M—ICT時代下的全面扁平化趨勢

王德政+王承忠+吉曉威

摘要：在M-ICT時代，物理設(shè)備、網(wǎng)絡(luò)部署、業(yè)務(wù)流程都呈現(xiàn)全面扁平化的趨勢。在物理設(shè)備層面，各類資源的池化已成為主要趨勢；在網(wǎng)絡(luò)部署層面，軟件定義網(wǎng)絡(luò)（SDN）/網(wǎng)絡(luò)功能虛擬化（NFV）等技術(shù)令網(wǎng)絡(luò)部署更加趨于扁平；在業(yè)務(wù)流程層面，大數(shù)據(jù)系統(tǒng)為扁平化提供了技術(shù)基礎(chǔ)。指出安全問題泛在化與安全邊界模糊化是扁平化趨勢帶來的新安全課題，在安全架構(gòu)的構(gòu)建中，需要重點考慮這兩方面的問題。強調(diào)M-ICT時代將是一個全面扁平化的時代。

關(guān)鍵詞： 扁平化； 資源池； 大數(shù)據(jù)； 安全

在互聯(lián)網(wǎng)思潮的沖擊下，網(wǎng)絡(luò)扁平化趨勢已成為業(yè)界共識。隨著M-ICT時代的到來，扁平化已不僅僅停留在網(wǎng)絡(luò)扁平化的層面，物理設(shè)備、網(wǎng)絡(luò)部署、業(yè)務(wù)流程都有全面扁平化的趨勢。這些“扁平化”技術(shù)將為管理扁平化趨勢提供技術(shù)支撐，并將會全面提升M-ICT時代下的工作效率。

1 設(shè)備扁平化趨勢

1.1 IT資源池化的趨勢

在M-ICT時代，IT基礎(chǔ)設(shè)施需要提供快速的業(yè)務(wù)部署能力和高效的設(shè)備運維能力，對物理設(shè)備也提出了更高的要求。

傳統(tǒng)設(shè)備將從單個實物形態(tài)的設(shè)備逐步過渡到池化設(shè)備形態(tài)，即一個管理域內(nèi)的數(shù)百乃至數(shù)萬臺物理設(shè)備組合成一臺池化設(shè)備。池化設(shè)備具備業(yè)務(wù)所需的各種功能部件，不同的功能部件由不同的物理資源池提供，設(shè)備也從“黑盒”逐步過渡到“白盒”。整個網(wǎng)絡(luò)和IT基礎(chǔ)設(shè)施可認(rèn)為是由少量扁平化的池化設(shè)備組合構(gòu)成[1]。

在傳統(tǒng)“煙囪式IT”向云計算基礎(chǔ)架構(gòu)演進(jìn)的過程中，資源池概念逐步得到了豐富和發(fā)展。通過虛擬化的方式，服務(wù)器、存儲、網(wǎng)絡(luò)等資源全面形成一個巨大的資源池。通過分布式算法將這些資源進(jìn)行分配，從而消除物理邊界，提升資源利用率，最終實現(xiàn)按需動態(tài)分配資源。更進(jìn)一步地，云計算技術(shù)將打破服務(wù)器機箱、機柜的限制，把所有的CPU和內(nèi)存等資源解放出來，匯集到一起，形成CPU池、內(nèi)存池、存儲池以及網(wǎng)絡(luò)池，當(dāng)用戶產(chǎn)生需求時，便從這個池中配置能夠滿足需求的組合。

對于計算資源和內(nèi)存資源池化，因為受帶寬和時延約束，當(dāng)前CPU資源和內(nèi)存資源，還屬于緊耦合綁定狀態(tài)，隨著硅光互連技術(shù)的發(fā)展和成熟，未來有解耦成相互獨立資源池的趨勢。

對于存儲資源池化，以存儲區(qū)域網(wǎng)絡(luò)（SAN）/網(wǎng)絡(luò)連接存儲（NAS）為代表的傳統(tǒng)網(wǎng)絡(luò)存儲，已逐漸演變?yōu)椴煌琒AN/NAS系統(tǒng)之間存儲資源共享，并由此產(chǎn)生了基于虛擬化的存儲資源池化。隨著未來技術(shù)進(jìn)步和需求驅(qū)動，接近內(nèi)存性能的非易失性隨機訪問存儲（NVRAM）、依賴總線和接口標(biāo)準(zhǔn)（PCIe）互連的非易失性存儲器標(biāo)準(zhǔn)（NVMe）的固態(tài)硬盤（SSD）等新型存儲介質(zhì)也將得到商業(yè)應(yīng)用。

