DOI：10.19850/j.cnki.2096-4706.2024.01.039

收稿日期：2023-06-19

基金項(xiàng)目：中國(guó)國(guó)家鐵路集團(tuán)有限公司科研項(xiàng)目（P2021S005）

摘? 要：隨著數(shù)據(jù)中心內(nèi)部應(yīng)用及數(shù)據(jù)存儲(chǔ)增多、網(wǎng)絡(luò)內(nèi)部流量的增大，所面臨的安全性風(fēng)險(xiǎn)也在不斷增加，傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)中可以通過(guò)劃分業(yè)務(wù)子網(wǎng)、配置防火墻策略等方式，來(lái)實(shí)現(xiàn)業(yè)務(wù)之間的隔離，無(wú)法滿足不同業(yè)務(wù)虛擬機(jī)之間的隔離。在零信任安全背景下，數(shù)據(jù)中心云計(jì)算環(huán)境中產(chǎn)生了新的網(wǎng)絡(luò)安全需求，SDN網(wǎng)絡(luò)環(huán)境下通過(guò)微分段技術(shù)可以在數(shù)據(jù)中心內(nèi)創(chuàng)建更加精細(xì)的安全區(qū)域，進(jìn)而部署更加靈活的安全策略，提升網(wǎng)絡(luò)安全性。

關(guān)鍵詞：數(shù)據(jù)中心；安全隔離；微分段

中圖分類號(hào)：TP309.2? 文獻(xiàn)標(biāo)識(shí)碼：A? 文章編號(hào)：2096-4706（2024）01-0185-04

Research and Application of Network Security Isolation Technology for Data Center Based on Micro-segmentation

ZUO Yinan

（China Railway Information Technology Group Co.， Ltd.， Beijing? 100038， China）

Abstract： With the increase in internal applications and data storage in data centers， as well as the increase in internal network traffic， the security risks are also constantly increasing. In traditional network security protection technologies， isolation between services can be achieved by dividing business subnets， configuring ACL and other strategies， and it is unable to meet the isolation between different business virtual machines. New network security requirements have emerged in the data center cloud computing environment under in the context of zero-trust security. In the SDN network environment， micro-segmentation technology can be used to create more refined security zones within the data center， so as to deploy more flexible security strategies to enhance network security.

Keywords： data center; security isolation; micro-segmentation

0? 引? 言

隨著信息化建設(shè)加快推進(jìn)，信息網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，信息基礎(chǔ)設(shè)施全天候不間斷運(yùn)行，重要信息系統(tǒng)安全風(fēng)險(xiǎn)壓力巨大。面對(duì)新的安全形勢(shì)和安全環(huán)境，進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全管理、補(bǔ)強(qiáng)網(wǎng)絡(luò)安全防護(hù)措施，建設(shè)和完善網(wǎng)絡(luò)安全綜合防御體系，成為網(wǎng)絡(luò)安全工作面臨的主要任務(wù)。數(shù)據(jù)中心內(nèi)部數(shù)據(jù)存儲(chǔ)以及應(yīng)用的增多、網(wǎng)絡(luò)內(nèi)部流量的增大[1]，面臨的安全性風(fēng)險(xiǎn)也在不斷增加，傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)中可以通過(guò)劃分業(yè)務(wù)子網(wǎng)、配置ACL等方式，來(lái)實(shí)現(xiàn)業(yè)務(wù)之間的隔離，但無(wú)法滿足不同業(yè)務(wù)虛擬機(jī)之間需要隔離的需求。因此在零信任安全背景下，數(shù)據(jù)中心計(jì)算環(huán)境中產(chǎn)生了新的網(wǎng)絡(luò)安全需求[2]。本文對(duì)微分段進(jìn)行研究，通過(guò)微分段技術(shù)可以在數(shù)據(jù)中心內(nèi)創(chuàng)建更加精細(xì)的安全區(qū)域，進(jìn)而部署更加靈活的安全策略，提升網(wǎng)絡(luò)安全性[3]。

1? 數(shù)據(jù)中心內(nèi)部安全需求

1.1? 傳統(tǒng)邊界安全技術(shù)

