數(shù)字銀行安全中臺架構(gòu)與實現(xiàn)

馬 超 黃 劼

(上海浦東發(fā)展銀行股份有限公司 上海 200002)

隨著數(shù)字產(chǎn)業(yè)和產(chǎn)業(yè)數(shù)字化的發(fā)展，從政府到產(chǎn)業(yè)界都深刻意識到數(shù)字經(jīng)濟的巨大潛力和數(shù)字化轉(zhuǎn)型的重要意義.2021年頒布的《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》提出加快建設(shè)數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字政府，以數(shù)字化轉(zhuǎn)型整體驅(qū)動生產(chǎn)方式，生活方式和治理方式變革.2022年國務(wù)院發(fā)布了《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》明確提出，2025年數(shù)字經(jīng)濟核心產(chǎn)業(yè)增加值占GDP比重達到10%的目標.

數(shù)字經(jīng)濟時代，社會各行業(yè)將更加依賴各類數(shù)字系統(tǒng)，其安全性將決定未來數(shù)字經(jīng)濟的健康發(fā)展.另一方面，在數(shù)字化轉(zhuǎn)型中，尤其是業(yè)務(wù)上云過程中，面對多云環(huán)境和傳統(tǒng)邊界消失，傳統(tǒng)業(yè)務(wù)和IT運營模式不斷被顛覆，也使網(wǎng)絡(luò)安全風險進一步加劇.因此，構(gòu)建適應(yīng)數(shù)字化轉(zhuǎn)型的網(wǎng)絡(luò)安全體系顯得尤為重要.

本文基于金融行業(yè)的數(shù)字化轉(zhuǎn)型實踐，研究討論了數(shù)字銀行安全中臺的功能需求和技術(shù)架構(gòu)，以應(yīng)對數(shù)字化轉(zhuǎn)型下的網(wǎng)絡(luò)安全風險，為銀行數(shù)字化轉(zhuǎn)型過程中安全防護體系建設(shè)提供參考.

1 數(shù)字化轉(zhuǎn)型的安全需求

圖1 數(shù)字化轉(zhuǎn)型中臺方案

數(shù)字化轉(zhuǎn)型過程中，銀行信息系統(tǒng)架構(gòu)將朝著連接在線化、業(yè)務(wù)全云化和系統(tǒng)一體化方向發(fā)展[1-2].銀行的網(wǎng)絡(luò)邊界逐漸泛化，網(wǎng)絡(luò)安全事件頻繁發(fā)生[3-4].現(xiàn)有網(wǎng)絡(luò)安全防護體系無法適應(yīng)未來數(shù)字化轉(zhuǎn)型需求，主要表現(xiàn)在以下方面：

1) 安全孤島.

現(xiàn)有銀行的各類網(wǎng)絡(luò)安全系統(tǒng)大多是獨立采購或獨立建設(shè)的，不同品牌、不同類型的產(chǎn)品無法實現(xiàn)協(xié)同聯(lián)動，導致銀行內(nèi)部形成很多安全孤島.

2) 重復建設(shè).

為應(yīng)對不斷升高的安全風險，銀行常常為各業(yè)務(wù)系統(tǒng)部署大量安全產(chǎn)品，對流量和日志等數(shù)據(jù)重復采集，造成大量IT資產(chǎn)重復投資和運維成本增高.

3) 技術(shù)門檻高.

隨著安全防護技術(shù)的發(fā)展，安全產(chǎn)品或系統(tǒng)對管理人員的技術(shù)能力要求越來越高，各業(yè)務(wù)部門的技術(shù)人員往往缺乏信息安全相關(guān)經(jīng)驗，也不可能為每個業(yè)務(wù)部門配備專業(yè)的安全團隊.

4) 新模式新需求.

數(shù)字化轉(zhuǎn)型帶來很多新的業(yè)務(wù)模式，例如云防護系統(tǒng)、移動安全防護系統(tǒng)、物聯(lián)網(wǎng)安全平臺等，新的模式需要新的安全系統(tǒng)作支撐[5].

因此，針對當前銀行數(shù)字化轉(zhuǎn)型所面臨的安全挑戰(zhàn)及防護需求，不能再依賴于傳統(tǒng)的煙囪式安全建設(shè)思想，需要一套能夠整合各安全孤島數(shù)據(jù)、快速構(gòu)建安全能力、支撐銀行網(wǎng)絡(luò)安全決策、運營和應(yīng)急響應(yīng)的網(wǎng)絡(luò)安全平臺或系統(tǒng)，安全中臺則是一個非常適合的解決方案.

