實現安全資源云服務平臺

目前，隨著業務的不斷發展，安全管理視角的不斷深入，信息安全管理工作的復雜性也隨之提高，網絡安全問題也不斷凸顯。雖然筆者單位的相關工作已經達到了行業領先水平，但面對日益復雜的信息安全局勢，基于“云”的服務技術是信息安全管理工作平臺發展的必然趨勢，以下幾點問題亟待通過安全云服務平臺解決：安全工具種類繁多，建設相對獨立；安全檢測手段各異，難以發揮最大效率；工具建設和維護人員持續投入，人工成本高；各類工具各業務環節銜接不緊密等。

筆者單位將安全資產云化服務研究項目作為一項堅定的平臺戰略，全面實踐“云”服務技術，宏觀整合各類安全檢測技術手段，綜合提高整體安全檢測運維效率，實現安全工作全環節的管控能力，總結出各類安全運維工作場景，從整體上節省各部門重復性的安全投資，構建基于云化安全模式框架的安全資源云服務平臺，為企業安全資源管控集中化和綜合化提供可行性實踐指導意義以及成熟的整體解決方案。

圖1 云平臺信息安全體系

安全資源云服務平臺設計

安全資源云服務平臺基于云化安全模式框架，提供統一的安全檢測手段云服務能力，并建設云平臺信息安全體系，接入泛安全檢測工具，并實現安全檢測統一任務管理、資源權限管理、安全檢測場景管理、安全管理可視化等一系列平臺功能，實現安全服務集約化投資和高效管理能力。平臺功能框架分為四個層次，分別為：交互展示層、能力支撐層、系統管理層和服務接口層。

S&C模型云平臺信息安全體系

圖1為云平臺信息安全體系圖。平臺基于SOA框架結構實現S&C模型，即Subscription&Consumption（基于訂閱、消費服務模式）的安全服務體系，構建安全資源云服務SaaS平臺。云服務平臺針對不同安全檢測工具、安全服務系統提供統一管理及協同調度能力，面向業務場景需求抽象封裝統一標準場景，并統一映射為平臺安全服務能力，以云服務方式集中發布企業各類信息安全防護、監控、檢測、分析和響應等安全服務能力。形成安全服務標準化、檢測任務規范化、服務消費統一化的信息安全綜合服務體系，整體提升企業安全工作效率。

平臺通過WebService技術實現了SaaS服務側框架結構，向服務消費方提供了消費、訂閱、推送安全服務的功能。例如，當企業用戶使用安全資源云服務平臺提供的某項安全服務時，調用平臺對外提供SaaS的WebService相應接口，調用對應的核心處理功能并逐層返回結果。云平臺信息安全體系屏蔽了傳統的直接面向不同廠商安全檢測工具的模式，通過SaaS技術模式封裝泛安全檢測服工具、模板等，向企業用戶、相關業務系統直接提供SOA形式的接口調用，輸出豐富強大的信息安全能力，如圖2所示。

泛安全檢測工具接入

圖2 基于S&C模型的技術流程圖

根據等級保護以及相關條例的指導建議，面向企業進行全面安全服務能力分析，構建安全檢測服務矩陣，提供各類安全服務和安全檢測手段，其中包括：系統漏洞檢測、系統配置合規檢測、Web漏洞檢測、系統口令檢測以及代碼安全檢測等功能，實現各廠商安全工具及已建設安全系統的多種方式云服務適配接入能力。

平臺建立轉化層標準規范，針對各類安全檢測工具及系統通過抽象封裝實現異構安全檢測工具對外服務標準化。在保持不斷適應靈活擴展新安全檢測工具的同時，為用戶屏蔽安全服務非業務類細節。

平臺泛安全檢測工具接入主要有以下幾點優勢。

檢測工具框架化，服務能力靈活可擴展：搭建平臺安全服務靈活可擴展框架，持續快速接入安全工具。

安全服務標準化，任務模型抽象再封裝：基于ESB（Enterprise Service Bus）的數據總線技術進行安全檢測工具任務驅動管理模型抽象再封裝，實現安全檢測工具的統一協同，下面詳細介紹平臺安全服務能力。

