信息系統(tǒng)面臨愈發(fā)復(fù)雜的網(wǎng)絡(luò)安全威脅,需要安全管理系統(tǒng)對安全設(shè)備進行統(tǒng)一運維管理。安全運維管理需要實現(xiàn)高效、跨平臺、安全的數(shù)據(jù)交換。針對安全運維管理的需求,設(shè)計了一套安全設(shè)備管理協(xié)議,從技術(shù)體制、數(shù)據(jù)分類、報文定義以及傳輸安全等角度對協(xié)議進行設(shè)計,以滿足安全管理系統(tǒng)和安全設(shè)備之間信息交互的實際需要。
隨著信息技術(shù)的不斷進步,信息系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅愈發(fā)復(fù)雜。防火墻、入侵檢測、漏洞掃描以及防病毒等網(wǎng)絡(luò)安全設(shè)備協(xié)同配合,共同組成了網(wǎng)絡(luò)安全風(fēng)險的防護屏障。為了對不同安全設(shè)備進行統(tǒng)一管理,安全管理系統(tǒng)應(yīng)運而生。安全管理系統(tǒng)為使用者提供了安全設(shè)備數(shù)據(jù)統(tǒng)一采集和呈現(xiàn)平臺,通過不同設(shè)備的統(tǒng)一調(diào)度構(gòu)建有效的防御手段。本文分析安全運維管理的需求,探討設(shè)備管理協(xié)議中的關(guān)鍵技術(shù),提出了數(shù)據(jù)交換格式模型。
01 安全管理需求
業(yè)界普遍認為,網(wǎng)絡(luò)安全由技術(shù)、管理和運維3部分組成,且其長期效能主要取決于安全運維管理水平[1]。安全運維管理的好壞對網(wǎng)絡(luò)安全體系的整體效能具有重要影響。
1.1 管理運維需求
在網(wǎng)絡(luò)安全體系中,不同安全設(shè)備各司其職,協(xié)作實現(xiàn)安全防護。安全管理系統(tǒng)通過高效的管理運維,起到協(xié)調(diào)調(diào)度的作用。管理運維需求主要包括設(shè)備狀態(tài)的統(tǒng)一監(jiān)控、安全風(fēng)險的及時呈現(xiàn)、安全威脅的高效處置以及安全策略的迅速調(diào)整。
1.2 數(shù)據(jù)交換需求
安全運維過程中,安全管理系統(tǒng)與安全設(shè)備間存在大量的數(shù)據(jù)交換需求。不同安全設(shè)備形態(tài)各異、技術(shù)體制不一,形成了異構(gòu)的數(shù)據(jù)環(huán)境。安全管理系統(tǒng)對各種安全設(shè)備進行統(tǒng)一運維管理,必須設(shè)計跨平臺的通用傳輸協(xié)議,以降低系統(tǒng)間耦合度,實現(xiàn)安全防護數(shù)據(jù)的互聯(lián)互通,從而為運維人員進行決策提供更好的支撐。為了保證管理協(xié)議的平臺的無關(guān)性和可擴展性,需要定義通用的安全信息描述機制和數(shù)據(jù)格式。
1.3 安全性需求
安全運維管理過程中,為了防止外部攻擊者獲取敏感信息,使用的傳輸協(xié)議必須通過加密等手段進行安全性保護。
02 關(guān)鍵技術(shù)
2.1 XML
可擴展標記語言(eXtensible Markup Language,XML)是一種用于標記電子文件使其具有結(jié)構(gòu)性的標記語言。它遵循W3C規(guī)范的語法要求,形式與內(nèi)容分離,具有良好的自描述性,同時易于擴展,擁有豐富的第三方開發(fā)庫,非常適合在不同架構(gòu)的系統(tǒng)之間進行信息傳輸使用。隨著XML的應(yīng)用越來越廣泛,在眾多應(yīng)用場景下,XML憑借其優(yōu)點已經(jīng)成為事實上的數(shù)據(jù)交換標準。
2.2 Web Service
Web Service是一種跨編程語言、跨操作系統(tǒng)平臺的遠程調(diào)用技術(shù)。Web Service技術(shù)的典型特點是平臺無關(guān)性和開放性。運行在不同系統(tǒng)上的異構(gòu)應(yīng)用無須借助專門的第三方軟硬件,就可相互交換數(shù)據(jù)或?qū)崿F(xiàn)集成。不同應(yīng)用之間只要共同遵循了Web Service規(guī)范,無論它們所使用的語言、平臺或內(nèi)部協(xié)議是什么,都可以實現(xiàn)數(shù)據(jù)的相互交換。
2.3 SOAP
簡單對象訪問協(xié)議(Simple Object Access Protocol,SOAP)是一種基于XML的輕量數(shù)據(jù)交換協(xié)議規(guī)范,能夠在不同信息系統(tǒng)之間交換結(jié)構(gòu)化數(shù)據(jù),是Web Service的一種主流實現(xiàn)形式。
