大數(shù)據(jù)背景下軟件定義安全的服務(wù)架構(gòu)研究與分析

方祥毅 張永嘉 中國汽車技術(shù)研究中心有限公司

從當前的發(fā)展趨勢來看，大數(shù)據(jù)技術(shù)的廣泛使用正在潛移默化的改變著以往的信息安全體系，所以相關(guān)人員應(yīng)當設(shè)計新的信息安全模型以及相關(guān)處理手段積極應(yīng)對當前新型信息安全挑戰(zhàn)。鑒于此，本文主要圍繞著大數(shù)據(jù)背景下軟件定義安全服務(wù)研究展開了討論，供相關(guān)人士參考與借鑒。

1 相關(guān)關(guān)鍵技術(shù)

1.1 軟件定義安全

所謂軟件定義安全，實質(zhì)上是在軟件定義網(wǎng)絡(luò)的基礎(chǔ)上引申而來，其主要原理是相關(guān)技術(shù)人員把物理網(wǎng)絡(luò)安全設(shè)備以及虛擬網(wǎng)絡(luò)安全設(shè)備與其部署形式、接入形式、實現(xiàn)功能加以解耦，這時底層抽象屬于安全資源池中的資源，最上面的一層通過采取軟件編程的手段進行自動化的管理與編排，這樣就能夠以最快的速度完成相關(guān)安全功能，以達到一種高效的安全防護。

1.2 大數(shù)據(jù)安全分析技術(shù)

所謂大數(shù)據(jù)安全分析，可以理解為是通過對相關(guān)數(shù)據(jù)包、元數(shù)據(jù)的持續(xù)處理，快速搜索到那些潛在的危險活動或者是非法活動，盡可能減少安全事故發(fā)生的概率。從工作機制的立場來看，大數(shù)據(jù)安全分析主要包含以下幾個環(huán)節(jié)：

1.2.1 可視化分析

對于大數(shù)據(jù)可視化分析來說，其原理實質(zhì)上是相關(guān)技術(shù)人員通過借助于計算機自動化分析的能力，深層次的挖掘人類對于可視化信息的理解程度依賴于人機交互式分析手段以及相關(guān)交互技術(shù)，為人們可以更加清楚的看到大數(shù)據(jù)潛在的信息、智慧帶來益處。

1.2.2 數(shù)據(jù)采集和預(yù)處理

基于大數(shù)據(jù)的背景下，數(shù)據(jù)往往呈現(xiàn)出實時性特點以及非實時性特點，所以在大數(shù)據(jù)的采集以及預(yù)處理時經(jīng)常會使用某些和以往數(shù)據(jù)不同的手段以及工具，其中數(shù)據(jù)ETL過程在其中扮演著最為主要的角色。該環(huán)節(jié)主要把已經(jīng)出現(xiàn)分散的、異構(gòu)的數(shù)據(jù)提取到相關(guān)層面以后做好清洗、集成等一系列工作，最終加載到指定的數(shù)據(jù)庫或相關(guān)系統(tǒng)當中，繼而當作數(shù)據(jù)分析以及挖掘的基礎(chǔ)。

1.2.3 分析挖掘

通常情況下，分析挖掘技術(shù)最顯著的代表主要包含以下幾點：第一，Hive；第二，Mahout。對于Hive來說，屬于PB級數(shù)據(jù)倉庫平臺，能夠在Hadoop上面對相關(guān)數(shù)據(jù)查詢以及管理，同時還能做好海量數(shù)據(jù)挖掘工作。就Mahout而言，屬于一種數(shù)據(jù)挖掘算法庫，可以在很大程度上提供某些可以擴展的算法的實現(xiàn)，在和Hadoop巧妙結(jié)合的基礎(chǔ)上能夠較好的提供分布式數(shù)據(jù)分析挖掘功能。