網(wǎng)絡(luò)資源池化是一個逐步發(fā)展和完善的過程。多臺虛機共享物理網(wǎng)卡，每臺虛機呈現(xiàn)“獨立”的邏輯網(wǎng)卡，這屬于網(wǎng)絡(luò)資源池化概念雛形。未來網(wǎng)絡(luò)的開放和可編程特性，使得網(wǎng)絡(luò)資源對用戶將呈現(xiàn)資源池化的特征，即實現(xiàn)網(wǎng)絡(luò)資源的按需分配，滿足資源池內(nèi)設(shè)備互連以及外部互通等各種應(yīng)用場景。

1.2 IT資源池化的關(guān)鍵技術(shù)

傳統(tǒng)服務(wù)器的各個組成部件都是固定配置的，為了進(jìn)一步提升資源的利用率、要求服務(wù)器的功能標(biāo)準(zhǔn)化，形成更多功能級的資源池，各個組成部件通過解構(gòu)與重構(gòu)，重新組合成邏輯設(shè)備單元。為了實現(xiàn)池化設(shè)備的解構(gòu)與重構(gòu)，需要解決IT系統(tǒng)內(nèi)部的互連問題，同時需要一個高效的管理體系。我們將簡要描述IT資源池化的一些關(guān)鍵技術(shù)。

1.2.1 池化設(shè)備解構(gòu)與重構(gòu)

首先，出于成本、節(jié)能減排的考慮，我們需要把電源、風(fēng)扇部件從服務(wù)器基本構(gòu)成中解構(gòu)出來，使得多臺服務(wù)器共享風(fēng)扇、電源，這也是谷歌自研定制化機柜式服務(wù)器的初衷；其次，多服務(wù)器之間共享存儲，共享網(wǎng)卡也是服務(wù)器解構(gòu)的一種表現(xiàn)形式；最后，IT領(lǐng)域為了上層業(yè)務(wù)匹配最合適的服務(wù)器資源，一般把服務(wù)器的IO卡（網(wǎng)絡(luò)）、內(nèi)存條、硬盤設(shè)計成可配置方式，使得服務(wù)器可重構(gòu)。

OCP、天蝎等開源組織更是大大推進(jìn)了服務(wù)器解構(gòu)與重構(gòu)的進(jìn)展，將其從手工方式提升到自動化規(guī)模部署。傳統(tǒng)通信技術(shù)產(chǎn)業(yè)（CT）領(lǐng)域的電信設(shè)備一般是分布式部署，這些獨立設(shè)備在引入池化概念后，將解構(gòu)成不同的部件，并邏輯層面重構(gòu)為邏輯單元。電信設(shè)備IT化已被全球電信運營商廣泛接受，采用傳統(tǒng)信息技術(shù)產(chǎn)業(yè)（IT）服務(wù)器承載電信業(yè)務(wù)已有許多成功案例。

1.2.2 池化設(shè)備的內(nèi)部互連

池化設(shè)備的內(nèi)部互連是指：從各種資源池中選擇硬件模塊，然后通過內(nèi)部互連，構(gòu)成邏輯設(shè)備。內(nèi)部互連到底選擇什么技術(shù)方案，一方面取決于該技術(shù)的服務(wù)質(zhì)量（QoS）相關(guān)指標(biāo)（帶寬、時延、抖動等）是否滿足應(yīng)用需求，另一方面取決于該技術(shù)的產(chǎn)業(yè)成熟度和成本。

目前硬盤資源和服務(wù)器之間主要是通過串行連接SCSI（SAS）交換實現(xiàn)互連，而CPU資源與外部IO之間一般通過PCIe互連。隨著技術(shù)進(jìn)步，高速存儲介質(zhì)通過PCIe互連，所以在資源池化設(shè)備中，存儲資源池將采用SAS交換和PCIe交換融合方案，統(tǒng)一提供低速或高速的存儲介質(zhì)。

