裴彥純

數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)作為關(guān)鍵生產(chǎn)要素其重要性日益凸顯。數(shù)字化轉(zhuǎn)型使得數(shù)據(jù)流通和共享成為必需，由此也帶來了愈加嚴(yán)峻的數(shù)據(jù)泄露風(fēng)險(xiǎn)。隨著《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)的出臺，填補(bǔ)了數(shù)據(jù)安全保護(hù)立法的空白，完善了網(wǎng)絡(luò)空間安全治理的法律體系，促進(jìn)了我國數(shù)據(jù)保護(hù)法律法規(guī)體系的清晰、嚴(yán)謹(jǐn)，實(shí)現(xiàn)了對數(shù)據(jù)監(jiān)管的有法可依。在強(qiáng)監(jiān)管趨勢下，粗放型數(shù)據(jù)交易模式已游走在法律紅線的邊緣，對仍處于此類灰色地帶的企業(yè)將造成重創(chuàng)，積極探索符合合規(guī)要求的業(yè)務(wù)路線是其當(dāng)前唯一的出路。保障數(shù)據(jù)安全以及數(shù)據(jù)的合規(guī)合法使用成為了數(shù)據(jù)流通、共享的前提[1]。

本文從數(shù)據(jù)安全共享服務(wù)平臺的設(shè)計(jì)角度切入，詳細(xì)描述了平臺架構(gòu)和系統(tǒng)組成，其采用微服務(wù)架構(gòu)實(shí)現(xiàn)了數(shù)據(jù)資源服務(wù)總線，通過任務(wù)驅(qū)動(dòng)的協(xié)同機(jī)制實(shí)現(xiàn)了基于隱私計(jì)算的安全計(jì)算系統(tǒng)。最終在平臺內(nèi)部構(gòu)建了數(shù)據(jù)安全監(jiān)測和數(shù)據(jù)集中管控系統(tǒng)，保證系統(tǒng)安全穩(wěn)定的運(yùn)行。

1 數(shù)據(jù)安全共享服務(wù)平臺架構(gòu)設(shè)計(jì)

平臺通過終端網(wǎng)關(guān)支持多種數(shù)據(jù)安全接入服務(wù)，實(shí)現(xiàn)外部數(shù)據(jù)大批量、高并發(fā)的安全接入與傳輸；通過基于微服務(wù)架構(gòu)的數(shù)據(jù)資源服務(wù)總線進(jìn)行安全共享，滿足符合訪問授權(quán)規(guī)范要求的數(shù)據(jù)共享與訪問操作。在相關(guān)數(shù)據(jù)訪問操作符合訪問授權(quán)規(guī)范要求時(shí)，平臺也可實(shí)現(xiàn)內(nèi)部數(shù)據(jù)與其他數(shù)據(jù)的共享，可以選擇通過本平臺實(shí)現(xiàn)發(fā)布使用與訪問控制[2]。

平臺融入了數(shù)據(jù)安全管控系統(tǒng)[3]，實(shí)現(xiàn)了智能匹配相應(yīng)的安全管控策略，采用基于人工智能的用戶異常行為分析，對所有數(shù)據(jù)操作進(jìn)行全程安全管控和全生命周期的審計(jì)溯源，實(shí)現(xiàn)了對異常行為、安全風(fēng)險(xiǎn)的自動(dòng)感知與處置。

1.1 數(shù)據(jù)資源服務(wù)總線

基于微服務(wù)架構(gòu)的數(shù)據(jù)資源服務(wù)總線也稱微服務(wù)API 網(wǎng)關(guān)，相對于傳統(tǒng)的資源服務(wù)總線，具有可彈性擴(kuò)展、分布式、自維護(hù)、輕量級、松耦合等特點(diǎn)。采用面向服務(wù)的體系結(jié)構(gòu)實(shí)現(xiàn)數(shù)據(jù)資源應(yīng)用間的數(shù)據(jù)共享和使用，主要解決數(shù)據(jù)資源的封裝問題[4]（如圖1 所示），包括：