2 信息安全問題

2.1 終端控制系統(tǒng)安全問題

近階段，電腦、手機等電子設(shè)備的智能化和集成化功能在不斷增強，如果將這樣的電子設(shè)備與網(wǎng)絡(luò)與信息維護體系相連，繼而就出現(xiàn)明顯的信息傳輸現(xiàn)象，以此導(dǎo)致信息資源存在較高的安全風險。在這些風險中，最為常見的就是工業(yè)信息安全風險。通過細化總結(jié)，在工業(yè)信息資源庫中，時常降臨的風險主要包括以下幾種：

第一是對控制系統(tǒng)中的所有在程序指定都做出違法變更；第二是對系統(tǒng)APP及其分布狀態(tài)做出變更；第三是在信息控制區(qū)域設(shè)置病毒APP。在規(guī)模較大的信息控制系統(tǒng)中所出現(xiàn)的安全風險，更多時候都是這幾種風險的并存，并且這些風險都是由網(wǎng)絡(luò)黑客借助詳細的謀劃，來對指定區(qū)域信息做出較長時間的、有預(yù)謀的盜取，體現(xiàn)出強大隱密性，所以這些風險具有發(fā)展緩慢，入侵程度不固定的特點，但較為常見的就是隱密的長時間入侵。這種入侵方式的路徑為，重點將信息控制系統(tǒng)中的主要部分、APP、信息收集與監(jiān)控系統(tǒng)、電子設(shè)備等來確定為入侵點。借助隱密的入侵方式來取得進入信息控制系統(tǒng)的權(quán)限。而對其在信息控制系統(tǒng)中的動作、所用APP的隱密、入侵路徑的復(fù)雜，無法進行有效監(jiān)測，以及借助有效方法來對控制系統(tǒng)安全施以維護，而更多時候還會導(dǎo)致隱密資料外泄的不良后果。

2.2 信息傳輸網(wǎng)絡(luò)安全問題

對于信息傳輸網(wǎng)絡(luò)來說，黑客們往往都會借助于正確渠道的服務(wù)申請來獲取大量的信息，以此導(dǎo)致信息系統(tǒng)合法擁有者不能接收到服務(wù)器的回應(yīng)，繼而將信息傳輸網(wǎng)絡(luò)中的數(shù)據(jù)混亂化，以達到削弱信息傳輸系統(tǒng)功能，并獲取指定信息的目的。其實際的入侵路徑為：首先向服務(wù)器為傳遞合理的連接申請，以此使服務(wù)在做出響應(yīng)時，而導(dǎo)致其自身功能的喪失，也可能會向服務(wù)器傳遞莫須有的IP地址，以導(dǎo)致服務(wù)在回應(yīng)時，不能將相關(guān)信息進行有效傳遞，以此出現(xiàn)巨大量冗余信息占據(jù)服務(wù)器空間，使得其它重要信息不能順暢傳輸。較為常見的網(wǎng)絡(luò)入侵方式，可確定為干擾服務(wù)器功能入侵。這種入侵方式運用合理的服務(wù)技術(shù)，并以分布式的手段來對多個信息系統(tǒng)進行控制，并且以若干個電子設(shè)備當作入侵通道，來對若干個信息系統(tǒng)施以功能毀滅性入侵，以此充分體現(xiàn)其入侵方法的威力。從而使得信息系統(tǒng)存在高度的安全風險。

2.3 大數(shù)據(jù)自身的信息安全

在大數(shù)據(jù)環(huán)境中，網(wǎng)絡(luò)信息系統(tǒng)的安全風險，不會只是單一的隱密性信息外泄，還可能會有對網(wǎng)民上網(wǎng)規(guī)律的分析。網(wǎng)絡(luò)入侵者通常都會通過所獲取的數(shù)據(jù)，來對指定網(wǎng)民的規(guī)律做出詳細的總結(jié)，以采取相應(yīng)的入侵方式，進而使得信息系統(tǒng)在運行中常常會伴隨較高的安全風險。不僅如此，因大數(shù)據(jù)中的信息呈現(xiàn)分散化、很多信息也不具備真實性等原因的干擾，信息采集的精準性，信息傳遞渠道、信息整合的過程風景都會使得信息的可靠性被削弱，以此在很大程度上對信息系統(tǒng)的安全帶來風險。

