摘 要：信息安全領(lǐng)域的研究人員專注于不同的子學(xué)科，例如網(wǎng)絡(luò)安全、應(yīng)用安全、網(wǎng)格安全、web安全、完全入侵檢測(cè)等，但很少會(huì)將重點(diǎn)放在企業(yè)綜合信息安全體系結(jié)構(gòu)。本文提出基于企業(yè)服務(wù)總線架構(gòu)的企業(yè)信息安全體系結(jié)構(gòu)，通過(guò)建立一個(gè)模型，系統(tǒng)、智能地管理企業(yè)信息安全，并結(jié)合總體信息管理活動(dòng)。此外參考ISO/IEC 27002標(biāo)準(zhǔn)和實(shí)踐證明：SOA體系結(jié)構(gòu)定義的信息安全和風(fēng)險(xiǎn)控制服務(wù)能夠有效地增強(qiáng)企業(yè)信息安全管理和風(fēng)險(xiǎn)控制活動(dòng)的有效性。

關(guān)鍵詞：SOA 信息安全 企業(yè)服務(wù)總線

中圖分類號(hào)：TP2 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2013）01（c）-0022-02

隨著信息技術(shù)的不斷普遍，信息安全體系結(jié)構(gòu)在當(dāng)前的企業(yè)信息技術(shù)中扮演著越來(lái)越重要的角色。我們嘗試將信息安全和風(fēng)險(xiǎn)控制活動(dòng)定義到安全服務(wù)里，設(shè)計(jì)面向服務(wù)的企業(yè)信息安全體系結(jié)構(gòu)。

SOA是工業(yè)界的一個(gè)熱點(diǎn)主題。它是一個(gè)策略、實(shí)踐和框架的集合，能夠?yàn)樘峁┛缬蜃?cè)、動(dòng)態(tài)發(fā)現(xiàn)和自動(dòng)機(jī)制提供內(nèi)建的基礎(chǔ)設(shè)施。并且提供的服務(wù)封裝，通過(guò)消息協(xié)議提供可由雙方共同操作的服務(wù)。SOA也為服務(wù)質(zhì)量控制和資源管理及其它的監(jiān)控服務(wù)和異常處理機(jī)制準(zhǔn)備了基礎(chǔ)設(shè)施。作為一個(gè)agility-pursued體系結(jié)構(gòu)，SOA將企業(yè)邏輯從技術(shù)實(shí)現(xiàn)分離，從而使圍繞SOA體系結(jié)構(gòu)建立的應(yīng)用能夠滿足企業(yè)和技術(shù)領(lǐng)域持續(xù)變化的需求。它也將有益于可復(fù)用性和系統(tǒng)集成，以及可擴(kuò)展性、分布性和跨域注冊(cè)。

1 問(wèn)題發(fā)現(xiàn)

我們?cè)赟OA安全體系結(jié)構(gòu)上的研究發(fā)現(xiàn)了以下幾個(gè)問(wèn)題。

（1）缺少企業(yè)信息安全集成體系結(jié)構(gòu)，引入了不同的、相互獨(dú)立的信息安全系統(tǒng)和解決方案，這會(huì)導(dǎo)致整個(gè)系統(tǒng)的不兼容性，導(dǎo)致無(wú)法達(dá)到期望的風(fēng)險(xiǎn)管理控制。

（2）由于在信息風(fēng)險(xiǎn)管理系統(tǒng)的信息采集還處于半自動(dòng)化階段，人工的信息采集過(guò)程會(huì)導(dǎo)致人為造成的錯(cuò)誤。

（3）ISO/IEC 27002系統(tǒng)為企業(yè)信息安全管理提供非常好的方法和指南，但由于缺乏合適的工具進(jìn)行管理，無(wú)法很好解決企業(yè)信息安全。

（4）我們需要注意SOA自身的可靠性和安全性問(wèn)題。

2 信息安全體系結(jié)構(gòu)的設(shè)計(jì)