目前以太網(wǎng)已成為設(shè)備內(nèi)部或設(shè)備之間最主流的互連方式，隨著云計算相關(guān)業(yè)務(wù)對高帶寬低時延需求的廣泛性，支持全稱遠(yuǎn)程直接數(shù)據(jù)存?。≧DMA）將成為以太網(wǎng)技術(shù)的基本選項。目前網(wǎng)卡共享主要體現(xiàn)在服務(wù)器內(nèi)部多虛機之間，隨著multi-host網(wǎng)卡技術(shù)的發(fā)展，多臺服務(wù)器之間通過PCIe交換共享網(wǎng)卡，這將為云計算帶來諸多優(yōu)勢。

隨著芯片處理能力的逐年增強，芯片管腳數(shù)不能同步增加，電信號傳輸速率也受印刷電路板（PCB）的制約。硅光技術(shù)是解決上述問題的關(guān)鍵，硅光互連解決了芯片之間的互連帶寬問題，配合全光背板和硅光交換機技術(shù)，可以在數(shù)據(jù)中心范圍實現(xiàn)資源池的全光互連。硅光互連將成為池化設(shè)備內(nèi)部的主流方案，是未來主要方向。

1.2.3 池化設(shè)備的管理endprint

池化設(shè)備管理主要采用RESTFUL接口，可以實現(xiàn)管理程序和設(shè)備之間解耦，便于各自升級擴展。

分布式管理任務(wù)組（DMTF）制訂了相關(guān)協(xié)議，該協(xié)議包含交互協(xié)議和資源封裝格式，資源的表現(xiàn)形式為協(xié)議無關(guān)的JSON/Odata格式。

服務(wù)器、機框、機架等各個層級的設(shè)備，通過支持統(tǒng)一的管理接口，實現(xiàn)資源池設(shè)備的扁平化管理。

2 網(wǎng)絡(luò)部署扁平化趨勢

網(wǎng)絡(luò)扁平化主要指網(wǎng)絡(luò)層次簡單，業(yè)務(wù)部署簡單，運維簡單。

運營商網(wǎng)絡(luò)基本形成了典型架構(gòu)，它一般由接入網(wǎng)、匯聚網(wǎng)、核心網(wǎng)3個網(wǎng)絡(luò)層次構(gòu)成，同時，傳輸層面還有光網(wǎng)絡(luò)/IP網(wǎng)絡(luò)的層次結(jié)構(gòu)，相互之間的業(yè)務(wù)互通主要通過配置方式，業(yè)務(wù)部署靈活性不夠；另一方面，網(wǎng)絡(luò)設(shè)備都是獨立的“黑盒”設(shè)備，全分散的控制架構(gòu)，使得整個網(wǎng)絡(luò)的運維顯得復(fù)雜、低效。

為促進(jìn)網(wǎng)絡(luò)的進(jìn)一步扁平化，引入SDN架構(gòu)顯得非常重要；而NFV對電信業(yè)轉(zhuǎn)型也起到關(guān)鍵作用，通過其靈活性、低成本、易拓展、快速應(yīng)用開發(fā)等特征可以重塑傳統(tǒng)電信網(wǎng)絡(luò)和業(yè)務(wù)。SDN和NFV的結(jié)合給運營商網(wǎng)絡(luò)部署提供了扁平化創(chuàng)新和變革的“引擎”。

2.1 SDN導(dǎo)致承載網(wǎng)絡(luò)扁平化

SDN是網(wǎng)絡(luò)演進(jìn)的關(guān)鍵技術(shù)，它可以實現(xiàn)控制與轉(zhuǎn)發(fā)分離的架構(gòu)，逐步被IT和CT領(lǐng)域普遍接受。目前SDN場景也逐步從數(shù)據(jù)中心（DC）向運營商廣域網(wǎng)（WAN）、移動網(wǎng)絡(luò)（5G）擴展，進(jìn)一步拓展到了池化設(shè)備內(nèi)部網(wǎng)絡(luò)的應(yīng)用場景。