2 安全中臺架構(gòu)

安全中臺是銀行數(shù)字化轉(zhuǎn)型過程中安全能力建設(shè)的適應(yīng)性方案，也是系統(tǒng)中臺化后網(wǎng)絡(luò)安全架構(gòu)的必然發(fā)展方向.

2.1 概 述

在實際運營中，不同業(yè)務(wù)系統(tǒng)往往需調(diào)用相同的數(shù)據(jù)和功能.隨著大數(shù)據(jù)技術(shù)的發(fā)展，部分企業(yè)將共性能力抽取出來并形成一個“中間層”，即中臺.通過收集各類數(shù)據(jù)，中臺可形成標準化數(shù)據(jù)資源池和技術(shù)能力，供上層業(yè)務(wù)調(diào)用[6-9]，如圖1所示.中臺一般可分為業(yè)務(wù)中臺、數(shù)據(jù)中臺、算法中臺、技術(shù)中臺、研發(fā)中臺和組織中臺6類.

安全中臺則屬于技術(shù)中臺的細分，通過將企業(yè)現(xiàn)有的安全資源和安全服務(wù)能力進行編排管理，并共享給企業(yè)各個業(yè)務(wù)單元或其他管理部門，提供基于企業(yè)業(yè)務(wù)及管理需求的安全能力快速集成.

基于各類中臺，企業(yè)在搭建新的應(yīng)用系統(tǒng)時，不需要再考慮數(shù)據(jù)獲取或能力對接，可以把全部精力投入到上層應(yīng)用搭建中，大大提升上層應(yīng)用搭建速度.數(shù)字化轉(zhuǎn)型過程中，中臺被認為是數(shù)字化樞紐，通過將傳統(tǒng)IT系統(tǒng)封裝為能力模塊，供業(yè)務(wù)端共享、復用.中臺價值在于解決了數(shù)據(jù)孤島、跟不上市場節(jié)奏、重復造輪子和創(chuàng)新力不足4大問題.

2.2 安全中臺的發(fā)展

2015年，阿里提出中臺概念，隨后發(fā)布“大中臺，小前臺”組織和業(yè)務(wù)架構(gòu)變革.從2018年下半年開始，騰訊、百度、京東、字節(jié)跳動、美團、滴滴等各大互聯(lián)網(wǎng)巨頭接連開啟以建設(shè)中臺為核心的組織變革.

目前，數(shù)據(jù)中臺、業(yè)務(wù)中臺已成為企業(yè)數(shù)字化轉(zhuǎn)型的強大支撐.隨著數(shù)字化轉(zhuǎn)型的深入，各系統(tǒng)相對獨立的安全體系將面臨更大的挑戰(zhàn).隨著網(wǎng)絡(luò)安全需求的服務(wù)化、彈性化，安全中臺將有力保障企業(yè)數(shù)字化轉(zhuǎn)型的網(wǎng)絡(luò)安全.從安全廠商、運營商到金融業(yè)，均已開展了安全中臺方案研究和建設(shè)工作.

安全廠商方面，騰訊、綠盟、亞信等均已開展安全中臺方案和技術(shù)研究，為客戶提供安全中臺建設(shè)方案[10-11].

運營商方面，中國移動在智慧中臺建設(shè)中，將安全中臺作為智慧中臺重要組成部分，提供安全資源池集成，賦能各類安全業(yè)務(wù),實現(xiàn)智能決策、自動化處置和集中管控的安全能力[12].中國電信提出了“網(wǎng)信安、云網(wǎng)運”的安全能力建設(shè)規(guī)劃，以安全能力集中化、智能化、中臺化建設(shè)的思路，實現(xiàn)對集中化安全能力池和邊緣池的統(tǒng)一配置、編排和使用.

金融業(yè)方面，在數(shù)字化轉(zhuǎn)型過程中也逐步開展了中臺或能力集約化建設(shè)，在數(shù)據(jù)中臺、業(yè)務(wù)中臺方面進展較快，部分銀行已開展安全中臺驗證工作，但仍處于探索階段.

