專利名稱：網(wǎng)絡安全審計策略編輯方法及系統(tǒng)的制作方法
技術領域：
本發(fā)明涉及基于角色訪問控制(Role Based Access Control:RBAC) 的網(wǎng)絡安全審計策略編輯方法及系統(tǒng)，屬于計算機網(wǎng)絡安全領域。
背景技術：
基于角色訪問控制的網(wǎng)絡安全審計系統(tǒng)是通過將網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包 進行協(xié)議解析，再根據(jù)事先定義好的策略進行用戶的操作行為審計。通常， 網(wǎng)絡安全類產(chǎn)品都支持多種應用層協(xié)議，業(yè)務用戶可以通過計算機網(wǎng)絡訪 問相關服務，進行細粒度審計；而進行細粒度審計服務是企業(yè)實現(xiàn)業(yè)務安 全的必選方案?；诮巧L問控制的網(wǎng)絡安全審計系統(tǒng)的一個核心功能單 元是審計策略的制訂，在審計策略的制定中，除了需要充分體現(xiàn)審計對象 的本身屬性外，還必須準確反映出各個審計對象之間復雜的邏輯關系。
大多數(shù)基于角色訪問控制的網(wǎng)絡安全審計系統(tǒng)的策略定義通常采用逐 步定義出審計對象，并通過樹的形式體現(xiàn)審計對象之間的關系的方式來實 現(xiàn)。這種方式存在著以下局限性
1. 應用這種方式實現(xiàn)的策略定義操作方式單一，如果策略信息很大，
通常需要花費很長的時間，而且存在很多類似操作；
2. 由于缺少一個可管理的模式，造成難以與其他系統(tǒng)進行集成；
3. 策略重用性不好，即使需要審計的內(nèi)容有很大的相似性， 一個部署 上定義的策略無法在與其相似的另一個部署上重復使用。

發(fā)明內(nèi)容
為了克服現(xiàn)有技術在審計策略定義方式上的上述缺陷，本發(fā)明提供一 種網(wǎng)絡安全審計策略編輯方法及系統(tǒng)，其以XML文件方式保存基于角色訪問控制的網(wǎng)絡審計系統(tǒng)的策略信息，以實現(xiàn)對審計策略進行導出、導入、
復制、粘貼等操作，簡化策略制定過程。本發(fā)明的所采用的技術方案是 一種網(wǎng)絡安全審計策略編輯方法，包括如下步驟
步驟1按照"角色訪問主機的服務進行特定操作"的邏輯關系定義保 護主機、保護服務、角色和訪問規(guī)則等數(shù)據(jù)信息，將其作為審計對象保存 到數(shù)據(jù)庫中；
步驟2按照步驟1中所述的邏輯關系將已定義的數(shù)據(jù)信息寫入XML 文件，以實現(xiàn)導出操作；
步驟3將已導出的XML文件中的信息寫入數(shù)據(jù)庫，以實現(xiàn)導入操作； 步驟4按照步驟1中所述的邏輯關系將所述己定義的數(shù)據(jù)信息寫入
XML文件，然后再寫入內(nèi)存，以實現(xiàn)復制操作；
步驟5將步驟4中寫入內(nèi)存的信息寫入數(shù)據(jù)庫，以實現(xiàn)粘貼操作。
基于上述方法的一種網(wǎng)絡安全審計策略編輯系統(tǒng)，其包括 一個或多 個終端服務器；數(shù)據(jù)存儲裝置；網(wǎng)卡；以及，數(shù)據(jù)輸入裝置和輸出裝置。 所述系統(tǒng)還包括以下邏輯處理單元
策略定義單元，用于定義保護主機、保護服務、角色和訪問規(guī)則等數(shù)據(jù) 信息；
XML操作單元，用于將保護主機、保護服務、角色和訪問規(guī)則等數(shù)據(jù) 信息以及各數(shù)據(jù)信息之間的關系保存為XML文件對象的操作單元;該XML 操作單元還用于將XML文件對象還原為保護主機、保護服務、角色和訪問 規(guī)則等數(shù)據(jù)信息的操作單元；
