Journal of the Korea Society for Simulation (한국시뮬레이션학회논문지)

The Korea Society for Simulation (한국시뮬레이션학회)
권호 표지
DOI QR코드

DOI QR Code

Modeling on Policy Conflict for Managing Heterogeneous Security Systems in Distributed Network Environment

분산 환경에서 이종의 보안시스템 관리를 위한 정책 충돌 모델링

  • 이동영 (명지전문대 정보통신과) ;
  • 서희석 (한국기술교육대학교 인터넷미디어공학부) ;
  • 김태경 (서울신학대학교 교양학부)
  • Received : 2008.12.02
  • Accepted : 2009.05.07
  • Published : 2009.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

Enterprise security management system proposed to properly manage heterogeneous security products is the security management infrastructure designed to avoid needless duplications of management tasks and inter-operate those security products effectively. In this paper, we defined the security policies using Z-Notation and the detection algorithm of policy conflict for managing heterogeneous firewall systems. It is designed to help security management build invulnerable security policies that can unify various existing management infrastructures of security policies. Its goal is not only to improve security strength and increase the management efficiency and convenience but also to make it possible to include different security management infrastructures while building security policies. With the process of the detection and resolution for policy conflict, it is possible to integrate heterogeneous security policies and guarantee the integrity of them by avoiding conflicts or duplications among security policies. And further, it provides convenience to manage many security products existing in large networks.

이종의 분산환경에서 다양한 보안시스템에 대한 효율적인 보안 관리를 위해서 관리자는 보안 시스템들이 설치된 네트워크 환경에 대한 사전에 전문적인 보안 지식을 갖고 있어야하며, 개방형 네트워크 환경의 경우 새로운 보안시스템이 추가되면 새로운 보안 정책과 기술을 적용해야 한다. 이는 전산망 운영 기관의 보안 관리 비용을 가중시키며 체계적이고 일괄적인 보안 정책 및 기술 구현을 불가능하게 하여 오히려 보안 문제를 야기시키는 역기능을 초래할 수 있다. 그리고, 보안 제품의 개발과 공급이 다수의 공급자에 의해서 공급되므로 서로 상이한 특성을 갖는 보안 시스템들로 구성된 보안 관리 구조의 효율적인 운용과 유지에 상당한 어려움이 있다. 이에 본 논문에서는 이종의 보안시스템을 관리하는 통합보안시스템의 보안정책을 Z-Notation을 통해서 정의하고 통합관리에서 발생되는 정책 충돌 문제를 대표적인 보안시스템인 침입차단시스템(Firewall : 방화벽)을 대상으로 모델링하고 이를 해결하는 알고리즘을 제시하고자 한다.

Keywords

References

  1. J. Zao, L. Sanchez, et el, "Domain based Internet security policy management," DARPA Information Survivability Conference and Exposition, 2000, DISCEX'00, Proceedings, Vol.1, pp. 41-53, Jan., 1999.
  2. L. Lewis, "Implementing policy in enterprise networks," IEEE Communications Magazine, Vol. 34, Iss.1, pp. 50-55, Jan., 1996.
  3. D. Y. Lee, D. S. Kim, K. H. Pang, H. S. Kim, T. M. Chung, "A Design of Scalable SNMP Agent for Managing Heterogeneous Security Systems", NOMS (Network Operations and Management Symposium)2000, pp. 293-294. April 2000.
  4. 이동영, 김동수, 정태명, "이종의 보안시스템 관리를 위한 정책 기반의 통합보안관리시스템의 계층적 정책모델에 관한 연구", 한국정보처리학회논문지 C 제8-C권 Vol. 5호, 2001년. 10월
  5. G. Patz, M. Condell, et el, "Multidimensional security policy management for dynamic coalitions," DARPA Information Survivability Conference & Exposition II, 2001, DISCEX '01. Proceedings, Vol. 2, pp. 41-54, Feb., 2001.
  6. J. Moffett, Morris S. Sloman, "Policy Conflict Analysis in Distributed System Management", Journal of Organizational Computing, Vol. 4, No. 1, pp. 1-22, Ablex Publishing, 1994.3. https://doi.org/10.1080/10919399409540214
  7. D. Schnackengerg, H. Holliday, et el, "Cooperative Intrusion Traceback and Response Architecture (CITRA)," DARPA Information Survivability Conference & Exposition II, 2001. DISCEX '01, Proceedings, Vol. 1, pp. 56-68, Jan., 2001.
  8. R. Barruffi, M. Milano, et el, "Planning for security management," IEEE Intelligent Systems [see also IEEE Expert], Vol. 16, Iss.1, pp. 74-80, Feb., 2001.
  9. G. Patz, M. Condell, et el, "Multidimensional security policy management for dynamic coalitions," DARPA Information Survivability Conference & Exposition II, 2001, DISCEX '01. Proceedings, Vol. 2, pp. 41-54, Feb., 2001.
  10. Dong-Young Lee, "A Study on the Centralized Databas of the Multi-agents Based Integrated Security Management System for Managing Heterogeneous Firewalls", KES2005, Lecture Notes in Computer Science (LNAI3682), Springer-Verlag, 2005. 9. pp. 1036-1042.
  11. Gary N.Stone, Bert Lundy, and Geoffrey G. Xie, "Network Policy Languages: A Survey and a New Approach", IEEE Network January/February, pp. 10-21, 2001.
  12. Spivey, J. M., 'The Z Notation - A Reference Manual', Prentice-Hall, second edition, 1992.
  13. Jim Woodcock, Jim Davies, 'Using Z : Specification, Refinement, and Proof', Published by Prentice-Hall, 1996.
  14. Nicole Dunlop, Jadwiga Indulska, Kerry Raymond "Dynamic Conflict Detection in Policy-Based Management Systems" in Sixth International Enterprixe Distributed Computing Conference, 2002.