目前，隨著業(yè)務(wù)的不斷發(fā)展，安全管理視角的不斷深入，信息安全管理工作的復(fù)雜性也隨之提高，網(wǎng)絡(luò)安全問題也不斷凸顯。雖然筆者單位的相關(guān)工作已經(jīng)達(dá)到了行業(yè)領(lǐng)先水平，但面對(duì)日益復(fù)雜的信息安全局勢(shì)，基于“云”的服務(wù)技術(shù)是信息安全管理工作平臺(tái)發(fā)展的必然趨勢(shì)，以下幾點(diǎn)問題亟待通過安全云服務(wù)平臺(tái)解決：安全工具種類繁多，建設(shè)相對(duì)獨(dú)立；安全檢測(cè)手段各異，難以發(fā)揮最大效率；工具建設(shè)和維護(hù)人員持續(xù)投入，人工成本高；各類工具各業(yè)務(wù)環(huán)節(jié)銜接不緊密等。

筆者單位將安全資產(chǎn)云化服務(wù)研究項(xiàng)目作為一項(xiàng)堅(jiān)定的平臺(tái)戰(zhàn)略，全面實(shí)踐“云”服務(wù)技術(shù)，宏觀整合各類安全檢測(cè)技術(shù)手段，綜合提高整體安全檢測(cè)運(yùn)維效率，實(shí)現(xiàn)安全工作全環(huán)節(jié)的管控能力，總結(jié)出各類安全運(yùn)維工作場(chǎng)景，從整體上節(jié)省各部門重復(fù)性的安全投資，構(gòu)建基于云化安全模式框架的安全資源云服務(wù)平臺(tái)，為企業(yè)安全資源管控集中化和綜合化提供可行性實(shí)踐指導(dǎo)意義以及成熟的整體解決方案。

圖1 云平臺(tái)信息安全體系

安全資源云服務(wù)平臺(tái)設(shè)計(jì)

安全資源云服務(wù)平臺(tái)基于云化安全模式框架，提供統(tǒng)一的安全檢測(cè)手段云服務(wù)能力，并建設(shè)云平臺(tái)信息安全體系，接入泛安全檢測(cè)工具，并實(shí)現(xiàn)安全檢測(cè)統(tǒng)一任務(wù)管理、資源權(quán)限管理、安全檢測(cè)場(chǎng)景管理、安全管理可視化等一系列平臺(tái)功能，實(shí)現(xiàn)安全服務(wù)集約化投資和高效管理能力。平臺(tái)功能框架分為四個(gè)層次，分別為：交互展示層、能力支撐層、系統(tǒng)管理層和服務(wù)接口層。

S&C模型云平臺(tái)信息安全體系

圖1為云平臺(tái)信息安全體系圖。平臺(tái)基于SOA框架結(jié)構(gòu)實(shí)現(xiàn)S&C模型，即Subscription&Consumption（基于訂閱、消費(fèi)服務(wù)模式）的安全服務(wù)體系，構(gòu)建安全資源云服務(wù)SaaS平臺(tái)。云服務(wù)平臺(tái)針對(duì)不同安全檢測(cè)工具、安全服務(wù)系統(tǒng)提供統(tǒng)一管理及協(xié)同調(diào)度能力，面向業(yè)務(wù)場(chǎng)景需求抽象封裝統(tǒng)一標(biāo)準(zhǔn)場(chǎng)景，并統(tǒng)一映射為平臺(tái)安全服務(wù)能力，以云服務(wù)方式集中發(fā)布企業(yè)各類信息安全防護(hù)、監(jiān)控、檢測(cè)、分析和響應(yīng)等安全服務(wù)能力。形成安全服務(wù)標(biāo)準(zhǔn)化、檢測(cè)任務(wù)規(guī)范化、服務(wù)消費(fèi)統(tǒng)一化的信息安全綜合服務(wù)體系，整體提升企業(yè)安全工作效率。

平臺(tái)通過WebService技術(shù)實(shí)現(xiàn)了SaaS服務(wù)側(cè)框架結(jié)構(gòu)，向服務(wù)消費(fèi)方提供了消費(fèi)、訂閱、推送安全服務(wù)的功能。例如，當(dāng)企業(yè)用戶使用安全資源云服務(wù)平臺(tái)提供的某項(xiàng)安全服務(wù)時(shí)，調(diào)用平臺(tái)對(duì)外提供SaaS的WebService相應(yīng)接口，調(diào)用對(duì)應(yīng)的核心處理功能并逐層返回結(jié)果。云平臺(tái)信息安全體系屏蔽了傳統(tǒng)的直接面向不同廠商安全檢測(cè)工具的模式，通過SaaS技術(shù)模式封裝泛安全檢測(cè)服工具、模板等，向企業(yè)用戶、相關(guān)業(yè)務(wù)系統(tǒng)直接提供SOA形式的接口調(diào)用，輸出豐富強(qiáng)大的信息安全能力，如圖2所示。