剪切板操作單元，用于將操作對象保存到剪切板中和從剪切板中還原 操作對象的功能單元。
以上各個邏輯處理單元之間的連接關系是首先，通過策略定義單元
定義好保護主機、保護服務、角色和訪問規(guī)則等數(shù)據(jù)信息作為審計對象。
各審計對象之間的邏輯關系是通過屬性中外健保存的，定義時體現(xiàn)在對象
5的樹型結構關系上。在定義完審計對象后通過XML操作單元將所述審計 對象保存為XML文件，從而實現(xiàn)導出操作；將審計對象保存為XML對象， 再通過剪切板操作單元進一歩將xml對象保存到剪切板中實現(xiàn)復制操作。
以上兩個操作步驟反過來也成立，也就是說，通過XML操作單元將 XML文件解析成審計對象，實現(xiàn)策略導入操作；通過剪切板操作單元將其 中的XML對象轉換成審計對象，實現(xiàn)策略的粘貼操作。
本發(fā)明的有益效果是應用本發(fā)明的方法可以方便策略傳輸，為分布 式管理帶來便利。具體地，應用本發(fā)明的審計策略實現(xiàn)的導入、導出、復 制和粘貼等操作大大簡化了策略的制定過程；策略重用性好，只需一次性 定義好審計對象，就可以在業(yè)務相似的環(huán)境中稍加修改或不用修改而多次 使用己定義好的審計對象，而且，應用本發(fā)明的策略的部署方便易行；應 用XML這種標準的存儲模式存取審計策略，方便了與第三方或其他子系統(tǒng) 的集成。


圖1為根據(jù)本發(fā)明的一種網(wǎng)絡安全審計的策略編輯方法流程圖； 圖2為根據(jù)本發(fā)明的一種網(wǎng)絡安全審計的策略編輯系統(tǒng)結構圖； 圖3為根據(jù)本發(fā)明實現(xiàn)的對審計策略導出、復制、導入和粘貼方法流
程圖。
具體實施例方式
下面結合附圖和具體實施例對本發(fā)明進一步說明
實施例1:我們結合具體的實施例來說明根據(jù)本發(fā)明的一種網(wǎng)絡安全 審計的策略編輯方法整個實現(xiàn)過程。如圖3所示的一種網(wǎng)絡安全審計策略 編輯方法的流程圖，其包括如下步驟
步驟1按照"角色訪問主機的服務進行特定操作"的邏輯關系定義好保護主機、保護服務、角色和訪問規(guī)則等數(shù)據(jù)信息，將其作為審計對象保
存到數(shù)據(jù)庫中；所述"角色訪問主機的服務進行特定操作"的邏輯關系體 現(xiàn)為主機對象包含了哪些服務對象，具體表示主機提供什么服務，或者理 解為主機的哪些服務需要進行審計。服務對象下面定義了需要訪問服務的 角色，將角色的訪問操作定義為訪問規(guī)則，這樣就形成一種樹狀邏輯關系。
步驟2按照步驟1中的邏輯關系將已定義的信息寫入XML文件， 以實現(xiàn)導出操作；
步驟3將己導出的XML文件中的數(shù)據(jù)信息即審計對象寫入數(shù)據(jù)庫， 以實現(xiàn)導入操作；
步驟4按照步驟1中的邏輯關系將已定義的數(shù)據(jù)信息即審計對象寫 入XML文件，再寫入內(nèi)存以實現(xiàn)復制操作；
步驟5將步驟4中寫入內(nèi)存的數(shù)據(jù)信息即審計對象寫入數(shù)據(jù)庫以實 現(xiàn)粘貼操作。
在本實施例中的上述步驟l中的主機，是需要通過審計進行保護的主 機，定義時需要提供IP地址、類型等數(shù)據(jù)信息。
服務是業(yè)務主機提供的應用，根據(jù)審計系統(tǒng)的能力不同可以包含 telnet、 http、 ftp等服務。
訪問規(guī)則定義出了需要進行審計的用戶操作行為。在一個實施例中， 審計用戶A進行的telnet刪除操作，就可以用一條訪問規(guī)則來定義。如何 定義規(guī)則主要是方便審計引擎的理解和解析，在此基礎上最好能保持一定 的通用性。在一個實施例中，可以使用下面的格式來表示
