斯園園

(中海油能源發(fā)展股份有限公司采油服務(wù)分公司，天津 300452)

SOA是指面向服務(wù)的架構(gòu)，主要是用來對IT基礎(chǔ)設(shè)施架構(gòu)進(jìn)行建設(shè)的一種邏輯方法。由于SOA具有服務(wù)接口標(biāo)準(zhǔn)化、服務(wù)封裝性、跨平臺等特性，能夠使信息技術(shù)基礎(chǔ)設(shè)施在重用性、柔性等方面有更好的表現(xiàn)。

SOA和其他軟件結(jié)構(gòu)相比具有一些特性，即獨(dú)立性、互操作性、松耦合性、方便靈活性。在SOA架構(gòu)中，服務(wù)由不同模塊構(gòu)成，借助不同層次的抽象應(yīng)用，可以將異構(gòu)功能模塊通過模塊-服務(wù)-應(yīng)用的流程集成為所需要的應(yīng)用?；谏鲜鰞?yōu)勢特征，在進(jìn)行船舶網(wǎng)絡(luò)信息安全管理系統(tǒng)建設(shè)時，可通過集成平臺和服務(wù)的融合，實(shí)現(xiàn)對船舶網(wǎng)絡(luò)信息的安全管理，使管理系統(tǒng)的安全性得到保障。

1 基于SOA架構(gòu)的船舶網(wǎng)絡(luò)信息安全管理系統(tǒng)設(shè)計(jì)

1.1 風(fēng)險(xiǎn)識別

安全管理系統(tǒng)要進(jìn)一步提升其可靠性，需要在SOA架構(gòu)的基礎(chǔ)上對信息進(jìn)行遷移和加密，對船舶網(wǎng)絡(luò)信息進(jìn)行良好的調(diào)用。要想保證信息遷移和加密效果，安全管理架構(gòu)要注意優(yōu)化，特別是對信息授權(quán)風(fēng)險(xiǎn)等級的優(yōu)化。具體來說，沒有授權(quán)的用戶在訪問船舶網(wǎng)絡(luò)信息時，需要經(jīng)過身份驗(yàn)證獲得授權(quán)，以避免網(wǎng)絡(luò)受到攻擊。用戶對船舶的網(wǎng)絡(luò)信息密鑰不能進(jìn)行破壞和撤銷，用戶身份驗(yàn)證如果沒有成功，則不能對相關(guān)信息進(jìn)行讀取。要對船舶網(wǎng)絡(luò)信息遺留的數(shù)據(jù)進(jìn)行有效改變，防止風(fēng)險(xiǎn)信息通過安全檢索系統(tǒng)。此外，要對信息風(fēng)險(xiǎn)進(jìn)行不同等級的劃分。對于船舶信息的原始數(shù)據(jù)，要設(shè)置成行列矩陣，對其進(jìn)行安全均值的計(jì)算。信息要建立私密協(xié)議，消除隱藏的信息風(fēng)險(xiǎn)。應(yīng)借助于船舶航跡統(tǒng)計(jì)、分析等技術(shù)，整理優(yōu)化SOA架構(gòu)下的船舶網(wǎng)絡(luò)信息處理動態(tài)參數(shù)，使船舶網(wǎng)絡(luò)信息的追蹤能力得到提升，保證網(wǎng)絡(luò)信息安全。依照管理系統(tǒng)功能需求，將管理平臺按照3層功能劃分，SOA架構(gòu)內(nèi)的用戶使用3層C/S結(jié)構(gòu)方式，外部用戶使用3層B/S結(jié)構(gòu)方式，借助安全程序及防火墻，實(shí)現(xiàn)對用戶同一數(shù)據(jù)庫的訪問，這樣在不同的網(wǎng)絡(luò)、地域下的數(shù)據(jù)信息都能夠得到有效保護(hù)。

1.2 信息安全管理

船舶網(wǎng)絡(luò)信息安全管理系統(tǒng)中，子系統(tǒng)的功能要實(shí)現(xiàn)相對獨(dú)立，需要對其風(fēng)險(xiǎn)信息進(jìn)行整合劃分，根據(jù)數(shù)據(jù)的矢量特征，挖掘海量數(shù)據(jù)的安全態(tài)勢，對安全信息的特征參數(shù)進(jìn)行對比，實(shí)現(xiàn)對信息安全的有效評價，同時對信息安全的評價概率進(jìn)行展現(xiàn)，以便為安全管理提供可靠的參考標(biāo)準(zhǔn)。關(guān)于信息安全管理的優(yōu)化，要嚴(yán)禁公開安全隱私信息，系統(tǒng)不能進(jìn)行遠(yuǎn)程使用。關(guān)于網(wǎng)絡(luò)中默認(rèn)的安全密碼，要進(jìn)行修改，船舶網(wǎng)絡(luò)操作系統(tǒng)、病毒特性庫及軟件補(bǔ)丁的版本要進(jìn)行及時更新。網(wǎng)絡(luò)信息的傳輸和訪問要實(shí)現(xiàn)有效隔離，保證符合安全要求，將計(jì)算機(jī)白名單策略應(yīng)用其中，停止通用序列的使用。針對網(wǎng)絡(luò)信息安全事件，要制定防范預(yù)案。要盡可能減少使用遠(yuǎn)程網(wǎng)絡(luò)監(jiān)測技術(shù)，入侵信息的攻擊性計(jì)算主要涉及初始信息特征、信息加密安全度、入侵信號的水平和垂直向量、特征信息數(shù)量等參數(shù)，應(yīng)定位篩選攻擊入侵信號。

