基于微服務的數據安全共享服務平臺

裴彥純

數字經濟時代，數據作為關鍵生產要素其重要性日益凸顯。數字化轉型使得數據流通和共享成為必需，由此也帶來了愈加嚴峻的數據泄露風險。隨著《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規的出臺，填補了數據安全保護立法的空白，完善了網絡空間安全治理的法律體系，促進了我國數據保護法律法規體系的清晰、嚴謹，實現了對數據監管的有法可依。在強監管趨勢下，粗放型數據交易模式已游走在法律紅線的邊緣，對仍處于此類灰色地帶的企業將造成重創，積極探索符合合規要求的業務路線是其當前唯一的出路。保障數據安全以及數據的合規合法使用成為了數據流通、共享的前提[1]。

本文從數據安全共享服務平臺的設計角度切入，詳細描述了平臺架構和系統組成，其采用微服務架構實現了數據資源服務總線，通過任務驅動的協同機制實現了基于隱私計算的安全計算系統。最終在平臺內部構建了數據安全監測和數據集中管控系統，保證系統安全穩定的運行。

1 數據安全共享服務平臺架構設計

平臺通過終端網關支持多種數據安全接入服務，實現外部數據大批量、高并發的安全接入與傳輸；通過基于微服務架構的數據資源服務總線進行安全共享，滿足符合訪問授權規范要求的數據共享與訪問操作。在相關數據訪問操作符合訪問授權規范要求時，平臺也可實現內部數據與其他數據的共享，可以選擇通過本平臺實現發布使用與訪問控制[2]。

平臺融入了數據安全管控系統[3]，實現了智能匹配相應的安全管控策略，采用基于人工智能的用戶異常行為分析，對所有數據操作進行全程安全管控和全生命周期的審計溯源，實現了對異常行為、安全風險的自動感知與處置。

1.1 數據資源服務總線

基于微服務架構的數據資源服務總線也稱微服務API 網關，相對于傳統的資源服務總線，具有可彈性擴展、分布式、自維護、輕量級、松耦合等特點。采用面向服務的體系結構實現數據資源應用間的數據共享和使用，主要解決數據資源的封裝問題[4]（如圖1 所示），包括：

數據使用方：需要通過總線獲取數據服務的請求程序。

數據提供方：在總線上提供數據服務的服務程序。

圖1 數據服務總線

數據服務注冊：數據提供方發布自己的數據服務和服務規約至服務注冊中心，以便數據使用方可以發現和訪問該服務。

數據服務管理：總線通過記錄數據服務請求、提供的內容，了解數據服務的狀況、性能，進而發現其中存在的問題，實現對數據服務的控制。

數據服務內容：包括數據服務請求內容和數據服務提供內容。

數據服務總線主要提供對接服務、級聯服務、網關服務及跨網授權、權限控制、服務注冊、訪問審計、日志同步等功能，可滿足不同業務場景下的技術要求。

（1）服務注冊

服務提供者將自己的數據資源服務和服務規約依據服務資源注冊信息格式要求發布到服務注冊中心，生成服務目錄并由服務總線統一管理和提供調用。

（2）服務請求

服務請求者按照服務文檔的請求調用報文格式構造報文并發送至服務總線。服務請求主要是通過代理訪問模式來實現服務調度，即將服務請求發往服務接口所掛接的移動服務總線，再由服務總線通過路由代理訪問服務接口返回結果；還可通過支持直接訪問模式實現服務請求，即根據服務請求方的權限信息進行認證和授權，服務請求方獲得授予訪問令牌后可以向服務接口方發送請求。服務提供方通過檢查訪問令牌可直接向服務請求方提供服務[5-6]。

（3）異步服務請求

服務總線支持服務請求者的異步服務請求。即服務總線將返回結果緩存，當服務請求者獲取異步請求時再將返回結果發回給服務請求者。

（4）服務路由

服務路由是服務總線基于服務請求進行路由匹配的核心功能。服務發起方通過權限校驗后提交服務請求，服務總線在接收后開始進行路由匹配，匹配成功即開始處理該請求，并將服務響應結果傳輸給服務提供方。

和傳統服務總線相比，數據資源服務總線需要滿足海量的應用訪問請求以及支持分布式的擴展。服務總線的路由支持1 個API 多個后端節點模式（即集群模式）；后端支持IP 地址注冊和服務名稱注冊；使用服務名稱注冊時，移動服務總線必須提供一種可靠的服務注冊發現機制，確保后端節點地址的動態變化。

（5）服務編排

服務編排指將多個服務進行編排形成新的服務。基于服務調用方關心的是想要的結果而不是調用的復雜過程，支持直觀方式定義的新組合服務流程(工作流或代碼級編排)，通過少量的可視化定制化開發，即可實現服務的編排功能。

