（计算机应用技术专业论文）san环境下信息安全的协同防御与数据恢复技术的研究.pdf

上海大学硕士学位论文 捅矍 s a n ( s t o r a g ea r e an e t w o r k ) 技术在近些年快速发展的同时，s a n 环境下 的信息安全也越来越受到人们的关注。s a n 环境下信息安全的研究主要表现为 两个方面：一是s a n 行业在加快对s a n 信息安全标准的规划与制订；二是从s a n 应用的角度出发，通过各种安全技术和手段来加强s a n 环境下的信息安全。本 文结合上海市公安部第三研究所8 6 3 子项目“计算机病毒样本信息收集管理平 台”的研究，着重从应用的角度，就s a n 环境下信息安全的协同防御与数据恢 复技术进行了研究。 首先，通过分析传统网络环境下信息安全的系统模型以及s a n 环境下信息 安全的系统模型，本文给出了s a n 环境下信息安全的协同防御及数据恢复的系 统模型。在这个系统模型中，从两个方面来研究对入侵的协同防御：一方面是 防火墙与分布在不同应用服务器上的i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 对 入侵的协同防御。在防火墙与i d s 对入侵的协同防御过程中，对来自于i d s 的 报警信息进行格式标准化工作，即把报警信息转换成统一的x m l 数据类型，通 过r m i ( r e m o t em e t h o di n v o c a t i o n ) 技术把报警信息汇集到管理服务器，在 管理服务器上对报警信息进行分析，得到对入侵的响应决策，通过s n m p ( s i m p l e n e t w o r km a n a g e m e n tp r o t o c 0 1 ) 方式把入侵抑制请求提交给防火墙，防火墙根 据入侵抑制请求信息来更新自身的安全策略以达到对此类入侵的协同防御。另 一方面，在管理服务器上通过s a n 环境下基于l u n 的快照( 简称l u n 快照) 与 日志技术，对绕过防火墙与i d s 的入侵进行部分检测，得到入侵信息之后，向 防火墙提交入侵抑制请求，由防火墙更新自身的安全策略，实现了管理服务器 与防火墙的协同防御。本文研究的s a n 环境下对入侵的协同防御，把防火墙对 入侵的静态防御能力与i d s 的入侵检测能力有效的结合起来，形成以管理服务 器为中心的动态的入侵防御机制，加快了对入侵的响应速度，减少了管理人员的 手工参与，提高了系统的可防御性和可管理性。 其次，作为对s a n 环境下入侵协同防御的有效补充，对于遭到入侵且已经被 破坏的数据，提出了一种利用l u n 快照与同志的数据恢复技术，它相对于常用 的数据恢复技术，数据的恢复速度和数据恢复的准确性都得到了提高。 最后，通过实验的方法对系统安全模型中的两个主要的部分入侵的协 同防御与数据恢复进行了实验，并对实验结果进行了分析。结果表明本文所研 究的模型与技术对提高s a n 环境下的信息安全性有良好的效果。 关键词：s a n协同防御安全策略入侵响应入侵抑制请求 v 上海大学硕上学位论文 a b s t r a c t s t o r a g ea r e an e t w o r k ( s a n ) d e v e l o p sf a s t r e c e n ty e a r sa n dm o r ea n dm o r e a a e n t i o ni sp a i dt ot h ei n f o r m a t i o ns e c u r i t yi nt h es a n t h er e s e a r c ho fi n f o r m a t i o n s e c u r i t yi nt h es a ni sm a i n l yi nt w oa s p e c t s ：o n ei st h a tt h es a ni n d u s t r yi s s p e e d i n gu pt ot h es a n i n f o r m a t i o ns e c u r i t ys t a n d a r d sp l a n n i n ga n dm a k i n g ，a n d t h eo t h e ri s ，f r o mt h es a n a p p l i c a t i o n ，t os t r e n g t h e nt h ei n f o r m a t i o ns e c u r i t yi nt h e s a nb ym a n ys e c u r i t ym e t h o d sa n dt e c h n o l o g i e s b a s i n gt h et h i r dr e s e a r c h i n s t i t u t eo fs h a n g h a ip u b l i cs e c u r i t ym i n i s t r y s8 6 3s u b p r o j e c t s i n f o r m a t i o n m a n a g e m e n tp l a t f o r mo