王曉晴，洪　東，喬　喆，杜雪濤（ 中國移動(dòng)通信集團(tuán)公司信息安全管理與運(yùn)行中心，北京 00053； 中國移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 00080）

基于SID改進(jìn)模型的信息安全數(shù)據(jù)資源共享研究

王曉晴1，洪東2，喬喆1，杜雪濤2
（1 中國移動(dòng)通信集團(tuán)公司信息安全管理與運(yùn)行中心，北京 100053；2 中國移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080）

為構(gòu)建統(tǒng)一數(shù)據(jù)存儲(chǔ)分析中心，本文基于電信管理論壇新一代運(yùn)營支撐系統(tǒng)中的共享信息數(shù)據(jù)模型理論，首次改進(jìn)構(gòu)建了信息安全數(shù)據(jù)資源共享元模型，并結(jié)合eTOM模型理念，進(jìn)一步建設(shè)了面向業(yè)務(wù)流程的信息安全數(shù)據(jù)共享預(yù)警系統(tǒng)。實(shí)踐證明該系統(tǒng)有效實(shí)現(xiàn)了信息安全數(shù)據(jù)資源的共享互通，節(jié)省了存儲(chǔ)資源，實(shí)現(xiàn)了關(guān)聯(lián)分析和專題生成，提升了動(dòng)態(tài)可擴(kuò)展性，降低了新增建設(shè)成本，既有助于提升電信運(yùn)營商信息安全管理和運(yùn)營水平，也為未來的信息安全系統(tǒng)建設(shè)提供了統(tǒng)一的數(shù)據(jù)框架基礎(chǔ)。

信息安全數(shù)據(jù)資源共享； SID模型； DSIS元模型； eTOM模型

1　信息安全系統(tǒng)建設(shè)現(xiàn)狀及挑戰(zhàn)

自《2006-2020年國家信息化發(fā)展戰(zhàn)略》發(fā)布以來，特別是隨著4G網(wǎng)絡(luò)的大規(guī)模建設(shè)、移動(dòng)終端的迅速普及以及“互聯(lián)網(wǎng)+”形態(tài)的深度融合，我國信息化建設(shè)實(shí)現(xiàn)了跨越式發(fā)展。但各類不良信息、安全威脅、網(wǎng)絡(luò)違法行為隨之而來、愈演愈烈，且傳播源頭、范圍和手段花樣不斷翻新，網(wǎng)絡(luò)信息安全形勢(shì)日趨嚴(yán)峻。與此同時(shí)，業(yè)務(wù)的綜合化發(fā)展，使得系統(tǒng)開放互通、數(shù)據(jù)共享交互成為必然趨勢(shì)。實(shí)現(xiàn)信息安全數(shù)據(jù)資源的全面整合和共享主要面臨如下挑戰(zhàn)。

（1）數(shù)據(jù)存儲(chǔ)分散，且格式標(biāo)準(zhǔn)不一致。隨著信息安全系統(tǒng)建設(shè)數(shù)量的增多，各系統(tǒng)數(shù)據(jù)存儲(chǔ)過于分散，進(jìn)而出現(xiàn)交叉引用、存儲(chǔ)冗余、格式標(biāo)準(zhǔn)不一致等問題。如何統(tǒng)一標(biāo)準(zhǔn)格式、實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)組織是實(shí)現(xiàn)數(shù)據(jù)共享的基礎(chǔ)問題。

（2）功能重疊交叉，資源利用率待提升。多個(gè)系統(tǒng)涉及同類功能的情況普遍存在，如何整合復(fù)用相同功能，是提升信息安全管理效率的核心問題。

（3）業(yè)務(wù)發(fā)展，新增需求頻繁。隨著業(yè)務(wù)和應(yīng)用的多樣化發(fā)展，如何在兼容已建系統(tǒng)、靈活新增系統(tǒng)功能、降低建設(shè)成本，成為亟需考慮的問題。