1.3 系統(tǒng)的實(shí)現(xiàn)

對船舶信息進(jìn)行一定方式的排列，確保信息傳輸?shù)男诺罏? min一個超幀，時隙設(shè)定為2 250個，每個時隙傳輸2 056位信息。船舶站的網(wǎng)絡(luò)節(jié)點(diǎn)會進(jìn)行安全報(bào)告，利用時隙分組，船舶網(wǎng)絡(luò)信息可以實(shí)現(xiàn)自動識別，確保安全傳輸包緩沖值為24位，其中一半保護(hù)延遲信息。信息序列的處理過程需要進(jìn)行優(yōu)化，數(shù)據(jù)要進(jìn)行安全集合管理，對船舶網(wǎng)絡(luò)安全信息漏洞攻擊的部位進(jìn)行定位，達(dá)到對復(fù)雜信息進(jìn)行安全修復(fù)的目的。船舶網(wǎng)絡(luò)信息主要通過串口進(jìn)行接收，接收到的數(shù)據(jù)傳入數(shù)據(jù)庫或發(fā)送到顯示器中，需對其安全性進(jìn)行判斷，將其與數(shù)據(jù)庫信息存在差異的數(shù)據(jù)實(shí)時讀取出來。對管理體系結(jié)構(gòu)要進(jìn)行合理化構(gòu)建，使船舶網(wǎng)絡(luò)信息安全管理得到完善。系統(tǒng)中設(shè)置相關(guān)的安全標(biāo)準(zhǔn)，網(wǎng)絡(luò)信息安全威脅要進(jìn)行檢測識別，通過增強(qiáng)安全機(jī)制，確保網(wǎng)絡(luò)信息安全可靠，使用操作密鑰對網(wǎng)絡(luò)信息協(xié)議安全性進(jìn)行強(qiáng)化，以達(dá)到船舶網(wǎng)絡(luò)信息安全管理的目的。

2 SOA架構(gòu)信息安全管理系統(tǒng)可行性分析

2.1 SOA架構(gòu)的網(wǎng)絡(luò)拓?fù)鋱D分析

系統(tǒng)內(nèi)部建設(shè)SOA架構(gòu)的信息安全管理系統(tǒng)，網(wǎng)絡(luò)拓?fù)鋱D需要根據(jù)船舶數(shù)量來確認(rèn)服務(wù)器數(shù)量，在集團(tuán)公司還要多設(shè)一臺LDAP服務(wù)器，保證用戶可以使用統(tǒng)一目錄進(jìn)行訪問。網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

圖1 SOA架構(gòu)信息安全管理系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱DFig.1 Topological graph of information management system network based on SOA framework

2.2 服務(wù)體系分析

SOA架構(gòu)下的安全管理系統(tǒng)服務(wù)體系參考使用組件化的分層結(jié)構(gòu)設(shè)計(jì)理念，組裝成新的應(yīng)用，在下層基礎(chǔ)上建立上層，向上層提供訪問接口，實(shí)現(xiàn)為上層提供服務(wù)的目的。服務(wù)體系共分為六層，包括訪問層、數(shù)據(jù)層、業(yè)務(wù)層、流程層、綜合層、展現(xiàn)層。訪問服務(wù)層主要用來實(shí)現(xiàn)和底層數(shù)據(jù)資源的通信，通過標(biāo)準(zhǔn)接口，將各種訪問服務(wù)進(jìn)行定義，訪問層上面的開發(fā)者不用了解數(shù)據(jù)類型、位置及編程語言。數(shù)據(jù)服務(wù)層主要是實(shí)現(xiàn)異構(gòu)數(shù)據(jù)向集成、重用方向轉(zhuǎn)變的信息服務(wù)，利用信息資源對服務(wù)進(jìn)行訪問，數(shù)據(jù)服務(wù)層以上的開發(fā)者主要集中處理數(shù)據(jù)加工。業(yè)務(wù)服務(wù)層主要是處理部分可重用的業(yè)務(wù)，可以是單個無狀態(tài)處理操作服務(wù)或多個異步服務(wù)交互狀態(tài)處理操作服務(wù)，這一層以上的開發(fā)者不用了解業(yè)務(wù)處理邏輯過程。流程服務(wù)層主要是將服務(wù)依照一定的順序，通過相應(yīng)規(guī)則進(jìn)行調(diào)用。流程服務(wù)主要借助對下層數(shù)據(jù)、業(yè)務(wù)服務(wù)的編排來達(dá)到服務(wù)目的，其中需要確定流程編排規(guī)則。綜合服務(wù)層主要是依照業(yè)務(wù)驅(qū)動，根據(jù)中海油船舶特點(diǎn)，實(shí)現(xiàn)跨系統(tǒng)的復(fù)合服務(wù)。該層的服務(wù)主要由下層流程、業(yè)務(wù)、數(shù)據(jù)服務(wù)層組合成具有粗粒度的服務(wù)。展現(xiàn)服務(wù)層主要支持門戶應(yīng)用開發(fā)，不同組件實(shí)現(xiàn)不同客戶接入，為其提供較多的客戶端展現(xiàn)方式。船舶的SOA架構(gòu)信息系統(tǒng)服務(wù)體系的部署，主要按照集團(tuán)公司-區(qū)域公司-具體船舶管理公司構(gòu)建三級管理體系，在第二級公司部署服務(wù)目錄。服務(wù)的調(diào)用都需要通過集團(tuán)公司服務(wù)總線，且調(diào)用能夠看到總線和相應(yīng)的服務(wù)。