fc o m p u t e rv i r u ss a m p l ec o l l e c t i o n ，t h ep a p e rr e s e a r c h e st h e t e c h n o l o g yo f j o i n tp r e v e n t i o na n dd a t ar e c o v e r yo fi n f o r m a t i o ns e c u r i t yi nt h es a n f i r s t l y , t h ea u t h o rg i v e st h es y s t e mm o d e lo f j o i n tp r e v e n t i o na g a i n s ti n t r u s i o na n d d a t ar e c o v e r yi nt h es a na r e ra n a l y z i n gt h es y s t e mm o d e lo ft h et r a d i t i o nn e t w o r k i n f o r m a t i o ns e c u r i t ya sw e l l 嬲t h es a n i nt h eg i v e nm o d e l j o i n tp r e v e n t i o ni s r e s e a r c h e di nt w oa s p e c t s o n ei st h ej o i n tp r e v e n t i o nb e t w e e nf i r e w a l la n di d s w h i c ha r et w o c o m p a r a t i v e l yi n d e p e n d e n ti n f o r m a t i o ns e c u r i t yp a r t s a l e r t i n f o r m a t i o nf r o mi d si ss t a n d a r d i z e dt ox m lf o r m a ta n dt h e nb yr m it h e s t a n d a r d i z e da l e r ti n f o r m a t i o ni sc o l l e c t e dt ot h em a n a g e m e n ts e r v e ro nw h i c ht h e a l e r ti n f o r m a t i o ni sa n a l y z e dt og e tt h er e s p o n s ed e c i s i o n - m a k i n g t h ei n t r u s i o n r e s t r a i n i n gr e q u e s ti ss u b m i t t e dt ot h ef i r e w a l lb ys n m pa n dt h ef i r e w a l lr e n e w si t s s e c u r i t yp o l i c ya c c o r d i n gt ot h ei n t r u s i o nr e s t r a i n i n gr e q u e s ti n f o r m a t i o nt op r e v e n t t h e s ei n t r u s i o n s t h eo t h e ri st h ej o i n tp r e v e n t i o nb e t w e e nm a n a g e m e n ts e r v e ra n d f i r e w a l l o nt h em a n a g e m e n ts e r v e rs n a p s h o ta n dl o g sa r ea n a l y z e dt od e t e c ts o m e i n t r u s i o n sw h i c hb y p a s sf i r e w a l la n di d s ，a n di fs o m ei n t r u s i o ni sd e t e c t e d ，t h e nt h e i n t r u s i o nr e s t r a i n i n gr e q u e s ti ss u b m i t t e dt of i r e w a l lw h i c hr e n e w si t ss e c u r i t yp o l i c y a c c o r d i n gt ot h er e q u e s ti n f o r m a t i o n t h ej o i n tp r e v e n t i o nt e c h n o l o g yi nt h es a n r e s e a r c h e di nt h ep a p e ri n t e g r a t e st h es t a t i cp r e v e n t i o no ff i r e w a l la n di