2.3 安全中臺建設(shè)基礎(chǔ)

在傳統(tǒng)信息系統(tǒng)基礎(chǔ)上建設(shè)安全中臺，將面臨各安全設(shè)備的管理、數(shù)據(jù)接口不統(tǒng)一等難題.大多數(shù)企業(yè)已具備一定的網(wǎng)絡(luò)安全建設(shè)基礎(chǔ)，部署了安全管理平臺、態(tài)勢感知、威脅情報等安全系統(tǒng)，沉淀了一些安全數(shù)據(jù)，但業(yè)務(wù)場景復雜.

因此，安全中臺應(yīng)按需設(shè)計、因地適宜，在業(yè)務(wù)上云和安全服務(wù)化基礎(chǔ)上才能發(fā)揮最大價值.

1) 業(yè)務(wù)全云化.

在數(shù)字化轉(zhuǎn)型的趨勢推動下，業(yè)務(wù)全云化已成絕大多數(shù)數(shù)字化轉(zhuǎn)型企業(yè)的共識，如：公有云、私有云、混合云、行業(yè)云等方案.業(yè)務(wù)全云化是一個長期的建設(shè)過程，需基于未來業(yè)務(wù)發(fā)展方向進行云化架構(gòu)設(shè)計，制定演進策略和實施計劃.

2) 安全服務(wù)化.

安全能力服務(wù)化(security as a service, SaaS)的主要特點是安全能力云化，通過構(gòu)建“安全云”解決彈性問題，并為客戶提供“無接觸”“按需”的安全服務(wù).

2.4 架構(gòu)設(shè)計

安全中臺的核心目標是提升安全效能、數(shù)據(jù)化運營服務(wù)，更好地保障業(yè)務(wù)持續(xù)、規(guī)?；貏?chuàng)新發(fā)展.安全中臺需整合已建設(shè)的各種安全能力，也要做到自身安全能力與業(yè)務(wù)需求的持續(xù)對接，更好地服務(wù)于數(shù)字化轉(zhuǎn)型.

如圖2所示，安全中臺可分為安全資源層、安全管理層和安全應(yīng)用層，以及安全數(shù)據(jù)中臺及安全能力中臺.安全中臺利用相關(guān)技術(shù)，針對各種安全日志、安全事件、流量數(shù)據(jù)等安全數(shù)據(jù)進行采集，計算，存儲，加工，同時統(tǒng)一標準和接口.通過安全數(shù)據(jù)清洗整合形成標準安全數(shù)據(jù)，再進行存儲，形成安全大數(shù)據(jù)資產(chǎn)層，進而為客戶提供高效安全服務(wù).

圖2 安全中臺架構(gòu)

1) 安全資源層.

安全資源層主要負責管理、資源化安全基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)安全設(shè)備、安全軟件和其他非安全系統(tǒng).利用鏡像、API、部署Agent等方式開展安全資源化工作，并通過標準接口為安全能力中臺和安全數(shù)據(jù)中臺提供基礎(chǔ)安全數(shù)據(jù)和能力.按照功能劃分，安全資源層可分為基礎(chǔ)計算組件、網(wǎng)絡(luò)安全組件和數(shù)據(jù)安全組件.網(wǎng)絡(luò)安全組件包括基礎(chǔ)設(shè)備，如入侵檢測系統(tǒng)(intrusion detection system, IDS)、入侵防御系統(tǒng)(intrusion prevention system, IPS)、Web應(yīng)用防護系統(tǒng)(Web application firewall, WAF)、防火墻等安全設(shè)備；數(shù)據(jù)安全組件包括數(shù)據(jù)防泄露(data leakage prevention, DLP)、數(shù)據(jù)庫審計和文件管理等安全設(shè)備或軟件.

2) 安全能力中臺.

安全能力中臺是安全中臺的重要組成部分，主要負責資源層所接入安全資源的注冊、管理、編排和調(diào)度.通過規(guī)范化處理完成資源分類標記，按特性關(guān)聯(lián)調(diào)度模塊，實現(xiàn)對封裝后各項安全組件的能力調(diào)度與編排.通過對資源層接入的各類安全能力進行服務(wù)化改造，實現(xiàn)服務(wù)能力的構(gòu)建、共享和開放，對外提供標準化的安全能力服務(wù)，為前臺業(yè)務(wù)系統(tǒng)屏蔽復雜的安全能力構(gòu)建過程，實現(xiàn)安全能力服務(wù)化和快速適配業(yè)務(wù)，以保障業(yè)務(wù)快速迭代發(fā)展.

