CN101951384A - 一种分布式安全域逻辑边界保护方法 - Google Patents
一种分布式安全域逻辑边界保护方法 Download PDFInfo
- Publication number
- CN101951384A CN101951384A CN2010105000527A CN201010500052A CN101951384A CN 101951384 A CN101951384 A CN 101951384A CN 2010105000527 A CN2010105000527 A CN 2010105000527A CN 201010500052 A CN201010500052 A CN 201010500052A CN 101951384 A CN101951384 A CN 101951384A
- Authority
- CN
- China
- Prior art keywords
- security
- security domain
- domain
- user
- probe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公布了一种分布式安全域逻辑边界保护方法,包括创建统一的安全域管理策略;创建安全域管理策略服务器;创建安全域用户身份认证服务器;系统状态监视与日志审计服务器;实现位于不同操作系统平台的安全域边界保护探针。本发明基于分布式架构技术实现的安全域边界控制机制,实现对受保护信息资产的流向(是否跨越了安全域)与行为(是否对其他安全域造成威胁)检查与控制,从而将安全域保护从其物理边界扩展到安全域逻辑边界,实现在应用层上对信息资产的深度安全监测与细粒度的安全保护。
Description
技术领域
本发明涉及到一种分布式安全域逻辑边界保护技术,该技术基于统一安全域管理策略,实现对安全域的逻辑边界划分,并基于分布式架构,对位于安全域内主机安装安全域逻辑边界保护探针,实现安全域内用户对各类信息资产的生成、使用、传输等行为的监控。同时由各探针生成的安全事件信息,生成安全域的整体安全态势判断以及安全事件的追踪审计,从而实现满足安全管理目标的安全域逻辑边界保护。
背景技术
传统的安全保障系统中,边界保护是由网络防火墙来实现的。新的网络基础设施(如无线网络)的使用,以及新型网络应用(如web active content)和新型网络计算模式(如P2P)的出现,削弱了防火墙的安全检查和保障能力,各种穿透防火墙的攻击和威胁形式层出不穷。传统防火墙不能适应新的安全形势的需要,究其原因,在于两个方面。其一,传统防火墙技术以防火墙作为边界保护设备,保护的对象是网络,网络的安全边界为其物理边界且物理边界即为不同网络间的接入点。在新的网络形式下,这一假设已不再成立。无线网络改变了网络的物理边界形态,而web应用中的active content,以及P2P计算方式,改变了网络物理边界与安全边界重合的状况,使得网络物理边界与安全边界出现了分离。其二,目前防火墙的工作原理,主要是在网络的物理边界对进出网络的数据报文进行截获,按照既定的安全策略对数据流报文进行检查、分析和转发控制。由于采用连接中截获检查方式,以及对应用层协议报文进行深度检查的困难,防火墙难以对通过应用协议报文传送的数据或程序可能对被保护网络内终端的潜在威胁做出正确的判断和过滤处理。
发明内容
本发明是针对现有技术存在的缺陷,实现一种分布式安全域逻辑边界保护方法,它使得安全域的边界定位从传统的物理边界拓展到逻辑边界。将传统防火墙技术的保护机制从中段截获检查、控制方式拓展为中段控制与信息到达终端后的流向(是否跨越了安全域)与行为(是否对其他安全域造成威胁)检查、控制相结合的方式。从而突破传统防火墙技术的局限,通过安全域逻辑边界保护机制,解决目前防火墙技术难以应付的边界安全威胁,实现分布式安全边界保护目的。
本发明为实现上述目的,采用如下技术方案:
本发明一种分布式安全域逻辑边界保护方法包括如下步骤:
步骤1:创建统一的安全域管理策略,包括:创建信息资产标识库,即对待保护的信息资产,依据安全管理目标,标识其安全管理属性;根据不同的信息资产安全属性划分安全域,并针对每个安全域设定用户角色,制定角色权限将信息资产与角色权限相关联;根据安全管理目标,制定不同安全域的角色映射策略,实现跨安全域的信息资产访问;
步骤2:创建安全域管理策略服务器,该服务器提供用户管理人机界面,负责存储、维护与管理已定制的安全域管理策略;
步骤3:创建安全域用户身份认证服务器,该服务器负责实现各安全域内用户的身份认证,如果用户身份认证成功后,将用户绑定到不同的安全域角色;