數(shù)據(jù)使用方：需要通過總線獲取數(shù)據(jù)服務(wù)的請求程序。

數(shù)據(jù)提供方：在總線上提供數(shù)據(jù)服務(wù)的服務(wù)程序。

圖1 數(shù)據(jù)服務(wù)總線

數(shù)據(jù)服務(wù)注冊：數(shù)據(jù)提供方發(fā)布自己的數(shù)據(jù)服務(wù)和服務(wù)規(guī)約至服務(wù)注冊中心，以便數(shù)據(jù)使用方可以發(fā)現(xiàn)和訪問該服務(wù)。

數(shù)據(jù)服務(wù)管理：總線通過記錄數(shù)據(jù)服務(wù)請求、提供的內(nèi)容，了解數(shù)據(jù)服務(wù)的狀況、性能，進(jìn)而發(fā)現(xiàn)其中存在的問題，實(shí)現(xiàn)對數(shù)據(jù)服務(wù)的控制。

數(shù)據(jù)服務(wù)內(nèi)容：包括數(shù)據(jù)服務(wù)請求內(nèi)容和數(shù)據(jù)服務(wù)提供內(nèi)容。

數(shù)據(jù)服務(wù)總線主要提供對接服務(wù)、級聯(lián)服務(wù)、網(wǎng)關(guān)服務(wù)及跨網(wǎng)授權(quán)、權(quán)限控制、服務(wù)注冊、訪問審計(jì)、日志同步等功能，可滿足不同業(yè)務(wù)場景下的技術(shù)要求。

（1）服務(wù)注冊

服務(wù)提供者將自己的數(shù)據(jù)資源服務(wù)和服務(wù)規(guī)約依據(jù)服務(wù)資源注冊信息格式要求發(fā)布到服務(wù)注冊中心，生成服務(wù)目錄并由服務(wù)總線統(tǒng)一管理和提供調(diào)用。

（2）服務(wù)請求

服務(wù)請求者按照服務(wù)文檔的請求調(diào)用報(bào)文格式構(gòu)造報(bào)文并發(fā)送至服務(wù)總線。服務(wù)請求主要是通過代理訪問模式來實(shí)現(xiàn)服務(wù)調(diào)度，即將服務(wù)請求發(fā)往服務(wù)接口所掛接的移動(dòng)服務(wù)總線，再由服務(wù)總線通過路由代理訪問服務(wù)接口返回結(jié)果；還可通過支持直接訪問模式實(shí)現(xiàn)服務(wù)請求，即根據(jù)服務(wù)請求方的權(quán)限信息進(jìn)行認(rèn)證和授權(quán)，服務(wù)請求方獲得授予訪問令牌后可以向服務(wù)接口方發(fā)送請求。服務(wù)提供方通過檢查訪問令牌可直接向服務(wù)請求方提供服務(wù)[5-6]。

（3）異步服務(wù)請求

服務(wù)總線支持服務(wù)請求者的異步服務(wù)請求。即服務(wù)總線將返回結(jié)果緩存，當(dāng)服務(wù)請求者獲取異步請求時(shí)再將返回結(jié)果發(fā)回給服務(wù)請求者。

（4）服務(wù)路由

服務(wù)路由是服務(wù)總線基于服務(wù)請求進(jìn)行路由匹配的核心功能。服務(wù)發(fā)起方通過權(quán)限校驗(yàn)后提交服務(wù)請求，服務(wù)總線在接收后開始進(jìn)行路由匹配，匹配成功即開始處理該請求，并將服務(wù)響應(yīng)結(jié)果傳輸給服務(wù)提供方。

和傳統(tǒng)服務(wù)總線相比，數(shù)據(jù)資源服務(wù)總線需要滿足海量的應(yīng)用訪問請求以及支持分布式的擴(kuò)展。服務(wù)總線的路由支持1 個(gè)API 多個(gè)后端節(jié)點(diǎn)模式（即集群模式）；后端支持IP 地址注冊和服務(wù)名稱注冊；使用服務(wù)名稱注冊時(shí)，移動(dòng)服務(wù)總線必須提供一種可靠的服務(wù)注冊發(fā)現(xiàn)機(jī)制，確保后端節(jié)點(diǎn)地址的動(dòng)態(tài)變化。

