联动系统安全设备访问控制策略冲突检测研究.PDFVIP

ELECTRIC POWER ICT 中图分类号：TP393.08　文献标志码：B　文章编号：2095-641X(2016)08-0033-05　DOI：10.16543/j.2095-641x.electric.power.ict.2016.08.006 联动系统安全设备访问控制策略 冲突检测研究 侯喆瑞 1 ，吴紫薇 2 ，陈蕾 1 ，程晓荣2 （1. 国网冀北电力有限公司 经济技术研究院 ，北京 100000 ；2. 华北电力大学 （保定 ） 计算机系，河北 保定 071000 ） 摘要：联动系统安全设备下的访 问控制策略确保 了防火墙、VPN、防病毒系统和漏洞扫描器等 安全设备协 同工作 ，有效地保证 了网络信息系统的安全性。文章首先定义 了访问控制策略及策 略冲突 ，根据实际环境对策略类型及冲突进行分类。其次 ，针对不 同的策略数据类型进行简单 的预处理 ，根据冲突特点对策略进行归并 ，利用策略冲突检测算法对策略进行冲突检测。最后 ， 通过算法的复杂度分析和实验结果 ，说明此策略检测方法具有理想的执行效率。 关键词：网络安全；访问控制策略；策略冲突；冲突检测 安 全 据统一映射到一个特定的具有相同性质的集合，通 防 0　引言 过集合运算间接实现策略域数据间的关系运算，并 护 网络安全联动系统中的主机、交换机、防病毒系 以此为基础进行冲突检测，此种方法虽然通过离散 [1] 统、漏洞扫描器、VPN 、防火墙及入侵检测系统 的 化减少了所需的存储空间，但仍无法从根本上优化 协同虽然提高了设备运行的安全可靠性，但也因其 存储空间需求量过大的问题。蒋康丽等提供了一种 基于本地配置的特点，引发了访问控制策略一致性 [8] 多维范围查找算法的思路 ，将复杂的策略问题分解 问题。随着电力信息化的发展以及网络规模的扩 为若干个子问题，利用图论知识分别对其进行描述 大，访问控制策略复杂度增加，策略冲突问题日益严 进而检测系统策略有无冲突，该方法的有效性依赖 [2-3] 重 。因此，针对联动系统的安全设备访问控制策 于有向图的定义。 略制定一种有效的策略冲突检测和消解方法具有重 本文针对联动系统中网络安全设备访问控制的 要意义。 特点将策略分为系统级和网络级2 类，在吴蓓等人 Lupu 等人提出将策略冲突归结于形式冲突和 思想基础上提出一种新的数据预处理方法，对访问 [4-5] 语义冲突 ，国内外研究学者以此为基础，在策略一 控制策略进行分类，按照分类结果使用策略冲突算 致性检测和冲突消解领域做了大量工作并取得多项 法进行有针对性的比较，最终检测出静态冲突及部 成果。梅芳等人进一步提出基于多维的策略冲突检 分潜在策略冲突。此种思想利用预处理方法提高了