◇ 基于决策树的策略冲突检测与消解技术
决策树技术是利用信息论中的信息增益寻找数据库中具有大信息量的字节,建立决策树的一个节点,再根据字段的不同取值建立树的分枝。在每个分枝子集中重复建立下层节点和分枝,由此生成一棵决策树。然后再对决策树进行剪枝处理,最后将决策树转化为规则。
本方案可以运用这些规则,对现有的访问控制策略进行优化,提高网络的安全性和访问效率。同时,所生成的决策树可在新规则加入时进行调整,为后续工作的开展做好基础性工作,从宏观上管理访问控制策略。
(1)利用树的优化算法进行策略简化,消除冗余。
(2)利用树的优化算法进行策略冲突检测,消除冲突。
◇ 基于规则集的策略冲突检测与消解技术
系统在实施保护资源的过程中,由于系统中存在大量安全策略以及不同的安全策略可能涉及到相同的主体、客体和权限,因此可能产生冲突,从而导致不一致的系统行为,造成访问控制系统执行效率及准确性低下。为解决这一问题,通过对安全策略的形式化分析定义了基于规则集的访问控制策略的一般特性,并给出了安全策略所描述实体内在的关系,使安全策略的描述在该领域内具有一定的通用性。以此为基础,本方案给出了冲突的静态分析检测与消解方法及动态分析检测方法。
1、静态分析检测
静态方法是对策略声明进行语法分析以期发现冲突,针对的是与系统即时状态无关的冲突。
(1)模态冲突:是指策略的描述不一致,两条策略具有重叠的主体和客体,却分别执行了肯定授权与否定授权而发生的策略冲突行为。
模态冲突处理方法:模态处理方法采取否定优先法,为了保证系统的安全性,通常习惯是要求系统禁止执行某些行为。
(2)行为冲突:行为冲突是指两条策略中的行为存在某种顺序关系或依存逻辑关系且授权模式相反,一个肯定授权另一个否定授权。如果两条策略规定的行为存在顺序关系而相应的行为标记却和行为逻辑相反,则存在行为冲突。
行为冲突处理方法:否定优先法。
(3)职责分离冲突:是指同一个用户被指派给了互斥的角色。职责分离冲突处理方法:去除zui早策略。
2、动态分析检测
由于静态检测是静态的对策略声明进行语法分析,以发现策略内存在的冲突,没有考虑由于进程间的调用所导致的权限传递,而造成策略冲突。通过进程调用导致权限传递出现的策略冲突是静态检测无法检测的。
动态检测提供了解决的方法,所谓动态检测方法则是指在系统运行期间,通过对系统所有可能出现的状态进行检查分析来发现冲突。
◇ 基于矩阵化的策略冲突检测与消解技术
在基于矩阵的描述中策略被描述成[p1,p2,······pn]·Ank,其中变换矩阵是将策略由简单策略集合的形式变换为矩阵形式的关键,在Ank中n、k的取值和变换矩阵中每个元素的之间的关系反映的是变换矩阵的线性相关性,而另一方面也反映着简单策略集中每个元素之间的关系,从而决定了复杂策略的类型。
获取到变换矩阵后,通过判定矩阵列向量间的关系来进行策略类型判断。变换矩阵的求解是利用线性表达式中,策略子集和简单策略集合中元素的包含关系得到的,得到变换矩阵能够利用对变换矩阵的检测,从而检测出复杂策略的类型。得到了复杂策略的变换矩阵,就可以对策略进行冲突检测。
本方案利用将复杂访问控制策略进行简化,用策略行向量和变换矩阵乘积的形式来表示复杂策略,然后利用对变换矩阵中的元素的检测来对复杂策略进行冲突检测,也就是说,复杂策略的变换矩阵的元素决定了策略类型和冲突类型,那么在进行冲突消解时,只需要对复杂策略的变换矩阵进行消解即可。
3.5策略智能开通技术
策略智能开通技术,通过结合工作流、用户权限、合规检查和策略仿真,综合梳理业务、权限、资产、策略和数据的关系,实现安全策略变更申请、自动分析、自动设计、审批与自动验证的全生命周期管理,全面提升企业安全运营的管理能力。
图5、策略智能开通流程图
当安全策略变更时,首先通过工作流提交业务申请,包括允许策略或拒绝策略的详细信息。
系统通过基于路径可达与策略合规检查的自动化分析技术来判断业务风险,合规检查采用了策略基线矩阵模型。风险审核员根据业务风险的识别结果来进行风险审核。
风险审核通过后,系统通过基于策略模拟仿真的技术自动检测冗余策略、可合并策略,提供策略冲突消解或策略优化的配置建议。技术审核员根据技术风险的识别结果来进行技术审核。
技术审核通过后,系统会调用策略自动化变更模块对相应的变更配置进行下发,实现策略下发验证。
◇ 路径可达分析技术
图6、路径可达分析示意图
路径可达分析技术,可实现任意源地址到目的地址的访问路径及数据流分析,包括是否有可达路径、可达路径经过的节点及命中的路由及策略信息、允许或拒绝的数据流详情等;访问路径分析时,通过源地址定位到对应的网关设备,再通过网关设备上的路由逐一寻找下一网关,直到目的地址;期间需匹配网关设备上的ACL策略、NAT策略、路由、安全策略等信息。