telnet—input[〃nocase]八del 語義上可以理解為telnet用戶輸入包含del命令(刪除命令)。
角色的定義設定了以什么樣的形式來審計訪問業(yè)務主機的一類業(yè)務用 戶，在一個實施例中，例如可以包括規(guī)則匹配后是否記錄上下行報文、是 否記錄TCP會話數(shù)據(jù)等信息。
審計對象之間的組織關系是樹形關系，主機下是各種服務，每個服務
7下并列有角色和訪問規(guī)則。各個審計對象之間以這樣樹形關系組織起來是 為了反應出"角色訪問主機的服務進行特定操作"的關系。
上述步驟2中使用XML文件來存儲策略信息，主要是因為XML除了 可以很好地體現(xiàn)審計對象的本身屬性外，還可以更好地表現(xiàn)審計對象之間 的關系，給應用處理帶來很大便利。
上述步驟3中將己導出的XML文件中的數(shù)據(jù)信息寫入數(shù)據(jù)庫，將XML 文件中的數(shù)據(jù)信息按照它們的組織關系存儲到數(shù)據(jù)庫相關表中，以達到策 略導入的目的。
上述步驟4中的復制操作過程是先將策略信息寫入XML文件，再 將XML文件映射到內(nèi)存剪切板中，達到復制的效果。
上述步驟5中的粘貼操作將步驟4中寫入內(nèi)存的數(shù)據(jù)信息按照步驟3 中的方法寫入數(shù)據(jù)庫中，以達到粘貼的效果。 實施例2:下面結合具體數(shù)據(jù)對實施例1作進一步說明。
首先，假設我們有一臺業(yè)務主機，它主要提供telnet服務，現(xiàn)在我們 需要對訪問該業(yè)務主機的用戶操作行為進行審計。審計規(guī)則可以這樣定義， 首先定義主機對象，我們將該主機對象命名為Serverl01; ID為該主機 對象的唯一標識，取值為001;該主機對象的IP地址為192.168.30.101; 類型為單主機，取值為l;當然，還可以定義服務對象是子網(wǎng)。
然后定義服務，這里服務定義為Telnet;同樣存在一個ID,取值為 001;服務還要有一個端口號，telnet協(xié)議的端口號取值23。
接下來定義角色Role,角色主要決定了操作規(guī)則匹配后審計引擎的動
作，這里我們定義報警方式為l代表報警；日志級別1，表示中級；是 否記錄上下行報文l代表是。
最后定義訪問規(guī)則Rule,假定我們要審計所有以roo用戶名訪問 telnet服務的登錄動作，可以這樣表示telnet_user[,,nocase〗Aroo;
定義好審計對象后，我們的審計策略就制定完畢了。
定義好審計對象和服務之后，需要關注的就是審計策略管理方式了，
8這也是本發(fā)明的主題；審計策略管理方式包括導出、導入、復制和粘貼等
操作。導出和復制操作都需要將對象數(shù)據(jù)及它們的關系保存到xml對象中，在一個實施例中，組織后xml文件內(nèi)容如下< Server
IpAddr=〃192.168.30.101〃ServerID=〃001〃ServerName=〃Serve r 101 〃Se rve rTy pe=T><Service
Port=〃23〃ServiceID=〃16〃ServiceName="Telnet〃><Rule Expr=〃 telnet—usr[〃nocase]八L〃Port-〃23'、</Rule>
<Role AlertType=〃l〃DefaultLogLevl = 〃l〃Rec="l"></Role></Service></Server>
該xml文件依次定義了服務主機的IP地址為〃192.168.30.101〃，服務主機ID為〃001〃，服務主機名稱為〃Serverl01"，服務主機類型
為〃1〃；然后對該服務主機對象定義服務，服務端口 "23"，服務ID: 〃16〃，