在過(guò)去的數(shù)據(jù)中心網(wǎng)絡(luò)中，我們的安全策略普遍基于這樣一個(gè)認(rèn)識(shí)，即認(rèn)為數(shù)據(jù)中心內(nèi)部產(chǎn)生的流量是安全的，而數(shù)據(jù)中心外部產(chǎn)生的流量是不安全的[4]，因此我們需在數(shù)據(jù)中心內(nèi)、外部部署防火墻對(duì)網(wǎng)絡(luò)邊界進(jìn)行隔離。通過(guò)對(duì)從數(shù)據(jù)中心外部向數(shù)據(jù)中心內(nèi)部的流量（即南北向流量）引流到防火墻上進(jìn)行分析，以確保只有通過(guò)安全策略審核的請(qǐng)求能夠訪問(wèn)到數(shù)據(jù)中心內(nèi)部的資源。這種通過(guò)將流量引流到邊界防火墻進(jìn)行分析的技術(shù)也稱作邊界安全技術(shù)。

隨著數(shù)據(jù)存儲(chǔ)、應(yīng)用的不斷增多，數(shù)據(jù)中心網(wǎng)絡(luò)流量從以前的南北向流量為主轉(zhuǎn)變?yōu)闁|西向流量為主，對(duì)內(nèi)部流量進(jìn)行安全管控就變得尤為重要。一旦攻擊者沖破邊界防護(hù)，那么數(shù)據(jù)中心內(nèi)部的安全將受到嚴(yán)重威脅，攻擊者可以隨意攻擊數(shù)據(jù)中心內(nèi)部的服務(wù)。因此需要針對(duì)數(shù)據(jù)中心內(nèi)外部的流量做全面的防護(hù)，如果將數(shù)據(jù)中心內(nèi)部虛擬機(jī)間的流量全部繞行集中式防火墻，很難滿足數(shù)據(jù)中心靈活分布式、可擴(kuò)展部署的要求和挑戰(zhàn)，容易形成性能和擴(kuò)容的瓶頸。

1.2? 傳統(tǒng)邊界安全技術(shù)面臨的問(wèn)題

隨著數(shù)據(jù)、應(yīng)用的增多，網(wǎng)絡(luò)內(nèi)部流量增大，網(wǎng)絡(luò)防護(hù)面臨的安全性風(fēng)險(xiǎn)也在不斷增加。傳統(tǒng)技術(shù)中可以通過(guò)劃分業(yè)務(wù)子網(wǎng)、配置防火墻規(guī)則等方式，來(lái)實(shí)現(xiàn)業(yè)務(wù)之間的隔離，但是存在如下問(wèn)題：通過(guò)VLAN、VNI等方式劃分業(yè)務(wù)子網(wǎng)實(shí)現(xiàn)的業(yè)務(wù)隔離是基于子網(wǎng)的，其不能實(shí)現(xiàn)同一子網(wǎng)內(nèi)不同服務(wù)器之間的隔離。同時(shí)，當(dāng)不同子網(wǎng)共用同一個(gè)網(wǎng)關(guān)設(shè)備時(shí)，由于在網(wǎng)關(guān)設(shè)備上存在到各子網(wǎng)之間的路由信息，因此這種情況下，也無(wú)法實(shí)現(xiàn)不同子網(wǎng)內(nèi)不同服務(wù)器之間的隔離。雖然通過(guò)配置防火墻規(guī)則可以實(shí)現(xiàn)不同服務(wù)器之間的隔離，但配置量大、維護(hù)復(fù)雜，且防火墻訪問(wèn)控制條目資源有限，無(wú)法滿足需求。

2? 微分段—數(shù)據(jù)中心內(nèi)部安全隔離技術(shù)

微分段（Micro-segmentation），也稱為基于精細(xì)分組的安全隔離，是指將數(shù)據(jù)中心網(wǎng)絡(luò)中的服務(wù)器按照一定的原則進(jìn)行分組，然后基于分組來(lái)部署流量控制策略，從而達(dá)到簡(jiǎn)化運(yùn)維、安全管控的目的。傳統(tǒng)數(shù)據(jù)中心是基于VLAN/VNI進(jìn)行子網(wǎng)劃分，粒度比較粗，而微分段可以提供更細(xì)粒度、更靈活的分組方式，例如基于IP、MAC、虛擬機(jī)名等。這樣就可以進(jìn)一步細(xì)化安全域的大小，實(shí)現(xiàn)更精細(xì)的業(yè)務(wù)隔離，提升網(wǎng)絡(luò)安全性[5]。

