基于策略的网络安全管理通过策略机制提高管理系统的可伸缩性和灵活性,被认为是解决大规模分布式系统安全问题最有希望的方法。当前,IETF(InternetEngineering Task Force)提出的策略架构被广泛的研究和应用,但应用到网络安全管理中仍存在一些不足,因此探讨面向网络安全管理的策略架构及其相关技术具有重要的理论意义和现实意义。在分析IETF策略架构以及网络安全需求的基础上,通过引入策略决策参考点、策略分析工具和策略功能验证模块来对IETF策略架构进行改进,提出了一个用于网络安全管理的策略架构NSMPF(Policy Framework for Network SecurityManagement)。说明了NSMPF中各个模块的功能,给出了架构的工作流程,建立了基于该架构的网络安全体系,并制定了能同时支持安全策略和管理策略的基于XML(eXtensible Markup Language)语言规范的策略描述方法。NSMPF中的策略决策参考点使用GA-ARB(Genetic Algorithm for Anomaly RuleBase)算法生成异常规则库,并提供给策略决策点参考。GA-ARB算法以标准遗传算法为基础,采用专家规则集作为初始种群,选取网络连接中最能反映异常特征的22个属性进行染色体编码,根据个体匹配种群中异常连接以及正常连接的个数来设定适应度函数,并在子代的产生过程中采用最优个体保留和标识个体保护的方法来确保最优解不丢失。分析了GA-ARB算法的收敛性,以实验的方式对GA-ARB算法的性能进行了分析。NSMPF中的策略分析工具采用策略代数描述Ponder语言中的授权策略、委托策略、职责策略和禁止策略。从策略各组成要素的角度出发,分析了策略条件间所有可能存在的关系,包括离散、相等、包含、部分包含和交叉等五种,并依据此关系将可能存在的冲突进行了分类。在策略冲突消解上,主要采用设定优先级的方法。除了常见的几种优先级设定原则,还提出了被包含策略优先、新创建(修改)策略优先以及新加载策略优先等冲突消解原则。此外,对某些特定的冲突类型,给出了基于策略代数的消解方法。在给出策略分层结构及求精过程的前提下,描述了NSMPF中的策略功能验证机制。通过对新添加的安全策略分析求精,将其转换成能够在网络设备上执行的低级策略,并据此生成覆盖策略各个方面的模拟测试数据。此外,采用地址空间分段技术来规划测试数据的产生,保证了策略的所有决定路径都能被测试到,同时也避免了穷举测试和随机测试的不足。通过对面向网络安全管理的策略架构及其相关技术的研究,取得了若干理论成果,对保证策略系统的服务质量、提升网络的安全性具有积极意义。