SOAP基于HTTP協(xié)議定義了一個框架,描述消息中的內(nèi)容是什么、是誰發(fā)送的、誰應(yīng)當接受并處理它以及如何處理它們。它通過定義SOAP信封(envelop)實現(xiàn)數(shù)據(jù)格式的標準化,將XML數(shù)據(jù)封裝于信封之中進行信息交互,使得異構(gòu)的系統(tǒng)間能夠進行互操作。
2.4 IDEA
國際數(shù)據(jù)加密算法(International Data Encryption Algorithm,IDEA)是一種對稱加密算法,由中國學(xué)者來學(xué)嘉和密碼專家Massey共同設(shè)計[3]。它的原理為來自不同代數(shù)群的混合運算。加密過程由8圈迭代和1次輸出變換組成,密鑰長度為128位,對計算資源要求不高,能夠在不同平臺上實現(xiàn)高速加解密。
IDEA的工作流程如圖1所示,其加密和解密使用同樣的密鑰K。發(fā)送方將明文P使用密鑰K進行加密后得到密文C,然后通過網(wǎng)絡(luò)將密文C傳輸給接收方。接收方使用同樣的密鑰K進行逆運算,解密后得到明文P,以實現(xiàn)信息傳遞時的安全性保護。
圖1 IDEA加解密流程
與其他傳統(tǒng)加密算法相比,IDEA在混淆性、擴散性、安全性以及加解密效率等方面具有較為明顯的優(yōu)勢,目前已經(jīng)在各種有加密需要的信息交換場景下得到了廣泛應(yīng)用。
03 管理協(xié)議設(shè)計
3.1 服務(wù)開設(shè)
安全管理系統(tǒng)和安全設(shè)備分別通過發(fā)布Web服務(wù)描述語言(Web Services Description Language,WSDL),對外提供基于SOAP的Web Service。雙方基于該WSDL實現(xiàn)對方發(fā)布的Web Service的客戶端,通過互相訪問實現(xiàn)信息的上行/下行傳輸。
3.2 數(shù)據(jù)定義
信息數(shù)據(jù)報文作為安全管理信息的載體,是安全管理系統(tǒng)和安全設(shè)備進行信息交互的核心。數(shù)據(jù)交換格式是系統(tǒng)間信息交換的編碼規(guī)范,是保證安全防護體系中各系統(tǒng)實現(xiàn)互連互通的基礎(chǔ)。
為了信息數(shù)據(jù)報文的通用性和可擴展性,在安全管理協(xié)議中,所有數(shù)據(jù)報文都以XML的格式描述。XML具有高可擴展性。使用XML對安全信息進行描述既能滿足基礎(chǔ)管理需求,也便于根據(jù)需要進行擴展,以實現(xiàn)管理協(xié)議的高效、通用,同時能滿足靈活、易擴展等需求。
如表1所示,根據(jù)報文作用的不同,將安全管理系統(tǒng)與安全設(shè)備之間的數(shù)據(jù)報文分為以下幾類。
表1 數(shù)據(jù)報文分類
針對報文類型的不同,安全管理系統(tǒng)和安全設(shè)備在進行信息傳輸時調(diào)用不同的接口方法,實現(xiàn)數(shù)據(jù)的分類處理。通過報文分類,方便安全設(shè)備的快速適配,同時便于后續(xù)擴展。
在設(shè)計管理協(xié)議時,需要充分考慮不同安全設(shè)備的相同點與差異性,同時協(xié)議設(shè)計需要有可擴展性,為后續(xù)新安全設(shè)備的加入留出空間。數(shù)據(jù)報文分為所有設(shè)備都應(yīng)遵循的通用數(shù)據(jù)格式(如設(shè)備運行狀態(tài)視圖)和針對某類設(shè)備的專用數(shù)據(jù)格式(如防火墻的網(wǎng)絡(luò)訪問控制策略)。所有數(shù)據(jù)報文均以語義化的方式進行描述,便于理解,也易于程序進行處理。
XML Schema定義(XML Schema Definition,XSD)是一種對XML文件的構(gòu)造進行定義的規(guī)范,能夠檢查給定的XML文件是否符合XSD的定義。安全管理協(xié)議對所有數(shù)據(jù)報文定義均通過XSD進行格式限制,以實現(xiàn)信息的規(guī)范化描述,同時便于接收方驗證信息的合法性,防止格式不正確的非法報文對系統(tǒng)性能造成影響。
3.3 交互流程
設(shè)備管理協(xié)議的交互流程如圖2所示。通過服務(wù)探測與配置信息發(fā)布,安全管理系統(tǒng)與安全設(shè)備建立管理關(guān)系。
圖2 協(xié)議交互流程
①安全管理系統(tǒng)訪問安全設(shè)備對外發(fā)布的Web Service地址,確認服務(wù)正常;
②安全管理系統(tǒng)向安全設(shè)備發(fā)送參數(shù)配置報文,告訴安全設(shè)備與安全管理系統(tǒng)進行信息交互時需要的必要信息;安全設(shè)備收到報文后,根據(jù)其中內(nèi)容將相關(guān)信息進行持久化保存,并向安全管理系統(tǒng)回復(fù)接收成功;