微分段可以提供比子網(wǎng)粒度更細(xì)的分組規(guī)則，并對(duì)數(shù)據(jù)中心的內(nèi)部網(wǎng)絡(luò)進(jìn)行分組，然后對(duì)所有分組之間的流量部署安全策略。這樣就可以實(shí)現(xiàn)更精細(xì)的業(yè)務(wù)策略控制，限制攻擊行為在網(wǎng)絡(luò)內(nèi)部橫向移動(dòng)的能力，以增強(qiáng)安全性[6]。

2.1? 微分段的優(yōu)勢(shì)

微分段可基于IP地址、MAC地址、VM虛擬機(jī)名稱等定義分組，相應(yīng)的安全域劃分更加細(xì)致、更靈活，因此具備更精細(xì)、靈活的安全隔離效果。微分段可以通過(guò)對(duì)業(yè)務(wù)資源進(jìn)行分段管理，并采用最低權(quán)限原則嚴(yán)格控制業(yè)務(wù)間互訪關(guān)系[7]，來(lái)實(shí)現(xiàn)零信任安全模型，能夠縮小受攻擊面，防止攻擊者以及異常數(shù)據(jù)在東西向移動(dòng)，確保內(nèi)部業(yè)務(wù)安全。

微分段方案實(shí)現(xiàn)了分布式的安全控制方案，在接入交換機(jī)實(shí)現(xiàn)對(duì)業(yè)務(wù)流量就近進(jìn)行安全過(guò)濾，東西向流量不需要集中轉(zhuǎn)發(fā)到防火墻后再進(jìn)行安全隔離，減少了網(wǎng)絡(luò)帶寬的消耗，可以防止集中控制點(diǎn)成為流量瓶頸。

2.2? 微分段與VLAN、ACL、防火墻對(duì)比

傳統(tǒng)網(wǎng)絡(luò)通常依賴防火墻、虛擬局域網(wǎng)（VLAN）和防火墻列表（ACL）用于網(wǎng)絡(luò)分段，對(duì)業(yè)務(wù)流量進(jìn)行隔離。但是這些技術(shù)存在其局限性：

VLAN只能基于子網(wǎng)進(jìn)行隔離，其不能實(shí)現(xiàn)同一子網(wǎng)內(nèi)不同服務(wù)器之間的隔離，是一種非常粗糙的分段方式。

配置ACL規(guī)則可以實(shí)現(xiàn)不同服務(wù)器之間的隔離。但是數(shù)據(jù)中心網(wǎng)絡(luò)中，服務(wù)器的數(shù)量非常龐大，若要實(shí)現(xiàn)服務(wù)器之間的隔離，則需要部署海量的ACL規(guī)則，配置維護(hù)相當(dāng)復(fù)雜。同時(shí)，網(wǎng)絡(luò)設(shè)備的ACL資源有限，不能滿足客戶部署海量ACL規(guī)則的需求。

數(shù)據(jù)中心一般只在對(duì)外的網(wǎng)絡(luò)邊界上設(shè)置防火墻，因?yàn)樵瓌t上認(rèn)為入侵風(fēng)險(xiǎn)來(lái)自外部，數(shù)據(jù)中心內(nèi)部是相對(duì)安全的[8]。理論上，也可以在數(shù)據(jù)中心內(nèi)每個(gè)互聯(lián)節(jié)點(diǎn)上部署防火墻來(lái)進(jìn)行內(nèi)部隔離，但是這需要部署大量的防火墻，是一筆很大的硬件投資，而且防火墻的設(shè)置和維護(hù)也是一個(gè)巨大的工作量。

以上作為傳統(tǒng)網(wǎng)絡(luò)安全隔離基礎(chǔ)技術(shù)與微分段進(jìn)行對(duì)比?？梢钥吹轿⒎侄慰梢蕴峁└?xì)粒度、更靈活的分段方式。微分段強(qiáng)調(diào)“微”和“分段”。如圖1所示，傳統(tǒng)分段部分的Segment1、Segment2通過(guò)Vlan子網(wǎng)劃分將VLAN10與VLAN20內(nèi)部的虛擬機(jī)進(jìn)行隔離；微分段部分的Segment3、Segment4、Segment5內(nèi)的虛擬機(jī)隔離不再局限于VLAN30、VALN40劃分的子網(wǎng)限制，而是基于IP地址、IP網(wǎng)段、MAC地址、VM名等細(xì)粒度進(jìn)行分段，這種策略下可將網(wǎng)絡(luò)按照一定的分組規(guī)則劃分為若干個(gè)子網(wǎng)絡(luò)，不同子網(wǎng)絡(luò)之間通過(guò)策略控制流量，從而實(shí)現(xiàn)數(shù)據(jù)報(bào)文僅能在約定的節(jié)點(diǎn)之間相互發(fā)送，而不是發(fā)送給所有節(jié)點(diǎn)[9，10]。