（6）訪問控制

對接入服務總線的服務請求方和服務接口進行身份合法性驗證。對服務請求方發出的請求進行權限檢查，對于越權訪問予以拒絕。服務總線支持對客戶端身份和用戶端身份的分別進行訪問控制和同時進行訪問控制。訪問控制既支持對應用層的權限審查，也支持對訪問發起方的權限檢查。

（7）流量控制

流量控制可以以分鐘、小時、天為時間單位來管控API 的被訪問頻率、應用的請求頻率、用戶的請求頻率等。同時支持允許設置特殊的應用或者用戶作為流控例外。

（8）服務管理

①服務監控：實現對服務接口等相關資源的運行狀態、性能、負載的監控，異常時自動告警；從在線率、訪問量、訪問成功率、響應速度等方面對服務接口的服務質量進行評價和排名；通過監控日志，從地區、應用、時間、頻度等多個維度，對服務資源運行情況進行統計分析，并采用業務視角展現服務資源的實戰成果。

② 調用鏈跟蹤：服務總線通過識別請求方發送的跟蹤信息，在日志中形成存儲1 條調用鏈。后續可以通過直觀的方式查看一個請求的每個環節的消耗時間、錯誤狀態和采集到的關聯日志，包括從客戶端發起，到經過網關路由，再到后端節點，甚至到數據庫的調用鏈。

③異常處理：服務總線支持對服務請求接收直到服務結束期間所有異常的完整處理，包括異常反饋，即讓服務請求方知道服務調用失敗，以及記錄異常日志，即將異常情況告知網關。

（9）安全防護

支持多種認證方式，支持HMAC(SHA-1，SHA-256)算法簽名，支持HTTPS 協議，支持SSL 加密.防攻擊、防注入、請求防重放、請求防篡改[7]。

（10）安全審計

主要通過日志采集、分析和處理實現對服務行為進行安全審計。行為日志包括服務資源注冊、授權和訪問3 種類型，采集的數據項目應符合相關要求，并通過采集匯總服務總線節點和信息資源服務資源的狀態和日志信息，從而實現日志查詢、統計分析功能，進而為服務總線的運行維護提供數據支持。

1.2 數據安全接入服務

1.2.1 數據安全接入網關

數據安全接入服務基于代理技術開發，使用TLS 連接提供安全服務，通過重寫鏈接和端口來處理遠程用戶對內網的訪問請求，采用國密加密算法，進行鏈路數據加密[8]，具有維護簡單、移動性強、訪問控制能力強等特點。主動采集系統自身運行狀態信息、客戶端訪問流量信息，確保做到過程可信、結果準確、證據可查，有效實現了“主動/被動安全防御”的結合，保護內部網絡不被攻擊，內部資源不被竊取。

（1）數據加密傳輸

采用TLS 協議保證通訊雙方的信息安全，通過可靠的TCP 傳輸層來傳輸和接收數據；鏈路數據加密支持國產加密算法；采取特有應答糾錯機制，包括確定應答與重發、記錄重組等機制，保證數據包有序、完整到達安全接入網關TLS 會話模塊。

（2）日志監控審計

可視化的管理平臺，配置有遠程客戶端和服務發布。可實時監控內網資源訪問情況，并自動記錄相關日志；可實時查看所有在線客戶端的情況，并隨時中斷可疑會話。

（3）資源服務發布

支持在安全接入平臺以服務的形式發布內網資源，客戶端可通過安全接入網關訪問已發布的服務；支持對發布的服務生成唯一簽名；支持服務端發布多個內網資源服務，并可對每1個服務進行獨立的認證、配置與管理；所有內網資源服務的IP、端口不會在客戶端暴露[9]。

（4）遠程接入管控

支持在安全接入平臺管理遠程接入的客戶端，已在安全接入平臺配置并認證的客戶端方可遠程訪問內部資源服務；支持配置認證多個客戶端，同時可對每1 個客戶端進行獨立的認證、配置與管理；支持同一客戶端同時訪問多個內網資源服務；對客戶端使用服務端已發布服務的簽名和證書與服務端具體服務進行TLS 握手認證。

集成彈性伸縮、身份認證、通道管理、流量監控、服務管控等，支持跨區容災和就近路由，規避單可用區可能存在的不可抗力風險，提高服務的高可用性和容災能力[10]。線性擴展，包括本身的擴展性及業務的擴展性具有最靈活的安全接入方式，支持Web 代理、文件共享、端口轉發、網絡擴展、支持IPv6網絡。為確保良好業務和數據應用體驗，采用動態檢測接入條件最優網關，智能優選接入鏈路。

