实现安全资源云服务平台

目前，随着业务的不断发展，安全管理视角的不断深入，信息安全管理工作的复杂性也随之提高，网络安全问题也不断凸显。虽然笔者单位的相关工作已经达到了行业领先水平，但面对日益复杂的信息安全局势，基于“云”的服务技术是信息安全管理工作平台发展的必然趋势，以下几点问题亟待通过安全云服务平台解决：安全工具种类繁多，建设相对独立；安全检测手段各异，难以发挥最大效率；工具建设和维护人员持续投入，人工成本高；各类工具各业务环节衔接不紧密等。

笔者单位将安全资产云化服务研究项目作为一项坚定的平台战略，全面实践“云”服务技术，宏观整合各类安全检测技术手段，综合提高整体安全检测运维效率，实现安全工作全环节的管控能力，总结出各类安全运维工作场景，从整体上节省各部门重复性的安全投资，构建基于云化安全模式框架的安全资源云服务平台，为企业安全资源管控集中化和综合化提供可行性实践指导意义以及成熟的整体解决方案。

图1 云平台信息安全体系

安全资源云服务平台设计

安全资源云服务平台基于云化安全模式框架，提供统一的安全检测手段云服务能力，并建设云平台信息安全体系，接入泛安全检测工具，并实现安全检测统一任务管理、资源权限管理、安全检测场景管理、安全管理可视化等一系列平台功能，实现安全服务集约化投资和高效管理能力。平台功能框架分为四个层次，分别为：交互展示层、能力支撑层、系统管理层和服务接口层。

S&C模型云平台信息安全体系

图1为云平台信息安全体系图。平台基于SOA框架结构实现S&C模型，即Subscription&Consumption（基于订阅、消费服务模式）的安全服务体系，构建安全资源云服务SaaS平台。云服务平台针对不同安全检测工具、安全服务系统提供统一管理及协同调度能力，面向业务场景需求抽象封装统一标准场景，并统一映射为平台安全服务能力，以云服务方式集中发布企业各类信息安全防护、监控、检测、分析和响应等安全服务能力。形成安全服务标准化、检测任务规范化、服务消费统一化的信息安全综合服务体系，整体提升企业安全工作效率。

平台通过WebService技术实现了SaaS服务侧框架结构，向服务消费方提供了消费、订阅、推送安全服务的功能。例如，当企业用户使用安全资源云服务平台提供的某项安全服务时，调用平台对外提供SaaS的WebService相应接口，调用对应的核心处理功能并逐层返回结果。云平台信息安全体系屏蔽了传统的直接面向不同厂商安全检测工具的模式，通过SaaS技术模式封装泛安全检测服工具、模板等，向企业用户、相关业务系统直接提供SOA形式的接口调用，输出丰富强大的信息安全能力，如图2所示。

泛安全检测工具接入

图2 基于S&C模型的技术流程图

根据等级保护以及相关条例的指导建议，面向企业进行全面安全服务能力分析，构建安全检测服务矩阵，提供各类安全服务和安全检测手段，其中包括：系统漏洞检测、系统配置合规检测、Web漏洞检测、系统口令检测以及代码安全检测等功能，实现各厂商安全工具及已建设安全系统的多种方式云服务适配接入能力。

平台建立转化层标准规范，针对各类安全检测工具及系统通过抽象封装实现异构安全检测工具对外服务标准化。在保持不断适应灵活扩展新安全检测工具的同时，为用户屏蔽安全服务非业务类细节。

平台泛安全检测工具接入主要有以下几点优势。

检测工具框架化，服务能力灵活可扩展：搭建平台安全服务灵活可扩展框架，持续快速接入安全工具。

安全服务标准化，任务模型抽象再封装：基于ESB（Enterprise Service Bus）的数据总线技术进行安全检测工具任务驱动管理模型抽象再封装，实现安全检测工具的统一协同，下面详细介绍平台安全服务能力。

安全服务能力

国内首次以IaaS环境为基础，针对各类安全检测工具提供丰富的云化安全服务能力，面向企业网络安全提供强有力安全检测技术手段支撑。

1.统一任务及自动化策略管理

平台通过云化泛安全检测服务，搭建安全资源云服务平台核心能力——统一自动化任务管理能力，提供统一的安全检测任务、安全策略发起、执行、监控和结果反馈等功能。屏蔽用户面向不同安全工具与系统操作及学习壁垒，针对企业资源网络安全，输出统一服务、统一任务、相适配策略。

同时，为解决不同维度业务线条及地市对于资产管理不统一的问题，基于云平台集中化管理模式以及安全策略执行现状，建立任务策略模式适配器。适配器分别管理资产库、维度现状模板、安全责任模板和账号库四项基础数据，并建立资产与账号、管理维度与责任、资产与管理维度、管理责任与资产间的映射关系。企业安全管理人员只需关注策略要求，根据资产类别、管理职责或账号进行任务策略要求下发，平台自动补全其他必要信息，包括：资产ID、资产类型、所属系统、相关责任人等信息。

统一任务及自动化策略管理使得运维人工成本、日常安全巡检成本以及人员学习等成本极大降低，最大程度地发挥安全工具运维效率。

2.负载调度管理

平台面向高并发安全检测业务需求及多种异构安全检测技术需求，在安全服务标准化及任务模型抽象再封装的基础上，通过实时监控及评估各个工具的原子任务资产消耗情况，通过平台底层ESB数据总线技术，实现安全服务业务请求负载分发调度能力。

负载调度管理有效避免了各类安全服务节点过载故障，降低了大并发检测任务情况下的任务队列长度，提升了企业安全资源检测的整体效率。高效安全运维不但保障了安全资源云服务平台的实践推广，更促进了企业安全运维综合管理的成果落实。如图3即为负载调度管理功能示意图。

图3 负载调度管理功能示意图

图4 负载调度流程

在创建下发检测任务时，实时适配工具当前任务进度状态，对任务数量、任务进度等信息进行负载策略评估和预测，根据负载策略评估预测结果，将检测任务再次分拆为不同的原子任务，下发到相应安全检测工具部署机上，具体负载调度流程如图4所示。

3.安全检测场景管理

笔者单位历经多年的网络安全工作实践研究及安全检测工具类平台建设经验积累，总结归纳出了大量安全检测场景，包括：新威胁快速预警场景、日常安全管理运维场景等各类安全检测场景管理。

新威胁快速预警场景：基于实时网络爬虫技术及关键内容分析技术，快速输出告警，以及相应应对新威胁预警场景，实现威胁快速相应，资产全面搜索，问题精准定位，威胁即时补救等；

丰富日常安全管理维护场景：面向企业安全工作需求建立各类日常安全管理运维场景，包括：资源入网安全辅导场景、入网安全验收场景、日常安全巡检场景、专项问题检查场景、隐匿资产发现处置场景等。

4. 一致更新云服务

企业通过安全资源云服务平台获取匹配各类最新检测特征、最新安全策略、统一检测标准的各项安全检测能力，杜绝了分散部署检测工具模式下检测特征更新不同步、检测标准不一致等问题。

安全管理可视化

安全资源云服务平台提供良好用户交互使用体验，信息安全服务体系极大降低了用户学习使用各类安全检测工具及系统的人工成本，用户只需面对安全业务需求，平台提供了完整安全资源运维场景、统一安全检测工具使用流程、专业安全业务服务能力、精美准确的安全检测结果数据指标视图展示，丰富入口与操作线条高效流畅地贯穿了整个用户安全检查使用全流程。安全管理可视化设计让企业安全运维工作更轻松。