步骤4:系统状态监视与日志审计服务器,该服务器负责监视接入各安全域内的各主机的工作状态,安全域网络运行状态,以及位于各主机上的安全域边界保护探针的工作状态;并生成日志,提供紧急情况报警以及日志分析人机界面;
步骤5:实现位于不同操作系统平台的安全域边界保护探针,该探针负责监测其所有主机上的信息资产的生成、使用、传输行为,并根据登录在该主机上用户角色权限,实现对以上行为的控制,生成安全事件日志。
优选地,所述的统一的安全域管理策略通过三个安全策略描述类:信息资产类、用户类和使用权限与条件类,来描述抽象的安全管理目标,并通过描述类的继承实现具体安全管理策略的定制。
优选地,所述跨安全域的角色映射,通过不同安全域之间的角色映射,支持用户在组织内多安全域的跨域安全访问,实现各安全域之间的安全的信息资产共享与细粒度的安全域逻辑边界安全保护。
优选地,分布式的安全域逻辑边界探针自我保护技术,通过在虚拟机实现的安全域逻辑边界探针,一部分运行于虚拟机之内,是探针的内核,另一部分则是运行在虚拟机之外,实现对用户行为的监视,并执行探针内核对用户行为审计的结果,从而实现对探针自我安全保护。
本发明具有如下有益效果:
1.安全域的逻辑边界概念:该概念的提出使得用户能实现细粒度的安全管理目标。由于安全域逻辑边界的划分,简化了安全管理复杂度,用户可以从安全域的安全管理目标、安全域内部安全管理目标二个不同的层次来设定安全管理目标;
2.拓展了安全域保护边界:将安全域保护边界从物理边界拓展到依据安全管理目标而标识的信息资产安全属性所划分的逻辑边界,从而满足了计算机新技术应用发展所带来的新安全防护需求;
3.统一的安全域管理策略机制:该安全策略机制通过三个安全策略描述类实现由安全管理抽象目标到具体安全策略的描述、定制,安全策略描述类的由高层抽象类到具体类的继承机制简化了策略定制的复杂度,排除安全策略之间可能出现的冲突;
4.安全域的角色映射机制:解决了组织内部多个安全域之间的信息资产的安全共享,角色的映射机制将隶属于不同安全域的角色映射到同一安全域的某个角色中,也简化了信息资产安全共享带来的安全管理复杂度;
5.实现信息资产的应用层安全保护:通过安全逻辑边界保护探针,实现基于系统内核的信息资产使用行为监控,与防火墙等基于网络层的安全保护技术相比,本技术能实现在应用层上对信息资产的更强有力的安全保护;
6.分布式的安全域边界保护:通过对位于安全域内不同主机之上的各探针生成的安全事件信息进行信息汇总与审计,生成安全域的整体安全态势判断和安全事件的审计;本技术相对于防火墙位于网络某个点的安全保护技术,对于安全域态势的判断更为准确,也能提供更多的审计结果;
7.边界保护探针的自身安全保护:采用虚拟机技术实现探针自身重要代码与数据的安全保护,进一步提高了本技术系统自身的安全可靠性,从而来增强了本技术对于安全域的保护能力。
附图说明
图1:本发明的系统部署图;
图2:本发明逻辑边界保护探针结构图;
图3:本发明的逻辑边界保护流程图。
具体实施方式
如图1和3所示,分布式安全域逻辑边界保护技术,包含以下几个步骤:
步骤1:创建统一的安全域管理策略,主要包括:创建信息资产标识库,即对待保护的信息资产,依据安全管理目标,标识其安全管理属性;根据不同的信息资产安全属性划分安全域,并针对每个安全域设定用户角色,制定角色权限将信息资产与角色权限相关联;根据安全管理目标,制定不同安全域的角色映射策略,实现跨安全域的信息资产访问;
步骤2:创建安全域管理策略服务器,该服务器提供用户管理人机界面,负责存储、维护与管理已定制的安全域管理策略;
步骤3:创建安全域用户身份认证服务器,该服务器负责实现各安全域内用户的身份认证,如果用户身份认证成功后,将用户绑定到不同的安全域角色;
步骤4:系统状态监视与日志审计服务器,该服务器负责监视接入各安全域内的各主机的工作状态,安全域网络运行状态,以及位于各主机上的安全域边界保护探针的工作状态;并生成日志,提供紧急情况报警以及日志分析人机界面;
步骤5:实现位于不同操作系统平台的安全域边界保护探针,该探针负责监测其所有主机上的信息资产的生成、使用、传输行为,并根据登录在该主机上用户角色权限,实现对以上行为的控制,生成安全事件日志。
如图2所示,分布式的安全域逻辑边界探针自我保护技术,通过在虚拟机实现的安全域逻辑边界探针,一部分运行于虚拟机之内,是探针的内核,另一部分则是运行在虚拟机之外,实现对用户行为的监视,并执行探针内核对用户行为审计的结果,从而实现对探针自我安全保护。
如图3所示,所述跨安全域的角色映射,通过不同安全域之间的角色映射,支持用户在组织内多安全域的跨域安全访问,实现各安全域之间的安全的信息资产共享与细粒度的安全域逻辑边界安全保护。