（5）服務(wù)編排

服務(wù)編排指將多個(gè)服務(wù)進(jìn)行編排形成新的服務(wù)?；诜?wù)調(diào)用方關(guān)心的是想要的結(jié)果而不是調(diào)用的復(fù)雜過程，支持直觀方式定義的新組合服務(wù)流程(工作流或代碼級編排)，通過少量的可視化定制化開發(fā)，即可實(shí)現(xiàn)服務(wù)的編排功能。

（6）訪問控制

對接入服務(wù)總線的服務(wù)請求方和服務(wù)接口進(jìn)行身份合法性驗(yàn)證。對服務(wù)請求方發(fā)出的請求進(jìn)行權(quán)限檢查，對于越權(quán)訪問予以拒絕。服務(wù)總線支持對客戶端身份和用戶端身份的分別進(jìn)行訪問控制和同時(shí)進(jìn)行訪問控制。訪問控制既支持對應(yīng)用層的權(quán)限審查，也支持對訪問發(fā)起方的權(quán)限檢查。

（7）流量控制

流量控制可以以分鐘、小時(shí)、天為時(shí)間單位來管控API 的被訪問頻率、應(yīng)用的請求頻率、用戶的請求頻率等。同時(shí)支持允許設(shè)置特殊的應(yīng)用或者用戶作為流控例外。

（8）服務(wù)管理

①服務(wù)監(jiān)控：實(shí)現(xiàn)對服務(wù)接口等相關(guān)資源的運(yùn)行狀態(tài)、性能、負(fù)載的監(jiān)控，異常時(shí)自動(dòng)告警；從在線率、訪問量、訪問成功率、響應(yīng)速度等方面對服務(wù)接口的服務(wù)質(zhì)量進(jìn)行評價(jià)和排名；通過監(jiān)控日志，從地區(qū)、應(yīng)用、時(shí)間、頻度等多個(gè)維度，對服務(wù)資源運(yùn)行情況進(jìn)行統(tǒng)計(jì)分析，并采用業(yè)務(wù)視角展現(xiàn)服務(wù)資源的實(shí)戰(zhàn)成果。

② 調(diào)用鏈跟蹤：服務(wù)總線通過識別請求方發(fā)送的跟蹤信息，在日志中形成存儲1 條調(diào)用鏈。后續(xù)可以通過直觀的方式查看一個(gè)請求的每個(gè)環(huán)節(jié)的消耗時(shí)間、錯(cuò)誤狀態(tài)和采集到的關(guān)聯(lián)日志，包括從客戶端發(fā)起，到經(jīng)過網(wǎng)關(guān)路由，再到后端節(jié)點(diǎn)，甚至到數(shù)據(jù)庫的調(diào)用鏈。

③異常處理：服務(wù)總線支持對服務(wù)請求接收直到服務(wù)結(jié)束期間所有異常的完整處理，包括異常反饋，即讓服務(wù)請求方知道服務(wù)調(diào)用失敗，以及記錄異常日志，即將異常情況告知網(wǎng)關(guān)。

（9）安全防護(hù)

支持多種認(rèn)證方式，支持HMAC(SHA-1，SHA-256)算法簽名，支持HTTPS 協(xié)議，支持SSL 加密.防攻擊、防注入、請求防重放、請求防篡改[7]。

（10）安全審計(jì)

主要通過日志采集、分析和處理實(shí)現(xiàn)對服務(wù)行為進(jìn)行安全審計(jì)。行為日志包括服務(wù)資源注冊、授權(quán)和訪問3 種類型，采集的數(shù)據(jù)項(xiàng)目應(yīng)符合相關(guān)要求，并通過采集匯總服務(wù)總線節(jié)點(diǎn)和信息資源服務(wù)資源的狀態(tài)和日志信息，從而實(shí)現(xiàn)日志查詢、統(tǒng)計(jì)分析功能，進(jìn)而為服務(wù)總線的運(yùn)行維護(hù)提供數(shù)據(jù)支持。

1.2 數(shù)據(jù)安全接入服務(wù)

1.2.1 數(shù)據(jù)安全接入網(wǎng)關(guān)

