摘要:一般通过在受保护主机上安全防火墙和入侵检测机制,或者在网络设备上设置访问控制技术来实现网络安全防护。该文主要讨论了主动式网络安全监控系统,在分析主动式网络监控系统设计基础上,针对企业网非法接入防范子系统采用的SNMP协议进行相关分析。
关键词:信息安全;网格安全管理;SNMP
中图分类号:TP393.08文献标识码:A文章编号:1009-3044(2009)13-3360-02
1 引言
当今信息安全技术主要包括密码技术、身份认证、访问控制、入侵检测、风险分析与评估等诸多方面。在实际运用中,这些安全技术相互支持与协作,各自解决安全问题的某一方面。目前人们关注的重点在入侵检测、密码技术等,作为访问控制没有得到应有的重视,事实上访问控制是一个安全信息系统下不可或缺的安全措施。访问控制就是通过某种途径显式地限制对关键资源的访问[1-2]。防止因非法用户的侵入或合法用户的不慎操作所造成的破坏。本文主要讨论了主动式网络安全监控系统,在分析主动式网络监控系统设计基础上,针对企业网非法接入防范子系统采用的SNMP协议进行相关分析。
2 网络管理概述
随着网络技术的发展,网络规模增大,复杂性也增加,以前的网络管理技术已经无法适应这一情况,特别是由于以往的网络管理系统往往是生产制造厂商在自已的网络系统中开发的应用系统,很难对其它厂商的网络系统、通信设备等进行管理,这种状况很不适应网络异构互联的发展趋势。网络管理一般采用管理—代理的管理结构。网络管理站是实施网络管理的处理实体,驻留在管理工作站上,它是整个网络系统的核心,完成复杂网络管理的各项功能,如排除网络故障、配置网络等,一般位于网络中的一个主机节点上。被管代理(简称代理)是配合网络管理的处理实体,驻留在被管理对象上。被管代理监测所在网络部件的工作状况,收集有关网络信息。公共网络管理协议描述了管理器与被管代理之间的数据通信机制。
3 主动式网络安全监控系统
3.1 需求分析
一般企业网内部资源的安全策略(诸如访问权限、存取控制等)是基于IP地址进行的,如果入侵者利用管理方面的漏洞,盗取合法用户的权限或IP地址,将会对企业内部造成重大损失,因此,系统主要从以下几个方面考虑安全监控问题:
1)企业网内部主机资源的安全。 企业网内部主机除了应用传统的防火墙、入侵检测系统以外,还可应用强制访问控制机制对本机内部的重要资源实施强制访问控制保护;
2)入侵检测。在发现非法攻击或者非法用户企图操作主机文件时,可通过入侵检测机制发现入侵者来源,阻断入侵者的非法操作,记录入侵主机相关信息等;
3)企业网的接入安全 企业网安全监控的另一主要目的即对企业网内部的非法接入进行监控,发现非法入网者,主动地采取相关措施避免和阻止类似情况的发生,实现企业网安全的外部屏障;
4)安全审计,监控系统应当具备记录监控信息的能力;
5)通讯机制,除了各子系统本身的主动式的反应机制、通讯机制和控制机制以外,监控系统还应当建立通讯体系,向上级监控模块提供安全监控信息,为管理机构制定相关策略提供有价值的参考。
3.2 ANSMS 系统设计方案
主动式网络安全监控系统(ANSMS,Active Network Security Monitor System)从功能上可分为两个子系统:主机强制访问控制监控子系统(MACMS,Mandatory Access Control Monitor Subsystem)和企业网非法接入防范子系统(ICMS,Illegal Connection Monitor Subsystem)。主机强制访问控制监控子系统主要分为四个模块:强制访问控制模块、入侵检测模块、审计模块和通讯模块。
1)强制访问控制模块:建立和管理安全标签库,实现对用户进程和文件安全标签的管理,在对进程和文件的安全标签进行比较后,根据相关规则决定进程对文件的操作权限和操作方式;
2)入侵检测模块,检测网络入侵操作并进行阻断,记录入侵主机的IP地址和入侵时间,将其记入安全日志当中;
3)安全审计模块 对强制访问控制的监控信息进行安全审计,记录入侵主机和非法操作进程,统计和审核,对高危险性和频繁多发的操作进行分类和统计;
4)通讯模块 与安全监控模块实现通讯,及时地通报和汇总安全信息。企业网非法接入防范子系统主要分为四个模块:非法接入的检测模块、非法接入的处理模块和审计模块。
4 企业网防范非法接入监控子系统
4.1 非法接入防范策略