2.3? 微分段工作原理

微分段借鑒了安全設(shè)備SecurityZone的概念，將數(shù)據(jù)中心業(yè)務(wù)單元按照一定的原則分組，然后通過(guò)分組間策略實(shí)現(xiàn)流量控制。微分段基于以下兩個(gè)元素實(shí)現(xiàn)精細(xì)分組隔離：EPG（EndPointGroup）基于IP地址、MAC地址、VM名、應(yīng)用等分組策略，對(duì)服務(wù)器、虛擬機(jī)等承載業(yè)務(wù)的實(shí)體進(jìn)行的分組。GBP（GroupBasedPolicy）基于EPG分組的流量控制策略，規(guī)定了分組內(nèi)部、分組之間的流量控制策略，EPG/GBP實(shí)現(xiàn)邏輯如圖2所示。

微分段通過(guò)云平臺(tái)、SDN控制器與交換機(jī)之間的API接口，將EPG分組信息和GBP策略部署在VXLAN網(wǎng)絡(luò)的Leaf節(jié)點(diǎn)上，在接入節(jié)點(diǎn)對(duì)業(yè)務(wù)流量就近進(jìn)行安全過(guò)濾，如圖3所示。

3? 微分段在數(shù)據(jù)中心運(yùn)用研究

3.1? 數(shù)據(jù)中心網(wǎng)絡(luò)安全隔離架構(gòu)

隨著機(jī)房資源緊張、計(jì)算存儲(chǔ)資源配置分散、云計(jì)算和虛擬化技術(shù)應(yīng)用程度不高、信息處理能力不足、不能滿足業(yè)務(wù)快速變化需求等一系列問(wèn)題，為了進(jìn)一步提升信息基礎(chǔ)設(shè)施服務(wù)能力，在數(shù)據(jù)中心局域網(wǎng)內(nèi)部需采用SDN組網(wǎng)架構(gòu)。

數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)由云管平臺(tái)對(duì)接SDN組網(wǎng)的SDN控制器以及傳統(tǒng)組網(wǎng)的物理設(shè)備北向接口，從而統(tǒng)一納管數(shù)據(jù)中心網(wǎng)絡(luò)資源，將數(shù)據(jù)中心、同城/異地?cái)?shù)據(jù)中心的多個(gè)接入單元組成網(wǎng)絡(luò)資源池，滿足業(yè)務(wù)應(yīng)用的靈活部署。網(wǎng)絡(luò)核心將接入單元、運(yùn)維管理網(wǎng)絡(luò)環(huán)境和外部連接網(wǎng)絡(luò)環(huán)境互聯(lián)。多個(gè)數(shù)據(jù)中心間連通東西向流量，實(shí)現(xiàn)資源調(diào)度；連通南北向流量實(shí)現(xiàn)業(yè)務(wù)應(yīng)用信息交換，如圖4所示。

由于網(wǎng)絡(luò)業(yè)務(wù)的重要性以及網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性，在SDN的使用上，數(shù)據(jù)中心在應(yīng)用類服務(wù)區(qū)內(nèi)因地制宜的使用了接入單元的模式進(jìn)行組網(wǎng)，如圖5所示。

數(shù)據(jù)中心應(yīng)用類服務(wù)區(qū)由多個(gè)接入單元（POD）組成，接入單元內(nèi)又進(jìn)一步通過(guò)虛擬化技術(shù)劃分為由多個(gè)資源組組成的業(yè)務(wù)服務(wù)平面、分布式存儲(chǔ)平面和云管平面。各接入單元通過(guò)連接網(wǎng)絡(luò)核心，可實(shí)現(xiàn)業(yè)務(wù)服務(wù)南北向信息交換；通過(guò)連接POD核心，可實(shí)現(xiàn)接入單元間分布式存儲(chǔ)、云管兩個(gè)平面東西向流量的互通，并可動(dòng)態(tài)的將部署相同應(yīng)用的不同資源組直接連通，從而實(shí)現(xiàn)各業(yè)務(wù)應(yīng)用在資源組中的靈活部署。