服務名稱"Telnet";并在該服務中定義訪問規(guī)則"telnet_usr[,,nocase]AL，[HA、。，，，^n: "23"，同時在該服務中定義
角色，該角色的報警類型為"l"，缺省標識級別為"l"，響應級別為"l"。
將此xml對象保存為xml文件就實現(xiàn)了策略導出，而復制操作就是將這個xml對象保存到剪切板中；導入和粘貼操作就是上面兩項操作的逆操作過程。要進行導入操作就需要遍歷這個文件中的內(nèi)容，按照文件中的關系將信息依次寫入數(shù)據(jù)庫，而粘貼操作就直接操作內(nèi)存剪切板中的數(shù)據(jù)就可以了。
實施例3:圖1為根據(jù)本發(fā)明的一種網(wǎng)絡安全審計的策略編輯方法流程圖，如圖中所示，根據(jù)本發(fā)明的實施例，首先定義保護主機等審計對象信息；然后以XML為媒介，將審計對象寫入XML文件以實現(xiàn)導出操作；再將XML文件寫入內(nèi)存數(shù)據(jù)庫以實現(xiàn)導入操作，在該實施例中，XML以完整的策略形式存在，方便存儲和網(wǎng)絡傳輸。
實施例4:如圖2所示的根據(jù)本發(fā)明的一種網(wǎng)絡安全審計的策略編輯
系統(tǒng)邏輯處理單元結構圖，該系統(tǒng)由三個部分構成審計對象定義單元(也
即策略定義單元)；XML操作單元；剪貼板操作單元。
策略定義單元用于定義保護主機、保護服務、角色和訪問規(guī)則等數(shù)據(jù)信息；XML操作單元，用于將保護主機、保護服務、角色和訪問規(guī)則等數(shù)據(jù)信息以及各數(shù)據(jù)信息之間的關系保存為XML文件對象的操作單元;該XML操作單元還用于將XML文件對象還原為保護主機、保護服務、角色和訪問規(guī)則等數(shù)據(jù)信息的操作單元；剪切板操作單元，用于將操作對象保存到剪切板中和從剪切板中還原操作對象的功能單元。
各個邏輯處理單元之間的連接關系是首先，通過策略定義單元定義
好保護主機、保護服務、角色和訪問規(guī)則等數(shù)據(jù)信息作為審計對象；各審
計對象之間的邏輯關系是通過屬性中外健保存的，定義時體現(xiàn)在對象的樹
型結構關系上；在定義完審計對象后通過XML操作單元將所述審計對象
保存為XML文件，從而實現(xiàn)導出操作；將審計對象保存為XML對象，再
通過剪切板操作單元進一步將xml對象保存到剪切板中實現(xiàn)復制操作。以
上兩個操作步驟反過來也成立，也就是說，通過XML操作單元將XML文
件解析成審計對象，實現(xiàn)策略導入操作；通過剪切板操作單元將其中的
XML對象轉換成審計對象，實現(xiàn)策略的粘貼操作。
上述僅為本發(fā)明的較佳實施例，并不用來限定本發(fā)明的實施范圍。也就是說，任何依照本發(fā)明的權利要求范圍所做的同等變化與修改，皆為本發(fā)明的權利要求范圍所涵蓋。
10
權利要求
1.一種網(wǎng)絡安全審計策略編輯系統(tǒng)，該系統(tǒng)包括一個或多個終端服務器，數(shù)據(jù)存儲裝置，網(wǎng)卡，以及數(shù)據(jù)輸入裝置和輸出裝置，其特征在于包括以下邏輯處理單元策略定義單元，定義保護主機、保護服務、角色和訪問規(guī)則等數(shù)據(jù)信息；XML操作單元，用于操作XML文件對象；剪切板操作單元，用于操作剪切板對象，將操作對象保存到剪切板中和從剪切板中還原操作對象的功能單元。
2. 根據(jù)權利要求l所述的一種網(wǎng)絡安全審計策略編輯系統(tǒng)，其特征還在于所述XML操作單元用于將所述保護主機、保護服務、角色和訪問規(guī)則等數(shù)據(jù)信 息以及各數(shù)據(jù)信息之間的關系保存為XML文件對象的操作單元。