2.3 應(yīng)用體系分析

在實(shí)現(xiàn)已有業(yè)務(wù)系統(tǒng)資源建設(shè)的基礎(chǔ)上以面向服務(wù)集成向SOA架構(gòu)系統(tǒng)過渡，對已有的業(yè)務(wù)系統(tǒng)資源共享部分內(nèi)容進(jìn)行封裝，建立共享服務(wù)庫，其中共享的服務(wù)通過服務(wù)集成平臺組合成新的應(yīng)用系統(tǒng)。船舶SOA架構(gòu)信息安全管理系統(tǒng)的應(yīng)用體系建設(shè)可參考圖2所示。

圖2 SOA架構(gòu)信息安全管理系統(tǒng)的應(yīng)用體系視圖Fig.2 View of the application system of information security management system based on SOA framework

應(yīng)用系統(tǒng)的劃分主要依照業(yè)務(wù)支撐層、管理決策層、輔助決策層等。SOA服務(wù)庫中的各類服務(wù)的使用、維護(hù)、退役等整個生命周期中的管理都是通過SOA服務(wù)集成平臺通過數(shù)據(jù)服務(wù)總線和公司服務(wù)總線實(shí)現(xiàn)。

具體船舶SOA架構(gòu)信息安全管理系統(tǒng)建設(shè)時，其應(yīng)用系統(tǒng)主要是以服務(wù)為中心，服務(wù)體系包含六個層次。通過服務(wù)集成平臺將這些服務(wù)進(jìn)行連接，以實(shí)現(xiàn)對其整個生命周期的管理，主要利用公司的服務(wù)總線進(jìn)行互連，實(shí)現(xiàn)系統(tǒng)的三級部署，令中海油整個范圍內(nèi)的服務(wù)資源共享。

3 系統(tǒng)構(gòu)建應(yīng)用效果分析

SOA架構(gòu)下設(shè)計(jì)的船舶網(wǎng)絡(luò)信息安全管理系統(tǒng)需要進(jìn)行應(yīng)用效果檢驗(yàn)。以傳統(tǒng)算法的安全管理系統(tǒng)為對比進(jìn)行效果檢測分析，主要從軟硬件和技術(shù)投入進(jìn)行全面考量，檢測效果時使用2臺IBM小型計(jì)算機(jī)，實(shí)現(xiàn)結(jié)構(gòu)的開發(fā)研究。功能方面的實(shí)現(xiàn)主要使用VisualStudio2008開發(fā)環(huán)境和VC++開發(fā)語言，進(jìn)行實(shí)驗(yàn)檢測。兩種安全管理系統(tǒng)在實(shí)際應(yīng)用過程中需要對比分析信息安全加密的有效性和風(fēng)險(xiǎn)定位的精準(zhǔn)性，將檢測結(jié)果進(jìn)行詳細(xì)記錄。從檢測結(jié)果來看，使用傳統(tǒng)算法的網(wǎng)絡(luò)信息安管理系統(tǒng)對信息安全風(fēng)險(xiǎn)定位的精準(zhǔn)度較低，基于SOA架構(gòu)建立的船舶網(wǎng)絡(luò)信息安全管理系統(tǒng)的信息安全風(fēng)險(xiǎn)定位精準(zhǔn)度相對較高。進(jìn)一步對比檢測分析這兩種系統(tǒng)實(shí)際應(yīng)用過程中的數(shù)據(jù)安全性，對檢測結(jié)果進(jìn)行詳細(xì)記錄，通過分析可知，基于SOA架構(gòu)構(gòu)建的船舶網(wǎng)絡(luò)信息安全管理系統(tǒng)能夠更好地提高數(shù)據(jù)安全性。