心功能组件、接口组件和用户接口组件。该核心功能组件通过接口组件实现对安全代理终端的管理与操作，通过用户接口组件实现网络管理员对安全管理中心的操作，通过与数据库模块的交互实现对安全事件定义和处理策略生成。\n[0050] 所述的数据库模块包括探测器模块数据库、安全事件数据库和响应策略数据库，该探测器模块数据库用于存储安装在探测器上的功能模块，可以由核心功能组件进行添加和删除操作；该安全事件数据库用于存储不同类型安全事件及其定义，并对输入的安全事件进行统计和威胁性分析；该响应策略数据库用于存储针对各种安全事件的处理策略，输入安全事件分析结果，返回相应处理策略。\n[0051] 所述的核心功能模块包括探测器模块管理组件、安全事件采集组件、安全事件查询组件和策略生成组件。该探测器模块管理组件，用于从探测器模块数据库中选择，匹配的功能模块加载到安全代理终端的探测器上，并具备根据安全状况添加和删除模块的功能；\n该安全事件采集组件，用于对安全代理终端返回的安全事件进行分析和过滤，并把分析结果写入安全事件数据库；该安全事件查询组件，用于对安全事件进行统计和安全定义查询，为网络安全管理员提供对安全事件数据库进行操作的接口；该策略生成组件，用于查询响应策略数据库，输入安全事件采集组件对安全事件的分析结果，自动生成处理策略，发送给安全代理终端。\n[0052] 所述的接口组件采用基于XML的安全通信协议，并通过安全套接字层封装，保证安全管理中心与安全代理终端传输的可靠性和安全性。\n[0053] 所述的用户接口组件，通过浏览器/服务器模式为网络安全管理人员提供对安全管理中心进行操作的接口。\n[0054] C.终端管理设备，通过用户接口组件与安全管理中心相连，使网络管理员通过网络浏览器远程登陆到安全管理中心进行安全管理操作。\n[0055] D.外围设备，包括个人计算机、各类服务器、以及组建网络的交换机、路由器和防火墙网络基础设施，通过探测器和响应组件与安全终端代理相连，是安全管理对象。\n[0056] 参照图2，用本发明组建的第一实例网络拓扑，其配置关系为：\n[0057] 安全代理终端直接部署在计算机和服务器上，以软件的形式安装，支持UNIX、LINUX、WINDOWS主流操作系统，其中WINDOWS操作系统需加装cygwin软件环境。这些安全代理终端可实现基于主机的入侵检测、用户行为审计与管理、漏洞检测与修复功能。\n[0058] 安全代理终端部署在防火墙和路由器上，需要有专门的Linux操作系统的计算机来运行安全代理终端软件，运行安全代理终端的计算机与防火墙和路由器相连，并获取其管理权限。这些安全代理终端可实现网络设备的状态监视与配置、基于网络的入侵检测、用户行为审计与管理、漏洞检测与修复、安全设备联动功能。\n[0059] 安全管理中心是一个独立计算机系统，硬件配置为CPU Intel Core i7 965，内存\n6G(2G DDR3 x 3)，硬盘10TB(1TB x 10磁盘阵列)。运行的软件需求为操作系统CentOS \n5.3，数据库MySQL 5.1版本。\n[0060] 管理终端设备无需安装特定客户端，只要装有常用的WEB流览器如IE、Firefox、Opera即可与安全管理中心连接。支持UNIX、LINUX、WINDOWS操作系统。\n[0061] 安全代理终端、安全管理中心和管理终端设备都需要安装SSL协议所需的私钥文件和证书文件，以保证安全通信。\n[0062] 下面以计算机网络中常见的安全问题为例，具体说明本实施例的安全管理方法：\n[0063] 1.初始化阶段：管理员根据制定的安全策略，通过管理终端，从管理中心的探测器模块数据库和响应策略数据库中选取功能模块和响应命令，远程加载到各个安全代理终端上，使其具备特定的功能。\n[0064] 2.路由器、防火墙工作出现异常：部署在路由器或防火墙上的探测器检测到不影响网络通信的异常，或安全管理中心失去和相应探测器的联系时，生成安全事件，向管理员发出警报，使其及时排查异常，恢复网络的正常运行。\n[0065] 3.遭受外部的网络攻击，如扫描、渗透、种植病毒木马程序：部署在路由器或防火墙上的探测器检测到攻击，产生安全事件，发送到安全管理中心，管理中心的自动响应组件按照响应策略库中的设置，自动生成响应命令发送到安全代理终端，响应组件通过配置各个安全设备及时阻断攻击；同时，安全管理中心向管理员发出警报，使其根据安全事件库中的记录进一步追查入侵者。\n[0066] 4.网络内部人员违规操作：部署在计算机或服务器上的探测器检测到违规行为，产生安全事件，发送到安全管理中心，管理中心的自动响应组件按照响应策略库中的设置，自动生成响应命令发送到安全代理终端，响应组件及时向内网用户发出警告并阻断违规行为；同时，安全管理中心向管理员发出警报，使其根据安全事件库中的记录进一步追查违规者。\n[0067] 5.网络中出现漏洞，如新发布安全补丁但用户尚未及时安装：部署在计算机或服务器上的探测器检测到漏洞，产生安全事件，发送到安全管理中心，管理中心的自动响应组件按照响应策略库中的设置，自动生成响应命令发送到安全代理终端，响应组件及时修复漏洞。\n[0068] 6.网络中需要增加新型号的设备或新的安全策略：管理员编写新的模块和响应策略以支持这些设备和安全策略，将其添加到管理中心的数据库中，并加载到相应的安全代理终端上。\n[0069] 由此可见，本实施例的系统功能完备，可监控、管理网络中与安全相关的各个组成元素，有效地识别、管理和抵御安全中小规模网络中的各种安全威胁，并具有良好的开放性、扩展性。\n[0070] 此外，本发明能够采用分级管理的机制应用于高校、大中型企业内部网络的安全管理，其网络拓扑结构参照图3。在该拓扑结构中，网络划分成多个安全域，每个安全域由一个安全管理子系统来管理，安全域中的管理员通过下层安全管理中心来处理域内安全管理事务，其工作部署和管理方法与实施例1相同；同时，在整个型网络中，下层安全管理中心被看作一个安全设备，接收上层安全管理中心的管理与控制；上层管理员集中处理域内重要的和跨越安全域的安全事件，进行统一的管理和防护。