n t r u s i o n d e t e c t i o na b i l i t yo fi d st of o r mad y n a m i ci n t r u s i o np r e v e n t i o ns y s t e mc e n t e r i n ga s t h em a n a g e m e n ts e r v e rw h i c hi m p r o v e st h es p e e do fi n t r u s i o nr e s p o n s ea n dr e d u c e s m a n u a lm a n a g e m e n ta n de n h a n c e st h es y s t e m sp r e v e n t a b i l i t ya n dm a n a g e a b i l i t y s e c o n d l 5 豁t h ee f f e c t i v ec o m p l e m e n tt ot h ej o i n tp r e v e n t i o ni nt h es a n ，t h e r e c o v e r yt e c h n o l o g yu s i n gs n a p s h o ta n dl o g si sg i v e nt or e c o v e rt h ed e s t r o y e dd a t a b yw h i c ht h ed a t ar e c o v e r ys p e e di sf a s t e na n dt h er e c o v e r ya c c u r a c yi si m p r o v e d f i n a l l y , j o i n tp r e v e n t i o na n dd a t ar e c o v e r y , t w om a i np a r t so ft h eg i v e ns y s t e m m o d e li nt h es a n ，i se x p e r i m e n t e da n dt h er e s u l ti sa n a l y z e dw h i c h s h o w st h a tt h e m o d e la n dt e c h n o l o g yr e s e a r c h e di nt h ep a p e rh a sag o o de f f e c tt op r o t e c tt h e i n f o r m a t i o ns e c u r i t yi nt h es a n k e y w o r d s ：s a n ，j o i n tp r e v e n t i o n ，s e c u r i t yp o l i c y , i n t r u s i o nr e s p o n s e ，i n t r u s i o n r e s t r a i n i n gr e q u e s t v l 上海大学硕士学位论文 原创性声明 本人声明：所呈交的论文是本人在导师指导下进行的研究工作。 除了文中特别加以标注和致谢的地方外，论文中不包含其他人已发 表或撰写过的研究成果。参与同一工作的其他同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 签名：上奎! 虱日期：2 旦! ：? 本论文使用授权说明 本人完全了解上海大学有关保留、使用学位论文的规定，即： 学校有权保留论文及送交论文复印件，允许论文被查阅和借阅：学 校可以公布论文的全部或部分内容。 ( 保密的论文在解密后应遵守此规定) 叉 ? 签名：皿导师签名：二， 芸兰竺日期：半圳 i i 上海大学硕上学位论文 第一章绪论 1 1 课题的提出 随着计算机网络技术迅速发展，磁盘存储技术也得到了快速的发展，在经 历了简单的磁盘存储、直接连接存储( d i r e c ta t t a c h e ds t o r a g e ，d a s ) 和网 络连接存储( n e t w o r ka t t a c h e ds t o r a g e ，n a s ) 几种主要的磁盘存储技术之后， 近几年又出现了一种新的磁盘存储技术，它就是存储区域网络( s t o r a g ea r e a n e t w o r k ，s a n ) ，把它说成一种网络，是因为s a n 不是具体的产品，而是一种存 储架构。s a n 从一出现就有着n a s 和d a s 无法比拟的优越性，无论在存储空间、 访问速度、安全策略、用户管理等方面都得到了极大的提高，所以s a n 的产品 也越来越受到用户的青睐，特别是对于企业的核心应用，s a n 产品是个理想的 存储平台。但是，随着s a n 产品的快速推广与使用，s a n 环境下的信息安全也 就越来越成为我们关注的焦点，在这种情况下，从s a n 应用的角度出发，来研 究s a n 环境下的信息安全技术。 1 2 国内外研究现状 s a n 是存储系统领域内一种重要的技术，而且是一种新的网络架构存储技 术，s a n 在信息安全方面有很多值得研究的地方。