泛安全檢測(cè)工具接入

圖2 基于S&C模型的技術(shù)流程圖

根據(jù)等級(jí)保護(hù)以及相關(guān)條例的指導(dǎo)建議，面向企業(yè)進(jìn)行全面安全服務(wù)能力分析，構(gòu)建安全檢測(cè)服務(wù)矩陣，提供各類安全服務(wù)和安全檢測(cè)手段，其中包括：系統(tǒng)漏洞檢測(cè)、系統(tǒng)配置合規(guī)檢測(cè)、Web漏洞檢測(cè)、系統(tǒng)口令檢測(cè)以及代碼安全檢測(cè)等功能，實(shí)現(xiàn)各廠商安全工具及已建設(shè)安全系統(tǒng)的多種方式云服務(wù)適配接入能力。

平臺(tái)建立轉(zhuǎn)化層標(biāo)準(zhǔn)規(guī)范，針對(duì)各類安全檢測(cè)工具及系統(tǒng)通過抽象封裝實(shí)現(xiàn)異構(gòu)安全檢測(cè)工具對(duì)外服務(wù)標(biāo)準(zhǔn)化。在保持不斷適應(yīng)靈活擴(kuò)展新安全檢測(cè)工具的同時(shí)，為用戶屏蔽安全服務(wù)非業(yè)務(wù)類細(xì)節(jié)。

平臺(tái)泛安全檢測(cè)工具接入主要有以下幾點(diǎn)優(yōu)勢(shì)。

檢測(cè)工具框架化，服務(wù)能力靈活可擴(kuò)展：搭建平臺(tái)安全服務(wù)靈活可擴(kuò)展框架，持續(xù)快速接入安全工具。

安全服務(wù)標(biāo)準(zhǔn)化，任務(wù)模型抽象再封裝：基于ESB（Enterprise Service Bus）的數(shù)據(jù)總線技術(shù)進(jìn)行安全檢測(cè)工具任務(wù)驅(qū)動(dòng)管理模型抽象再封裝，實(shí)現(xiàn)安全檢測(cè)工具的統(tǒng)一協(xié)同，下面詳細(xì)介紹平臺(tái)安全服務(wù)能力。

安全服務(wù)能力

國(guó)內(nèi)首次以IaaS環(huán)境為基礎(chǔ)，針對(duì)各類安全檢測(cè)工具提供豐富的云化安全服務(wù)能力，面向企業(yè)網(wǎng)絡(luò)安全提供強(qiáng)有力安全檢測(cè)技術(shù)手段支撐。

1.統(tǒng)一任務(wù)及自動(dòng)化策略管理

平臺(tái)通過云化泛安全檢測(cè)服務(wù)，搭建安全資源云服務(wù)平臺(tái)核心能力——統(tǒng)一自動(dòng)化任務(wù)管理能力，提供統(tǒng)一的安全檢測(cè)任務(wù)、安全策略發(fā)起、執(zhí)行、監(jiān)控和結(jié)果反饋等功能。屏蔽用戶面向不同安全工具與系統(tǒng)操作及學(xué)習(xí)壁壘，針對(duì)企業(yè)資源網(wǎng)絡(luò)安全，輸出統(tǒng)一服務(wù)、統(tǒng)一任務(wù)、相適配策略。

同時(shí)，為解決不同維度業(yè)務(wù)線條及地市對(duì)于資產(chǎn)管理不統(tǒng)一的問題，基于云平臺(tái)集中化管理模式以及安全策略執(zhí)行現(xiàn)狀，建立任務(wù)策略模式適配器。適配器分別管理資產(chǎn)庫、維度現(xiàn)狀模板、安全責(zé)任模板和賬號(hào)庫四項(xiàng)基礎(chǔ)數(shù)據(jù)，并建立資產(chǎn)與賬號(hào)、管理維度與責(zé)任、資產(chǎn)與管理維度、管理責(zé)任與資產(chǎn)間的映射關(guān)系。企業(yè)安全管理人員只需關(guān)注策略要求，根據(jù)資產(chǎn)類別、管理職責(zé)或賬號(hào)進(jìn)行任務(wù)策略要求下發(fā)，平臺(tái)自動(dòng)補(bǔ)全其他必要信息，包括：資產(chǎn)ID、資產(chǎn)類型、所屬系統(tǒng)、相關(guān)責(zé)任人等信息。

統(tǒng)一任務(wù)及自動(dòng)化策略管理使得運(yùn)維人工成本、日常安全巡檢成本以及人員學(xué)習(xí)等成本極大降低，最大程度地發(fā)揮安全工具運(yùn)維效率。