3) 安全數(shù)據(jù)中臺.

安全數(shù)據(jù)中臺負責安全數(shù)據(jù)的采集、匯聚、存儲和部分分析工作.安全數(shù)據(jù)中臺通過安全資源層，利用工具、協(xié)議或接口的方式采集多源異構(gòu)安全數(shù)據(jù)及相關(guān)IT運營數(shù)據(jù)，針對原始安全數(shù)據(jù)進行匯集、標準化處理、存儲及管理等，并向安全應(yīng)用層及前臺系統(tǒng)提供各類安全數(shù)據(jù)及分析服務(wù).

安全數(shù)據(jù)中臺的數(shù)據(jù)源包括安全資源層接入的安全設(shè)備、軟件產(chǎn)生的設(shè)備日志、威脅情報等安全數(shù)據(jù)，也包括網(wǎng)絡(luò)流量和IT系統(tǒng)的資產(chǎn)數(shù)據(jù)、系統(tǒng)日志等運營數(shù)據(jù).安全數(shù)據(jù)中臺對匯聚的各類安全數(shù)據(jù)進行數(shù)據(jù)清洗、封裝等處理，保障數(shù)據(jù)質(zhì)量，為前臺安全系統(tǒng)提供標準化和高質(zhì)量的安全數(shù)據(jù).

安全數(shù)據(jù)中臺內(nèi)置有數(shù)據(jù)關(guān)聯(lián)分析、機器學習等數(shù)據(jù)分析引擎，在向安全運營中心及前臺系統(tǒng)提供安全數(shù)據(jù)的同時，也可提供基礎(chǔ)的數(shù)據(jù)分析服務(wù)，支撐前臺安全監(jiān)測、風險評估、合規(guī)性檢查等復雜運營業(yè)務(wù)的開展.

4) 安全管理層.

安全管理層負責安全組件的調(diào)度與管理、新增服務(wù)的注冊、安全策略的更新和管理.可依據(jù)不同業(yè)務(wù)的安全需求配置安全能力方案，整合各類安全能力，為前臺業(yè)務(wù)提供靈活、開放、全面的服務(wù)化安全能力.安全管理層向上對接安全應(yīng)用層，接收安全應(yīng)用層各應(yīng)用的安全配置要求，并協(xié)調(diào)安全組件開展事件響應(yīng)處置，是安全運營響應(yīng)處置業(yè)務(wù)的重要支撐.

5) 安全應(yīng)用層.

安全應(yīng)用層主要負責對外提供封裝的安全數(shù)據(jù)、基礎(chǔ)分析結(jié)果和安全服務(wù)，包括身份認證、密鑰管理、漏洞管理、策略管理、數(shù)據(jù)加密和行為審計等基礎(chǔ)安全能力.安全應(yīng)用層通過標準接口和管理規(guī)范，支撐前臺安全系統(tǒng)運行，如安全態(tài)勢感知、資產(chǎn)管理、威脅監(jiān)測、SOAR、SOC等，以及支撐安全中臺在應(yīng)急指揮調(diào)度、敏感數(shù)據(jù)防護、安全能力開放等方面的應(yīng)用.

3 安全中臺構(gòu)建技術(shù)

安全中臺的建設(shè)是一項持續(xù)性工作，需要在現(xiàn)有安全體系基礎(chǔ)上建設(shè)安全中臺，但面臨傳統(tǒng)安全設(shè)備的管理、數(shù)據(jù)接口不統(tǒng)一等難題.因此，安全中臺的建設(shè)需逐步開展，由安全能力集成到安全能力編排，按需構(gòu)建安全服務(wù)功能鏈.對后臺實現(xiàn)網(wǎng)絡(luò)安全資源統(tǒng)一管理，通過能力原子化解耦，具備可調(diào)度編排的場景化安全生態(tài)，對前臺提供服務(wù)化網(wǎng)絡(luò)安全能力.

3.1 安全能力集成

大多數(shù)企業(yè)已具備一定的網(wǎng)絡(luò)安全建設(shè)基礎(chǔ)，如滿足等級保護3級要求，部署了態(tài)勢感知、威脅情報和入侵檢測等安全系統(tǒng)，沉淀了一些安全數(shù)據(jù)，但業(yè)務(wù)場景復雜，對網(wǎng)絡(luò)安全保障要求較高.