我们可以通过多种途径、多 种方法来提高s a n 环境下信息的安全性，目前这方面的工作主要体现在两个方 面：一方面是s a n 业界( 包括厂商、有关安全部门及协会等) 对相关安全标准 的制定与实施；另一方面就是从s a n 应用的角度出发，通过各种安全技术和手 段来加强s a n 环境下的信息安全。 1 2 1 业界对s a n 安全的做法【l 】【2 】 业界对存储安全标准的制定进程非常缓慢，目前还处于萌芽阶段。存储网 络工业协会( s n i a ) 于2 0 0 2 年建立了存储安全工业论坛( s s i f ) ，但是由于不 同的产品商支持不同的协议，因此实现协议间的互操作性还有很长一段路要走。 a n s i 成立了t 1 1 光纤通信安全协议( f c s p ) 工作组来设计存储网络基础 设施安全标准的框架。目前已经提交了多个协议草案，包括f c s e c 协议，它实 上海大学硕士学位论文 现了i p s e c 和光纤通讯的一体化；同时提交的还有针对光纤通讯的挑战握手认 证协议( c h a p ) 的一个版本；交换联结认证协议( s l a p ) 使用了数字认证使得 多个交换机能够互相认证；光纤通信认证协议( f c a p ) 是s l a p 的一个扩展协议。 i e e e 的存储安全工作组正在准备制定一个有关将加密算法和方法标准化的议 案。 除了一些标准的制定与推广之外，一些公司和企业着手从数据加密的方式 来保护s a n 的信息安全。d e c r u 公司设计了专用加密设备来保护存储服务器和 备份磁带的信息安全，k a s t e nc h a s ea p p l i e dr e s e a r c h 、n e o s c a l es y s t e m s 、 v o r m e t r i c 等公司也都提供类似的专用安全设备。当数据在网络中的主机和遍 布企业各处的存储系统之间传递时，这些专用设备对数据进行加密和解密。 s a n 业界主要是国外的一些重要部门、大公司和企业，国内的参与者是非 常少的。 1 2 2 从应用的角度对s a n 安全的保护 从应用的角度来对s a n 安全的保护，主要是通过一些传统网络环境中常用 的安全技术来加强安全防御，譬如防火墙、入侵监测系统、杀毒软件，以及在推 广期的入侵防御系统。常见的硬件防火墙有国外的c i s c o 、3 t o m 、n e t g e a r 以及 国内的神州盾等品牌的硬件产品，软件防火墙如诺顿、瑞星、天网、卡巴斯基 等多种国内外产品；i d s 也分为硬件系统和软件系统，硬件产品有e n t e r a s y s n e t w o r k s 公司的d r a g o ns e n s o r 、以及安氏领信公司的i d sn e t w o r k d e f e n d e r 2 0 0 、启明星公司的n 5 0 0 等多种产品，软件产品有s n o r t 入侵检测系统、a a f i d 入侵检测系统、r e a l s e c u r e 入侵检测系统等。 除了以上常见的安全产品以外，中国科学院高能物理研究所计算中心的刘 宝旭在他的文章“嵌入内核式动态防火墙的设计与实现”一文中，提出了一种 可嵌入内核的动态防火墙模型，描述了一个基于该模型的“安拓防火墙系统的 组成结构和实现机制”，安拓防火墙采用基于状态检测的动态规则技术对网络的 数据流进行过滤，采用动态加载内核的技术，直接嵌入到操作系统的核心，是 一种分布式动态防火墙模型【3 1 。 华东师范大学电子科学技术系的王淑先在她的“协同防御网络入侵”一文 上海丈学砚 。学位论文 中，从协同防御的角度论述了协同防御技术，提出了入侵协同防御系统的构筑 设想，针对d o s 攻击进行了协同防御的研究【4 】。 北京理工大学信息安全与对抗技术研究中心的杨瑞伟在他的“从入侵检测 到入侵防护信息安全保障的主动防御的必然选择”一文中，分析i d s 存在 的不足，对入侵防御系统i p s 的设计思想、技术特征及发展方向进行了阐述5 1 。 华南师范大学的尹传勇在他的文章“从i d s 到i p s 的主动防御体系研究” 中，探讨了i d s 与防火墙互动的方式，为i d s 与防火墙之间互动的实现提供了 很好的参考【6 】。 王琨月在2 0 0 5 年7 月i i 日发表了一篇论文“i p s 苹果熟了吗? i d s 依 然在改进中求发展”中写道：据调查表明，5 9 的用户部署了i d s ，2 7 的用户 将i d s 列入购买计划，6 2 用户在关注i p s ，这些数据表明i d s 与i p s 在国内 都成现出了繁荣发展的前景【7 j 。 从上面这些情况可以看出，防火墙和i d s 自身的存在一些不足，i p s 整合 了防火墙与i d s 的优点，是取代防火墙与i d s 的理想产品( 或者技术) ，但i p s 是不会替代防火墙与i d s 的，只能和它们长期共存发展。在这种情况下，研究 防火墙与i d s 对入侵的协同防御，形成对入侵的主动的、动态的防御是非常有 意义的。 1 3 课题研究的主要内容 1 3 1 防火墙与i d s 对入侵的协同防御 协同防御就是使防火墙和i d s 这两个相对独立的信息安全环节互动起来， 加快对入侵的响应速度，提高对入侵的防御能力。