2.負(fù)載調(diào)度管理

平臺(tái)面向高并發(fā)安全檢測(cè)業(yè)務(wù)需求及多種異構(gòu)安全檢測(cè)技術(shù)需求，在安全服務(wù)標(biāo)準(zhǔn)化及任務(wù)模型抽象再封裝的基礎(chǔ)上，通過實(shí)時(shí)監(jiān)控及評(píng)估各個(gè)工具的原子任務(wù)資產(chǎn)消耗情況，通過平臺(tái)底層ESB數(shù)據(jù)總線技術(shù)，實(shí)現(xiàn)安全服務(wù)業(yè)務(wù)請(qǐng)求負(fù)載分發(fā)調(diào)度能力。

負(fù)載調(diào)度管理有效避免了各類安全服務(wù)節(jié)點(diǎn)過載故障，降低了大并發(fā)檢測(cè)任務(wù)情況下的任務(wù)隊(duì)列長(zhǎng)度，提升了企業(yè)安全資源檢測(cè)的整體效率。高效安全運(yùn)維不但保障了安全資源云服務(wù)平臺(tái)的實(shí)踐推廣，更促進(jìn)了企業(yè)安全運(yùn)維綜合管理的成果落實(shí)。如圖3即為負(fù)載調(diào)度管理功能示意圖。

圖3 負(fù)載調(diào)度管理功能示意圖

圖4 負(fù)載調(diào)度流程

在創(chuàng)建下發(fā)檢測(cè)任務(wù)時(shí)，實(shí)時(shí)適配工具當(dāng)前任務(wù)進(jìn)度狀態(tài)，對(duì)任務(wù)數(shù)量、任務(wù)進(jìn)度等信息進(jìn)行負(fù)載策略評(píng)估和預(yù)測(cè)，根據(jù)負(fù)載策略評(píng)估預(yù)測(cè)結(jié)果，將檢測(cè)任務(wù)再次分拆為不同的原子任務(wù)，下發(fā)到相應(yīng)安全檢測(cè)工具部署機(jī)上，具體負(fù)載調(diào)度流程如圖4所示。

3.安全檢測(cè)場(chǎng)景管理

筆者單位歷經(jīng)多年的網(wǎng)絡(luò)安全工作實(shí)踐研究及安全檢測(cè)工具類平臺(tái)建設(shè)經(jīng)驗(yàn)積累，總結(jié)歸納出了大量安全檢測(cè)場(chǎng)景，包括：新威脅快速預(yù)警場(chǎng)景、日常安全管理運(yùn)維場(chǎng)景等各類安全檢測(cè)場(chǎng)景管理。

新威脅快速預(yù)警場(chǎng)景：基于實(shí)時(shí)網(wǎng)絡(luò)爬蟲技術(shù)及關(guān)鍵內(nèi)容分析技術(shù)，快速輸出告警，以及相應(yīng)應(yīng)對(duì)新威脅預(yù)警場(chǎng)景，實(shí)現(xiàn)威脅快速相應(yīng)，資產(chǎn)全面搜索，問題精準(zhǔn)定位，威脅即時(shí)補(bǔ)救等；

豐富日常安全管理維護(hù)場(chǎng)景：面向企業(yè)安全工作需求建立各類日常安全管理運(yùn)維場(chǎng)景，包括：資源入網(wǎng)安全輔導(dǎo)場(chǎng)景、入網(wǎng)安全驗(yàn)收?qǐng)鼍?、日常安全巡檢場(chǎng)景、專項(xiàng)問題檢查場(chǎng)景、隱匿資產(chǎn)發(fā)現(xiàn)處置場(chǎng)景等。

4. 一致更新云服務(wù)

企業(yè)通過安全資源云服務(wù)平臺(tái)獲取匹配各類最新檢測(cè)特征、最新安全策略、統(tǒng)一檢測(cè)標(biāo)準(zhǔn)的各項(xiàng)安全檢測(cè)能力，杜絕了分散部署檢測(cè)工具模式下檢測(cè)特征更新不同步、檢測(cè)標(biāo)準(zhǔn)不一致等問題。

安全管理可視化

安全資源云服務(wù)平臺(tái)提供良好用戶交互使用體驗(yàn)，信息安全服務(wù)體系極大降低了用戶學(xué)習(xí)使用各類安全檢測(cè)工具及系統(tǒng)的人工成本，用戶只需面對(duì)安全業(yè)務(wù)需求，平臺(tái)提供了完整安全資源運(yùn)維場(chǎng)景、統(tǒng)一安全檢測(cè)工具使用流程、專業(yè)安全業(yè)務(wù)服務(wù)能力、精美準(zhǔn)確的安全檢測(cè)結(jié)果數(shù)據(jù)指標(biāo)視圖展示，豐富入口與操作線條高效流暢地貫穿了整個(gè)用戶安全檢查使用全流程。安全管理可視化設(shè)計(jì)讓企業(yè)安全運(yùn)維工作更輕松。