當(dāng)前的承載網(wǎng)主要由底層的光網(wǎng)絡(luò)和上層的IP網(wǎng)構(gòu)成，基本上屬于靜態(tài)網(wǎng)絡(luò)，可編程能力比較弱，對于復(fù)雜多變的流量模型調(diào)度手段少，響應(yīng)緩慢。

在M-ICT時代，承載網(wǎng)引入SDN架構(gòu)，實現(xiàn)轉(zhuǎn)發(fā)和控制分離、控制面集中，并通過引入可編程環(huán)境實現(xiàn)網(wǎng)絡(luò)的端到端全局資源調(diào)配能力，支持復(fù)雜多變的各類業(yè)務(wù)流量模型。

SDN對網(wǎng)絡(luò)端到端能力的提升，將在以下幾個方面有所體現(xiàn)：

（1）高效彈性部署，提高網(wǎng)絡(luò)資源利用率。由于引入了一個集中的全局網(wǎng)絡(luò)控制面，可以更有效地進(jìn)行全局網(wǎng)絡(luò)視圖規(guī)劃，控制和管理，并通過軟件編程實現(xiàn)部署自動化。

（2）端到端的業(yè)務(wù)體驗。集中控制和統(tǒng)一策略部署能力使得端到端的業(yè)務(wù)保障成為可能，網(wǎng)絡(luò)能力開放，網(wǎng)絡(luò)可與上層應(yīng)用更好地協(xié)調(diào)，物理網(wǎng)絡(luò)和邏輯網(wǎng)絡(luò)實時狀態(tài)監(jiān)控與協(xié)調(diào)，都保證了網(wǎng)絡(luò)業(yè)務(wù)體驗。

（3）簡化網(wǎng)絡(luò)，降低網(wǎng)絡(luò)復(fù)雜度。通過采取軟硬件解耦以及轉(zhuǎn)發(fā)控制分離等技術(shù)，逐步實現(xiàn)網(wǎng)元設(shè)備池化，各功能部件獨立發(fā)展，并最終實現(xiàn)全網(wǎng)簡化，降低總擁有成本（TCO）。

SDN的引入，模糊化了傳統(tǒng)承載網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的邊界，減少網(wǎng)絡(luò)的層次，使承載網(wǎng)絡(luò)更加扁平化，更容易適應(yīng)端到端業(yè)務(wù)需求的變化。

2.2 NFV導(dǎo)致通信網(wǎng)元扁平化

在軟交換技術(shù)時代，以話音業(yè)務(wù)為主的通信網(wǎng)首次引入承載與控制分離的概念，傳統(tǒng)電路交換也由扁平化IP交換替代，話音通信網(wǎng)因此實現(xiàn)了第一次扁平化改造；在移動互聯(lián)時代，話音和數(shù)據(jù)均是IP承載，扁平化趨勢越來越明顯：在2G、3G時代，網(wǎng)絡(luò)層次從基站到控制器再到核心網(wǎng)，共3層；在4G時代，網(wǎng)絡(luò)層次弱化了控制器，業(yè)務(wù)流實現(xiàn)了從基站直接到核心網(wǎng)的二層架構(gòu)；在5G時代，5G網(wǎng)絡(luò)架構(gòu)將把基站和核心網(wǎng)網(wǎng)關(guān)集成在一起，將垂直的網(wǎng)絡(luò)架構(gòu)演進(jìn)為水平的一層網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)層進(jìn)一步扁平化。

NFV架構(gòu)以云計算為基礎(chǔ)，軟硬件解耦，實現(xiàn)通信網(wǎng)的水平切割及業(yè)務(wù)的快速發(fā)布。在2G/3G/4G混合組網(wǎng)的場景下，通過引入NFV架構(gòu)，可在一個公共的硬件資源池中實現(xiàn)網(wǎng)元虛擬化。即根據(jù)不同的用戶比例及業(yè)務(wù)特點，靈活調(diào)整各虛擬網(wǎng)元的部署規(guī)模，實現(xiàn)網(wǎng)絡(luò)與業(yè)務(wù)在整個演進(jìn)過程中的最佳匹配。隨著5G時代的到來，適當(dāng)增加硬件資源池中轉(zhuǎn)發(fā)功能部件，以及軟件化基帶處理部件，能夠靈活構(gòu)建全新的5G虛擬化網(wǎng)元。在整個通信網(wǎng)絡(luò)扁平化演進(jìn)過程中，NFV是核心支撐技術(shù)。同時，NFV支持通信網(wǎng)資源開放，給運營商的經(jīng)營創(chuàng)新帶來了機會。

