張凱 廣東省珠海市公安局

引言

網(wǎng)絡(luò)安全防護(hù)是公安大數(shù)據(jù)中心建設(shè)的基礎(chǔ)保障和核心服務(wù)之一。公安大數(shù)據(jù)中心不僅承載的業(yè)務(wù)數(shù)量和類型快速膨脹，而且逐步實(shí)現(xiàn)了數(shù)據(jù)中心的虛擬化和云化，因此傳統(tǒng)的安全防護(hù)方法和設(shè)備以及安全管理系統(tǒng)已無法適應(yīng)公安大數(shù)據(jù)中心發(fā)展的需要。

當(dāng)前，軟件定義網(wǎng)絡(luò)（SDN）和網(wǎng)絡(luò)功能虛擬化（NFV）為公安大數(shù)據(jù)中心的安全防護(hù)提供了新的技術(shù)方向。SDN是實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化最重要的一種形式，其核心思想是網(wǎng)絡(luò)設(shè)備的控制與轉(zhuǎn)發(fā)分離，采用控制器實(shí)現(xiàn)網(wǎng)絡(luò)集中控制，傳統(tǒng)集成控制與轉(zhuǎn)發(fā)功能的交換機(jī)、路由器等設(shè)備不再使用，網(wǎng)絡(luò)設(shè)備的功能都簡化為數(shù)據(jù)轉(zhuǎn)發(fā)。NFV的本質(zhì)是實(shí)現(xiàn)網(wǎng)絡(luò)功能虛擬化和軟件化，一般意義上來說，采用NFV技術(shù)的結(jié)果是實(shí)現(xiàn)了硬件通用化。SDN和NFV的共同點(diǎn)在于，兩種技術(shù)都是將網(wǎng)絡(luò)設(shè)備從封閉走向開放，從獨(dú)享的硬件到共享的軟件。

面向公安大數(shù)據(jù)中心的軟件定義安全系統(tǒng)將SDN和NFV技術(shù)相結(jié)合，為公安大數(shù)據(jù)中心業(yè)務(wù)提供動(dòng)態(tài)、靈活的安全防護(hù)和安全策略可定制化的安全管理，實(shí)現(xiàn)與現(xiàn)有業(yè)務(wù)管理的無縫集成，并對(duì)租戶開放軟件可定義的安全功能接口，實(shí)現(xiàn)數(shù)據(jù)中心安全功能的服務(wù)化。將SDN和NFV融合，為云數(shù)據(jù)中心的安全防護(hù)形成新的創(chuàng)新和價(jià)值，解決了云環(huán)境下安全防護(hù)的難題，增強(qiáng)部署性能并簡化互操作性，減輕運(yùn)營和維護(hù)流程負(fù)擔(dān)的要求，為數(shù)據(jù)中心提供軟件可定義的安全服務(wù)業(yè)務(wù)，促進(jìn)公安大數(shù)據(jù)中心網(wǎng)絡(luò)和應(yīng)用的革新。

一、系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

（一）總體架構(gòu)

如圖1所示，軟件定義安全系統(tǒng)包括安全控制器、安全功能虛擬平臺(tái)、IDC基礎(chǔ)設(shè)施和安全應(yīng)用。安全控制器實(shí)現(xiàn)對(duì)虛擬安全資源的彈性調(diào)度和安全管理，是系統(tǒng)的控制核心。安全功能虛擬平臺(tái)對(duì)硬件設(shè)備進(jìn)行抽象，支持多種安全功能虛擬化。軟件定義安全系統(tǒng)基于公安大數(shù)據(jù)中心基礎(chǔ)設(shè)施環(huán)境進(jìn)行部署，安全應(yīng)用層面向公安不同的業(yè)務(wù)場景，提供安全服務(wù)編排API接口，實(shí)現(xiàn)多種安全防護(hù)的軟件定義需求。

（二）安全控制器

安全控制器在系統(tǒng)功能上包含如下幾個(gè)核心功能模塊：安全資源管理模塊、虛擬設(shè)備適配器模塊、動(dòng)態(tài)流量牽引模塊、安全應(yīng)用解析模塊、安全應(yīng)用接口API和控制器自身保障模塊。其功能結(jié)構(gòu)如圖2所示。