③完成步驟②后,設(shè)備根據(jù)參數(shù)配置報文中定義的各類數(shù)據(jù)上報模式和時間間隔,定期向安全管理系統(tǒng)上報數(shù)據(jù);當參數(shù)配置、安全策略有變化時,安全管理系統(tǒng)主動向安全設(shè)備下發(fā),安全設(shè)備根據(jù)報文進行解析執(zhí)行。
3.4 傳輸加密
為了確保管理數(shù)據(jù)在信息交換時的安全性,安全管理協(xié)議要求通信雙方在發(fā)送數(shù)據(jù)前,通過IDEA算法對數(shù)據(jù)報文進行加密,并使用加密后的密文進行信息交互。
安全管理系統(tǒng)會為每個設(shè)備分配唯一的加解密密鑰。即使單個設(shè)備的密鑰泄露,攻擊者在不知道其他設(shè)備密鑰的情況下,無法對其他設(shè)備的通信報文進行解密。
3.5 接口報文示例
安全管理系統(tǒng)和安全設(shè)備分別部署安全管理Web Service通信服務(wù),通過互相訪問實現(xiàn)安全設(shè)備視圖、策略、事件、日志上報和參數(shù)、策略下發(fā)等功能。一個典型的Web Service接口描述如下:
int reportInfo(String devID,String dataType,String xml)
該接口由安全管理系統(tǒng)發(fā)布,供安全設(shè)備調(diào)用,主要包含3個參數(shù)。第1個參數(shù)為安全設(shè)備的唯一標識。安全管理系統(tǒng)通過該參數(shù)區(qū)分來自不同設(shè)備的數(shù)據(jù),并以此為依據(jù)生成IDEA加解密使用的密鑰。第2個參數(shù)為加密后的數(shù)據(jù)報文標識,用以區(qū)分上報數(shù)據(jù)的具體類型,供接收方判斷應(yīng)該通過哪種方法對數(shù)據(jù)進行針對性處理。第3個參數(shù)為加密后的報文數(shù)據(jù),包含安全管理業(yè)務(wù)的真正數(shù)據(jù)。接口的返回值為int型數(shù)據(jù),根據(jù)不同的返回值,可以判斷接口調(diào)用是否成功或具體的錯誤類型。
下面是一個“通信參數(shù)配置”報文的具體實現(xiàn),以此為例說明數(shù)據(jù)格式的結(jié)構(gòu)與含義。
報文以XML格式封裝:第1行表示數(shù)據(jù)報文由UTF-8編碼方式進行編碼;第2行表示本報文的類型屬于配置報文,需要接收者按照配置報文的解析方式進行解析;第3行表示本報文具體類型屬通信參數(shù)配置,主要用于約束安全管理系統(tǒng)與安全設(shè)備間如何進行通信;第4行表示安全管理系統(tǒng)的IP地址是192.168.11.250;第5行表示安全管理系統(tǒng)開放的端口是8080;第6行表示安全管理系統(tǒng)給安全設(shè)備分配了一個唯一的設(shè)備ID,在后續(xù)通信中,安全設(shè)備需要將該設(shè)備ID作為自身的標識信息。安全設(shè)備收到該報文后進行解析,即可得知安全管理系統(tǒng)的IP地址、端口與分配給自己的身份標識。后續(xù)可利用該身份標識與安全管理系統(tǒng)進行通信。
3.6 效能分析
通過以上對報文各字段的分析可知,管理協(xié)議報文基于應(yīng)用層,以語義化的方式,通過定義不同字段名與該字段含義來表示不同的內(nèi)容。因此,可以針對不同安全設(shè)備特點定義不同的數(shù)據(jù)格式,實現(xiàn)安全管理信息的上傳和下發(fā),不存在系統(tǒng)平臺適配或轉(zhuǎn)換問題。
本文設(shè)計的網(wǎng)絡(luò)安全設(shè)備管理協(xié)議已經(jīng)在某大型安全防護系統(tǒng)中應(yīng)用,供安全管理系統(tǒng)和安全設(shè)備進行信息交互時使用。該安全防護系統(tǒng)廣泛部署于國內(nèi)各點位,多年來穩(wěn)定運行。經(jīng)過驗證,它能夠支撐安全管理系統(tǒng)與安全設(shè)備之間的通信需要,保障運維人員對整個網(wǎng)絡(luò)空間的統(tǒng)一安全管理。
04 結(jié) 語
安全運維管理的核心是安全數(shù)據(jù)的交互。本文從安全運維管理的現(xiàn)狀及需求出發(fā),提出了一種網(wǎng)絡(luò)安全設(shè)備管理協(xié)議,分析涉及的關(guān)鍵技術(shù),設(shè)計數(shù)據(jù)交換格式模型,能夠解決安全管理系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)交互問題。后續(xù)的工作主要包括進行數(shù)據(jù)壓縮優(yōu)化設(shè)計、提升編碼效率和傳輸性能等。