現(xiàn)有安全設(shè)備，如入侵檢測系統(tǒng)(IDS)、防火墻(FW)和深度報文檢測系統(tǒng)(DPI)等，不僅可配置性差，無法相互協(xié)作，且不具備靈活的接入方式.可針對現(xiàn)有安全設(shè)備制定統(tǒng)一API及控制標準，形成北向和南向接口，如圖3所示，實現(xiàn)不同廠商、不同型號設(shè)備的統(tǒng)一管理以及策略配置和安全數(shù)據(jù)采集[13].通過制定統(tǒng)一數(shù)據(jù)和控制接口，在一定程度上可集成現(xiàn)有安全能力，但控制平臺開發(fā)工作量較大，并且需要各安全設(shè)備廠商配合開發(fā)，技術(shù)、管理難度較大.

圖3 安全能力集成示意圖

3.2 安全能力編排

在集成現(xiàn)有安全能力基礎(chǔ)上，隨著業(yè)務(wù)全云化，可進一步利用虛擬化技術(shù)進行安全能力編排，通過將不同的系統(tǒng)或不同組件的安全能力按照一定的邏輯關(guān)系組合到一起，為前臺提供服務(wù)化安全能力.

基于軟件定義網(wǎng)絡(luò)((software defined network, SDN)和網(wǎng)絡(luò)功能虛擬化(network function virtualization, NFV)技術(shù)，在通用硬件平臺上實現(xiàn)虛擬化安全功能.在NFV環(huán)境中，傳統(tǒng)安全設(shè)備均有對應(yīng)的虛擬化安全實例(virtualized security appliance, VSA)，如vIDS,vFW,vDPI等，具有靈活性和較高可擴展性.用戶可以根據(jù)不同需求建立不同的安全策略，根據(jù)不同的安全策略進行安全服務(wù)功能鏈(service function chain, SFC)編排.

例如，在可疑文件檢測場景下，需要威脅情報系統(tǒng)、文件檢測系統(tǒng)和終端安全軟件等安全設(shè)備或軟件協(xié)同工作.通過威脅情報系統(tǒng)可查詢比對惡意文件來源、類型信息，通過文件檢測可識別分析該文件，通過終端安全軟件可實現(xiàn)惡意文件的告警、處置，通過以上檢測工作流程可形成文件檢測SFC，為用戶按需提供安全能力.

現(xiàn)有NFV環(huán)境下，可基于虛擬機構(gòu)建安全SFC，如：使用OpenStack與OpenDaylight作為虛擬化管理器來構(gòu)建安全SFC，具有資源按需配置、靈活性和隔離性好等優(yōu)點，但虛擬機的資源消耗較大.此外，基于容器化NFV平臺構(gòu)建SFC，可最大化地利用資源，滿足靈活配置的要求，但需要解決SFC端到端的網(wǎng)絡(luò)延遲問題[14].

3.3 安全服務(wù)功能鏈

安全服務(wù)功能鏈的構(gòu)建需根據(jù)用戶的安全需求，編排虛擬安全能力，調(diào)度數(shù)據(jù)流到相應(yīng)的虛擬安全實例，提供相應(yīng)的安全服務(wù)[15-20].

安全中臺框架中負責安全SFC相關(guān)的重要組件包括VSA實例、vSwitch、能力編排、策略管理、能力管理、服務(wù)管理和Restful編程接口，如圖4所示.其中，VSA實例是基于虛擬化技術(shù)創(chuàng)建的安全資源，如vIDS,vFW,vDPI等.vSwitch負責根據(jù)流量牽引策略，將流量牽引相應(yīng)的安全功能實例，以及回收實例流量，并牽引到下一跳，實現(xiàn)安全功能服務(wù)鏈.能力編排組件負責安全事件分析以及動態(tài)響應(yīng)，當發(fā)現(xiàn)安全攻擊后，根據(jù)規(guī)則生成安全SFC請求，并將請求發(fā)送給服務(wù)管理組件.服務(wù)管理負責服務(wù)目錄和服務(wù)注冊、負載SFC實例創(chuàng)建和管理.能力管理負責能力目錄和能力注冊、安全功能實例創(chuàng)建與管理.策略管理負責對分流策略和策略沖突管理，以及流量牽引策略的管理.Restful編程接口為SFC管理對上提供基于Restful的編程接口,方便與其他服務(wù)或應(yīng)用的集成.