1. 安全資源管理模塊

安全資源管理模塊主要完成對(duì)安全功能虛擬平臺(tái)中各種安全資源的初始化和啟用，其中包括安全功能的實(shí)例化、安全功能配置、安全實(shí)例部署。安全功能的實(shí)例化主要按照性能要求為各個(gè)安全功能分配CPU個(gè)數(shù)、內(nèi)存大小、存儲(chǔ)空間以及帶寬等資源，以使得安全功能具備相應(yīng)的基礎(chǔ)計(jì)算能力。安全功能配置是對(duì)不同種類安全防護(hù)設(shè)備的參數(shù)設(shè)置，比如防火墻ACL規(guī)則、Web攻擊特征庫等，以滿足不同安全等級(jí)和安全策略需求。安全實(shí)例部署是將實(shí)例化和完成參數(shù)配置的安全功能啟用，配置相關(guān)的網(wǎng)絡(luò)路徑等外圍環(huán)境。

2. 虛擬設(shè)備適配器模塊

對(duì)于非標(biāo)準(zhǔn)的安全虛擬設(shè)備，安全控制器在安全資源管理層設(shè)置了虛擬設(shè)備適配器進(jìn)行兼容適配，通過接口轉(zhuǎn)換和再封裝，保證了安全控制器南向接口對(duì)上層解析層和應(yīng)用層的可擴(kuò)展性。

3. 動(dòng)態(tài)流量牽引模塊

公安大數(shù)據(jù)中心臨時(shí)性大容量數(shù)據(jù)傳輸和突發(fā)帶寬需求頻繁，因此對(duì)數(shù)據(jù)中心基礎(chǔ)架構(gòu)的靈活性和響應(yīng)速度提出更高的要求。網(wǎng)絡(luò)虛擬化后，公安大數(shù)據(jù)中心網(wǎng)絡(luò)路徑的物理邊界消失，同時(shí)，同一租戶的虛擬網(wǎng)絡(luò)和虛擬主機(jī)在不同時(shí)間出現(xiàn)在不同物理位置的情況也成為常態(tài)應(yīng)用。因此，靜態(tài)管理網(wǎng)絡(luò)流量在云數(shù)據(jù)中心場景中已經(jīng)不可行。采用動(dòng)態(tài)流量牽引方式，將安全控制器與公安大數(shù)據(jù)中心網(wǎng)絡(luò)控制器進(jìn)行對(duì)接，通過傳遞網(wǎng)絡(luò)轉(zhuǎn)發(fā)流表，對(duì)虛擬網(wǎng)絡(luò)和虛擬主機(jī)進(jìn)行動(dòng)態(tài)識(shí)別，實(shí)現(xiàn)目標(biāo)流量的動(dòng)態(tài)牽引。

4. 安全應(yīng)用解析模塊

安全應(yīng)用解析模塊主要功能是對(duì)上層安全應(yīng)用腳本的解析。安全應(yīng)用腳本是抽象的安全需求，比如DDoS防護(hù)、Web攻擊防護(hù)、租戶網(wǎng)絡(luò)隔離等。安全應(yīng)用解析模塊將根據(jù)這些安全需求以及業(yè)務(wù)信息，調(diào)度不同類型和不同數(shù)量的安全虛擬資源，并生成安全資源管理模塊、動(dòng)態(tài)流量牽引模塊能夠理解的接口指令，將組合的安全策略下發(fā)到各執(zhí)行設(shè)備。

5. 安全應(yīng)用北向接口API

公安業(yè)務(wù)模式的多樣性，也需要公安大數(shù)據(jù)中心為不同租戶和不同業(yè)務(wù)類型提供差異化的安全服務(wù)。安全控制器將控制指令進(jìn)行抽象和封裝，為公安大數(shù)據(jù)中心管理用戶或租戶提供安全服務(wù)編排等編程接口，實(shí)現(xiàn)可軟件定義的安全需求和服務(wù)。

（三）安全功能虛擬平臺(tái)

安全功能虛擬平臺(tái)用于構(gòu)建公安大數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)備資源池，包括物理設(shè)備資源和虛擬化設(shè)備資源兩種形態(tài)。該平臺(tái)位于一個(gè)數(shù)據(jù)中心內(nèi)，包含安全虛擬機(jī)和安全流平臺(tái)兩個(gè)組成部分，如圖3所示。

1. 安全虛擬機(jī)

以虛擬機(jī)形態(tài)運(yùn)行于租戶的虛擬網(wǎng)絡(luò)中，負(fù)責(zé)租戶虛擬機(jī)的東西向網(wǎng)絡(luò)流量控制，如圖4所示。該安全虛擬機(jī)是硬件UTM設(shè)備、IDS設(shè)備的虛擬化，具備其所有的防護(hù)特性，虛擬UTM（vUTM）支持橋模式、路由模式以及混合模式部署，虛擬IDS（vIDS）支持旁路模式部署。

2. 安全流平臺(tái)

部署在公安大數(shù)據(jù)中心出口實(shí)體網(wǎng)絡(luò)的安全資源池，接入了UTM、IPS、IDS、WAF等安全設(shè)備，負(fù)責(zé)租戶網(wǎng)絡(luò)的南北向網(wǎng)絡(luò)流量控制，如圖5所示。

安全功能虛擬平臺(tái)構(gòu)建的網(wǎng)絡(luò)安全資源池接受安全控制器的調(diào)度與配置，實(shí)現(xiàn)安全設(shè)備在租戶網(wǎng)絡(luò)中的邏輯部署并完成安全防護(hù)，如圖6所示。

二、關(guān)鍵技術(shù)及創(chuàng)新點(diǎn)

（一）虛擬網(wǎng)絡(luò)深度防護(hù)技術(shù)

隨著虛擬化在公安大數(shù)據(jù)中心的廣泛應(yīng)用，虛擬網(wǎng)絡(luò)安全防護(hù)的重要性也在不斷提高。傳統(tǒng)物理環(huán)境具有清晰的網(wǎng)絡(luò)邊界，通過在網(wǎng)絡(luò)邊界部署各種安全設(shè)備即可對(duì)進(jìn)出邊界的流量進(jìn)行有效管控。而在虛擬化環(huán)境下，同一虛擬計(jì)算平臺(tái)上的虛擬機(jī)間的二層流量可以由虛擬交換機(jī)轉(zhuǎn)發(fā)而不流經(jīng)物理服務(wù)器外部的網(wǎng)絡(luò)設(shè)備及安全設(shè)備，從而形成了安全管理的盲區(qū)，使得虛擬機(jī)完全暴露于破壞力更強(qiáng)的內(nèi)網(wǎng)攻擊之下。特別是隨著虛擬化技術(shù)的發(fā)展，虛擬化平臺(tái)提供的網(wǎng)絡(luò)功能已經(jīng)從最初的虛擬交換機(jī)（二層交換）演進(jìn)到現(xiàn)在的虛擬路由器（租戶子網(wǎng)間三層交換），更給傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)的應(yīng)用帶來了諸多不便。

通過對(duì)虛擬網(wǎng)絡(luò)流量類型的深入分析，提出虛擬網(wǎng)絡(luò)深度防護(hù)技術(shù)。租戶虛擬機(jī)的網(wǎng)絡(luò)流量通常分為四種類型，如圖7所示：租戶同一子網(wǎng)內(nèi)的流量①、租戶不同子網(wǎng)間的流量②、租戶訪問外網(wǎng)的流量③、租戶間的流量④。其中①、②是東西向流量，③、④是南北向流量，虛擬網(wǎng)絡(luò)深度防護(hù)技術(shù)即實(shí)現(xiàn)四種流量的全面管控，租戶可以根據(jù)實(shí)際業(yè)務(wù)需求靈活組合、部署。

（二）安全策略伴隨虛擬機(jī)遷移技術(shù)

虛擬機(jī)熱遷移技術(shù)能夠?qū)⒐ぷ髦械奶摂M機(jī)從一個(gè)物理服務(wù)器上快速移動(dòng)到另一個(gè)物理服務(wù)器上而保持虛擬機(jī)的運(yùn)行不中斷。該技術(shù)只解決了虛擬機(jī)自身狀態(tài)的遷移問題，并不保證安全策略同步，一旦遷移后的目的平臺(tái)無法感知到遷移來的虛擬機(jī)的安全策略，則虛擬機(jī)將會(huì)面臨安全風(fēng)險(xiǎn)。

通過分析虛擬機(jī)熱遷移機(jī)制對(duì)虛擬機(jī)安全策略的影響范疇，明確了受遷移機(jī)制影響的虛擬機(jī)安全策略，針對(duì)這部分安全策略設(shè)計(jì)一種動(dòng)態(tài)引流的方法，讓交換機(jī)對(duì)虛擬機(jī)的遷移進(jìn)行自主學(xué)習(xí)，實(shí)現(xiàn)安全策略伴隨虛擬機(jī)遷移。

（三）基于SDN的安全資源調(diào)度技術(shù)

傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)，一般會(huì)在不同網(wǎng)絡(luò)的邊界部署網(wǎng)絡(luò)防護(hù)硬件設(shè)備和軟件系統(tǒng)，并采用靜態(tài)配置的防御策略。但不同網(wǎng)絡(luò)中各安全設(shè)備的功能分布并不均勻，防護(hù)體系脆弱，存在很多薄弱環(huán)節(jié)。因此這種固化的網(wǎng)絡(luò)安全防護(hù)模式已無法適應(yīng)公安業(yè)務(wù)快速變化的網(wǎng)絡(luò)結(jié)構(gòu)。

在公安大數(shù)據(jù)中心安全管理中，采用基于SDN的安全防護(hù)系統(tǒng)基礎(chǔ)架構(gòu)，實(shí)現(xiàn)用戶無感知、高度可擴(kuò)展的彈性安全防護(hù)。在數(shù)據(jù)中心網(wǎng)絡(luò)區(qū)域邊界部署虛擬化的安全防護(hù)節(jié)點(diǎn)，在SDN安全節(jié)點(diǎn)集成各種安全防護(hù)功能模塊，實(shí)施內(nèi)容安全防護(hù)功能。由SDN安全控制器管理安全節(jié)點(diǎn)，并為上層網(wǎng)絡(luò)控制中心提供接口。在網(wǎng)絡(luò)管理控制中心系統(tǒng)中集成SDN安全應(yīng)用。安全控制器結(jié)合網(wǎng)絡(luò)控制器分發(fā)流表來控制交換機(jī)與路由器的轉(zhuǎn)發(fā)規(guī)則調(diào)度網(wǎng)絡(luò)流量，實(shí)現(xiàn)安全功能的按需調(diào)度；通過集中管控安全功能擴(kuò)展和安全策略，實(shí)現(xiàn)安全節(jié)點(diǎn)的動(dòng)態(tài)按需安全功能擴(kuò)展和安全策略加載。

動(dòng)態(tài)網(wǎng)絡(luò)防御系統(tǒng)還將基于業(yè)務(wù)安全需求對(duì)安全控制器下發(fā)安全功能擴(kuò)展和安全防護(hù)策略，為公安大數(shù)據(jù)中心的云服務(wù)創(chuàng)新應(yīng)用提供支撐。

三、試用情況

某市公安局將基于自主研發(fā)的“公安大數(shù)據(jù)云平臺(tái)”為本系統(tǒng)提供10臺(tái)x86服務(wù)器、5臺(tái)存儲(chǔ)服務(wù)器、3臺(tái)數(shù)據(jù)庫服務(wù)器的部署驗(yàn)證環(huán)境，通過與本項(xiàng)目研發(fā)成果的集成，實(shí)現(xiàn)面向IDC的軟件定義安全系統(tǒng)與公安云平臺(tái)的控制對(duì)接，進(jìn)行系統(tǒng)驗(yàn)證和示范應(yīng)用。圖8為系統(tǒng)部署拓?fù)鋱D。