3. 根據(jù)權利要求l所述的一種網(wǎng)絡安全審計策略編輯系統(tǒng)，其特征還在于 所述XML操作爭元還用于將所述XML文件對象還原為保護主機、保護服務、 角色和訪問規(guī)則等數(shù)據(jù)信息的操作單元。
4. 根據(jù)權利要求1所述的一種網(wǎng)絡安全審計的策略編輯系統(tǒng)，其特征在于 將所述策略定義單元中保護主機、保護服務、角色和訪問規(guī)則之間的邏輯關系 體現(xiàn)在XML文件中，以實現(xiàn)導出操作。
5. 根據(jù)權利要求1所述的一種網(wǎng)絡安全審計的策略編輯系統(tǒng)，其特征在于 將能體現(xiàn)所述策略邏輯關系的XML文件寫入剪切板，進而實現(xiàn)復制和粘貼操作。
6. 根據(jù)權利要求1所述的一種網(wǎng)絡安全審計策略編輯系統(tǒng)，其特征還在于所述邏輯處理單元之間的連接關系是首先，通過策略定義單兀定義好保擴主機、保護服務、角色和訪問規(guī)則等數(shù)據(jù)信息作為審計對象，各審訃對象之間的邏輯關系是通過屬性中外健保存的，定義時體現(xiàn)在對象的樹型結構關系上；定 義完審計對象后，通過XML操作單元將所述審計對象保存為XML文件，從而 實現(xiàn)導出操作；將審計對象保存為XML對象，再通過剪切板操作單元進一步將 xml對象保存到剪切板中實現(xiàn)復制操作；以上兩個操作歩驟反過來也成立，也 就是說，反過來，通過XML操作單元將XML文件解析成審計對象，實現(xiàn)策略導入操作；通過剪切板操作單元將其中的XML對象轉換成審計對象，實現(xiàn)策略 的粘貼操作。
7. —種網(wǎng)絡安全審計策略編輯方法，包括如下歩驟步驟1按照"角色訪問主機的服務進行特定操作"的邏輯關系定義保護主 機、保護服務、角色和訪問規(guī)則等數(shù)據(jù)信息，將其作為審計對象保存到數(shù)據(jù)庫中；步驟2按照步驟1屮所述的邏輯關系將已定義的數(shù)據(jù)信息寫入XML文件， 以實現(xiàn)導出操作；歩驟3將已導出的XML文件中的信息寫入數(shù)據(jù)庫，以實現(xiàn)導入操作； 步驟4按照歩驟1中所述的邏輯關系將所述己定義的數(shù)據(jù)信息寫入XML 文件，然后再寫入內(nèi)存，以實現(xiàn)復制操作；步驟5將歩驟4中寫入內(nèi)存的信息寫入數(shù)據(jù)庫，以實現(xiàn)粘貼操作。
8. 根據(jù)權利要求7所述的一種網(wǎng)絡安全審計策略編輯方法，其特征還在于 所述"角色訪問主機的服務進行特定操作"的邏輯關系是指，主機對象包含了 哪些服務對象，也就是說，主機對象具體提供什么服務，或者主機對象的哪些 服務需要進行審計。
9.根據(jù)權利要求8所述的一種網(wǎng)絡安全審計策略編輯方法，其特征還在丁-所述服務對象下面定義了需要訪問服務的角色，并將角色的訪問操作定義為訪問規(guī)則，這樣就形成一種樹狀邏輯關系。
全文摘要
本發(fā)明提供了一種基于角色訪問控制(RBAC)的網(wǎng)絡安全審計策略編輯方法及系統(tǒng)。其技術方案是以XML文件作為媒介，保存基于角色訪問控制的網(wǎng)絡審計系統(tǒng)的策略信息，進而實現(xiàn)對審計策略導出、導入、復制和粘貼等操作。根據(jù)本發(fā)明提供的方法，可以簡化策略制定過程，并且方便策略傳輸，為分布式管理帶來便利。
文檔編號H04L12/24GK101651555SQ20081011838
公開日2010年2月17日 申請日期2008年8月15日 優(yōu)先權日2008年8月15日
發(fā)明者李一博, 趙振東 申請人:北京啟明星辰信息技術股份有限公司;北京啟明星辰信息安全技術有限公司