圖4 安全SFC框架

3.3.1 安全服務(wù)功能鏈構(gòu)建流程

由安全應(yīng)用層發(fā)起定制安全服務(wù)請求，向安全控制層的服務(wù)管理發(fā)送SFC請求.圖5為安全服務(wù)鏈編排流程.服務(wù)管理先查找服務(wù)鏈目錄并選擇適當?shù)腟FC.通過檢查服務(wù)鏈列表，判斷該SFC請求是否在有SFC列表中注冊并激活的實例.

如果已存在激活實例，則重用該SFC活動實例，并創(chuàng)建對應(yīng)的分流策略.如果相關(guān)SFC實例未被建立，則服務(wù)管理會查找能力目錄，并根據(jù)要求選定SFC所需的安全能力.通過SDN控制器將安全能力鏡像實例化并部署在相應(yīng)的主機中，并在能力管理中進行注冊.最后，創(chuàng)建分流策略和流量牽引策略，并反饋給安全管理層的策略管理.

圖5 安全服務(wù)鏈編排流程圖

通過編排流程可形成與需求對應(yīng)的安全服務(wù)功能鏈，其關(guān)鍵要素包括服務(wù)主體、客體、權(quán)限以及VSA優(yōu)先級，可由Policy(Subject，Object，Permission，Priority)來描述.其中，Subject指SFC的執(zhí)行者，Object指被執(zhí)行對象，如滿足特定屬性的網(wǎng)路流量.Permission是指流量牽引策略，牽引網(wǎng)絡(luò)流依次經(jīng)各相關(guān)VSA，還需明確VSA類型及相關(guān)信息.Priority是指各VSA的優(yōu)先級，以解決策略權(quán)限沖突，可按照優(yōu)先級牽引網(wǎng)絡(luò)流，保障SFC正確執(zhí)行.

3.3.2 安全服務(wù)功能鏈優(yōu)化

為保障安全SFC實施效果，需考慮VSA實例和路由選取策略，使網(wǎng)絡(luò)流正確、高效地經(jīng)過相應(yīng)的VSA.本文從實例資源空閑程度、網(wǎng)絡(luò)延遲狀況2個角度，提出了安全SFC實例選取和路由優(yōu)化算法，提高了安全SFC實際服務(wù)質(zhì)量.

1) 實例選取機制.

SFC實施過程中，需考慮VSA實例和鏈路選取，以提高資源利用和SFC服務(wù)效果的問題.

在構(gòu)建安全SFC過程中，應(yīng)明確該SFC所需的VSA類型和序列，將SFC所需各類型VSA組成的集合表示為V={V1,V2,…,Vp}，其中p為VSA類型數(shù)量.VSA的優(yōu)先級則表示為priority(Vi)，SFC實施時通過遍歷集合V中各元素的優(yōu)先級，由高到低設(shè)定流量路由.

同類VSA往往會同時存在多臺實例，其集合可表示為Vi={vi1,vi2,…,viqi}，其中i∈{1,2,…,p}，qi為Vi的實例個數(shù).

將某VSA實例vij的實時資源利用率表示為ψij，設(shè)定該類VSA利用率閾值為δi，則VSA實例的空閑程度φij的計算公式為

φij=(ψij-δi)/ψij.

(1)

安全SFC的VSA實例序列可表示為listSFC，可由算法1執(zhí)行得出，并反饋給服務(wù)注冊組件.算法1通過遍歷各類型VSA，選取其中資源利用率較低的實例組成安全功能服務(wù)鏈.針對資源占用超過閾值的VSA，則觸發(fā)創(chuàng)建機制.根據(jù)該實例序列，SDN控制器可進行流量牽引和調(diào)度，保障安全SFC正常進行.

算法1.實例選取算法.

輸入：V,δi，ψ;

輸出：listSFC.

SORTVbypriority(Vi) tolistV

/*明確SFC所需的VSA類型序列*/

for eachViinlistV/*遍歷VSA類型序列*/

for eachvijinVi/*遍歷該類型實例*/

COMPUTEφ/*計算該類型實例空閑

情況*/

ifφij≤0 then

CREAT new VSAvi(qi+1)

INSERTvi(qi+1)in the end oflistSFC

/*若該類型VSA資源利用率超過閾值，則新建實例并利用*/

else SELECT the minimum ofφij

/*定位空閑實例*/

INSERTvijin the end oflistSFC

/*選定該類型VSA實例*/

end if

end for

end for

2) 路由選取機制.

