方祥毅 張永嘉 中國(guó)汽車技術(shù)研究中心有限公司

從當(dāng)前的發(fā)展趨勢(shì)來(lái)看，大數(shù)據(jù)技術(shù)的廣泛使用正在潛移默化的改變著以往的信息安全體系，所以相關(guān)人員應(yīng)當(dāng)設(shè)計(jì)新的信息安全模型以及相關(guān)處理手段積極應(yīng)對(duì)當(dāng)前新型信息安全挑戰(zhàn)。鑒于此，本文主要圍繞著大數(shù)據(jù)背景下軟件定義安全服務(wù)研究展開(kāi)了討論，供相關(guān)人士參考與借鑒。

1 相關(guān)關(guān)鍵技術(shù)

1.1 軟件定義安全

所謂軟件定義安全，實(shí)質(zhì)上是在軟件定義網(wǎng)絡(luò)的基礎(chǔ)上引申而來(lái)，其主要原理是相關(guān)技術(shù)人員把物理網(wǎng)絡(luò)安全設(shè)備以及虛擬網(wǎng)絡(luò)安全設(shè)備與其部署形式、接入形式、實(shí)現(xiàn)功能加以解耦，這時(shí)底層抽象屬于安全資源池中的資源，最上面的一層通過(guò)采取軟件編程的手段進(jìn)行自動(dòng)化的管理與編排，這樣就能夠以最快的速度完成相關(guān)安全功能，以達(dá)到一種高效的安全防護(hù)。

1.2 大數(shù)據(jù)安全分析技術(shù)

所謂大數(shù)據(jù)安全分析，可以理解為是通過(guò)對(duì)相關(guān)數(shù)據(jù)包、元數(shù)據(jù)的持續(xù)處理，快速搜索到那些潛在的危險(xiǎn)活動(dòng)或者是非法活動(dòng)，盡可能減少安全事故發(fā)生的概率。從工作機(jī)制的立場(chǎng)來(lái)看，大數(shù)據(jù)安全分析主要包含以下幾個(gè)環(huán)節(jié)：

1.2.1 可視化分析

對(duì)于大數(shù)據(jù)可視化分析來(lái)說(shuō)，其原理實(shí)質(zhì)上是相關(guān)技術(shù)人員通過(guò)借助于計(jì)算機(jī)自動(dòng)化分析的能力，深層次的挖掘人類對(duì)于可視化信息的理解程度依賴于人機(jī)交互式分析手段以及相關(guān)交互技術(shù)，為人們可以更加清楚的看到大數(shù)據(jù)潛在的信息、智慧帶來(lái)益處。

1.2.2 數(shù)據(jù)采集和預(yù)處理

基于大數(shù)據(jù)的背景下，數(shù)據(jù)往往呈現(xiàn)出實(shí)時(shí)性特點(diǎn)以及非實(shí)時(shí)性特點(diǎn)，所以在大數(shù)據(jù)的采集以及預(yù)處理時(shí)經(jīng)常會(huì)使用某些和以往數(shù)據(jù)不同的手段以及工具，其中數(shù)據(jù)ETL過(guò)程在其中扮演著最為主要的角色。該環(huán)節(jié)主要把已經(jīng)出現(xiàn)分散的、異構(gòu)的數(shù)據(jù)提取到相關(guān)層面以后做好清洗、集成等一系列工作，最終加載到指定的數(shù)據(jù)庫(kù)或相關(guān)系統(tǒng)當(dāng)中，繼而當(dāng)作數(shù)據(jù)分析以及挖掘的基礎(chǔ)。

