一、安全集中管理模型
随着Internet的不断普及和网络安全问题的不断涌现,网络安全设备被越来越多的使用,安全设备的数目的不断增加,从几十个到几百个甚至上千个,安全策略的配置管理问题变得越来越突出了。传统的手工配置安全策略方式既低效又易错,而且一旦策略配置错误势必会影响网络的正常使用,甚至会导致安全问题。因此如何以一种可扩展的安全可靠方式表示、发现、交换、管理安全策略已经成为一个新的课题。安全集中管理系统使人们可以对安全设备进行集中的配置,针对全局制定安全策略,并通过安全策略的分发完成安全设备的自动配置。安全集中管理(SCM:Security Central Management)模型则试图提出一个有效的策略制定分发、管理模式。
1、安全集中管理基本模型
安全集中管理基本模型由以下几部分组成:安全设备、安全策略服务器、管理器。基于基本模型的SCM系统中管理员使用管理器通过在安全策略服务器上配置安全策略完成了安全策略的配置。安全设备启动时从服务器获取和自己相关的安全策略。
图1 安全集中管理基本模型
基本模型较好地实现了安全集中管理的概念,但只适用于安全设备较少的安全集中管理。当安全设备增大到一定量时安全策略服务器成为整个系统的瓶颈。此外基本模型不支持多安全自治域的概念。
2、安全集中管理分级模型
在基本模型之上还有分级模型。分级模型在基本模型的基础上增加了安全集中管理自治域的概念,并且描述了自治域的一种分级模型。如图示各个自治域是一个经过扩充的安全机中管理基本模型。通过在各个自治域内的服务器上配置本域的上级域和下级域等域间信息使整个系统呈现出分级的域间策略。
图2 安全集中管理分级模型