3 業(yè)務(wù)流程扁平化趨勢

3.1 大數(shù)據(jù)的智慧生成提供扁平化

技術(shù)基礎(chǔ)

無論是流程上的分層，還是管理上的分層，其原因之一是人類處理復(fù)雜信息能力的局限性，所以需要分層的流程與管理，并進(jìn)行逐層信息收集、分析以及匯總。對于很多組織來說，中層領(lǐng)導(dǎo)的主要工作職責(zé)就是向上進(jìn)行信息匯總以及決策建議，向下進(jìn)行命令傳達(dá)與執(zhí)行。大數(shù)據(jù)技術(shù)第一次讓人類具備處理海量信息，并直接從這些海量信息中生成智慧的能力。大數(shù)據(jù)的智慧生成的能力，為流程扁平化提供了技術(shù)基礎(chǔ)。

大數(shù)據(jù)如何進(jìn)行智慧生成呢？這需要從信息模型中進(jìn)行分析。信息模型從底向上分為4個層次：數(shù)據(jù)、信息、知識和智慧。其中，單純的數(shù)據(jù)本身并無實質(zhì)性意義，信息是由數(shù)據(jù)加上內(nèi)容定義而構(gòu)成，知識是由信息加上規(guī)則而構(gòu)成，最高層的智慧是由知識加上經(jīng)驗而構(gòu)成。而提升人類活動準(zhǔn)確性的工作，是由位于信息的最高層——智慧層來完成的[2]。

無論是對于人類自身，還是計算機系統(tǒng)來說，比較容易處理數(shù)據(jù)、信息、知識這3個層次的信息，因為其本質(zhì)都是數(shù)據(jù)的存儲與檢索，只是人類的處理效率與準(zhǔn)確性要低于計算機。但是對于如何從知識中獲取智慧，無論是人類還是計算機，都是一件非常困難的事情。

在大數(shù)據(jù)誕生以前，智慧很難通過機器得到。各個行業(yè)的智慧生成都是依賴各行業(yè)的專家，一個專家的能力是與他在行業(yè)內(nèi)的經(jīng)驗積累密切相關(guān)的，其所沉淀積累的知識越多，則做出正確抉擇的可能性越大。但人類專家的工作效率和準(zhǔn)確性均有限，特別是在經(jīng)驗或數(shù)據(jù)缺乏的情況下，專家們往往依靠直覺做判斷，并通過層層的流程與管理進(jìn)行篩選與決策，加劇了結(jié)果的不準(zhǔn)確性。

通過大數(shù)據(jù)的挖掘手段，可以依托海量的知識庫，將輸入的知識或信息轉(zhuǎn)化為智慧。未來，機器可以通過海量數(shù)據(jù)挖掘、發(fā)現(xiàn)知識并輸出智慧，再由人類專家對結(jié)果進(jìn)行檢驗與校正，并通過機器學(xué)習(xí)，逐步提高結(jié)果的準(zhǔn)確率。通過這樣直接從海量信息中生成智慧的技術(shù)，讓流程的扁平化具備技術(shù)可行性。endprint

3.2 大數(shù)據(jù)的架構(gòu)加速扁平化趨勢

在過去的十年里，智能終端和移動互聯(lián)網(wǎng)的快速發(fā)展深刻地影響和改變著人類社會。傳統(tǒng)的“注意-興趣-搜索-行動-分享”購買模式已經(jīng)被打破，變得更為個性化。變化更快的市場環(huán)境使得現(xiàn)有的市場經(jīng)營模式能夠發(fā)揮的作用逐漸變小，企業(yè)越來越依賴數(shù)據(jù)分析指導(dǎo)自己的產(chǎn)品，改進(jìn)服務(wù)，迎合市場需求。數(shù)據(jù)和數(shù)據(jù)處理能力成為企業(yè)在新的市場環(huán)境中生存、發(fā)展的關(guān)鍵。2014年，阿里巴巴集團(tuán)創(chuàng)始人馬云在互聯(lián)網(wǎng)大會上說道：“人類正從IT時代走向DT時代”。