在本方法中,首先用户要创建统一的安全域管理策略服务器,包括:实现对安全域的划分,安全管理策略的定制,用户角色权限的规定,不同安全域的角色映射策略;创建信息资产标识库,即对现有的待保护的信息资产根据其安全属性管理目标,记录其信息资产标识;创建安全域用户身份认证服务器,该服务器负责实现各安全域内用户的身份认证,如果用户身份认证成功后,将用户绑定到不同的安全域角色;对位于不同操作系统平台的主机安装安全域边界保护探针;当用户登录到某个安全域内的主机时,该主机上的探针将对他进行身份验证,一旦其通过身份验证,该用户即被绑定到安全域内的某个角色上,具有安全策略所赋予的该角色权限;当用户使用主机中的信息资产,探针通过内核实现其使用信息资产的行为监控,主要是当用户生成新的信息资产时,探针将询问该信息资产的相关安全属性,并将该信息资产标识发送到信息资产标识库中;当用户使用某个信息资产时,探针通过对用户进程行为的监视,并根据其保存的安全策略,决定用户是否有权执行该项行为,同时生成安全事件信息发送到系统状态与日志审计服务器中;探针与系统状态向日志审计服务器间断性发送的其工作状态,使得本技术用户可以从全局分析当前安全域的安全态势;当安全策略发生变更时,安全域管理策略服务器将与安全域内所有探针进行交互,更新其安全策略库;系统状态向日志审计服务器与安全域管理策略服务器分别向用户提供人机界面实现对安全域安全态势判断与安全事件审计,以及安全策略的变更与维护管理。
Claims (4)
1.一种分布式安全域逻辑边界保护方法,其特征在于包括如下步骤:
步骤1:创建统一的安全域管理策略,包括:创建信息资产标识库,即对待保护的信息资产,依据安全管理目标,标识其安全管理属性;根据不同的信息资产安全属性划分安全域,并针对每个安全域设定用户角色,制定角色权限将信息资产与角色权限相关联;根据安全管理目标,制定不同安全域的角色映射策略,实现跨安全域的信息资产访问;
步骤2:创建安全域管理策略服务器,该服务器提供用户管理人机界面,负责存储、维护与管理已定制的安全域管理策略;
步骤3:创建安全域用户身份认证服务器,该服务器负责实现各安全域内用户的身份认证,如果用户身份认证成功后,将用户绑定到不同的安全域角色;
步骤4:系统状态监视与日志审计服务器,该服务器负责监视接入各安全域内的各主机的工作状态,安全域网络运行状态,以及位于各主机上的安全域边界保护探针的工作状态;并生成日志,提供紧急情况报警以及日志分析人机界面;
步骤5:实现位于不同操作系统平台的安全域边界保护探针,该探针负责监测其所有主机上的信息资产的生成、使用、传输行为,并根据登录在该主机上用户角色权限,实现对以上行为的控制,生成安全事件日志。
2.根据权利1所述的一种分布式安全域逻辑边界保护方法,其特征在于:所述的统一的安全域管理策略通过三个安全策略描述类:信息资产类、用户类和使用权限与条件类,来描述抽象的安全管理目标,并通过描述类的继承实现具体安全管理策略的定制。
3.根据权利1所述的一种分布式安全域逻辑边界保护方法,其特征在于:所述跨安全域的角色映射,通过不同安全域之间的角色映射,支持用户在组织内多安全域的跨域安全访问,实现各安全域之间的安全的信息资产共享与细粒度的安全域逻辑边界安全保护。
4.根据权利1所述的一种分布式安全域逻辑边界保护方法,其特征在于:分布式的安全域逻辑边界探针自我保护技术,通过在虚拟机实现的安全域逻辑边界探针,一部分运行于虚拟机之内,是探针的内核,另一部分则是运行在虚拟机之外,实现对用户行为的监视,并执行探针内核对用户行为审计的结果,从而实现对探针自我安全保护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010500052 CN101951384B (zh) | 2010-09-29 | 2010-09-29 | 一种分布式安全域逻辑边界保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010500052 CN101951384B (zh) | 2010-09-29 | 2010-09-29 | 一种分布式安全域逻辑边界保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101951384A true CN101951384A (zh) | 2011-01-19 |
| CN101951384B CN101951384B (zh) | 2013-08-07 |
Family
ID=43454744