3 軟件定義安全的服務(wù)架構(gòu)

基于大數(shù)據(jù)的背景下，所謂信息安全分析實質(zhì)上是相關(guān)技術(shù)人員通過收集以及剖析信息終端、信息傳輸網(wǎng)絡(luò)以及云計算平臺中逐漸衍生出來的數(shù)據(jù)，其目的是為了檢測系統(tǒng)是否存在安全隱患，繼而為信息系統(tǒng)的安全性提供應(yīng)有的保障。因為篇幅有限，本文以云計算這一層面為例，提出了一種行之有效的體系架構(gòu)，繼而為相關(guān)用戶提供按需的、準確的安全服務(wù)。軟件定義的網(wǎng)絡(luò)安全服務(wù)框架主要由以下幾個層面構(gòu)成：第一，安全服務(wù)展現(xiàn)層；第二，安全服務(wù)管理層；第三，網(wǎng)絡(luò)流量導(dǎo)流與分流；第四，安全服務(wù)資源池。

站在安全服務(wù)展現(xiàn)層的立場來看，該層主要的作用是妥善處理服務(wù)可視化問題，同時還為用戶提供相應(yīng)的人機交互接口。尤其是在數(shù)據(jù)中心環(huán)境里，不管是針對用戶的設(shè)施來說，還是就安全服務(wù)設(shè)備而言都已經(jīng)不再是一種單一化的設(shè)備，而是采取軟件、硬件甚至是軟硬結(jié)合的手段存儲于指定的地方，盡管會及時為用戶提供相應(yīng)的服務(wù)，然而用戶卻無法用肉眼看到這些設(shè)備的物理存在，這樣就會在某種程度上致使用戶不能全面了解安全服務(wù)的有效性。所以，安全服務(wù)展現(xiàn)層主要的目的是為了妥善處理服務(wù)可視化的問題，積極采取可視化的手段有效減少用戶對這種服務(wù)理解的難度，同時還可以在可視化的基礎(chǔ)上充分的呈現(xiàn)出網(wǎng)絡(luò)的安全態(tài)勢。從安全服務(wù)的交互接口出發(fā)，可以看到：該接口能夠為用戶提供對服務(wù)的選擇、定制，比如用戶從其網(wǎng)絡(luò)分出一個vlan，并在此基礎(chǔ)上部署了相應(yīng)的Web應(yīng)用網(wǎng)關(guān)以及防火墻，實質(zhì)上就是將vlan當作服務(wù)對象，選擇WAF服務(wù)以及防火墻服務(wù)，就能夠結(jié)合其選擇的服務(wù)制定來對網(wǎng)絡(luò)流量的大小進行妥善處理。

從安全服務(wù)管理層的角度出發(fā)可以看到，可以對相關(guān)安全服務(wù)內(nèi)容達到封裝以及管理的效果。假如安全服務(wù)已經(jīng)定制成功以后，那么這個時候相關(guān)技術(shù)人員就可以借助于安全服務(wù)管理層實現(xiàn)配置以及下發(fā)的目的。針對服務(wù)配置接口來說，當該接口被進行調(diào)用以后，這個時候管理層會以最快的速度調(diào)用執(zhí)行接口，進而通過相關(guān)業(yè)務(wù)邏輯的操作系列來完成所有服務(wù)的配置。由此可見，通過這種方式可以為用戶屏蔽一些不需要的操作流程，同時還可以大大降低虛擬化帶來的技術(shù)壁壘，繼而保障用戶可以順利配置自身所需的安全服務(wù)。

無論是對于網(wǎng)絡(luò)流量的導(dǎo)流層來說，還是就網(wǎng)絡(luò)流量的分流層而言，往往實現(xiàn)了結(jié)合安全服務(wù)的配置，將相關(guān)流量通過抓取或者是導(dǎo)引的手段引入到指定的服務(wù)資源池中進行相應(yīng)的服務(wù)?？偟膩碚f，流量抓取以及導(dǎo)引主要包含以下幾種：第一，相關(guān)技術(shù)人員通過利用相關(guān)虛擬機來實現(xiàn)對同虛擬網(wǎng)絡(luò)內(nèi)流量的抓?。坏诙?，通過嵌入Openflow規(guī)則或者是改變交換機配置的方式調(diào)整網(wǎng)絡(luò)流的走向，以此實現(xiàn)流量的導(dǎo)出。