如圖1所示，我們可以采用以數(shù)據(jù)為中心的系統(tǒng)架構(gòu)，提高生產(chǎn)效率及反應(yīng)速度，并滿足客戶個性化需求。大數(shù)據(jù)主要在3個方面促進(jìn)業(yè)務(wù)流程扁平化。

（1）通過收集生產(chǎn)系統(tǒng)產(chǎn)生的業(yè)務(wù)過程數(shù)據(jù)，對業(yè)務(wù)數(shù)據(jù)進(jìn)行建模，對當(dāng)前生產(chǎn)系統(tǒng)提出建議與分析報告，從而去除或改進(jìn)現(xiàn)有系統(tǒng)中不合理的環(huán)節(jié)，提高系統(tǒng)生產(chǎn)效率，降低成本。例如，通過收集無線網(wǎng)絡(luò)的網(wǎng)絡(luò)覆蓋信息，可以對現(xiàn)網(wǎng)的網(wǎng)規(guī)、網(wǎng)優(yōu)工作進(jìn)行指導(dǎo)。與傳統(tǒng)依靠路測進(jìn)行網(wǎng)規(guī)、網(wǎng)優(yōu)的模式相比，采用該種方式后無論是資金成本還是時間成本，都將急劇降低。

（2）通過將生產(chǎn)系統(tǒng)中的數(shù)據(jù)進(jìn)行集中匯總，并通過大數(shù)據(jù)的分析與挖掘，可以直接給出相關(guān)的經(jīng)營與決策建議。與傳統(tǒng)的層層上報、層層決策的模式相比，這將顯著提高決策效率，加快市場反應(yīng)速度，并減少決策失誤。

（3）在多個生產(chǎn)系統(tǒng)需要協(xié)調(diào)配合時，可以通過集中的數(shù)據(jù)，在多個生產(chǎn)系統(tǒng)之上構(gòu)建更高層面的無縫對接流程。與傳統(tǒng)的人工流程對接相比，這將極大地提高系統(tǒng)之間的協(xié)調(diào)速度，并降低對接出錯的概率。

4 扁平化趨勢下的安全技術(shù)

4.1 安全問題特性

在M-ICT扁平化趨勢下，安全問題呈現(xiàn)出泛在化與邊界模糊化這兩個顯著的特征。

對于安全問題泛在化，呈現(xiàn)出新的特點。

（1）攻擊源節(jié)點和目標(biāo)節(jié)點泛在化。隨著智能終端、物聯(lián)網(wǎng)和云計算的發(fā)展，攻擊源節(jié)點和目標(biāo)節(jié)點已經(jīng)不局限于原有的計算機系統(tǒng)和移動終端，攝像頭、汽車、機頂盒、打印機、個人穿戴設(shè)備、智能醫(yī)療設(shè)備等都可能成為攻擊的源節(jié)點或目標(biāo)節(jié)點。這樣使得攻擊載體的規(guī)模迅速放大，物聯(lián)網(wǎng)終端將成為高級持續(xù)性威脅（APT）攻擊的跳板和僵尸網(wǎng)絡(luò)的目標(biāo)。統(tǒng)計數(shù)據(jù)表明70%的物聯(lián)網(wǎng)終端存在安全漏洞，且缺乏認(rèn)證和傳輸加密。

（2）攻擊途徑泛在化。在M-ICT時代，萬物互聯(lián)使得各種終端可通過Wi-Fi，zigbee，藍(lán)牙等多種途徑接入網(wǎng)絡(luò)，相應(yīng)的攻擊途徑也得到了擴展。并且，SDN架構(gòu)、云計算架構(gòu)下豐富的應(yīng)用程序網(wǎng)絡(luò)接口（API）也成為理想的攻擊途徑。