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010500052 Expired - Fee Related CN101951384B (zh) | 2010-09-29 | 2010-09-29 | 一种分布式安全域逻辑边界保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101951384B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102387145A (zh) * | 2011-10-21 | 2012-03-21 | 北京航空航天大学 | 协同环境中访问控制策略冲突检测系统及方法 |
| CN103166944A (zh) * | 2011-12-19 | 2013-06-19 | 中国人民解放军63928部队 | 一种基于角色映射的跨安全域数据访问控制方法 |
| CN103354530A (zh) * | 2013-07-18 | 2013-10-16 | 北京启明星辰信息技术股份有限公司 | 虚拟化网络边界数据流汇聚方法及装置 |
| WO2013189059A1 (zh) * | 2012-06-21 | 2013-12-27 | 华为技术有限公司 | 报文处理方法、装置、主机和网络系统 |
| CN103905402A (zh) * | 2012-12-27 | 2014-07-02 | 北京中船信息科技有限公司 | 一种基于安全标签的保密安全管理方法 |
| CN105956460A (zh) * | 2016-05-12 | 2016-09-21 | 浪潮电子信息产业股份有限公司 | 一种信息安全管理的权限系统 |
| CN106068624A (zh) * | 2014-01-27 | 2016-11-02 | 霍尼韦尔国际公司 | 用于保护分布式控制系统(dcs)的装置和方法 |
| CN103684922B (zh) * | 2013-12-23 | 2017-02-15 | 蓝盾信息安全技术股份有限公司 | 基于sdn网络的出口信息保密检查检测平台系统及检测方法 |
| CN110768832A (zh) * | 2019-10-24 | 2020-02-07 | 中国计量大学 | 一种监测工业控制系统信息安全域的方法 |
| CN111614639A (zh) * | 2020-05-09 | 2020-09-01 | 深圳市云盾科技有限公司 | 一种基于边界理论的网络安全分析方法 |
| CN114070590A (zh) * | 2021-11-03 | 2022-02-18 | 中电科鹏跃电子科技有限公司 | 一种基于ibc的零信任防护方法及系统 |
| CN114124422A (zh) * | 2020-08-31 | 2022-03-01 | 北京书生网络技术有限公司 | 一种密钥管理方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001067682A1 (en) * | 2000-03-06 | 2001-09-13 | I2 Technologies, Inc. | Computer security system |
| CN1791115A (zh) * | 2005-12-26 | 2006-06-21 | 北京航空航天大学 | 分布式信任管理系统及获取分布式信任证链的方法 |
| CN101771698A (zh) * | 2010-01-15 | 2010-07-07 | 南京邮电大学 | 基于可扩展标记语言安全策略的网格访问控制方法 |
-
2010
- 2010-09-29 CN CN 201010500052 patent/CN101951384B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001067682A1 (en) * | 2000-03-06 | 2001-09-13 | I2 Technologies, Inc. | Computer security system |
| CN1791115A (zh) * | 2005-12-26 | 2006-06-21 | 北京航空航天大学 | 分布式信任管理系统及获取分布式信任证链的方法 |
| CN101771698A (zh) * | 2010-01-15 | 2010-07-07 | 南京邮电大学 | 基于可扩展标记语言安全策略的网格访问控制方法 |
Non-Patent Citations (2)
| Title |
|---|