i d s 对入侵进行监测，系统 收集并处理来自于i d s 入侵警报信息，根据入侵信息向防火墙提交入侵抑制请 求信息，防火墙根据得到的入侵抑制请求信息来更新自己的安全策略，从而达 到对此类入侵的防御，实现防火墙与i d s 对入侵的协同防御。 1 3 2 管理服务器与防火墙之间对入侵的协同防御 防火墙与i d s 对入侵的协同防御能够提高对入侵的防御力度，但是不能保 上海大学硕士学位论文 证成功防御所有的入侵，仍会有部分入侵绕过防火墙与i d s ，对s a n 环境下的 数据进行破坏。为此，作为防火墙与i d s 协同防御的有效补充，提出了一种利 用s a n 环境下l u n 快照和日志的技术，来检测绕过防火墙与i d s 且对数据造成 破坏的部分入侵，在得到入侵信息后，向防火墙提交入侵抑制请求，防火墙根 据请求信息更改自身的安全策略达到对此类入侵的防御。 i 3 3 利用快照与日志技术进行数据恢复 除了研究对入侵的协同防御之外，对于通过分析快照与日志的方法找出的 被破坏的数据，给出了一种利用s a n 环境下l u n 快照与数据访问日志对数据进 行恢复的方法，通过此数据恢复方法，能够进一步提高s a n 环境下的信息安全 性。 1 4 课题研究的意义 i 4 i 提高s a n 环境下信息安全的可防御性 通过把相对独立的信息安全环节防火墙与i d s 有效地协同起来，形成了一 个对入侵的协同防御系统，加快了对入侵的响应速度，提高了s a n 环境下信息 安全的可防御性；通过对快照及日志的分析来检测入侵，是对防火墙与i d s 对 入侵协同防御的有效补充，进一步提高了s a n 环境下信息安全的可防御性。 i 4 2 降低对应用服务器性能的影响 通过协同防御，把对入侵的防御工作从i d s 提前到防火墙，能够降低i d s 对应用服务器性能的影响；对快照与日志的分析以及数据恢复都在应用服务器 以外的主机( 管理服务器) 进行，和一般的同类功能的系统相比，也降低了数 据分析与数据恢复对服务器性能的影响。 1 4 3 加快数据的恢复速度 利用s a n 环境下的快照技术，数据的恢复是通过光纤通道传输。由于光纤 通道采用的是s c s i 协议栈，而非以太网的t c p i p 协议栈，这样数据的传输效 率得到了很大提高，加快了数据的恢复速度。 1 4 4 提高系统可管理性 4 上海大学硕上学位论文 把入侵报警信息集中到管理服务器上进行统一管理，以及把对防火墙安全 策略的手动管理转换为系统自动管理，提高了系统的可管理性。 1 5 论文的结构 第一章：本章是论文的绪论部分，这一部说明了选题了原因，并介绍了国内外对 课题的研究现状，给出了课题研究内容与意义。 第二章：本章在分析传统网络环境下信息安全的系统模型和s a n 环境下信息安 全的系统模型的基础上，给出了s a n 环境下信息安全的协同防御与数据恢 复的系统模型，并对系统实现的功能进行了说明，最后对相关技术进行了 介绍。这一章是论文的重要内容之一。 第三章：本章是对协同防御技术的研究，是论文的核心内容。协同防御技术从 两个方面进行研究：防火墙与i d s 对入侵的协同防御技术的研究和管理服 务器与防火墙对入侵的协同防御技术的研究。 第四章：本章研究s a n 环境下的数据恢复技术，给出了利用快照与日志技术进 行数据恢复的方法。这一章也是论文的重要内容之一。 第五章：本章通过实验的方法对本文研究的技术进行了验证，并结合实验结果 进行了分析。 第六章：本章总结了本论文所做的工作与创新点，给出了论文中存在的不足， 并提出了进一步的研究目标。 上海大学硕士学位论文 第二章s a n 环境下协同防御与数据恢复的系统模型 2 1 传统网络环境下的信息安全的系统模型 在传统的网络环境中，信息安全的主要手段有防火墙、i d s 以及入侵防御 系统i p s ，但是因为i p s 本身的一些特殊性，它的普及还有待时日，因此，最 常用的安全手段还是防火墙与i d s 的结合。 防火墙与i d s 都有自己的特点。通过管理自身的安全策略( 譬如访问控制 列表a c c e s sc o n t r o ll i s t ，a c l ) ，防火墙能够有效地保护网络环境下的信息 安全，但是这些安全策略都需要系统管理员来定制，而且通过手动的方式来维 护。这种手动的防火墙安全策略的管理方式不仅效率低，而且对入侵的响应速 度慢。i d s 对信息的保护主要是对入侵发出报警信息，系统管理员根据报警信 息来采取相应的措施，譬如更新防火墙的安全策略，对入侵进行阻止。除了防 火墙与i d s 之外，有时，用户也会通过数据恢复的方法来提高信息的安全性。 传统网络下信息安全的系统模型如图2 1 所示： 管理员 图2 1 传统网络环境下信息安全的系统模型 在信息系统安全模型中，防火墙与i d s 是两个相对独立的信息安全环节， 它们对用户数据的保护要依靠用户的手动参与，用户根据i d s 的入侵报警信息 来更新防火墙的安全策略，达到对入侵的防御；数据恢复主要借助于磁带、磁 盘等存储介质上备份数据来进行的，数据恢复的准确度收到一定的限制。 