數(shù)據(jù)安全接入服務(wù)基于代理技術(shù)開發(fā)，使用TLS 連接提供安全服務(wù)，通過重寫鏈接和端口來處理遠(yuǎn)程用戶對內(nèi)網(wǎng)的訪問請求，采用國密加密算法，進(jìn)行鏈路數(shù)據(jù)加密[8]，具有維護(hù)簡單、移動(dòng)性強(qiáng)、訪問控制能力強(qiáng)等特點(diǎn)。主動(dòng)采集系統(tǒng)自身運(yùn)行狀態(tài)信息、客戶端訪問流量信息，確保做到過程可信、結(jié)果準(zhǔn)確、證據(jù)可查，有效實(shí)現(xiàn)了“主動(dòng)/被動(dòng)安全防御”的結(jié)合，保護(hù)內(nèi)部網(wǎng)絡(luò)不被攻擊，內(nèi)部資源不被竊取。

（1）數(shù)據(jù)加密傳輸

采用TLS 協(xié)議保證通訊雙方的信息安全，通過可靠的TCP 傳輸層來傳輸和接收數(shù)據(jù)；鏈路數(shù)據(jù)加密支持國產(chǎn)加密算法；采取特有應(yīng)答糾錯(cuò)機(jī)制，包括確定應(yīng)答與重發(fā)、記錄重組等機(jī)制，保證數(shù)據(jù)包有序、完整到達(dá)安全接入網(wǎng)關(guān)TLS 會話模塊。

（2）日志監(jiān)控審計(jì)

可視化的管理平臺，配置有遠(yuǎn)程客戶端和服務(wù)發(fā)布?？蓪?shí)時(shí)監(jiān)控內(nèi)網(wǎng)資源訪問情況，并自動(dòng)記錄相關(guān)日志；可實(shí)時(shí)查看所有在線客戶端的情況，并隨時(shí)中斷可疑會話。

（3）資源服務(wù)發(fā)布

支持在安全接入平臺以服務(wù)的形式發(fā)布內(nèi)網(wǎng)資源，客戶端可通過安全接入網(wǎng)關(guān)訪問已發(fā)布的服務(wù)；支持對發(fā)布的服務(wù)生成唯一簽名；支持服務(wù)端發(fā)布多個(gè)內(nèi)網(wǎng)資源服務(wù)，并可對每1個(gè)服務(wù)進(jìn)行獨(dú)立的認(rèn)證、配置與管理；所有內(nèi)網(wǎng)資源服務(wù)的IP、端口不會在客戶端暴露[9]。

（4）遠(yuǎn)程接入管控

支持在安全接入平臺管理遠(yuǎn)程接入的客戶端，已在安全接入平臺配置并認(rèn)證的客戶端方可遠(yuǎn)程訪問內(nèi)部資源服務(wù)；支持配置認(rèn)證多個(gè)客戶端，同時(shí)可對每1 個(gè)客戶端進(jìn)行獨(dú)立的認(rèn)證、配置與管理；支持同一客戶端同時(shí)訪問多個(gè)內(nèi)網(wǎng)資源服務(wù)；對客戶端使用服務(wù)端已發(fā)布服務(wù)的簽名和證書與服務(wù)端具體服務(wù)進(jìn)行TLS 握手認(rèn)證。

集成彈性伸縮、身份認(rèn)證、通道管理、流量監(jiān)控、服務(wù)管控等，支持跨區(qū)容災(zāi)和就近路由，規(guī)避單可用區(qū)可能存在的不可抗力風(fēng)險(xiǎn)，提高服務(wù)的高可用性和容災(zāi)能力[10]。線性擴(kuò)展，包括本身的擴(kuò)展性及業(yè)務(wù)的擴(kuò)展性具有最靈活的安全接入方式，支持Web 代理、文件共享、端口轉(zhuǎn)發(fā)、網(wǎng)絡(luò)擴(kuò)展、支持IPv6網(wǎng)絡(luò)。為確保良好業(yè)務(wù)和數(shù)據(jù)應(yīng)用體驗(yàn)，采用動(dòng)態(tài)檢測接入條件最優(yōu)網(wǎng)關(guān)，智能優(yōu)選接入鏈路。