非法接入是指没有经过科技部门允许直接将各类计算机和移动设备接入内联网的行为。网络上出现不经常使用的IP、IP和MAC映射表与科技部门认定的不一致等现象,都可以认为是非法接入。这类非法事件虽不是暴力入侵,但可能在内联网传播病毒、移植木马和泄露内联网业务机密信息等严重的后果,而且发生的主要原因是内控措施不利和内部人员的安全意识不够,所以很难预防和控制。
非法接入的主要途径——IP 地址盗用侵害了 Internet 网络的中正常用户的权益,并且给网络计费、网络安全和网络运行带来巨大的负面影响,因此解决 IP地址盗用成为当前一个迫切的问题。基于IP盗用的非法接入的形式繁多,常见的主要有以下几种:不经过系统分配自己配置IP地址;修改 IP-MAC 地址对为合法用户的地址;收发数据包时修改IP 地址。
在上述防范措施的基础上,结合用户认证和IP-MAC-PORT三者绑定的技术,首先确保合法用户通过认证,再通过SNMP协议编写相关的网络管理软件,轮询交换机等网络设备,获取当前网络中主机的IP地址和MAC地址等信息,与原始IP-MAC对照表进行比对,进而发现非法的IP地址和接入点。企业网监控着重于监控网络当前主机状况,发现非法接入点,采取相关行动阻止非法用户接入网内。具体的设计方案为:用户注册模块,IP盗用检测模块,IP盗用处理模块,安全审计模块,通讯模块和安全监控模块。
4.2 简单网络管理协议 SNMP
SNMP 的网络管理模型包括以下关键元素:管理站、代理者、管理信息库、网络管理协议。管理站一般是一个分立的设备,也可以利用共享系统实现。管理站被作为网络管理员与网络管理系统的接口。SNMP 中的对象是表示被管资源某一方面的数据变量。对象被标准化为跨系统的类,对象的集合被组织为管理信息库(MIB,Management Information Base)。MIB 作为设在代理者处的管理站访问点的集合,管理站通过读取 MIB 中对象的值来进行网络监控。管理站可以在代理者处产生动作,也可以通过修改变量值改变代理者处的配置。
SNMP 的规范 SMI(Structure of Management Information)为定义和构造MIB提供了一个通用的框架。同时也规定了可以在MIB中使用的数据类型,说明了资源在 MIB 中怎样表示和命名。SMI 避开复杂的数据类型是为了降低实现的难度和提高互操作性。MIB 中的每个对象类型都被赋予一个对象标识符(OID),以此来命名对象。另外,由于对象标识符的值是层次结构的,因此命名方法本身也能用于确认对象类型的结构。
在 TCP/IP 网络管理的建议标准中,提出了多个相互独立的 MIB,其中包含为 Internet 的网络管理而开发的 MIB-II。管理站和代理者之间以传送 SNMP 消息的形式交换信息。每个消息包含一个指示 SNMP 版本号的版本号,一个用于本次交换的共同体名,和一个指出 5 种协议数据单元之一的消息类型。
4.3 非法接入防范子系统
SNMP++是一套 C++类的集合,它为网络管理应用的开发者提供了 SNMP 服务。SNMP++并非是现有的 SNMP 引擎的扩充或者封装。事实上为了效率和方便移植,它只用到了现有的 SNMP 库里面极少的一部分。SNMP++也不是要取代其他已有的 SNMPAPI,比如 WinSNMP。SNMP++只是通过提供强大灵活的功能,降低管理和执行的复杂性,把面向对象的优点带到了网络编程中。可以利用SNMP++来实现非法接入防范子系统的设计相关工作。在具体过程中需要考虑:
1)非法用户只修改IP地址,通过比较原始IP地址分配表可发现非法的IP地址,进而关闭其端口,阻止其接入企业网;
2)非法用户成对修改 IP-MAC 地址方面。
5 结束语
随着 Internet 的运用愈加广泛,网络安全和信息安全的问题日益突出,入侵主机通过修改相关设置入侵企业网并在网内主机上安置木马程序,对企业网内部资源造成很大的危害,严重影响了企业网内部资源的共享和保密性要求。论文提出的主动式网络安全监控可有效的解决本地和网络入侵以及外部非法接入的隐患,具有较高的安全性、易用性和可扩展性。
参考文献:
[1] 陈伟,王艳涛,张书钦.基于主机标识的访问控制模型研究[J].通信技术,2009(3).
[2] 皮建勇,巩明树,刘心松,等.基于访问控制的主机异常入侵检测模型[J].计算机应用研究,2009(2).