6 上海大学硕士学位论文 2 2s a n 环境下信息安全的系统模型 s a n 作为一种存储网络技术，在信息保护方面引入了一些新的安全机制( 譬 如光纤交换机的z o n i n g 技术、存储系统的l u n 屏蔽技术等) ，通过这些安全机 制能够实现对s a n 数据的访问控制。从应用的角度来讲，目前对s a n 环境下的 信息数据的保护主要是采用z o n i n g 、l u n 屏蔽、防火墙以、i d s 以及数据恢复 等多种安全技术相结合的安全策略。通过这些安全技术实现的s a n 环境下信息 安全的系统模型如图2 2 所示： 图2 2s a n 环境下信息安全的系统模型 管理员 和传统网络下信息安全的系统模型相比，s a n 环境下信息安全的系统模型 中防火墙与i d s 作用是相同的，运行模式也是一样的，它们仍然是两个相对独立 的信息安全环节，对于防火墙安全策略的管理、报警的处理及入侵响应仍然需 要系统管理员的手工参与。在s a n 环境下信息安全的系统模型中，引入了z o n i n g 及l u n 屏蔽的存储访问控制技术，通过z o n i n g 和l u n 屏蔽技术能够加强用户对 s a n 数据的访问控制，进一步提高了s a n 环境下信息的安全性。另外，在这个 模型中，进行数据恢复时的数据传输是在光纤通道中进行的，数据传输的速度 会得到很大的提高，进而缩短数据恢复的时间。 7 上海大学硕士学位论文 2 3s a n 环境下协同防御与数据恢复的系统模型 2 3 1 系统模型 在传统网络环境下信息安全的系统模型和s a n 环境下信息安全的系统模型 中，防火墙对入侵的防御是静念的，安全策略的维护需要系统管理员手工的方 式来完成。i d s 虽然有较强的入侵检测能力，但它对入侵的反应只能是把报警 信息通知系统管理员，由系统管理员对这些入侵采取适当的响应策略及响应动 作。由此可见，防火墙和i d s 这两信息安全环节之问缺乏互动，它们对入侵的 防御效率较低。如果能把防火墙与i d s 有机的协同起来，形成一个对入侵的协 同防御系统，将会把对入侵的防御效率提升到一个新的高度。 在传统网络环境下信息安全的系统模型和s a n 环境下信息安全的系统模型 中，数据恢复技术也是不可缺少的信息安全手段。当用户觉得他们的信息数据 的完整性、安全性遭到了破坏，或者遭到质疑、需要把目前的数据恢复到以前 某个时间点的状态时，借助于磁带、磁盘等介质上的备份数据来进行数据恢复 是一个不错的选择。但是这种数据恢复方式存在一个不足之处就是：从介质上 数据备份时间点到数据被破坏时间点这段时间内的数据变化都被丢弃了，数据 恢复示意图如图2 3 所示。对信息数据的完整性和正确性要求比较高的企业或 单位来说，单纯的借助于磁带或磁盘上的数据备份来进行数据恢复并不是一种 合适的数据恢复方法。 备份时间点t a故障时间点t b 图2 3 数据恢复示意图 通过分析以上信息安全模型中存在的不足：即对入侵的可防御性及系统的 可管理性都比较差，以及数据恢复的准确性相对较低，本文给出了一种s a n 环 境下信息安全的协同防御及数据恢复的系统模型。在这个系统模型中，把防火 墙与i d s 两个相对独立的信息安全环节有机的结合起来，通过防火墙与i d s 之 上海大学硕十学位论文 问的互动，达到了对入侵的协同防御功能。作为防火墙与i d s 对入侵的协同防 御的补充，增加了管理服务器与防火墙对入侵的协同防御机制，这进一步提高 了对入侵的防御能力。对于已经遭到破坏的数据，给出了一种利用s a n 环境下 l u n 快照及日志技术的数据恢复方法。s a n 环境下信息安全的协同防御与数据恢 复的系统模型如图2 4 所示： f i r e w a l l i uu 应 苍 营 一 用 服 务 s n 口 器 | | r m i| | r m i vvv lx m l 解码 i 响应控制 i 日志管理 l 管理 策略控制 i 快照及目志分析1 数据恢复l 服务器 分n u 光纤通道 l ( )( j l 信息库 i s a n 数据 1 k 。jl 图2 4s a n 环境下信息安全的协同防御与数据恢复的系统模型 与传统网络环境下信息安全的系统模型与s a n 环境下信息安全的系统模型 相比，s a n 环境下信息安全的协同防御与数据恢复的系统模型有以下几个优势： ( 1 ) 把防火墙、i d s 以及管理服务器有机地结合起来，形成了一个对入侵 的协同防御系统，加快了对入侵的响应速度，提高了入侵的可防御性和系统的 可管理性； 9 上海大学硕士学位论文 ( 2 ) 对来自于多个i d s 的报警信息进行集中管理，能够使系统管理员更全 面地了解系统地运行情况以及系统被入侵的情况，方便给出更为合理的安全决 策； ( 3 ) 利用快照与日志技术的数据分析方法来检测入侵，是对入侵协同防御 的有效补充，进一步提高了对入侵的可防御性； ( 4 ) 数据恢复采用快照和数据访问日志相结合的方法，提高了恢复数据的 准确性和完整性。 2 3 2 系统实现的功能 ( 1 ) 系统功能的整体描述 s a n 环境下信息安全的协同防御与数据恢复的系统模型是一个三层结构： 上层是防火墙与i d s ( i d s 部署在应用服务器上) ；中间层是管理服务器，系统 的大多模块都运行在管理服务器上，是系统模型的核心部分；下层是信息库及 s a n 数据，这里的信息库是指管理服务器上各模块在进行信息处理时所用到的 以及所生成的信息的存放数据库，s a n 数据是指s a n 环境下用户的信息数据。 