| 傅德胜等: "基于数据挖掘的分布式网络入侵检测系统设计及实现", 《计算机科学》 * |
| 张光辉等: "基于角色映射和PBNM的多域安全访问控制模型", 《计算机应用研究》 * |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102387145B (zh) * | 2011-10-21 | 2014-03-12 | 北京航空航天大学 | 协同环境中访问控制策略冲突检测系统及方法 |
| CN102387145A (zh) * | 2011-10-21 | 2012-03-21 | 北京航空航天大学 | 协同环境中访问控制策略冲突检测系统及方法 |
| CN103166944A (zh) * | 2011-12-19 | 2013-06-19 | 中国人民解放军63928部队 | 一种基于角色映射的跨安全域数据访问控制方法 |
| CN103166944B (zh) * | 2011-12-19 | 2016-02-24 | 中国人民解放军63928部队 | 一种基于角色映射的跨安全域数据访问控制方法 |
| CN103650430B (zh) * | 2012-06-21 | 2016-06-22 | 华为技术有限公司 | 报文处理方法、装置、主机和网络系统 |
| US9634991B2 (en) | 2012-06-21 | 2017-04-25 | Huawei Technologies Co., Ltd. | Method, apparatus, host, and network system for processing packet |
| WO2013189059A1 (zh) * | 2012-06-21 | 2013-12-27 | 华为技术有限公司 | 报文处理方法、装置、主机和网络系统 |
| CN103650430A (zh) * | 2012-06-21 | 2014-03-19 | 华为技术有限公司 | 报文处理方法、装置、主机和网络系统 |
| CN103905402A (zh) * | 2012-12-27 | 2014-07-02 | 北京中船信息科技有限公司 | 一种基于安全标签的保密安全管理方法 |
| CN103354530B (zh) * | 2013-07-18 | 2016-08-10 | 北京启明星辰信息技术股份有限公司 | 虚拟化网络边界数据流汇聚方法及装置 |
| CN103354530A (zh) * | 2013-07-18 | 2013-10-16 | 北京启明星辰信息技术股份有限公司 | 虚拟化网络边界数据流汇聚方法及装置 |
| CN103684922B (zh) * | 2013-12-23 | 2017-02-15 | 蓝盾信息安全技术股份有限公司 | 基于sdn网络的出口信息保密检查检测平台系统及检测方法 |
| CN106068624B (zh) * | 2014-01-27 | 2020-02-07 | 霍尼韦尔国际公司 | 用于保护分布式控制系统(dcs)的装置和方法 |
| CN106068624A (zh) * | 2014-01-27 | 2016-11-02 | 霍尼韦尔国际公司 | 用于保护分布式控制系统(dcs)的装置和方法 |
| CN105956460A (zh) * | 2016-05-12 | 2016-09-21 | 浪潮电子信息产业股份有限公司 | 一种信息安全管理的权限系统 |
| CN110768832A (zh) * | 2019-10-24 | 2020-02-07 | 中国计量大学 | 一种监测工业控制系统信息安全域的方法 |
| CN110768832B (zh) * | 2019-10-24 | 2022-07-26 | 中国计量大学 | 一种监测工业控制系统信息安全域的方法 |
| CN111614639A (zh) * | 2020-05-09 | 2020-09-01 | 深圳市云盾科技有限公司 | 一种基于边界理论的网络安全分析方法 |
| CN114124422A (zh) * | 2020-08-31 | 2022-03-01 | 北京书生网络技术有限公司 | 一种密钥管理方法及装置 |
| CN114124422B (zh) * | 2020-08-31 | 2023-09-12 | 北京书生网络技术有限公司 | 一种密钥管理方法及装置 |