實例選取機制僅根據(jù)VSA實例的資源閑置情況選擇提供服務(wù)的實例，沒有考慮到網(wǎng)絡(luò)延遲問題.在網(wǎng)絡(luò)條件較好的數(shù)據(jù)中心，實例選取算法效果較好，但在多云環(huán)境中網(wǎng)絡(luò)延遲將嚴重影響服務(wù)質(zhì)量.因此，在考察VSA資源利用率的情況下，也應(yīng)分析評估網(wǎng)絡(luò)延遲情況，給出整體服務(wù)最優(yōu)的VSA實例序列.

根據(jù)VSA類型的優(yōu)先級，可形成類型序列l(wèi)istV.把各類型VSA實例看作頂點，各實例間的網(wǎng)絡(luò)延遲看作路徑權(quán)值，則選取網(wǎng)絡(luò)延遲最小的VSA實例序列問題就變成最小路徑問題.可利用最小路徑算法遍歷所有VSA序列，選取最小的網(wǎng)絡(luò)延遲序列.但該方法遍歷很多無效序列，也未加權(quán)考慮實例資源利用率的問題.

因此，可在算法1基礎(chǔ)上考慮網(wǎng)絡(luò)延遲問題，修正安全SFC的VSA實例序列.Vi與Vj間的網(wǎng)絡(luò)延遲可表示為Delayij，設(shè)定網(wǎng)絡(luò)延遲閾值Delayδ，若延遲大于該閾值將嚴重影響服務(wù)質(zhì)量，則會舍棄該路由.

首先基于算法1輸出的序列l(wèi)istSFC，設(shè)定網(wǎng)絡(luò)延遲閾值，遍歷流量路徑，并替換延遲較大的路由，局部修正了listSFC.

算法2.路由優(yōu)化算法.

輸入：listSFC，V;

輸出：listSFC.

for eachvinlistSFC

/*遍歷VSA實例序列*/

DETECTION and COMPUTEDelayij

/*遍歷各路由網(wǎng)絡(luò)延遲*/

ifDelayij≥Delayδthen

forvjiinVj

/*遍歷下一跳各實例路由*/

SELECT the minimum ofDelayij+

Delayj(j+1)

/*選取兩跳延遲最小路由*/

REPLACEvjinlistSFC

/*替換實例*/

end for

end if

end for

4 安全中臺應(yīng)用場景

安全中臺通過安全能力編排，將分散異構(gòu)的安全能力進行整合，以支撐企業(yè)各業(yè)務(wù)、信息化和安全運營等部門快速構(gòu)建相應(yīng)的安全服務(wù).安全中臺可為安全運營和上層安全應(yīng)用作支撐，提升安全管理效率，最終完成網(wǎng)絡(luò)安全能力建設(shè).

以構(gòu)建數(shù)字銀行一體化身份認證服務(wù)為例，一方面需整合現(xiàn)有的認證系統(tǒng)，另一方面要按需新增認證方式、策略或技術(shù)，如終端認證、零信任策略、生物識別技術(shù)等.銀行已投入使用的認證系統(tǒng)或平臺往往架構(gòu)各不相同，數(shù)據(jù)和策略互不相通，整合和擴展都存在較大困難.

若按照傳統(tǒng)思路建設(shè)身份認證平臺，需從底層資源到應(yīng)用層一體設(shè)計，重新梳理各認證系統(tǒng)的數(shù)據(jù)交互流程、認證策略，關(guān)聯(lián)或重構(gòu)核心身份數(shù)據(jù)庫，無法直接利用現(xiàn)有的安全能力，也往往會造成基礎(chǔ)安全資源的浪費和安全能力的重復建設(shè).