安全流平臺(tái)上應(yīng)用了軟件定義安全系統(tǒng)、虛擬化安全資源池等產(chǎn)品，構(gòu)建了一個(gè)針對(duì)東西向流量進(jìn)行防護(hù)、可擴(kuò)展的動(dòng)態(tài)安全防護(hù)體系。

（一）應(yīng)用流程

1. 系統(tǒng)授權(quán)配置

在系統(tǒng)Web管理頁面，進(jìn)入授權(quán)管理頁面，進(jìn)入系統(tǒng)授權(quán)頁簽。

2. 創(chuàng)建虛擬機(jī)

在系統(tǒng)“安全市場”下載需要的映像產(chǎn)品，供創(chuàng)建虛擬機(jī)使用。

3. 定義虛擬交換機(jī)

通過編程讓網(wǎng)絡(luò)自動(dòng)化擴(kuò)展，支持自定義網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)規(guī)則，同時(shí)支持標(biāo)準(zhǔn)的管理接口和協(xié)議，如圖11。

4. 系統(tǒng)日志分析（如圖12）

（二）實(shí)施效果

實(shí)現(xiàn)了對(duì)東西向流量的導(dǎo)出，導(dǎo)出的流量可交付給物理或虛擬的安全產(chǎn)品。通過對(duì)接IDS實(shí)現(xiàn)了對(duì)已知威脅的檢測(cè)；通過對(duì)接安全審計(jì)，實(shí)現(xiàn)了對(duì)數(shù)據(jù)庫操作行為、虛擬網(wǎng)絡(luò)的審計(jì)；通過對(duì)接流量分析設(shè)備，實(shí)現(xiàn)了虛擬網(wǎng)絡(luò)流量的可視化。云內(nèi)流量與安全產(chǎn)品的對(duì)接，實(shí)現(xiàn)了對(duì)虛擬化網(wǎng)絡(luò)內(nèi)流量的感知。

在系統(tǒng)運(yùn)行過程中，編排的流量和安全資源池內(nèi)的虛擬安全產(chǎn)品可隨時(shí)被調(diào)整，以動(dòng)態(tài)適應(yīng)安全態(tài)勢(shì)的變化。通過應(yīng)用軟件定義安全系統(tǒng)、虛擬化資源池等系統(tǒng)，形成了對(duì)東西向流量進(jìn)行全面檢測(cè)分析的動(dòng)態(tài)防護(hù)體系。另外，由于本次應(yīng)用的虛擬安全產(chǎn)品均為旁路部署，只需通過鏡像導(dǎo)出流量，對(duì)業(yè)務(wù)系統(tǒng)運(yùn)行無影響。

四、結(jié)語

面向公安大數(shù)據(jù)中心的軟件定義安全系統(tǒng)以SDN、NFV技術(shù)為基礎(chǔ)，實(shí)現(xiàn)了公安大數(shù)據(jù)中心安全資源調(diào)度與安全服務(wù)編排功能，解決了傳統(tǒng)安全防護(hù)措施防護(hù)不足的問題，可以為公安大數(shù)據(jù)中心提供安全功能靈活部署、個(gè)性化定制的一體化解決方案，對(duì)公安信息化建設(shè)具有長遠(yuǎn)意義，確保了公安信息的安全。

[1] 曹陽. 信息安全問題云計(jì)算[J]. 科技信息, 2010(03).

[2] Roger Halbheer, Doug Cavit. 關(guān)于云計(jì)算安全的思考[J]. 信息技術(shù)與標(biāo)準(zhǔn)化, 2010(09).

[3] 李偉,李成坤. 透過“云安全”看公安信息網(wǎng)安全管理[J]. 硅谷,2009(03).

[4] SUN云計(jì)算架構(gòu)介紹白皮書.

[5] 云安全聯(lián)盟標(biāo)準(zhǔn)組織. Http://www.cloudsecurityalliance.org/.