（4）數(shù)據(jù)信息未有效關(guān)聯(lián)分析，存在“信息孤島”問題。電信運(yùn)營商擁有海量數(shù)據(jù)資源，在做好客戶信息保護(hù)工作的前提下，如何開展數(shù)據(jù)關(guān)聯(lián)分析和挖掘，將有助于提升精細(xì)化、科學(xué)化的信息安全管理水平和預(yù)警能力。

為此，本文以建立一種標(biāo)準(zhǔn)化、可擴(kuò)展的數(shù)據(jù)資源共享元模型為突破口，研究提出面向信息安全業(yè)務(wù)流程的數(shù)據(jù)資源共享方案，并應(yīng)用構(gòu)建集中化的數(shù)據(jù)資源共享平臺(tái)——信息安全數(shù)據(jù)共享預(yù)警系統(tǒng)，實(shí)現(xiàn)“業(yè)務(wù)流程+數(shù)據(jù)共享”的統(tǒng)一數(shù)據(jù)存儲(chǔ)分析中心，助力提升電信運(yùn)營商信息安全管理和運(yùn)營水平。

收稿日期：2015-11-16

表1　主流數(shù)據(jù)信息模型規(guī)范

2　現(xiàn)有數(shù)據(jù)信息建模規(guī)范分析

2.1主流建模規(guī)范

目前主流數(shù)據(jù)信息建模規(guī)范對(duì)比分析如表1所示。

由表1看出，SID（共享信息數(shù)據(jù)）建模規(guī)范的核心思想是：以搭建統(tǒng)一數(shù)據(jù)框架為建模標(biāo)準(zhǔn)，將數(shù)據(jù)資源作為對(duì)象，利用具有共同特征的類概念，對(duì)各數(shù)據(jù)資源進(jìn)行抽象和歸類， 并對(duì)類間的關(guān)系和規(guī)則進(jìn)行標(biāo)準(zhǔn)化描述。特別是SID模型規(guī)范作為電信運(yùn)營商企業(yè)數(shù)據(jù)共享建模的通用框架，已被越來越多的電信運(yùn)營商參考借鑒和成功實(shí)施，例如Vodafone、美國Verizon、英國電信、澳大利亞電信、意大利電信等，結(jié)合本文研究目標(biāo)，SID模型最終成為本文開展數(shù)據(jù)資源共享建模研究的理論基礎(chǔ)。

2.2SID模型規(guī)范

SID模型連同eTOM（增強(qiáng)的電信運(yùn)營圖）模型，由TMF（電信管理論壇）在NGOSS（新一代運(yùn)營支撐系統(tǒng)）中提出。由于NGOSS理念是“過程驅(qū)動(dòng)”，兩者共同解釋了數(shù)據(jù)資源間協(xié)同工作以滿足業(yè)務(wù)需求的完整過程，即系統(tǒng)根據(jù)eTOM模型分析業(yè)務(wù)流程并提煉數(shù)據(jù)資源，進(jìn)而利用共享模型將數(shù)據(jù)資源進(jìn)行抽象、集中和互通，最后根據(jù)模型建設(shè)實(shí)際系統(tǒng)。因此，eTOM模型描述“業(yè)務(wù)流程是什么”，而SID模型則解決了業(yè)務(wù)流程中的數(shù)據(jù)共享問題，旨在提供一套標(biāo)準(zhǔn)的、公共的術(shù)語及統(tǒng)一建模的方法論。

具體來說，SID模型可從業(yè)務(wù)視圖和系統(tǒng)視圖兩種不同的角度描述其規(guī)范。

（1）業(yè)務(wù)視圖下的SID模型：與eTOM Level0劃分相對(duì)應(yīng)，包括管理域、業(yè)務(wù)實(shí)體、屬性、實(shí)體間的關(guān)系及規(guī)則等要素，其描述結(jié)構(gòu)如圖1所示。

（2）系統(tǒng)視圖下的SID模型：將SID業(yè)務(wù)視圖以面向?qū)ο蟾拍畹腢ML類圖及序列圖等方式表示，更為直觀，其描述結(jié)構(gòu)如圖2所示。

圖1　從業(yè)務(wù)視圖描述的SID模型

圖2　從系統(tǒng)視圖描述的SID模型

3　基于SID改進(jìn)模型的信息安全數(shù)據(jù)共享預(yù)警系統(tǒng)

3.1基于SID改進(jìn)的DSIS元模型

本節(jié)基于SID模型規(guī)范，從資源類型、資源關(guān)系、描述結(jié)構(gòu)等方面進(jìn)行優(yōu)化改進(jìn)，即首先細(xì)化了電信運(yùn)營商信息安全系統(tǒng)中的物理資源與邏輯資源，進(jìn)而分別抽象為各級(jí)不同的類，最后通過各級(jí)類之間的繼承、包含、組合、連接、依賴等關(guān)系予以呈現(xiàn)，改進(jìn)提出了DSIS（Data resource Sharing for Information Security control systems， 信息安全數(shù)據(jù)資源共享）元模型，其系統(tǒng)視圖如圖3所示。其中，各信息安全系統(tǒng)使用的數(shù)據(jù)資源可視為物理資源與邏輯資源的復(fù)合，其中，邏輯資源可分為“網(wǎng)絡(luò)地址、網(wǎng)絡(luò)、協(xié)議、數(shù)據(jù)實(shí)體”，物理資源可分為“物理存儲(chǔ)、物理設(shè)備、物理連接”。

圖3　DSIS元模型系統(tǒng)視圖

進(jìn)一步地，從業(yè)務(wù)視圖角度對(duì)提出的DSIS元模型予以闡述，如圖4所示，主要包括數(shù)據(jù)資源、業(yè)務(wù)、產(chǎn)品等3個(gè)管理域。

（1）數(shù)據(jù)資源：主要包括物理資源與邏輯資源，是DSIS元模型的構(gòu)建對(duì)象。

（2）產(chǎn)品：是DSIS元模型的分析產(chǎn)出，包括自身應(yīng)用產(chǎn)品和第三方應(yīng)用產(chǎn)品。

（3）業(yè)務(wù)：由面向數(shù)據(jù)資源的業(yè)務(wù)和面向客戶的業(yè)務(wù)構(gòu)成，由物理資源承載、通過邏輯資源來實(shí)現(xiàn)，其中，面向數(shù)據(jù)資源的業(yè)務(wù)是對(duì)數(shù)據(jù)資源基本業(yè)務(wù)能力的封裝，面向客戶的業(yè)務(wù)則直接支撐產(chǎn)品。

綜上，DSIS元模型以類的概念將各類數(shù)據(jù)資源、業(yè)務(wù)和產(chǎn)品予以模塊化、組件化，可在保持核心框架保持不變的前提下，通過繼承、組合、連接等關(guān)系規(guī)則，在已有各級(jí)類的基礎(chǔ)上新增系統(tǒng)的抽象類，具有靈活的擴(kuò)展性和廣泛的適應(yīng)性。相對(duì)于SID模型，DSIS元模型更具簡(jiǎn)潔性和可操作性。

3.2基于DSIS+eTOM的信息安全數(shù)據(jù)共享預(yù)警系統(tǒng)

3.2.1系統(tǒng)技術(shù)方案

基于DSIS元模型，結(jié)合各數(shù)據(jù)源系統(tǒng)的具體技術(shù)特征和功能需求，對(duì)DSIS元模型相關(guān)要素實(shí)例化，可進(jìn)一步得到信息安全數(shù)據(jù)共享預(yù)警系統(tǒng)的技術(shù)方案，如圖5所示。

（1）“產(chǎn)品”是指數(shù)據(jù)共享預(yù)警系統(tǒng)可對(duì)外提供的應(yīng)用產(chǎn)品，主要包括對(duì)接系統(tǒng)所需應(yīng)用以及系統(tǒng)自身提供應(yīng)用。

圖4　DSIS元模型業(yè)務(wù)視圖

圖5　基于DSIS元模型的數(shù)據(jù)共享預(yù)警系統(tǒng)技術(shù)方案

（2）“業(yè)務(wù)”是指數(shù)據(jù)共享預(yù)警系統(tǒng)具備的基本業(yè)務(wù)能力，并進(jìn)一步劃分為面向數(shù)據(jù)資源和面向客戶的兩種類型。其中，面向數(shù)據(jù)資源的業(yè)務(wù)是指依托于邏輯資源擴(kuò)展出的業(yè)務(wù)能力，如數(shù)據(jù)采集涉及到邏輯數(shù)據(jù)資源的抽取、轉(zhuǎn)換和加載（ETL），形成了“產(chǎn)品”與“數(shù)據(jù)資源”之間的映射關(guān)系；而面向客戶的業(yè)務(wù)則直接用于支撐“產(chǎn)品”，某些面向客戶的業(yè)務(wù)也包含面向資源的業(yè)務(wù)，如數(shù)據(jù)挖掘和分析。

（3）“數(shù)據(jù)資源”是數(shù)據(jù)共享預(yù)警系統(tǒng)的邏輯資源和物理資源共同封裝完成，數(shù)據(jù)主要來源于已有或新增的信息安全相關(guān)數(shù)據(jù)資源。

3.2.2系統(tǒng)整體架構(gòu)

圖6是基于DSIS元模型的數(shù)據(jù)共享預(yù)警系統(tǒng)的整體架構(gòu)視圖。

（1）以數(shù)據(jù)采集與數(shù)據(jù)處理為核心，形成統(tǒng)一的數(shù)據(jù)共享層，面向不同的應(yīng)用需求，提供標(biāo)準(zhǔn)、統(tǒng)一、完整的數(shù)據(jù)資源管理，減少數(shù)據(jù)存儲(chǔ)冗余和交叉引用的同時(shí)，從根本上保證了異構(gòu)數(shù)據(jù)源系統(tǒng)使用數(shù)據(jù)的一致性。

（2）由于數(shù)據(jù)資源，無論是原始明細(xì)數(shù)據(jù)，還是歸一化的維度匯總數(shù)據(jù)，均通過標(biāo)準(zhǔn)化、模塊化的共享方式供應(yīng)用層使用，使得新增功能更著眼于應(yīng)用需求的實(shí)現(xiàn)，而非底層數(shù)據(jù)本身，保持整體架構(gòu)不變的同時(shí)，靈活實(shí)現(xiàn)新增功能的擴(kuò)展。

（3）數(shù)據(jù)資源的集中存儲(chǔ)和統(tǒng)一管理，為深化各系統(tǒng)間聯(lián)系、開展海量數(shù)據(jù)關(guān)聯(lián)分析、挖掘提供了基礎(chǔ)保證，安全分析預(yù)警能力將得到有效提升。

圖6　信息安全數(shù)據(jù)共享預(yù)警系統(tǒng)整體架構(gòu)圖

3.3 應(yīng)用實(shí)踐效果

根據(jù)系統(tǒng)現(xiàn)網(wǎng)應(yīng)用實(shí)踐效果，其優(yōu)勢(shì)主要包括如下。

3.3.1實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一共享，提高存儲(chǔ)和共享效率

基于DSIS模型構(gòu)建的信息安全數(shù)據(jù)共享預(yù)警系統(tǒng)，采用標(biāo)準(zhǔn)數(shù)據(jù)資源描述方法搭建統(tǒng)一框架，打通了數(shù)據(jù)壁壘，提高了資源復(fù)用度，實(shí)現(xiàn)了數(shù)據(jù)的集中存儲(chǔ)并統(tǒng)一輸出，且信息安全數(shù)據(jù)可基本實(shí)現(xiàn)自動(dòng)入庫，解決了長(zhǎng)期困擾系統(tǒng)建設(shè)的數(shù)據(jù)存儲(chǔ)冗余、功能重復(fù)和格式不一致等問題。

3.3.2實(shí)現(xiàn)數(shù)據(jù)資源關(guān)聯(lián)分析，提升分析預(yù)警能力

分析預(yù)警系統(tǒng)利用DSIS元模型建立資源分類標(biāo)準(zhǔn)，并結(jié)合Apriori、FP增長(zhǎng)等算法，融合多種業(yè)務(wù)數(shù)據(jù)開展關(guān)聯(lián)性分析和挖掘，按需開展專題分析，量化了合規(guī)結(jié)果，全面提升了分析預(yù)警能力；同時(shí)完善了全流程管理機(jī)制，有效促進(jìn)了業(yè)務(wù)流程合規(guī)有序開展，為運(yùn)營商管理決策提供了及時(shí)、全面的信息依據(jù)。

3.3.3支持新增功能動(dòng)態(tài)擴(kuò)展，降低系統(tǒng)建設(shè)成本

信息安全數(shù)據(jù)共享預(yù)警系統(tǒng)基于DSIS模型的組件化思路，有效實(shí)現(xiàn)了數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)共享及數(shù)據(jù)分析的標(biāo)準(zhǔn)模塊化，使得新增需求帶來的數(shù)據(jù)層變化不會(huì)波及業(yè)務(wù)層和產(chǎn)品層，同時(shí)支持系統(tǒng)功能的模塊組裝，可實(shí)現(xiàn)系統(tǒng)功能的共享，可在不影響已有系統(tǒng)的同時(shí)，降低新增系統(tǒng)開發(fā)量和建設(shè)成本，將產(chǎn)生直接的經(jīng)濟(jì)效益。

4　總結(jié)和展望

本文以構(gòu)建“業(yè)務(wù)流程+數(shù)據(jù)共享”信息安全數(shù)據(jù)資源共享體系為目標(biāo)，提出了信息安全數(shù)據(jù)資源共享方案及系統(tǒng)，深度融合合規(guī)業(yè)務(wù)流程管理，實(shí)現(xiàn)了信息安全合規(guī)的量化評(píng)價(jià)，同時(shí)可進(jìn)一步擴(kuò)大覆蓋范圍，深化聯(lián)動(dòng)分析挖掘，強(qiáng)化分析預(yù)警能力，構(gòu)建覆蓋運(yùn)營商全網(wǎng)信息安全系統(tǒng)的關(guān)聯(lián)規(guī)則庫和預(yù)警指標(biāo)庫，最終實(shí)現(xiàn)信息安全數(shù)據(jù)資源的高效存儲(chǔ)和利用、提升系統(tǒng)應(yīng)用價(jià)值，助力電信運(yùn)營商信息安全管理和運(yùn)營水平的提升。

［1］ 魏麗紅，藺思濤，等. 資源管理SID建模方法及在網(wǎng)絡(luò)管理系統(tǒng)中的應(yīng)用［J］. 北京郵電大學(xué)學(xué)報(bào)，2004.

［2］ 焦建飛. 基于SID模型的電信運(yùn)營企業(yè)客戶信息共享問題研究與應(yīng)用［D］. 北京：北京郵電大學(xué)，2007.

［3］ 張振丹. 基于元數(shù)據(jù)模型的綜合網(wǎng)管服務(wù)接口［D］. 北京：北京郵電大學(xué)，2010.

［4］ 李曉蕾. 基于信息孤島消除的資源優(yōu)化模型研究［J］. 科技通報(bào)，2012.

［5］ 彭雨，馬又良，等. 電信運(yùn)營商企業(yè)級(jí)數(shù)據(jù)分類體系介紹［J］.數(shù)據(jù)通信，2014.

Study and practice for information security data resource sharing based on improved SID model

WANG Xiao-qing1， HONG Dong2， QIAO Zhe1， DU Xue-tao2
（1 China Mobile Information Security Centre， Beijing 100053， China； 2 China Mobile Group Design Institute Co.， Ltd.，Beijing 100080， China）

In order to build an unifi ed data storage and analysis center， this paper has fi rstly proposed an improved meta-model of data resource sharing for information security， which is based on the shared information data model theory proposed by the new generation operations support systems in TeleManagement Forum， and further built the information security data sharing and early warning system intended for business process， by applying eTOM model. It is proved that the system efficiently realizes the data resource sharing， saves the storage resource， realizes the association analysis and the special topic generation， improves the data resource dynamic scalability and lowers the new construction cost，which would not only improve the information security management and operation level of the telecom operators， but also provide a unified data framework foundation for the further information security system construction.

information security data resource sharing； SID model； DSIS meta-model； eTOM model

TN918

A

1008-5599（2015）12-0006-05