基于安全中臺，通過前端和后端資源的解耦，產(chǎn)品團隊只需針對統(tǒng)一身份認證所需的功能、交互方式、可視化方案及安全能力進行設(shè)計，并向安全中臺明確所需的安全能力或服務(wù).由安全中臺進行能力編排和數(shù)據(jù)引流，向前端系統(tǒng)提供身份認證、管理和異常登錄檢測等安全服務(wù)接口，為用戶提供實現(xiàn)一體化的身份認證，如圖6所示:

圖6 基于安全中臺構(gòu)建一體化身份認證服務(wù)

在安全服務(wù)構(gòu)建階段，安全團隊依次針對一體化身份認證平臺所需的安全能力進行梳理.需整合的SFC，通過優(yōu)化數(shù)據(jù)交互提高服務(wù)效率和性能；需新建的SFC，按照3.3.1節(jié)所提安全服務(wù)功能鏈創(chuàng)建方法，進行能力編排和服務(wù)注冊.

對新增認證技術(shù)，如虹膜識別，首先需進行資源注冊，再修改相關(guān)SFC的引流策略，并對安全中臺服務(wù)接口進行功能測試.通過安全中臺，實現(xiàn)了資源部署、能力構(gòu)建和前臺應(yīng)用的解耦，各團隊可并行開展相關(guān)工作，支持底層分析引擎、認證技術(shù)的快速切換和擴展，保障前端認證系統(tǒng)的安全穩(wěn)定運行.

5 安全中臺的安全性分析

安全中臺為銀行提升安全能力建設(shè)效率的同時，也帶來了新的安全風險.

1) 數(shù)據(jù)安全.

安全中臺實現(xiàn)了安全數(shù)據(jù)的標準化和集中化，通過安全中臺可接入各類敏感安全數(shù)據(jù)，包括主機運行數(shù)據(jù)、安全設(shè)備日志和流量數(shù)據(jù)等.安全中臺面臨較大的數(shù)據(jù)安全風險.數(shù)據(jù)集中化帶來了風險集中化、危害擴大化.

在安全中臺建設(shè)和運營中：應(yīng)建立統(tǒng)一安全認證和權(quán)限管理，通過劃分權(quán)限等級，對數(shù)據(jù)的接入訪問進行細粒度控制；應(yīng)建立數(shù)據(jù)分類分級管理，根據(jù)所采集數(shù)據(jù)的安全級別采取不同的安全防護措施；應(yīng)建立數(shù)據(jù)流動性監(jiān)測機制，實時感知用戶、應(yīng)用和SFC對數(shù)據(jù)的操作行為，發(fā)現(xiàn)異常行為及時處置.

2) API安全.

安全中臺往往通過API接口為前臺系統(tǒng)提供數(shù)據(jù)、服務(wù).攻擊者可通過嗅探工具捕獲相關(guān)API交互流量，進行篡改并大規(guī)模批量調(diào)用，實現(xiàn)敏感數(shù)據(jù)獲取，或使安全中臺產(chǎn)生大量垃圾數(shù)據(jù)，資源被大量消耗，甚至導致安全中臺無法正常工作.

在安全中臺建設(shè)期間，應(yīng)使用加密和簽名技術(shù)，防止數(shù)據(jù)傳輸過程中被篡改，防范重放攻擊；應(yīng)建立API訪問機制，限制訪問頻率和權(quán)限，通過接口調(diào)用分析惡意行為并拒絕服務(wù)；配置專用API安全網(wǎng)關(guān)，控制和管理API接口使用.

6 結(jié) 語

安全中臺是中臺思想在網(wǎng)絡(luò)安全場景下的落地方案，也是企業(yè)數(shù)字化轉(zhuǎn)型中解決安全困境的架構(gòu)方案.未來，隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入，能力與數(shù)據(jù)的集約化是必經(jīng)之路.本文通過分析銀行數(shù)字化轉(zhuǎn)型安全需求，研究設(shè)計了面向數(shù)字轉(zhuǎn)型的安全中臺架構(gòu)，并論述了中臺建設(shè)所需的安全能力編排相關(guān)技術(shù)，提出了安全服務(wù)功能鏈架構(gòu)所需的實例選取和路由優(yōu)化算法.

通過安全中臺的建設(shè)，銀行可整合安全數(shù)據(jù)收集能力，打破安全數(shù)據(jù)孤島，完善安全數(shù)據(jù)的利用，實現(xiàn)安全數(shù)據(jù)的統(tǒng)一管理與共享應(yīng)用.最終，通過安全中臺支撐上層業(yè)務(wù)的快速進化，實現(xiàn)安全防護業(yè)務(wù)全場景覆蓋，提高安全運營效率.