| CN114070590A (zh) * | 2021-11-03 | 2022-02-18 | 中电科鹏跃电子科技有限公司 | 一种基于ibc的零信任防护方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101951384B (zh) | 2013-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101951384B (zh) | 一种分布式安全域逻辑边界保护方法 | |
| US11526610B2 (en) | Peer-to-peer network for blockchain security | |
| Abir et al. | Iot-enabled smart energy grid: Applications and challenges | |
| CN101309180B (zh) | 一种适用于虚拟机环境的安全网络入侵检测系统 | |
| CN112766672A (zh) | 一种基于全面评估的网络安全保障方法及系统 | |
| CN111092910B (zh) | 数据库安全访问方法、装置、设备、系统及可读存储介质 | |
| CN109413000A (zh) | 一种防盗链方法及防盗链网关系统 | |
| CN104753952A (zh) | 基于虚拟机业务数据流的入侵检测分析系统 | |
| CN112073431B (zh) | 工控系统网络的安全防御方法及系统 | |
| Hamad et al. | Red-Zone: Towards an Intrusion Response Framework for Intra-vehicle System. | |
| CN106341369A (zh) | 安全控制方法及装置 | |
| Lin et al. | Analysing security threats and vulnerabilities using abuse frames | |
| Coppolino et al. | A framework for mastering heterogeneity in multi-layer security information and event correlation | |
| Zahid et al. | A security risk mitigation framework for cyber physical systems | |
| Magare et al. | Security and privacy issues in smart city: Threats and their countermeasures | |
| CN109729089A (zh) | 一种基于容器的智能网络安全功能管理方法及系统 | |
| D’Antonio et al. | Increasing security and protection through infrastructure resilience: the INSPIRE project | |
| Mitsarakis | Contemporary Cyber Threats to Critical Infrastructures: Management and Countermeasures | |
| Klein et al. | A threat model for vehicular fog computing | |
| CN113971288A (zh) | 一种基于大数据技术智慧校园安全管控平台 | |
| Bellini et al. | Cyber-resilience | |
| Uemura et al. | Availability analysis of a scalable intrusion tolerant architecture with two detection modes | |
| Chauhan et al. | Measures and Preventions of Cyber Policies in Smart Cities | |
| Djambazova et al. | Emerging and future cyber threats to critical systems | |
| CN112866220B (zh) | 一种基于cia状态机的安全管控方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130807 Termination date: 20160929 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |