程永新，廖竣鍇，付 江，張建輝

（1.中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041；2.中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041）

0 引 言

隨著信息社會的不斷發(fā)展，信息的跨網(wǎng)交換需求變得越來越迫切，但各個網(wǎng)絡(luò)的安全防護(hù)手段存在著不小的差距，如果仍以網(wǎng)閘產(chǎn)品作為信息交換手段，將會給參與跨網(wǎng)交換的網(wǎng)絡(luò)帶來越來越多的安全威脅。因此，必須從網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等多個層面，綜合運(yùn)用多種安全防護(hù)手段[1]，系統(tǒng)性的設(shè)計跨網(wǎng)交換體系，才能確保信息的安全交換。在未來的跨網(wǎng)交換體系中，如何高效的利用現(xiàn)有的安全手段，并具備安全功能的擴(kuò)展能力，則是必須要面對的問題。本文設(shè)計了一種跨網(wǎng)安全資源服務(wù)系統(tǒng)，該系統(tǒng)借鑒軟件定義的思想，通過跨網(wǎng)安全功能資源池化和資源池管理技術(shù)，能夠根據(jù)系統(tǒng)對安全防護(hù)能力的需求變化，實現(xiàn)跨網(wǎng)安全資源的高效利用和動態(tài)調(diào)整，從而滿足未來跨網(wǎng)交換體系對安全能力的需求。

1 跨網(wǎng)交換中的安全技術(shù)

當(dāng)前，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)主要通過網(wǎng)閘產(chǎn)品實現(xiàn)信息的跨網(wǎng)交換。網(wǎng)閘產(chǎn)品內(nèi)部采取了一定的安全措施，如接入控制、權(quán)限檢查、格式內(nèi)容檢查、病毒查殺等安全手段。但網(wǎng)閘產(chǎn)品在安全檢查和能力擴(kuò)展方面還存在不少的問題。

（1）安全檢查能力弱：各種安全手段集成在一個產(chǎn)品中，需要平衡各種功能占用的資源，導(dǎo)致安全檢查能力不強(qiáng)；

（2）安全檢查效率不高：多種安全手段串行處理，安全檢查效率不高；

（3）安全檢查手段擴(kuò)展性不強(qiáng)：網(wǎng)閘產(chǎn)品資源有限，內(nèi)部架構(gòu)固定，無法擴(kuò)展更多的安全手段；

（4）傳輸帶寬固定：傳輸帶寬由設(shè)備性能決定，性能擴(kuò)展能力差。

因此，研究設(shè)計一種跨網(wǎng)安全資源服務(wù)系統(tǒng)，為跨網(wǎng)交換體系提供系統(tǒng)化的豐富的安全檢查功能、按需調(diào)配的安全手段和可擴(kuò)展的安全服務(wù)能力，才能夠更好的實現(xiàn)信息安全交換。

2 跨網(wǎng)安全資源服務(wù)架構(gòu)設(shè)計

跨網(wǎng)安全資源服務(wù)架構(gòu)通過將安全服務(wù)資源“池”化[2]，實現(xiàn)面向跨網(wǎng)交換系統(tǒng)的安全服務(wù)動態(tài)供給，以服務(wù)化的方式提供可分解、可組合、可編排的安全防控服務(wù)功能，提供高可用、靈活、高效的安全防護(hù)服務(wù)。系統(tǒng)架構(gòu)包括安全資源、安全資源池和安全服務(wù)管理三部分，主要架構(gòu)如圖1所示。

安全資源指為了保證跨網(wǎng)交換系統(tǒng)自身安全性和安全交換功能所部署的安全手段，這些安全手段可以是實體的物理設(shè)備，如惡意代碼沙箱、病毒查殺、防火墻、攻擊檢測等安全設(shè)備；也可以是通過虛擬化技術(shù)實現(xiàn)的虛擬安全功能，如在虛擬系統(tǒng)中部署的病毒檢測、敏感內(nèi)容識別、權(quán)限檢查、格式內(nèi)容檢查等安全功能。除了現(xiàn)有的安全功能外，未來如果有了更先進(jìn)的安全手段，可以增加該系統(tǒng)的安全資源中。

安全功能資源池對安全資源提供注冊/注銷功能、安全資源分類管理和安全資源狀態(tài)監(jiān)控功能，其目的是忽略安全功能的實現(xiàn)差異，將安全功能服務(wù)與功能實現(xiàn)進(jìn)行解耦，使得安全功能服務(wù)的調(diào)度、功能擴(kuò)展與重組、服務(wù)部署相互獨立。

安全服務(wù)管理[3]對外提供系統(tǒng)管理、安全策略制定、安全服務(wù)編排、安全服務(wù)調(diào)整、負(fù)載均衡計算等功能，按需向跨網(wǎng)交換系統(tǒng)提供可編排的安全服務(wù)。

圖1 跨網(wǎng)安全資源服務(wù)系統(tǒng)架構(gòu)

3 系統(tǒng)關(guān)鍵技術(shù)

3.1 安全功能資源池化

安全功能源池化是對傳輸權(quán)限確認(rèn)、信息安全檢查、數(shù)據(jù)內(nèi)容過濾等物理和虛擬安全功能的全面定義，在共享底層的異構(gòu)物理資源的基礎(chǔ)上，構(gòu)建出多個共存但相互隔離的邏輯資源，形成可統(tǒng)一管理、調(diào)度與按需靈活分配的一體化跨網(wǎng)交換安全資源池，向上層提供無差別的數(shù)據(jù)交換和安全服務(wù)資源模塊，為實施高效的數(shù)據(jù)交換提供基礎(chǔ)。

3.1.1 安全功能資源池建立

安全功能資源池將同類型的安全設(shè)備、虛擬安全功能進(jìn)行統(tǒng)一描述和集中管理分配，通過分離安全控制平面和數(shù)據(jù)平面，將安全設(shè)備與其接入模式、部署方式進(jìn)行解耦，底層通過網(wǎng)絡(luò)功能虛擬化將安全設(shè)備虛擬化安全資源池。

安全功能資源池使安全資源能夠像服務(wù)一樣在網(wǎng)絡(luò)上發(fā)布、查詢和訪問，使安全資源的應(yīng)用具有靈活性、松耦合性和跨平臺能力，安全功能資源池的建立包括：

（1）建立安全資源注冊中心，提供安全資源管理注冊和資源發(fā)布功能；

（2）統(tǒng)一安全資源注冊接口，包括：資源名稱、資源類型、資源描述、資源地址等；

（3）統(tǒng)一資源監(jiān)控接口，包括：資源狀態(tài)、CPU/內(nèi)存利用率、存儲使用情況、帶寬使用情況等；

（4）統(tǒng)一的資源服務(wù)接口，包括：資源調(diào)用接口、用戶名/密碼、檢查結(jié)果反饋接口等；

3.1.2 資源服務(wù)化封裝

資源服務(wù)化封裝要滿足安全資源的多樣性與動態(tài)變化，采用統(tǒng)一的描述機(jī)制，將各式各樣的安全功能抽象為統(tǒng)一規(guī)范的服務(wù)，同時對上層提供對應(yīng)的操作接口，進(jìn)而根據(jù)交換業(yè)務(wù)需求構(gòu)造相應(yīng)的服務(wù)接口供上層業(yè)務(wù)調(diào)用?？梢圆捎肳eb服務(wù)技術(shù)完成資源服務(wù)化封裝。

Web服務(wù)是采用標(biāo)準(zhǔn)的web協(xié)議提供服務(wù)，來保證跨平臺的應(yīng)用程序之間互操作性的技術(shù)。根據(jù)W3C的定義，web服務(wù)是用來支持網(wǎng)絡(luò)上可互操作的機(jī)器與機(jī)器之間交互的一種軟件系統(tǒng)。Web服務(wù)的接口采用機(jī)器可處理的格式（如WSDL）來描述，其他系統(tǒng)根據(jù)接口中的信息，通過HTTP協(xié)議來與web服務(wù)進(jìn)行交互。

Web服務(wù)可以提供兩種調(diào)用方式選擇：SOAP方式與REST方式。其中，SOAP方式是采用符合SOAP標(biāo)準(zhǔn)的XML消息，對web服務(wù)提供的操作進(jìn)行調(diào)用。由于SOAP的靈活性，這種方式能夠支持最廣泛的操作。REST方式的web服務(wù)不需要SOAP協(xié)議，而是定義了一組對web資源的標(biāo)準(zhǔn)操作（如GET、POST、PUT、DELETE等），并直接使用HTTP請求的操作語義來指定對web資源的相應(yīng)操作的調(diào)用。

3.1.3 資源服務(wù)訪問

資源服務(wù)訪問是由資源調(diào)用、資源管理、資源訪問、用戶權(quán)限管理四類服務(wù)接口組成，資源的提供者、用戶通過這些接口實現(xiàn)對資源的管理和訪問。

資源調(diào)用服務(wù)接口是為服務(wù)請求者使用，應(yīng)用程序充當(dāng)請求者的角色，發(fā)出服務(wù)調(diào)用的參數(shù)，透明地訪問邏輯資源。資源注冊中心根據(jù)收到的服務(wù)請求，進(jìn)行服務(wù)模式匹配與服務(wù)流程控制，并向后臺處理功能發(fā)出具體的處理請求。后臺處理功能包括安全功能實體，根據(jù)收到的處理請求完成實際處理操作，并將結(jié)果返回給資源注冊中心。

資源管理服務(wù)接口是為資源的提供者使用的，一般在資源服務(wù)發(fā)布的服務(wù)描述文件中不公開發(fā)布，主要是實現(xiàn)資源描述信息的注冊、刪除、更新。

資源訪問服務(wù)依據(jù)用戶身份提供對資源的信息查詢、更新、刪除功能。資源訪問服務(wù)依據(jù)用戶身份分為三類， 其中管理員接口具有對資源操作的所有權(quán)限，不僅能夠?qū)崿F(xiàn)資源的數(shù)據(jù)定義操作，而且可以實施數(shù)據(jù)管理操作，授權(quán)用戶能實施數(shù)據(jù)資源的增、刪、改操作，普通用戶只能進(jìn)行數(shù)據(jù)資源查詢。

用戶權(quán)限管理服務(wù)接口用來實現(xiàn)資源訪問用戶的權(quán)限管理，提供對資源訪問用戶的增加、刪除、更新、驗證和用戶信息獲取功能。

3.2 安全服務(wù)編排

安全服務(wù)編排技術(shù)著眼于安全服務(wù)、安全服務(wù)間的組合、重構(gòu)與集成，達(dá)到以跨網(wǎng)交換系統(tǒng)的安全需求為導(dǎo)向，按照功能需求和業(yè)務(wù)邏輯生成服務(wù)鏈，提供高層次的安全功能。

3.2.1 安全服務(wù)編排流程

安全服務(wù)編排流程是根據(jù)跨網(wǎng)交換系統(tǒng)的應(yīng)用需求，設(shè)計所需要的安全服務(wù)，明確提供服務(wù)的安全產(chǎn)品資源，包括采用安全類型、廠家、帶寬等，根據(jù)不同安全產(chǎn)品之間的業(yè)務(wù)流進(jìn)行自動規(guī)劃，具體過程如圖2所示。

圖2 安全服務(wù)編排工作流程

（1）安全需求分解：根據(jù)安全需求進(jìn)行分解，包括安全服務(wù)的種類、安全資源的占用（帶寬、性能等）；

（2）安全服務(wù)評估：分析已經(jīng)在運(yùn)行的安全服務(wù)是否可以滿足安全需求；如果滿足跳轉(zhuǎn)到（5）；如不滿足則計算出需要新增的安全服務(wù)；

（3）安全資源評估：現(xiàn)有的安全資源是否可以支撐新增的安全服務(wù)；如果不能則返回失敗，并給出提示；

（4）安全服務(wù)加載：根據(jù)需求，向安全資源庫申請安全資源，生成新的安全服務(wù)，并對安全服務(wù)進(jìn)行策略配置；

（5）安全功能鏈構(gòu)建：根據(jù)對需求分配的安全服務(wù)，設(shè)計數(shù)據(jù)引流策略；

（6）策略下發(fā)：將數(shù)據(jù)引流策略下發(fā)到各個物理交換設(shè)備和虛擬交換設(shè)備。

3.2.2 并行檢查的安全功能鏈

安全功能鏈來源于服務(wù)功能鏈[4]（SFC，Service Functions Chain，是一組有序的虛擬網(wǎng)絡(luò)功能集合，按照制定的策略依次通過多個虛擬網(wǎng)絡(luò)功能）。安全功能鏈借鑒服務(wù)功能鏈的思想，構(gòu)建串行和并行結(jié)合的安全功能集合，按照制定的策略依次通過多個安全功能，在完成全部安全安全檢查的前提下，提高安全檢查效率。

以一組交換數(shù)據(jù)的安全需求為例，如果交換需求為：交換權(quán)限檢查、數(shù)據(jù)泄露防護(hù)、文檔格式檢查和惡意代碼查殺等安全功能，則構(gòu)建如圖3所示的安全功能鏈。

圖3 安全功能鏈?zhǔn)疽鈭D

安全功能鏈由安全檢查功能集合構(gòu)成，包括串行和并行的安全功能。由于交換權(quán)限是數(shù)據(jù)交換的先決條件，故需要進(jìn)行串行檢查；數(shù)據(jù)泄露防護(hù)、文檔格式檢查、惡意代碼查殺等安全功能沒有先后的順序要求，故可以并行進(jìn)行安全檢查。最終的安全檢查結(jié)果需要匯總，確保所有安全檢查均能通過才可以進(jìn)行數(shù)據(jù)交換。

3.2.3 安全服務(wù)調(diào)整

安全服務(wù)能力基于資源池構(gòu)建，基于預(yù)置策略針對不同跨網(wǎng)交換任務(wù)進(jìn)行安全處理流程編排，當(dāng)安全服務(wù)需求發(fā)生變化時，可動態(tài)調(diào)整安全處理流程。安全服務(wù)動態(tài)調(diào)整如圖4所示。

圖4 安全服務(wù)動態(tài)調(diào)整示意圖

如上圖，在跨網(wǎng)安全服務(wù)需求變更時，需要增加數(shù)據(jù)脫敏的安全服務(wù)。數(shù)據(jù)脫敏設(shè)備（或虛擬的數(shù)據(jù)脫敏功能）向安全資源池注冊，進(jìn)入安全資源池的管理；啟動數(shù)據(jù)脫敏功能，并進(jìn)行策略配置；對現(xiàn)有安全功能鏈進(jìn)行重新編排，增加數(shù)據(jù)脫敏處理流程；制定相關(guān)策略，并下發(fā)到相關(guān)網(wǎng)絡(luò)設(shè)備和安全功能進(jìn)行執(zhí)行。最終實現(xiàn)安全功能的增加和安全服務(wù)的動態(tài)調(diào)整。

4 結(jié) 語

本文從跨網(wǎng)交換系統(tǒng)對安全功能的要求出發(fā)，設(shè)計了具有安全手段可擴(kuò)展、安全服務(wù)可編排、安全能力可調(diào)整的高效跨網(wǎng)安全資源服務(wù)系統(tǒng)。該系統(tǒng)不僅帶來了靈活、彈性的安全資源部署能力，提高了安全資源利用率，還能夠更有效的提高業(yè)務(wù)故障監(jiān)控能力和修復(fù)能力，提升系統(tǒng)運(yùn)行效率和健壯性?？缇W(wǎng)安全資源服務(wù)系統(tǒng)不僅可以支撐未來跨網(wǎng)信息交換系統(tǒng)對安全檢查功能的能力要求，還可以進(jìn)一步擴(kuò)展應(yīng)用到其他信息系統(tǒng)中，為其他系統(tǒng)提供更好的安全支撐和保障。