根據(jù)上述問(wèn)題，提出本文的基于SOA的信息安全體系的設(shè)計(jì)。

通過(guò)研究，我們提出了一個(gè)面向服務(wù)架構(gòu)的企業(yè)信息安全體系結(jié)構(gòu)，它是底層基于數(shù)據(jù)倉(cāng)庫(kù)/數(shù)據(jù)集市技術(shù)，并以安全服務(wù)總線作為hub，為企業(yè)信息安全活動(dòng)提供集成信息安全的管理和有效的控制，使用BPM（企業(yè)過(guò)程管理）、規(guī)則引擎（Rule Engine，RE）和，企業(yè)智能（Business Intelligence，BI）技術(shù)。它有益于企業(yè)公司達(dá)到需要的信息安全管理級(jí)別。并且建立一個(gè)PDCA（Plan-Do-Check-Act）適配器，以確保信息安全管理和風(fēng)險(xiǎn)控制活動(dòng)，能夠進(jìn)行自我優(yōu)化。

2.1 體系結(jié)構(gòu)的結(jié)構(gòu)

參考七層OSI設(shè)計(jì)，我們?cè)O(shè)計(jì)了五層的智能企業(yè)信息安全體系結(jié)構(gòu)。自下向上為安全數(shù)據(jù)庫(kù)層、安全應(yīng)用層、安全服務(wù)總線、集成和智能層、信息安全框架。

（圖1）說(shuō)明了智能企業(yè)信息安全體系/TRS9C3BTjOQVE+/bEjcBXaT9Q1Wji7+tThVMM/uqM4=結(jié)構(gòu)的結(jié)構(gòu)。

（1）安全數(shù)據(jù)層。體系結(jié)構(gòu)的底層是整個(gè)體系結(jié)構(gòu)的基礎(chǔ)層。這是因?yàn)榘踩珨?shù)據(jù)易于被其它應(yīng)用和服務(wù)使用。這一層的數(shù)據(jù)被分為兩個(gè)部分：操作數(shù)據(jù)和分析數(shù)據(jù)。

（2）安全應(yīng)用層。應(yīng)用層包括所有的信息安全系統(tǒng)，如防火墻、入侵防御系統(tǒng)、反病毒系統(tǒng)，以及被防護(hù)的設(shè)備，如網(wǎng)絡(luò)設(shè)備、服務(wù)器和桌面環(huán)境等。它也包括這些系統(tǒng)上的各種各樣的操作系統(tǒng)。

（3）安全服務(wù)總線。是基于SOA的信息安全體系結(jié)構(gòu)的中樞。我們?cè)谶@一層定義SOA服務(wù)總線的結(jié)構(gòu)和需要的各種各樣的信息安全服務(wù)。在面向服務(wù)的信息安全體系結(jié)構(gòu)中，我們能夠?qū)?dāng)前和未來(lái)的安全需求定義為安全服務(wù)，但這些服務(wù)的實(shí)現(xiàn)是隱藏的。

（4）集成&智能層。體系結(jié)構(gòu)中數(shù)據(jù)、過(guò)程和應(yīng)用都是在這一層進(jìn)行處理實(shí)現(xiàn)的，解決一個(gè)企業(yè)各種業(yè)務(wù)問(wèn)題，滿足快速變化的環(huán)境。集成層具有“應(yīng)用之間”和“過(guò)程之間”進(jìn)行通信的能力，通過(guò)適配器，它還能夠與其他企業(yè)過(guò)程、服務(wù)提供者或數(shù)據(jù)提供者通信。

（5）信息安全輔助設(shè)計(jì)。這是信息安全對(duì)外的接口，主要是由勻衡器、關(guān)鍵風(fēng)險(xiǎn)指示儀以及監(jiān)控接口。