（3）攻擊目的泛在化。首先，SDN和云計算本身帶來了新的安全問題，例如，SDN控制器是網(wǎng)絡(luò)的控制中樞，如果SDN控制器受到攻擊可能導(dǎo)致整個網(wǎng)絡(luò)癱瘓或者被劫持；例如，采用虛擬化技術(shù)的云計算，也會引起數(shù)據(jù)殘留、資源風(fēng)暴等新的安全問題。其次，物聯(lián)網(wǎng)的興起讓攻擊者的攻擊目的從傳統(tǒng)的網(wǎng)頁漏洞與應(yīng)用程序漏洞，轉(zhuǎn)移成竊取智能聯(lián)網(wǎng)裝置的資料與控制權(quán)、破解車載系統(tǒng)漏洞、入侵醫(yī)療設(shè)備儀器等。攻擊者只要能滲透智能終端、智能家具或者是智能聯(lián)網(wǎng)裝置，便能竊取機密資料、取得控制權(quán)，甚至劫持這些智能聯(lián)網(wǎng)裝置發(fā)動更大規(guī)模的攻擊。

對于安全邊界模糊化，其表現(xiàn)在網(wǎng)絡(luò)邊界的模糊導(dǎo)致原有安全邊界的模糊。

首先，隨著移動辦公、BYOD等應(yīng)用，處于企業(yè)外網(wǎng)的終端需要訪問企業(yè)內(nèi)網(wǎng)資源，突破了內(nèi)外網(wǎng)隔離的邊界。其次，云環(huán)境下多租戶共用物理資源，多個租戶的服務(wù)可能運行在一個計算節(jié)點上，租戶間沒有物理上的明確邊界。再次，企業(yè)的Wi-Fi接入、咖啡館熱點接入、機場熱點接入、家庭接入都存在眾多的“最后一公里”網(wǎng)絡(luò)，有眾多的數(shù)據(jù)中心和應(yīng)用程序網(wǎng)絡(luò)接口，沒有明確的安全邊界，造成信任缺失。

安全問題泛在化與安全邊界模糊化是扁平化趨勢帶來的新的安全課題，在安全架構(gòu)的構(gòu)建中，需要重點考慮這兩方面的問題。

4.2安全技術(shù)發(fā)展趨勢

4.2.1 利用SDN架構(gòu)特性解決安全

問題

SDN本身會引入一些安全問題，但同時也可以借助SDN架構(gòu)解決安全問題：

·SDN能夠基于流模式提供端到端、面向業(yè)務(wù)的連接模型，并且不受到傳統(tǒng)路由的約束，可以實現(xiàn)基于流的控制。

·集中控制的特點有助于建立全網(wǎng)視野，可以在整網(wǎng)監(jiān)控威脅。

·安全策略的粒度管理可以基于應(yīng)用、服務(wù)、組織、地域等，不取決于物理配置。

·基于資源的安全策略可以緊湊地實現(xiàn)多種威脅的防御措施，增強管理。

·通過編排可以動態(tài)、靈活地調(diào)整安全策略。

·靈活的路徑管理，快速封裝以及隔離入侵可以不沖擊到其他網(wǎng)絡(luò)用戶。

4.2.2 利用大數(shù)據(jù)特性解決安全問題

可以借助大數(shù)據(jù)的特性解決扁平化趨勢下的安全問題：

·網(wǎng)絡(luò)吞吐的倍增以及攻擊的泛在化，導(dǎo)致攻擊數(shù)據(jù)隱蔽在海量業(yè)務(wù)數(shù)據(jù)中，這極易觸及安全設(shè)備的性能瓶頸，因此有必要引入大數(shù)據(jù)分析方法。

·可以基于大數(shù)據(jù)分析方法進(jìn)行安全管理平臺（SOC）的海量系統(tǒng)日志分析，netflow/IPfix流量分析、安全策略分析、審計分析。

·傳統(tǒng)的安全防護(hù)手段如深度包檢測（DPI）、深度/動態(tài)流檢測（DFI）、入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、防病毒等都是基于特定規(guī)則進(jìn)行匹配運算，符合大數(shù)據(jù)處理特性。

·攻擊手段的隱蔽化，尤其是APT攻擊的發(fā)展，使得單個安全設(shè)備僅能獲取部分攻擊片段而防護(hù)失效，大數(shù)據(jù)技術(shù)可以匯總完整的攻擊數(shù)據(jù)從而進(jìn)行綜合分析。