1.2.2 API 服務(wù)接口規(guī)范

所有服務(wù)的接口均基于HTTP/HTTPS協(xié)議，符合Swagger 2.0 接口描述規(guī)范。服務(wù)提供方和服務(wù)使用方必須同時(shí)使用相同類型的技術(shù)進(jìn)行開發(fā)和調(diào)用，調(diào)用的服務(wù)通過HTTP URL 中特定屬性進(jìn)行標(biāo)識，具體詳見接口協(xié)議。

服務(wù)的接口數(shù)據(jù)包含所有的業(yè)務(wù)數(shù)據(jù)，數(shù)據(jù)采用JSON格式表示，并且符合相應(yīng)的JSON Schema.服務(wù)提供方和服務(wù)使用方必須同時(shí)使用相同的格式進(jìn)行數(shù)據(jù)交互。

1 個(gè)服務(wù)只實(shí)現(xiàn)1 個(gè)業(yè)務(wù)功能。服務(wù)應(yīng)是無狀態(tài)的，2 次請求之間無須狀態(tài)和會話的保持，并可以采用輪詢的方式在負(fù)載均衡器上進(jìn)行注冊。

服務(wù)請求和返回的的報(bào)文應(yīng)符合JSON Schema 格式，統(tǒng)一采用UTF-8 進(jìn)行編碼。服務(wù)請求方和提供方應(yīng)采用通用的JSON 解析器來構(gòu)造和解析數(shù)據(jù)，對JSON不同含義的段落用明確含義的字段名稱來定義，對相同內(nèi)容的數(shù)據(jù)應(yīng)采用數(shù)組來進(jìn)行描述，服務(wù)請求方和提供方應(yīng)根據(jù)JSON名稱和路徑進(jìn)行精確定位，不應(yīng)根據(jù)字段的順序來獲取字段值，字段值不受字段順序調(diào)整的影響。

為提高數(shù)據(jù)查詢類服務(wù)的通用性和性能，查詢類服務(wù)在入?yún)⒅卸x返回字段列表，服務(wù)提供方根據(jù)入?yún)⒅兄付ǖ淖侄畏祷匦畔ⅰ?/p>

為防止非法訪問和入侵，服務(wù)提供方應(yīng)對請求報(bào)文格式和關(guān)鍵信息進(jìn)行合規(guī)性和業(yè)務(wù)校驗(yàn)。

一般情況下，服務(wù)調(diào)用方和服務(wù)提供方進(jìn)行請求采用的是同步調(diào)用的方式，如需使用異步調(diào)用則可采用消息隊(duì)列，或者通過服務(wù)調(diào)用方定義異步通知接口來實(shí)現(xiàn)。

服務(wù)接口采用微服務(wù)架構(gòu)進(jìn)行開發(fā)和部署[11]。微服務(wù)是指開發(fā)一個(gè)單個(gè)、小型、具備業(yè)務(wù)功能的服務(wù)，其特點(diǎn)是每1 個(gè)服務(wù)都有自己的處理和輕量通訊機(jī)制，可以部署在單個(gè)或多個(gè)服務(wù)器上。微服務(wù)架構(gòu)是一種松耦合的，有一定的有界上下文的面向服務(wù)架構(gòu)。和單體架構(gòu)和SOA 相比，微服務(wù)架構(gòu)具有組件化、松耦合、自治和去中心化的優(yōu)點(diǎn)。

1.3 數(shù)據(jù)安全管控系統(tǒng)

數(shù)據(jù)安全管控系統(tǒng)主要針對數(shù)據(jù)安全監(jiān)測和數(shù)據(jù)集中管控，系統(tǒng)通過收集各接入系統(tǒng)上報(bào)的安全事件和業(yè)務(wù)運(yùn)行信息，對信息進(jìn)行存儲、分析、展示和響應(yīng)控制，從而實(shí)現(xiàn)安全運(yùn)行集中監(jiān)測和管理的目的（如圖2 所示）。同時(shí)，系統(tǒng)還可以幫助管理人員進(jìn)行線上業(yè)務(wù)的實(shí)時(shí)監(jiān)控、業(yè)務(wù)異常原因的定位、應(yīng)用的數(shù)據(jù)統(tǒng)計(jì)分析、安全數(shù)據(jù)的分析和審計(jì)。以及在出現(xiàn)安全事件時(shí)進(jìn)行及時(shí)的相應(yīng)控制，實(shí)現(xiàn)對終端的接入管控，主動(dòng)斷開存在安全威脅終端的連接[12]，對內(nèi)部的數(shù)據(jù)和應(yīng)用服務(wù)進(jìn)行保護(hù)。