3.2? 數(shù)據(jù)中心云內(nèi)安全需求

近年來(lái)，隨著服務(wù)器虛擬化技術(shù)不斷發(fā)展，如何進(jìn)一步對(duì)傳統(tǒng)服務(wù)資源進(jìn)行有效整合和再利用成了業(yè)界重點(diǎn)關(guān)注和深入研究的方向。在云計(jì)算平臺(tái)高速發(fā)展的大環(huán)境下，圍繞云計(jì)算基礎(chǔ)資源的管理類平臺(tái)的設(shè)計(jì)與優(yōu)化在一定程度上提高了企業(yè)在基礎(chǔ)設(shè)施服務(wù)層面的納管和交付能力，大幅提升了信息化管理部門在傳統(tǒng)虛擬化和物理環(huán)境方面的工作效率，但面對(duì)復(fù)雜的應(yīng)用特別是云邊協(xié)同體系下，探測(cè)端、邊緣計(jì)算以及云計(jì)算分離，云端計(jì)算整合的業(yè)務(wù)場(chǎng)景中，如何進(jìn)一步提升異構(gòu)環(huán)境和多元化應(yīng)用基礎(chǔ)環(huán)境的交付能力成了難點(diǎn)問(wèn)題[11]。

3.3? 微分段技術(shù)運(yùn)用

數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)可通過(guò)微分段技術(shù)，根據(jù)應(yīng)用需要進(jìn)一步實(shí)現(xiàn)不同業(yè)務(wù)虛擬機(jī)之間的微隔離。通過(guò)進(jìn)一步的下發(fā)，在VXLAN網(wǎng)絡(luò)中，微分段提供了比子網(wǎng)粒度更細(xì)的分組規(guī)則（比如IP地址或IP段），其部署簡(jiǎn)單方便，只需按照規(guī)則將VXLAN網(wǎng)絡(luò)中的服務(wù)器劃分為不同的分組，然后基于分組來(lái)部署流量控制策略，就可以實(shí)現(xiàn)服務(wù)器與服務(wù)器之間的業(yè)務(wù)隔離[12]。

在新一代云邊網(wǎng)絡(luò)架構(gòu)中，應(yīng)用服務(wù)區(qū)依據(jù)信息系統(tǒng)的安全等級(jí)、信息系統(tǒng)所需的資源類型等原則劃分多個(gè)接入單元。結(jié)合微分段技術(shù)，在網(wǎng)絡(luò)云化資源池中部署了多個(gè)安全平臺(tái)服務(wù)器、防火墻和網(wǎng)閘等設(shè)備，同步運(yùn)行安全隔離系統(tǒng)、用戶目錄系統(tǒng)、認(rèn)證授權(quán)系統(tǒng)及WEB安全代理等，由這些設(shè)備資源所構(gòu)建而成的云安全平臺(tái)就是云內(nèi)微隔離。

云內(nèi)微隔離覆蓋云計(jì)算網(wǎng)絡(luò)，每個(gè)網(wǎng)段上都存在計(jì)算資源，所有在云化網(wǎng)絡(luò)間進(jìn)行的數(shù)據(jù)交換都將經(jīng)過(guò)微隔離系統(tǒng)。發(fā)生網(wǎng)絡(luò)安全事件時(shí)，微隔離可以有效按需調(diào)用資源進(jìn)行阻斷，保障網(wǎng)絡(luò)安全事件不擴(kuò)散，不進(jìn)入其他網(wǎng)段或者安全域。

應(yīng)用服務(wù)區(qū)內(nèi)部，在等保要求基礎(chǔ)之上，按照應(yīng)用具體情況，進(jìn)行的接入單元的劃分，依靠網(wǎng)絡(luò)的靜態(tài)邊界防護(hù)技術(shù)，可將每個(gè)接入單元?jiǎng)澐譃榍岸素?fù)載，計(jì)算資源，后端數(shù)據(jù)等資源域。