在管理服务器上收集来自于各应用服务器上i d s 的入侵报警信息，对报警信息 进行统一管理；通过对报警信息的分析处理，得到相应的入侵响应策略，然后向 防火墙提交入侵抑制请求信息，防火墙根据得到的入侵抑制请求信息自动更新 自身的安全策略对入侵进行防御；通过快照与日志技术检测绕过防火墙与i d s 的部分入侵，然后向防火墙提交入侵抑制请求信息，防火墙根据得到的入侵抑 制请求信息更新自身的安全策略，对入侵进行防御；利用快照与日志技术对破 坏的数据进行恢复。 ( 2 ) 各模块功能描述 x m l 编码模块：完成入侵报警信息的格式标准化工作。根据入侵检测信息 交换格式( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g e f o r m a t ，i d m e f ) 规范，把来自于i d s 的报警信息转换成统 一的x m l 数据类型，报警信息格式化工作有利于管理服务 器收集来自于不同i d s 的报警信息，也方便对报警信息进 行统一管理及分析。 1 0 上海大学硕士学位论文 x m l 解码模块：对收集到的入侵报警信息进行格式转化，转化成数据库格 式，以方便对入侵报警日志的管理及维护。 策略控制模块：对入侵报警信息进行分析处理，分析报警信息之间的关联 性，并根据入侵的严重级别对报警信息进行分类，得到对 不同入侵的相应的入侵响应决策。 响应控制模块：响应控制模块控制入侵响应的调度工作，对于管理服务器 提交给防火墙的入侵抑制请求信息得到一个较为合理的请 求调度策略。 快照及日志分析模块：完成快照及日志的分析工作。通过快照及日志分析， 检测入侵，并为数据恢复做准备工作。 日志管理模块：对报警信息、入侵响应信息、响应反馈信息等进行管理及 维护，使系统管理员方便了解入侵信息、入侵响应信息以 及其它方面的日志信息。 数据恢复模块：利用快照与日志技术，来完成被破坏的数据恢复工作。 2 4 相关技术 在s a n 环境下信下安全的协同防御与数据恢复技术的研究中，涉及到几个 主要环节： 报警信息的收集。报警信息的来源是部署在不同应用服务器上的i d s ， 报警信息的收集是在i d m e f 标准下进行的。在i d m e f 框架下把警报信息 转换成x m l 数据类型，然后通过r m i 方式把报警信息集中到管理服务器 上，对报警信息进行统一管理。 防火墙安全策略的管理。在管理服务器上对来自于i d s 报警信息进行分 析处理之后，得到相应得入侵响应决策，之后通过s n m p 方式向防火墙 提交入侵抑制请求，防火墙根据得到的入侵抑制请求信息，修改自身的 安全策略，达到对此类入侵的防御作用。 利用快照与日志技术检测部分入侵。对s a n 环境下基于l u n 的快照及数 据访问日志进行分析，找出绕过防火墙和i d s 的部分入侵，然后向防火 墙提交入侵抑制请求，防火墙根据入侵抑制请求信息更新自身的安全策 上海大学硕十学位论文 略，达到对入侵的防御作用。 数据恢复。在对快照及日志的分析基础上找出部分入侵，对于入侵造成 的数据破坏，利用快照和日志技术对这些被破坏的数据进行恢复。 在研究s a n 环境下信息安全的协同防御与数据恢技术中的各个环节中，运 用到了一些的关键技术：首先通过x m l 数据类型来表示( 或者记录) 来自于i d s 的报警信息，然后通过r m i 技术把这些x m l 格式表示的数据收集到管理服务器， 在管理服务器上对这些报警信息进行管理，然后通过s n m p 方式向防火墙提交入 侵抑制请求，最终由防火墙来完成对此类入侵的防御。进行快照分析及数据恢 复时所采用的快照是s a n 环境下的l u n 快照。 2 4 iz o n i n g 和l u n 屏蔽技术 分区制z o n i n g 和逻辑单元( l o g i c a lu n i tn u m b e r ，l u n ) 屏蔽是s a n 环境 下两种基本的安全机制嘲。 z o n i n g 是一种分区方法，通过该方法，存储资源只对于那些被授权的用户 是可见的。分区制往往是在光纤交换机级实现的，根据实现方式，可以分为两 种模式：硬分区和软分区。硬分区指根据交换机端口来制定分区策略，所有试 图通过未授权端口进行的通信均被禁止。由于硬分区是由系统电路实现的，并 在系统路由表中执行，因此和软分区相比，具有更好的安全性。软分区是基于 广域命名( w o r l dw i d en a m e ，w w n ) 的机制。w 1 】n 是分配给网络中光纤设备唯 一的识别码，是一个6 4 位的地址码，通过把不同的w l i | n 设置到一个分区中实现 软分区。由于软分区是通过软件来保证在不同的分区中不会出现相同的w w n ， 因此，与硬分区相比，软分区具有更好的灵活性，特别是在网络配置经常变化 的应用中具有很好的可管理性。 l u n 就是对目标设备( 如磁盘阵列、带库等) 内逻辑单元的s c s i 识别标志。 