企業(yè)智能模型提供各種各樣的服務(wù)，例如報(bào)告、查詢、OLAP、數(shù)據(jù)挖掘和多維分析。規(guī)則引擎，作為工作流的一部分，可以結(jié)合到BPM模型。因?yàn)橛辛艘?guī)則引擎，我們能夠更加有效地執(zhí)行信息安全管理和風(fēng)險(xiǎn)控制。PDCA適配器是一個(gè)特殊的工具，它利用人工智能能夠幫助公司達(dá)到信息安全管理中持續(xù)提高和自我優(yōu)化的目標(biāo)。

2.2 特點(diǎn)和優(yōu)勢(shì)

本文提出的企業(yè)信息安全體系結(jié)構(gòu)具有以下特點(diǎn)。

（1）集成。它也能夠?qū)⑿畔踩芾砗惋L(fēng)險(xiǎn)控制聯(lián)合起來(lái)作為一個(gè)集成的框架。

（2）可復(fù)用。體系結(jié)構(gòu)是比較獨(dú)立的，適合于企業(yè)和小型組織。服務(wù)的封裝使得可復(fù)用，與其他服務(wù)聯(lián)合使用。

（3）面向服務(wù)的體系結(jié)構(gòu)。SOA體系機(jī)構(gòu)的采用提供了服務(wù)的獨(dú)立性、自我管理和自我彈性。

（4）集成的數(shù)據(jù)環(huán)境。集成的數(shù)據(jù)結(jié)構(gòu)使之適合于各種數(shù)據(jù)庫(kù)進(jìn)行對(duì)接。

（5）企業(yè)智能。這個(gè)體系結(jié)構(gòu)將企業(yè)智能應(yīng)用到信息安全管理，信息安全管理主要使用了數(shù)據(jù)挖掘和模式識(shí)別技術(shù)。這可以大大減少由于人工誤操作引起的損失，增強(qiáng)信息安全管理和風(fēng)險(xiǎn)控制操作。

（6）開放的體系結(jié)構(gòu)。體系結(jié)構(gòu)開放設(shè)計(jì)，以滿足整個(gè)企業(yè)的安全需求；面向服務(wù)的特征使得體系結(jié)構(gòu)式開放的，允許多個(gè)接口與外部應(yīng)用通信。

3 結(jié)論

與傳統(tǒng)的信息安全體系結(jié)構(gòu)設(shè)計(jì)相比，本文提出的體系結(jié)構(gòu)設(shè)計(jì)具有幾個(gè)優(yōu)勢(shì)，包括開放、集成、可復(fù)用、面向服務(wù)、集成數(shù)據(jù)平臺(tái)和商業(yè)智能。信息安全管理人員可以自由地執(zhí)行重要的任務(wù)，如風(fēng)險(xiǎn)分析等。最后，這個(gè)體系結(jié)構(gòu)式我們建立集成和智能企業(yè)信息安全體系結(jié)構(gòu)的開端，以后會(huì)有更多的、更好的產(chǎn)品出現(xiàn)。

參考文獻(xiàn)

[1] 魏東，陳曉江，房鼎益，等.基于SOA體系結(jié)構(gòu)的軟件開發(fā)方法研究[J].微電子學(xué)與計(jì)算機(jī)，2005，22（6）：73-76.

[2] 葉宇風(fēng).基于SOA的企業(yè)應(yīng)用集成研究[J].微電子學(xué)與計(jì)算機(jī)，2006，23（5）：211-213.

[3] 雷冬艷.SOA環(huán)境下的數(shù)字圖書館信息安全研究[J].科教文匯，2010（33）：189-190.

[4] 李益文.基于SOA的商業(yè)系統(tǒng)的信息安全技術(shù)探討[J].電腦編程技巧與維護(hù)，2010（20）：114-115，154.

[5] 霍林.基于SOA架構(gòu)的信息管理系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)[D].華中科技大學(xué)，2006.

[6] 裴華，卿昱.基于SOA的Web安全通信模型研究[J].信息安全與通信保密，2008（8）：116-118.