安全服務能力

國內首次以IaaS環境為基礎，針對各類安全檢測工具提供豐富的云化安全服務能力，面向企業網絡安全提供強有力安全檢測技術手段支撐。

1.統一任務及自動化策略管理

平臺通過云化泛安全檢測服務，搭建安全資源云服務平臺核心能力——統一自動化任務管理能力，提供統一的安全檢測任務、安全策略發起、執行、監控和結果反饋等功能。屏蔽用戶面向不同安全工具與系統操作及學習壁壘，針對企業資源網絡安全，輸出統一服務、統一任務、相適配策略。

同時，為解決不同維度業務線條及地市對于資產管理不統一的問題，基于云平臺集中化管理模式以及安全策略執行現狀，建立任務策略模式適配器。適配器分別管理資產庫、維度現狀模板、安全責任模板和賬號庫四項基礎數據，并建立資產與賬號、管理維度與責任、資產與管理維度、管理責任與資產間的映射關系。企業安全管理人員只需關注策略要求，根據資產類別、管理職責或賬號進行任務策略要求下發，平臺自動補全其他必要信息，包括：資產ID、資產類型、所屬系統、相關責任人等信息。

統一任務及自動化策略管理使得運維人工成本、日常安全巡檢成本以及人員學習等成本極大降低，最大程度地發揮安全工具運維效率。

2.負載調度管理

平臺面向高并發安全檢測業務需求及多種異構安全檢測技術需求，在安全服務標準化及任務模型抽象再封裝的基礎上，通過實時監控及評估各個工具的原子任務資產消耗情況，通過平臺底層ESB數據總線技術，實現安全服務業務請求負載分發調度能力。

負載調度管理有效避免了各類安全服務節點過載故障，降低了大并發檢測任務情況下的任務隊列長度，提升了企業安全資源檢測的整體效率。高效安全運維不但保障了安全資源云服務平臺的實踐推廣，更促進了企業安全運維綜合管理的成果落實。如圖3即為負載調度管理功能示意圖。

圖3 負載調度管理功能示意圖

圖4 負載調度流程

在創建下發檢測任務時，實時適配工具當前任務進度狀態，對任務數量、任務進度等信息進行負載策略評估和預測，根據負載策略評估預測結果，將檢測任務再次分拆為不同的原子任務，下發到相應安全檢測工具部署機上，具體負載調度流程如圖4所示。

3.安全檢測場景管理

筆者單位歷經多年的網絡安全工作實踐研究及安全檢測工具類平臺建設經驗積累，總結歸納出了大量安全檢測場景，包括：新威脅快速預警場景、日常安全管理運維場景等各類安全檢測場景管理。

新威脅快速預警場景：基于實時網絡爬蟲技術及關鍵內容分析技術，快速輸出告警，以及相應應對新威脅預警場景，實現威脅快速相應，資產全面搜索，問題精準定位，威脅即時補救等；

豐富日常安全管理維護場景：面向企業安全工作需求建立各類日常安全管理運維場景，包括：資源入網安全輔導場景、入網安全驗收場景、日常安全巡檢場景、專項問題檢查場景、隱匿資產發現處置場景等。

4. 一致更新云服務

企業通過安全資源云服務平臺獲取匹配各類最新檢測特征、最新安全策略、統一檢測標準的各項安全檢測能力，杜絕了分散部署檢測工具模式下檢測特征更新不同步、檢測標準不一致等問題。

安全管理可視化

安全資源云服務平臺提供良好用戶交互使用體驗，信息安全服務體系極大降低了用戶學習使用各類安全檢測工具及系統的人工成本，用戶只需面對安全業務需求，平臺提供了完整安全資源運維場景、統一安全檢測工具使用流程、專業安全業務服務能力、精美準確的安全檢測結果數據指標視圖展示，豐富入口與操作線條高效流暢地貫穿了整個用戶安全檢查使用全流程。安全管理可視化設計讓企業安全運維工作更輕松。