基于面向服務架構的企業信息安全體系設計

摘 要：信息安全領域的研究人員專注于不同的子學科，例如網絡安全、應用安全、網格安全、web安全、完全入侵檢測等，但很少會將重點放在企業綜合信息安全體系結構。本文提出基于企業服務總線架構的企業信息安全體系結構，通過建立一個模型，系統、智能地管理企業信息安全，并結合總體信息管理活動。此外參考ISO/IEC 27002標準和實踐證明：SOA體系結構定義的信息安全和風險控制服務能夠有效地增強企業信息安全管理和風險控制活動的有效性。

關鍵詞：SOA 信息安全 企業服務總線

中圖分類號：TP2 文獻標識碼：A 文章編號：1672-3791（2013）01（c）-0022-02

隨著信息技術的不斷普遍，信息安全體系結構在當前的企業信息技術中扮演著越來越重要的角色。我們嘗試將信息安全和風險控制活動定義到安全服務里，設計面向服務的企業信息安全體系結構。

SOA是工業界的一個熱點主題。它是一個策略、實踐和框架的集合，能夠為提供跨域注冊、動態發現和自動機制提供內建的基礎設施。并且提供的服務封裝，通過消息協議提供可由雙方共同操作的服務。SOA也為服務質量控制和資源管理及其它的監控服務和異常處理機制準備了基礎設施。作為一個agility-pursued體系結構，SOA將企業邏輯從技術實現分離，從而使圍繞SOA體系結構建立的應用能夠滿足企業和技術領域持續變化的需求。它也將有益于可復用性和系統集成，以及可擴展性、分布性和跨域注冊。

1 問題發現

我們在SOA安全體系結構上的研究發現了以下幾個問題。

（1）缺少企業信息安全集成體系結構，引入了不同的、相互獨立的信息安全系統和解決方案，這會導致整個系統的不兼容性，導致無法達到期望的風險管理控制。

（2）由于在信息風險管理系統的信息采集還處于半自動化階段，人工的信息采集過程會導致人為造成的錯誤。

（3）ISO/IEC 27002系統為企業信息安全管理提供非常好的方法和指南，但由于缺乏合適的工具進行管理，無法很好解決企業信息安全。

（4）我們需要注意SOA自身的可靠性和安全性問題。

2 信息安全體系結構的設計

根據上述問題，提出本文的基于SOA的信息安全體系的設計。

通過研究，我們提出了一個面向服務架構的企業信息安全體系結構，它是底層基于數據倉庫/數據集市技術，并以安全服務總線作為hub，為企業信息安全活動提供集成信息安全的管理和有效的控制，使用BPM（企業過程管理）、規則引擎（Rule Engine，RE）和，企業智能（Business Intelligence，BI）技術。它有益于企業公司達到需要的信息安全管理級別。并且建立一個PDCA（Plan-Do-Check-Act）適配器，以確保信息安全管理和風險控制活動，能夠進行自我優化。

2.1 體系結構的結構

參考七層OSI設計，我們設計了五層的智能企業信息安全體系結構。自下向上為安全數據庫層、安全應用層、安全服務總線、集成和智能層、信息安全框架。

（圖1）說明了智能企業信息安全體系/TRS9C3BTjOQVE+/bEjcBXaT9Q1Wji7+tThVMM/uqM4=結構的結構。

（1）安全數據層。體系結構的底層是整個體系結構的基礎層。這是因為安全數據易于被其它應用和服務使用。這一層的數據被分為兩個部分：操作數據和分析數據。

（2）安全應用層。應用層包括所有的信息安全系統，如防火墻、入侵防御系統、反病毒系統，以及被防護的設備，如網絡設備、服務器和桌面環境等。它也包括這些系統上的各種各樣的操作系統。

（3）安全服務總線。是基于SOA的信息安全體系結構的中樞。我們在這一層定義SOA服務總線的結構和需要的各種各樣的信息安全服務。在面向服務的信息安全體系結構中，我們能夠將當前和未來的安全需求定義為安全服務，但這些服務的實現是隱藏的。

（4）集成&智能層。體系結構中數據、過程和應用都是在這一層進行處理實現的，解決一個企業各種業務問題，滿足快速變化的環境。集成層具有“應用之間”和“過程之間”進行通信的能力，通過適配器，它還能夠與其他企業過程、服務提供者或數據提供者通信。

（5）信息安全輔助設計。這是信息安全對外的接口，主要是由勻衡器、關鍵風險指示儀以及監控接口。

企業智能模型提供各種各樣的服務，例如報告、查詢、OLAP、數據挖掘和多維分析。規則引擎，作為工作流的一部分，可以結合到BPM模型。因為有了規則引擎，我們能夠更加有效地執行信息安全管理和風險控制。PDCA適配器是一個特殊的工具，它利用人工智能能夠幫助公司達到信息安全管理中持續提高和自我優化的目標。

2.2 特點和優勢

本文提出的企業信息安全體系結構具有以下特點。

（1）集成。它也能夠將信息安全管理和風險控制聯合起來作為一個集成的框架。

（2）可復用。體系結構是比較獨立的，適合于企業和小型組織。服務的封裝使得可復用，與其他服務聯合使用。

（3）面向服務的體系結構。SOA體系機構的采用提供了服務的獨立性、自我管理和自我彈性。

（4）集成的數據環境。集成的數據結構使之適合于各種數據庫進行對接。

（5）企業智能。這個體系結構將企業智能應用到信息安全管理，信息安全管理主要使用了數據挖掘和模式識別技術。這可以大大減少由于人工誤操作引起的損失，增強信息安全管理和風險控制操作。

（6）開放的體系結構。體系結構開放設計，以滿足整個企業的安全需求；面向服務的特征使得體系結構式開放的，允許多個接口與外部應用通信。

3 結論

與傳統的信息安全體系結構設計相比，本文提出的體系結構設計具有幾個優勢，包括開放、集成、可復用、面向服務、集成數據平臺和商業智能。信息安全管理人員可以自由地執行重要的任務，如風險分析等。最后，這個體系結構式我們建立集成和智能企業信息安全體系結構的開端，以后會有更多的、更好的產品出現。

參考文獻

[1] 魏東，陳曉江，房鼎益，等.基于SOA體系結構的軟件開發方法研究[J].微電子學與計算機，2005，22（6）：73-76.

[2] 葉宇風.基于SOA的企業應用集成研究[J].微電子學與計算機，2006，23（5）：211-213.

[3] 雷冬艷.SOA環境下的數字圖書館信息安全研究[J].科教文匯，2010（33）：189-190.

[4] 李益文.基于SOA的商業系統的信息安全技術探討[J].電腦編程技巧與維護，2010（20）：114-115，154.

[5] 霍林.基于SOA架構的信息管理系統的設計實現[D].華中科技大學，2006.

[6] 裴華，卿昱.基于SOA的Web安全通信模型研究[J].信息安全與通信保密，2008（8）：116-118.