為了更好地說(shuō)明以上安全防護(hù)措施的方式，我們以圖3中的網(wǎng)絡(luò)架構(gòu)拓?fù)渑e例說(shuō)明，如Server1部署了應(yīng)用1的應(yīng)用服務(wù)，Server2部署了應(yīng)用2的應(yīng)用服務(wù)，Server3部署了應(yīng)用1的數(shù)據(jù)庫(kù)服務(wù)，并創(chuàng)建各自對(duì)應(yīng)的EPG組，服務(wù)器與EPG組對(duì)應(yīng)關(guān)系，如表1所示。

根據(jù)業(yè)務(wù)訪問(wèn)需求，應(yīng)用1與應(yīng)用2需進(jìn)行隔離防護(hù)，應(yīng)用1應(yīng)用服務(wù)需訪問(wèn)應(yīng)用1數(shù)據(jù)庫(kù)服務(wù)，GBP間訪問(wèn)策略關(guān)系如表2所示。

通過(guò)設(shè)置GBP組策略，可以在在計(jì)算資源中，按照每個(gè)應(yīng)用的安全等級(jí)與防護(hù)要求，分配不同的資源組，實(shí)現(xiàn)不同資源組間的動(dòng)態(tài)微隔離。如發(fā)生某個(gè)應(yīng)用被滲透攻擊的安全事件時(shí)，可最大限度的限制被攻陷計(jì)算資源進(jìn)一步橫向攻擊滲透。

4? 結(jié)? 論

微分段與傳統(tǒng)網(wǎng)絡(luò)安全隔離技術(shù)相結(jié)合，形成全新的網(wǎng)絡(luò)安全隔離防護(hù)架構(gòu)可提供更精細(xì)、靈活的安全隔離及分布式的安全控制，對(duì)云內(nèi)隔離防護(hù)具有較高意義，提高了數(shù)據(jù)中心網(wǎng)絡(luò)的安全性和穩(wěn)定性。

參考文獻(xiàn)：

[1] 莊懷東.基于SDN的數(shù)據(jù)中心網(wǎng)絡(luò)流量調(diào)度與負(fù)載均衡研究 [D].南京：南京航空航天大學(xué)，2016.

[2] 諸葛程晨，王群，劉家銀，等.零信任網(wǎng)絡(luò)綜述 [J].計(jì)算機(jī)工程與應(yīng)用，2022，58（22）：12-29.

[3] 李賀.微分段能為IoT安全帶來(lái)什么？ [J].網(wǎng)絡(luò)安全和信息化，2020（4）：122-124.

[4] 吳海濤，華銘軒，曹帥，等.SDN網(wǎng)絡(luò)安全研究熱點(diǎn)與演進(jìn)趨勢(shì) [J].通信技術(shù)，2021，54（6）：1492-1501.

[5] 陳曉帆，古亮.云環(huán)境下的動(dòng)態(tài)微分段方法，系統(tǒng)，云服務(wù)器及存儲(chǔ)介質(zhì)：CN201810486085.7 [P].2018-05-18.

[6] 高洋洋.微分段 [EB/OL].（2021-08-05）.https：//support.huawei.com/enterprise.

[7] 段紅秀，湯銘.基于微分段與組標(biāo)記的安全校園網(wǎng)的設(shè)計(jì) [J].電子制作，2021（22）：43-45+67.

[8] 偉慶.虛擬化-SDDC軟件定義數(shù)據(jù)中心 [EB/OL].（2020-07-23）.https：//www.cnblogs.com/xweiqing/p/13365712.html.

[9] 杰因，麥塔，沙魯巴，等.異構(gòu)軟件定義網(wǎng)絡(luò)環(huán)境中的微分段：CN201780025777.5 [P].2018-12-21.

[10] 馬爾霍特拉，黃學(xué)東，蔣力，等.微分段安全語(yǔ)音轉(zhuǎn)錄：CN202180032695.X [P].2021-04-30.

[11] 王駿翔，徐一言.企業(yè)級(jí)云計(jì)算平臺(tái)服務(wù)編排技術(shù)的設(shè)計(jì)與實(shí)現(xiàn) [J].上海船舶運(yùn)輸科學(xué)研究所學(xué)報(bào)，2021，44（2）：52-57+65.

[12] 薩爾曼，克利格爾，阿布加貝.用于網(wǎng)絡(luò)微分段和納分段的安全規(guī)則的自動(dòng)生成：CN201980080050.6 [P].2019-11-26.

作者簡(jiǎn)介：左一男（1982.11—），男，漢族，北京人，高級(jí)工程師，碩士研究生，研究方向：通信工程、網(wǎng)絡(luò)安全。