4.2.3 軟件定義邊界

如圖2所示，軟件定義邊界（SDP）通過利用云計算，在任何IP可尋址實體間創(chuàng)建高度安全的、終端到終端網(wǎng)絡(luò)，緩解可訪問的互聯(lián)網(wǎng)應(yīng)用程序的風(fēng)險，在連接網(wǎng)絡(luò)前對設(shè)備和用戶進(jìn)行身份驗證。endprint

SDP采用機密網(wǎng)絡(luò)模型來保護(hù)應(yīng)用程序，傳統(tǒng)邊界已經(jīng)迅速成為設(shè)備在網(wǎng)絡(luò)內(nèi)部移動以及應(yīng)用程序從網(wǎng)絡(luò)邊界遷移到云計算的障礙。通常在機密或高度安全網(wǎng)絡(luò)，每臺服務(wù)器被隱藏在遠(yuǎn)程接入網(wǎng)關(guān)后面，用戶在查看和訪問授權(quán)服務(wù)之前必須進(jìn)行身份驗證。

SDP保留了“需要知道”模型的優(yōu)勢，同時消除了對遠(yuǎn)程訪問網(wǎng)關(guān)設(shè)備的缺點，SDP要求端點在獲取對受保護(hù)的服務(wù)器的網(wǎng)絡(luò)訪問之前，必須進(jìn)行身份驗證以及獲得授權(quán)，然后在請求系統(tǒng)和應(yīng)用程序基礎(chǔ)設(shè)施之間會實時創(chuàng)建加密連接。請求系統(tǒng)可以是移動設(shè)備，如智能手機、計算機或者傳感器。

SDP采用了標(biāo)準(zhǔn)安全工具，如公鑰基礎(chǔ)設(shè)施、可信分層安全、IPsec和安全斷言標(biāo)記語言（SAML）以及地理位置等概念，來實現(xiàn)任何設(shè)備到任何基礎(chǔ)設(shè)施的連接。SDP外圍可以部署在任何位置，例如互聯(lián)網(wǎng)、云計算中、托管中心、企業(yè)私有網(wǎng)絡(luò)中，也可以跨網(wǎng)絡(luò)部署。

4.2.4 構(gòu)建可信體系

傳統(tǒng)的安全解決思路立足于防，防火墻、IDS/IPS和AV構(gòu)成了傳統(tǒng)信息安全系統(tǒng)，并且以防外為重點，在物理邊界上對非法用戶和越權(quán)訪問進(jìn)行封堵，捕捉攻擊和入侵的特征信息。由于其特征是已發(fā)生過的滯后信息，這樣導(dǎo)致防總是落后于攻，也不能根據(jù)已有的可疑特征預(yù)測未來的攻擊和入侵。

有別于傳統(tǒng)的安全技術(shù)，可信體系的思路是消除惡意代碼、病毒等攻擊行為的作用空間?？尚偶夹g(shù)的根本機制如圖3所示。

如圖3所示，在系統(tǒng)啟動過程中，有兩個流按序串行進(jìn)行：度量流和執(zhí)行流。這兩個流遵循先度量后執(zhí)行的原則，保證了下一步執(zhí)行的執(zhí)行體是經(jīng)過嚴(yán)格度量的可信任實體。

可信體系由可信計算、可信存儲、可信網(wǎng)絡(luò)組成，并且在單個系統(tǒng)啟動過程中進(jìn)行逐級驗證，形成網(wǎng)絡(luò)中一個可信節(jié)點，與其他可信節(jié)點之間形成一個可信網(wǎng)絡(luò)，從根本上提高整個系統(tǒng)的安全性。其中可信存儲框架由TCG/T10/T13定義。

5 結(jié)束語

當(dāng)前，對于物理設(shè)備、網(wǎng)絡(luò)部署以及流程管理的扁平化，無論是理念還是技術(shù)，都已經(jīng)具備實現(xiàn)的可行性。未來，M-ICT時代將是一個全面扁平化的時代，是一個端到端效率極大提升的時代。

參考文獻(xiàn)

[1] 騰訊云：服務(wù)器資源池化技術(shù)發(fā)展趨勢[EB/OL].http：//www.cctime.com/html/2015-4-22/20154221716419323.htm

[2] Software Defined Perimeter Working Group.SDP Specification 1.0[S]endprint