通常情況下，安全服務(wù)資源池模塊是提供相關(guān)安全服務(wù)的實體，同時也是建立安全云的核心所在。相關(guān)技術(shù)人員需要把網(wǎng)絡(luò)流量當作度量安全服務(wù)的單位，并靈活運用流量抓取以及導(dǎo)引的手段盡可能把流量輸入到指定的資源池中。針對物理安全設(shè)備來說，實質(zhì)上是在安全服務(wù)執(zhí)行的所有流程中，網(wǎng)絡(luò)流在整個階段都屬于被服務(wù)的對象，所以這個時候積極運用SDN交換機就可以有效構(gòu)建相應(yīng)的服務(wù)承載通道。通常情況下，安全服務(wù)主要由以下幾個部分一起組成：第一，服務(wù)對象；第二，承載通道；第三，服務(wù)實施。針對服務(wù)對象來說，也就是信息安全域，無論是虛擬探針還是導(dǎo)流產(chǎn)品都要結(jié)合安全域的劃分將相關(guān)流量采取導(dǎo)引或者是抓取的方式引入到指定的承載通道中；就承載通道而言，在SDN交換機中主要以流的形式得以實現(xiàn)的，相關(guān)技術(shù)人員通過采取有效措施在對Openflow規(guī)則進行控制的基礎(chǔ)上，將相關(guān)網(wǎng)絡(luò)流輸入到指定的接口上，這一接口所連接的部位就是安全設(shè)備，例如IDS、UTM等；從服務(wù)端實施的角度來看，其安全設(shè)備主要包含以下幾種：一種是所有旁路接入的產(chǎn)品；另一種是串行接入的產(chǎn)品。站在不支持自身虛擬化的安全設(shè)備來講，相關(guān)技術(shù)人員可以使用一組輕量級的設(shè)備建立相應(yīng)的資源池，基于Openflow協(xié)議的背景下對相關(guān)端口的負載進行科學管控，以此來達到伸縮的能力。反之，針對自身可以虛擬化的安全產(chǎn)品來說，能夠達到更為細致化的按需服務(wù)，其服務(wù)分發(fā)通常由安全設(shè)備自身實現(xiàn)。

對于該安全服務(wù)框架而言，其核心實質(zhì)上是相關(guān)技術(shù)人員通過合理運用SDN交換機在安全服務(wù)軟硬件之間建立了相應(yīng)的中間層，該層屬于控制和分發(fā)中心，同時也可以作為安全服務(wù)任務(wù)分發(fā)的中心。這時相關(guān)技術(shù)人員在靈活運用業(yè)務(wù)模塊的基礎(chǔ)上，可以在某種程度上賦予網(wǎng)絡(luò)流安全業(yè)務(wù)邏輯，并借助于SDN交換機來對該邏輯進行有效識別，最后再結(jié)合相關(guān)邏輯對與之相匹配的硬件處理單元做好分發(fā)工作，繼而實現(xiàn)了一個服務(wù)管理以及分發(fā)系統(tǒng)。

結(jié)語：綜上所述，在大數(shù)據(jù)的背景下，信息安全有了全新的挑戰(zhàn)，然而其自身的相關(guān)技術(shù)也是妥善處理信息安全問題的主要方式。因為篇幅有限，本文以云計算這一層面為例，提出了一種有效的體系架構(gòu)，從底層技術(shù)上處理了大數(shù)據(jù)在云計算信息安全上自主可控的問題，旨在提高信息安全產(chǎn)品與專業(yè)服務(wù)質(zhì)量，強化信息系統(tǒng)的自主可控能力，為國民經(jīng)濟以及社會信息化的穩(wěn)定發(fā)展提供應(yīng)有的保障。