1.2.3 分析挖掘

通常情況下，分析挖掘技術(shù)最顯著的代表主要包含以下幾點(diǎn)：第一，Hive；第二，Mahout。對(duì)于Hive來(lái)說(shuō)，屬于PB級(jí)數(shù)據(jù)倉(cāng)庫(kù)平臺(tái)，能夠在Hadoop上面對(duì)相關(guān)數(shù)據(jù)查詢以及管理，同時(shí)還能做好海量數(shù)據(jù)挖掘工作。就Mahout而言，屬于一種數(shù)據(jù)挖掘算法庫(kù)，可以在很大程度上提供某些可以擴(kuò)展的算法的實(shí)現(xiàn)，在和Hadoop巧妙結(jié)合的基礎(chǔ)上能夠較好的提供分布式數(shù)據(jù)分析挖掘功能。

2 信息安全問(wèn)題

2.1 終端控制系統(tǒng)安全問(wèn)題

近階段，電腦、手機(jī)等電子設(shè)備的智能化和集成化功能在不斷增強(qiáng)，如果將這樣的電子設(shè)備與網(wǎng)絡(luò)與信息維護(hù)體系相連，繼而就出現(xiàn)明顯的信息傳輸現(xiàn)象，以此導(dǎo)致信息資源存在較高的安全風(fēng)險(xiǎn)。在這些風(fēng)險(xiǎn)中，最為常見(jiàn)的就是工業(yè)信息安全風(fēng)險(xiǎn)。通過(guò)細(xì)化總結(jié)，在工業(yè)信息資源庫(kù)中，時(shí)常降臨的風(fēng)險(xiǎn)主要包括以下幾種：

第一是對(duì)控制系統(tǒng)中的所有在程序指定都做出違法變更；第二是對(duì)系統(tǒng)APP及其分布狀態(tài)做出變更；第三是在信息控制區(qū)域設(shè)置病毒APP。在規(guī)模較大的信息控制系統(tǒng)中所出現(xiàn)的安全風(fēng)險(xiǎn)，更多時(shí)候都是這幾種風(fēng)險(xiǎn)的并存，并且這些風(fēng)險(xiǎn)都是由網(wǎng)絡(luò)黑客借助詳細(xì)的謀劃，來(lái)對(duì)指定區(qū)域信息做出較長(zhǎng)時(shí)間的、有預(yù)謀的盜取，體現(xiàn)出強(qiáng)大隱密性，所以這些風(fēng)險(xiǎn)具有發(fā)展緩慢，入侵程度不固定的特點(diǎn)，但較為常見(jiàn)的就是隱密的長(zhǎng)時(shí)間入侵。這種入侵方式的路徑為，重點(diǎn)將信息控制系統(tǒng)中的主要部分、APP、信息收集與監(jiān)控系統(tǒng)、電子設(shè)備等來(lái)確定為入侵點(diǎn)。借助隱密的入侵方式來(lái)取得進(jìn)入信息控制系統(tǒng)的權(quán)限。而對(duì)其在信息控制系統(tǒng)中的動(dòng)作、所用APP的隱密、入侵路徑的復(fù)雜，無(wú)法進(jìn)行有效監(jiān)測(cè)，以及借助有效方法來(lái)對(duì)控制系統(tǒng)安全施以維護(hù)，而更多時(shí)候還會(huì)導(dǎo)致隱密資料外泄的不良后果。

2.2 信息傳輸網(wǎng)絡(luò)安全問(wèn)題

對(duì)于信息傳輸網(wǎng)絡(luò)來(lái)說(shuō)，黑客們往往都會(huì)借助于正確渠道的服務(wù)申請(qǐng)來(lái)獲取大量的信息，以此導(dǎo)致信息系統(tǒng)合法擁有者不能接收到服務(wù)器的回應(yīng)，繼而將信息傳輸網(wǎng)絡(luò)中的數(shù)據(jù)混亂化，以達(dá)到削弱信息傳輸系統(tǒng)功能，并獲取指定信息的目的。其實(shí)際的入侵路徑為：首先向服務(wù)器為傳遞合理的連接申請(qǐng)，以此使服務(wù)在做出響應(yīng)時(shí)，而導(dǎo)致其自身功能的喪失，也可能會(huì)向服務(wù)器傳遞莫須有的IP地址，以導(dǎo)致服務(wù)在回應(yīng)時(shí)，不能將相關(guān)信息進(jìn)行有效傳遞，以此出現(xiàn)巨大量冗余信息占據(jù)服務(wù)器空間，使得其它重要信息不能順暢傳輸。較為常見(jiàn)的網(wǎng)絡(luò)入侵方式，可確定為干擾服務(wù)器功能入侵。這種入侵方式運(yùn)用合理的服務(wù)技術(shù)，并以分布式的手段來(lái)對(duì)多個(gè)信息系統(tǒng)進(jìn)行控制，并且以若干個(gè)電子設(shè)備當(dāng)作入侵通道，來(lái)對(duì)若干個(gè)信息系統(tǒng)施以功能毀滅性入侵，以此充分體現(xiàn)其入侵方法的威力。從而使得信息系統(tǒng)存在高度的安全風(fēng)險(xiǎn)。

2.3 大數(shù)據(jù)自身的信息安全

在大數(shù)據(jù)環(huán)境中，網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)，不會(huì)只是單一的隱密性信息外泄，還可能會(huì)有對(duì)網(wǎng)民上網(wǎng)規(guī)律的分析。網(wǎng)絡(luò)入侵者通常都會(huì)通過(guò)所獲取的數(shù)據(jù)，來(lái)對(duì)指定網(wǎng)民的規(guī)律做出詳細(xì)的總結(jié)，以采取相應(yīng)的入侵方式，進(jìn)而使得信息系統(tǒng)在運(yùn)行中常常會(huì)伴隨較高的安全風(fēng)險(xiǎn)。不僅如此，因大數(shù)據(jù)中的信息呈現(xiàn)分散化、很多信息也不具備真實(shí)性等原因的干擾，信息采集的精準(zhǔn)性，信息傳遞渠道、信息整合的過(guò)程風(fēng)景都會(huì)使得信息的可靠性被削弱，以此在很大程度上對(duì)信息系統(tǒng)的安全帶來(lái)風(fēng)險(xiǎn)。

3 軟件定義安全的服務(wù)架構(gòu)

基于大數(shù)據(jù)的背景下，所謂信息安全分析實(shí)質(zhì)上是相關(guān)技術(shù)人員通過(guò)收集以及剖析信息終端、信息傳輸網(wǎng)絡(luò)以及云計(jì)算平臺(tái)中逐漸衍生出來(lái)的數(shù)據(jù)，其目的是為了檢測(cè)系統(tǒng)是否存在安全隱患，繼而為信息系統(tǒng)的安全性提供應(yīng)有的保障。因?yàn)槠邢?，本文以云?jì)算這一層面為例，提出了一種行之有效的體系架構(gòu)，繼而為相關(guān)用戶提供按需的、準(zhǔn)確的安全服務(wù)。軟件定義的網(wǎng)絡(luò)安全服務(wù)框架主要由以下幾個(gè)層面構(gòu)成：第一，安全服務(wù)展現(xiàn)層；第二，安全服務(wù)管理層；第三，網(wǎng)絡(luò)流量導(dǎo)流與分流；第四，安全服務(wù)資源池。

站在安全服務(wù)展現(xiàn)層的立場(chǎng)來(lái)看，該層主要的作用是妥善處理服務(wù)可視化問(wèn)題，同時(shí)還為用戶提供相應(yīng)的人機(jī)交互接口。尤其是在數(shù)據(jù)中心環(huán)境里，不管是針對(duì)用戶的設(shè)施來(lái)說(shuō)，還是就安全服務(wù)設(shè)備而言都已經(jīng)不再是一種單一化的設(shè)備，而是采取軟件、硬件甚至是軟硬結(jié)合的手段存儲(chǔ)于指定的地方，盡管會(huì)及時(shí)為用戶提供相應(yīng)的服務(wù)，然而用戶卻無(wú)法用肉眼看到這些設(shè)備的物理存在，這樣就會(huì)在某種程度上致使用戶不能全面了解安全服務(wù)的有效性。所以，安全服務(wù)展現(xiàn)層主要的目的是為了妥善處理服務(wù)可視化的問(wèn)題，積極采取可視化的手段有效減少用戶對(duì)這種服務(wù)理解的難度，同時(shí)還可以在可視化的基礎(chǔ)上充分的呈現(xiàn)出網(wǎng)絡(luò)的安全態(tài)勢(shì)。從安全服務(wù)的交互接口出發(fā)，可以看到：該接口能夠?yàn)橛脩籼峁?duì)服務(wù)的選擇、定制，比如用戶從其網(wǎng)絡(luò)分出一個(gè)vlan，并在此基礎(chǔ)上部署了相應(yīng)的Web應(yīng)用網(wǎng)關(guān)以及防火墻，實(shí)質(zhì)上就是將vlan當(dāng)作服務(wù)對(duì)象，選擇WAF服務(wù)以及防火墻服務(wù)，就能夠結(jié)合其選擇的服務(wù)制定來(lái)對(duì)網(wǎng)絡(luò)流量的大小進(jìn)行妥善處理。

從安全服務(wù)管理層的角度出發(fā)可以看到，可以對(duì)相關(guān)安全服務(wù)內(nèi)容達(dá)到封裝以及管理的效果。假如安全服務(wù)已經(jīng)定制成功以后，那么這個(gè)時(shí)候相關(guān)技術(shù)人員就可以借助于安全服務(wù)管理層實(shí)現(xiàn)配置以及下發(fā)的目的。針對(duì)服務(wù)配置接口來(lái)說(shuō)，當(dāng)該接口被進(jìn)行調(diào)用以后，這個(gè)時(shí)候管理層會(huì)以最快的速度調(diào)用執(zhí)行接口，進(jìn)而通過(guò)相關(guān)業(yè)務(wù)邏輯的操作系列來(lái)完成所有服務(wù)的配置。由此可見(jiàn)，通過(guò)這種方式可以為用戶屏蔽一些不需要的操作流程，同時(shí)還可以大大降低虛擬化帶來(lái)的技術(shù)壁壘，繼而保障用戶可以順利配置自身所需的安全服務(wù)。

無(wú)論是對(duì)于網(wǎng)絡(luò)流量的導(dǎo)流層來(lái)說(shuō)，還是就網(wǎng)絡(luò)流量的分流層而言，往往實(shí)現(xiàn)了結(jié)合安全服務(wù)的配置，將相關(guān)流量通過(guò)抓取或者是導(dǎo)引的手段引入到指定的服務(wù)資源池中進(jìn)行相應(yīng)的服務(wù)?？偟膩?lái)說(shuō)，流量抓取以及導(dǎo)引主要包含以下幾種：第一，相關(guān)技術(shù)人員通過(guò)利用相關(guān)虛擬機(jī)來(lái)實(shí)現(xiàn)對(duì)同虛擬網(wǎng)絡(luò)內(nèi)流量的抓?。坏诙?，通過(guò)嵌入Openflow規(guī)則或者是改變交換機(jī)配置的方式調(diào)整網(wǎng)絡(luò)流的走向，以此實(shí)現(xiàn)流量的導(dǎo)出。

通常情況下，安全服務(wù)資源池模塊是提供相關(guān)安全服務(wù)的實(shí)體，同時(shí)也是建立安全云的核心所在。相關(guān)技術(shù)人員需要把網(wǎng)絡(luò)流量當(dāng)作度量安全服務(wù)的單位，并靈活運(yùn)用流量抓取以及導(dǎo)引的手段盡可能把流量輸入到指定的資源池中。針對(duì)物理安全設(shè)備來(lái)說(shuō)，實(shí)質(zhì)上是在安全服務(wù)執(zhí)行的所有流程中，網(wǎng)絡(luò)流在整個(gè)階段都屬于被服務(wù)的對(duì)象，所以這個(gè)時(shí)候積極運(yùn)用SDN交換機(jī)就可以有效構(gòu)建相應(yīng)的服務(wù)承載通道。通常情況下，安全服務(wù)主要由以下幾個(gè)部分一起組成：第一，服務(wù)對(duì)象；第二，承載通道；第三，服務(wù)實(shí)施。針對(duì)服務(wù)對(duì)象來(lái)說(shuō)，也就是信息安全域，無(wú)論是虛擬探針還是導(dǎo)流產(chǎn)品都要結(jié)合安全域的劃分將相關(guān)流量采取導(dǎo)引或者是抓取的方式引入到指定的承載通道中；就承載通道而言，在SDN交換機(jī)中主要以流的形式得以實(shí)現(xiàn)的，相關(guān)技術(shù)人員通過(guò)采取有效措施在對(duì)Openflow規(guī)則進(jìn)行控制的基礎(chǔ)上，將相關(guān)網(wǎng)絡(luò)流輸入到指定的接口上，這一接口所連接的部位就是安全設(shè)備，例如IDS、UTM等；從服務(wù)端實(shí)施的角度來(lái)看，其安全設(shè)備主要包含以下幾種：一種是所有旁路接入的產(chǎn)品；另一種是串行接入的產(chǎn)品。站在不支持自身虛擬化的安全設(shè)備來(lái)講，相關(guān)技術(shù)人員可以使用一組輕量級(jí)的設(shè)備建立相應(yīng)的資源池，基于Openflow協(xié)議的背景下對(duì)相關(guān)端口的負(fù)載進(jìn)行科學(xué)管控，以此來(lái)達(dá)到伸縮的能力。反之，針對(duì)自身可以虛擬化的安全產(chǎn)品來(lái)說(shuō)，能夠達(dá)到更為細(xì)致化的按需服務(wù)，其服務(wù)分發(fā)通常由安全設(shè)備自身實(shí)現(xiàn)。

對(duì)于該安全服務(wù)框架而言，其核心實(shí)質(zhì)上是相關(guān)技術(shù)人員通過(guò)合理運(yùn)用SDN交換機(jī)在安全服務(wù)軟硬件之間建立了相應(yīng)的中間層，該層屬于控制和分發(fā)中心，同時(shí)也可以作為安全服務(wù)任務(wù)分發(fā)的中心。這時(shí)相關(guān)技術(shù)人員在靈活運(yùn)用業(yè)務(wù)模塊的基礎(chǔ)上，可以在某種程度上賦予網(wǎng)絡(luò)流安全業(yè)務(wù)邏輯，并借助于SDN交換機(jī)來(lái)對(duì)該邏輯進(jìn)行有效識(shí)別，最后再結(jié)合相關(guān)邏輯對(duì)與之相匹配的硬件處理單元做好分發(fā)工作，繼而實(shí)現(xiàn)了一個(gè)服務(wù)管理以及分發(fā)系統(tǒng)。

結(jié)語(yǔ)：綜上所述，在大數(shù)據(jù)的背景下，信息安全有了全新的挑戰(zhàn)，然而其自身的相關(guān)技術(shù)也是妥善處理信息安全問(wèn)題的主要方式。因?yàn)槠邢?，本文以云?jì)算這一層面為例，提出了一種有效的體系架構(gòu)，從底層技術(shù)上處理了大數(shù)據(jù)在云計(jì)算信息安全上自主可控的問(wèn)題，旨在提高信息安全產(chǎn)品與專業(yè)服務(wù)質(zhì)量，強(qiáng)化信息系統(tǒng)的自主可控能力，為國(guó)民經(jīng)濟(jì)以及社會(huì)信息化的穩(wěn)定發(fā)展提供應(yīng)有的保障。