（1）數(shù)據(jù)采集

數(shù)據(jù)采集作為系統(tǒng)安全監(jiān)控的基礎(chǔ)，主要使用采集探針技術(shù)對基礎(chǔ)信息和運(yùn)行數(shù)據(jù)進(jìn)行采集。在這一過程中，采集探針安裝于不同的模塊中，實(shí)現(xiàn)獲取數(shù)據(jù)的目標(biāo)。數(shù)據(jù)采集探針用來探測終端、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)基礎(chǔ)信息外，還負(fù)責(zé)探測安全事件和業(yè)務(wù)運(yùn)行數(shù)據(jù)，并將探測結(jié)果定時(shí)上報(bào)至監(jiān)控中心。

（2）數(shù)據(jù)分析

平臺對數(shù)據(jù)采集的信息進(jìn)行分析，并做出分類處理。一般而言采集的信息被分為統(tǒng)計(jì)信息和安全事件2 大類，其中統(tǒng)計(jì)信息包括設(shè)備信息和流量信息等，安全事件則指的是違背監(jiān)測策略項(xiàng)的內(nèi)容。平臺在對采集到的監(jiān)測信息進(jìn)行分類、分析后，支持進(jìn)行可視化展示。

（3）數(shù)據(jù)展示

通過引入安全框架對采集到的信息進(jìn)行分析，并將得到的結(jié)果通過大屏進(jìn)行可視化展示。展示內(nèi)容包括：整體安全信息分析展示、用戶信息分析展示、網(wǎng)絡(luò)信息分析展示、終端信息分析展示、應(yīng)用信息分析展示、數(shù)據(jù)信息分析展示、安全事件分析展示。

（4）響應(yīng)控制

對發(fā)生的安全事件，提供具體管控能力。主要包括，告警提示、終端控制、應(yīng)用控制和數(shù)據(jù)控制。同時(shí)可以在管控平臺的策略模塊根據(jù)安全事件的嚴(yán)重程度，針對用戶、網(wǎng)絡(luò)、終端、應(yīng)用、數(shù)據(jù)配置不同的管控策略。

圖2 數(shù)據(jù)安全管控系統(tǒng)

（5）平臺管理

平臺管理為平臺的安全提供基礎(chǔ)性保，主要負(fù)責(zé)對安全保護(hù)環(huán)境中的計(jì)算節(jié)點(diǎn)、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)實(shí)施集中管理和維護(hù)，包括用戶身份管理、終端信息管理、接入設(shè)備管理、權(quán)限管理、應(yīng)急處理等。平臺管理符合國家相關(guān)安全規(guī)定和標(biāo)準(zhǔn)，監(jiān)測內(nèi)容標(biāo)準(zhǔn)化、采集數(shù)據(jù)格式標(biāo)準(zhǔn)化、設(shè)備接口標(biāo)準(zhǔn)化、違規(guī)信息處理標(biāo)準(zhǔn)化。

2 總結(jié)

數(shù)據(jù)安全共享服務(wù)平臺使用微服務(wù)技術(shù)，滿足了跨行業(yè)、跨區(qū)域的多源數(shù)據(jù)安全對接、傳輸與共享需求；采用API 網(wǎng)關(guān)進(jìn)行安全共享，滿足了符合訪問授權(quán)規(guī)范要求的數(shù)據(jù)共享與訪問操作，在保證數(shù)據(jù)安全前提下提供數(shù)據(jù)共享服務(wù)能力。數(shù)據(jù)安全共享服務(wù)平臺基于數(shù)據(jù)安全共享節(jié)點(diǎn)，利用可信受控存儲環(huán)境下的數(shù)據(jù)分析與計(jì)算實(shí)現(xiàn)了對受限數(shù)據(jù)的安全使用，解決了內(nèi)外部數(shù)據(jù)不能被直接獲取，甚至部分?jǐn)?shù)據(jù)不能被訪問的問題。