通过l u n 掩码技术可以将l u n 分配给计算机主机，这些主机只能看到授权给它 们的l u n ，没有被授权的l u n 对他们来说是不可见的。 通过结合使用z o n i n g 分区和l u n 屏蔽技术，能够从很大程度上控制主机级 对s a n 信息的安全访问。z o n i n g 与l u n 屏蔽相结合的安全机制如图2 5 所示： 上海大学硕士学位论文 图2 5z o n i n g 与l u n 屏蔽相结合的安全机制 通过z o n i n g 和l u n 掩码实现了特定的主机对某个( 或者某些) 存储单元 的访问，而其它主机却没有访问这个( 或这些) 存储单元的权限。但是对于利 用主机欺骗的方式对s a n 存储数据进行非法操作的情况，z o n i n g 和l u n 掩码的 安全机制则无能为力。 2 4 2 防火墙与i d s 随着网络信息资源需求的飞速发展，网络安全问题也越来越突出。顺应这 一趋势，涌现出了许多网络安全技术，如防火墙、病毒检测、密码技术、身份 认证、入侵检测等等。在这里简单介绍一下本文涉及到的、也是用户最常用网 络安全技术防火墙与i d s 。 防火墙是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息 的唯一出入口，能根据企业的安全政策控制( 允许、拒绝、监测) 出入网络的 信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和 信息安全的基础设施，是网络安全的第一道防线。对于防火墙的安全策略，目 前主要是由系统管理员来预先定制，然后手动更改安全配置，使防火墙起到对 某类或某种入侵的防御功能，这样的结果就是：能够对安全策略内定制好的备 防御的入侵进行有效地预防，但是对于绕过防火墙的入侵，防火墙不能起到任 何效果。 上海大学硕士学位论文 入侵检测系统i d s 处于防火墙之后对网络活动进行实时监测。许多情况下， 由于可以记录和禁止网络活动，所以入侵检测系统是防火墙的延续。它们可以 和防火墙及路由器配合工作。入侵检测系统监视和记录网络的流量，根据定义 好的规则来过滤从主机网卡到网线上的流量，提供实时报警。防火墙与i d s 在 网络环境中的逻辑位置示意图如图2 6 所示： 图2 6 防火墙与i d s 的逻辑结构示意图 在防火墙与i d s 的逻辑结构示意图中，防火墙连接i n t e r n e t 与内部网络， 是企业防御外部入侵的第一道屏障，i d s 部署在应用服务器或计算机终端上， 是防御入侵的另一道屏障，通过防火墙与i d s 两道屏障对用户数据进行保护。 2 4 3x i l 技术嘲 x m l 是“e x t e n s i b l em a r k u pl a n g u a g e ”的缩写，即可扩展标记语言。它 是i n t e r n e t 环境中跨平台的、依赖于内容的技术，是当今处理分布式结构信息 的首选工具。在w 3 c 组织领导下的工作小组发展并支持x m l 技术，使用它来简 化通过i n t e r n e t 的文档信息传输。 文中选用了x m l 数据类型对i d s 的报警信息进行处理，选择x m l 数据类型 的原因有以下几种： 1 4 上海人学硕j 二学位论文 1 ) x m l 具有良好的结构性 h t m l 对语法的要求不是十分严格，具有一定的随意性。x m l 则不同，虽 然x m l 的扩展性允许用户创建新的标识，但它对语法有着严格的规定。除 了要满足一般规则外，还有严格遵守文档类型定义( d t d ) 的规定。正是因 为x m l 良好的结构性，程序对它的分析和处理更加方便，提高了提取数据 内容的准确性和高效性。 2 ) x m l 具有良好的可扩展性和灵活性 x m l 允许用户自定义标签，具有良好的可扩展性。x m l 的扩展性和灵活 性允许它描述不同种类应用软件中的数据，从描述搜集的w e b 页到数据记 录。基于x m l 的数据是自我描述的，数据不需要有内部描述就能被交换和 处理。x m l 允许用户根据需要定义数量不限的标记来描述文档中的资料，也 允许嵌套的信息结构，从而把用户从浏览器厂商固定标签的束缚中解脱出 来。 3 ) x m l 具有跨平台的通用性 x m l 作为一种标记语言，可以运行在不同的平台上，从而克服了h t m l 在这方面的局限性。由于本文设计的i d s 报警信息的提取，涉及到各种操 作系统平台上的i d s 系统，使用x m l 的数据类型能够很好地处理来自不同 操作系统上i d s 的报警数据。 4 ) x m l 能够集成不同的数据源 现在收集多样的不兼容的数据库实际上是非常困难的。x m l 能够使不同 来源的结构化的数据很容易的结合在一起。通过x m l 可以在中间层的服务 器上对从后端数据库和其他应用处来的数据进行集成，然后，数据就能被 发送到客户或其他服务器做进一步的集合、处理和分发。本文涉及到的报 警信息来自不同形式的数据，有各式各样的数据库、文本文档，利用x m l 数据类型，能够很方便地描述及收集这些形式的数据信息。 2 4 4 蹦i 技术【1 0 l 本文涉及的报警信息的获取，首先是在运行有i d s 的终端把报警信息转化 成统一格式的x m l 文档，然后通过某种方式传输到管理服务器