1.2.2 API 服務接口規范

所有服務的接口均基于HTTP/HTTPS協議，符合Swagger 2.0 接口描述規范。服務提供方和服務使用方必須同時使用相同類型的技術進行開發和調用，調用的服務通過HTTP URL 中特定屬性進行標識，具體詳見接口協議。

服務的接口數據包含所有的業務數據，數據采用JSON格式表示，并且符合相應的JSON Schema.服務提供方和服務使用方必須同時使用相同的格式進行數據交互。

1 個服務只實現1 個業務功能。服務應是無狀態的，2 次請求之間無須狀態和會話的保持，并可以采用輪詢的方式在負載均衡器上進行注冊。

服務請求和返回的的報文應符合JSON Schema 格式，統一采用UTF-8 進行編碼。服務請求方和提供方應采用通用的JSON 解析器來構造和解析數據，對JSON不同含義的段落用明確含義的字段名稱來定義，對相同內容的數據應采用數組來進行描述，服務請求方和提供方應根據JSON名稱和路徑進行精確定位，不應根據字段的順序來獲取字段值，字段值不受字段順序調整的影響。

為提高數據查詢類服務的通用性和性能，查詢類服務在入參中定義返回字段列表，服務提供方根據入參中指定的字段返回信息。

為防止非法訪問和入侵，服務提供方應對請求報文格式和關鍵信息進行合規性和業務校驗。

一般情況下，服務調用方和服務提供方進行請求采用的是同步調用的方式，如需使用異步調用則可采用消息隊列，或者通過服務調用方定義異步通知接口來實現。

服務接口采用微服務架構進行開發和部署[11]。微服務是指開發一個單個、小型、具備業務功能的服務，其特點是每1 個服務都有自己的處理和輕量通訊機制，可以部署在單個或多個服務器上。微服務架構是一種松耦合的，有一定的有界上下文的面向服務架構。和單體架構和SOA 相比，微服務架構具有組件化、松耦合、自治和去中心化的優點。

1.3 數據安全管控系統

數據安全管控系統主要針對數據安全監測和數據集中管控，系統通過收集各接入系統上報的安全事件和業務運行信息，對信息進行存儲、分析、展示和響應控制，從而實現安全運行集中監測和管理的目的（如圖2 所示）。同時，系統還可以幫助管理人員進行線上業務的實時監控、業務異常原因的定位、應用的數據統計分析、安全數據的分析和審計。以及在出現安全事件時進行及時的相應控制，實現對終端的接入管控，主動斷開存在安全威脅終端的連接[12]，對內部的數據和應用服務進行保護。

（1）數據采集

數據采集作為系統安全監控的基礎，主要使用采集探針技術對基礎信息和運行數據進行采集。在這一過程中，采集探針安裝于不同的模塊中，實現獲取數據的目標。數據采集探針用來探測終端、網絡、應用、數據基礎信息外，還負責探測安全事件和業務運行數據，并將探測結果定時上報至監控中心。

（2）數據分析

平臺對數據采集的信息進行分析，并做出分類處理。一般而言采集的信息被分為統計信息和安全事件2 大類，其中統計信息包括設備信息和流量信息等，安全事件則指的是違背監測策略項的內容。平臺在對采集到的監測信息進行分類、分析后，支持進行可視化展示。

（3）數據展示

通過引入安全框架對采集到的信息進行分析，并將得到的結果通過大屏進行可視化展示。展示內容包括：整體安全信息分析展示、用戶信息分析展示、網絡信息分析展示、終端信息分析展示、應用信息分析展示、數據信息分析展示、安全事件分析展示。

（4）響應控制

對發生的安全事件，提供具體管控能力。主要包括，告警提示、終端控制、應用控制和數據控制。同時可以在管控平臺的策略模塊根據安全事件的嚴重程度，針對用戶、網絡、終端、應用、數據配置不同的管控策略。

圖2 數據安全管控系統

（5）平臺管理

平臺管理為平臺的安全提供基礎性保，主要負責對安全保護環境中的計算節點、安全區域邊界、安全通信網絡實施集中管理和維護，包括用戶身份管理、終端信息管理、接入設備管理、權限管理、應急處理等。平臺管理符合國家相關安全規定和標準，監測內容標準化、采集數據格式標準化、設備接口標準化、違規信息處理標準化。

2 總結

數據安全共享服務平臺使用微服務技術，滿足了跨行業、跨區域的多源數據安全對接、傳輸與共享需求；采用API 網關進行安全共享，滿足了符合訪問授權規范要求的數據共享與訪問操作，在保證數據安全前提下提供數據共享服務能力。數據安全共享服務平臺基于數據安全共享節點，利用可信受控存儲環境下的數據分析與計算實現了對受限數據的安全使用，解決了內外部數據不能被直接獲取，甚至部分數據不能被訪問的問題。