软件定义安全模型与架构浅析

doi:10.11959/j.issn.1000-0801.2017074

电信科学 ›› 2017, Vol. 33 ›› Issue (6): 186-192.doi: 10.11959/j.issn.1000-0801.2017074

软件定义安全模型与架构浅析

郭春梅¹,马骏¹,郭昊²,毕学尧¹,张如辉¹,朱少敏¹,杨聪毅¹

¹ 北京启明星辰信息安全技术有限公司，北京 100193
² 全球能源互联网研究院，北京 102209

修回日期:2017-03-07 出版日期:2017-06-01 发布日期:2017-06-27
作者简介:郭春梅（1979?），女，北京启明星辰信息安全技术有限公司资深研究员，主要从事信息安全前沿技术研究工作，主要研究方向为网络安全、云计算/虚拟化技术及安全、物联网安全等。|马骏（1976?），男，北京启明星辰信息安全技术有限公司检查本部副总经理，主要从事高级威胁检测、大数据审计、云安全、软件定义安全等研究工作，主要研究方向为网络安全、高级持续性威胁检测技术及云安全等。|郭昊（1981?），男，全球能源互联网研究院工程师，主要研究方向为电力信息安全、攻防对抗技术、物联网安全等。|毕学尧（1974?），男，北京启明星辰信息安全技术有限公司高级工程师，主要研究方向为云计算安全、网络安全防护体系等。|张如辉（1978?），女，北京启明星辰信息安全技术有限公司资深研究员，主要研究方向为云计算/虚拟化技术及安全、安全标准等。|朱少敏（1983?），男，北京启明星辰信息安全技术有限公司行业专家，主要从事电力系统网络与信息安全技术研究工作，主要研究方向为电力二次系统安全防护、信息隐藏与大数据分析等。|杨聪毅（1976?），男，北京启明星辰信息安全技术有限公司检测本部技术总监，主要研究方向为云计算/虚拟化技术及安全、网络入侵检测与防御体系等。

Analysis of software defined security model and architecture

Chunmei GUO¹,Jun MA¹,Hao GUO²,Xueyao BI¹,Ruhui ZHANG¹,Shaomin ZHU¹,Congyi YANG¹

¹ Beijing Venus Information Security Technology Incorporated Company,Beijing 100193,China
² State Grid Smart Grid Research Institute,Beijing 102209,China

Revised:2017-03-07 Online:2017-06-01 Published:2017-06-27

摘要/Abstract

摘要：

目前大多数企业已经部署了基于策略访问控制的信息安全防御体系，但是随着云计算环境部署和网络攻击技术的发展，安全正成为云计算环境下亟待解决的重要问题，诸如能轻而易举地绕过传统防火墙、突破基于黑/白名单与特征匹配的安全防御机制等高级持续性攻击，给传统安全体系带来了新的挑战。分析了传统紧耦合安全防御体系在虚实结合网络环境下面临的问题，提出了软件定义安全的模型及其框架下的关键技术，实现了虚拟的和物理的网络安全设备与它们的接入模式、部署位置解耦合，为企业云计算环境下自适应的主动安全防护提供了有益的探索。

关键词: 访问控制, 云计算, 高级持续性攻击, 软件定义安全, 解耦合

Abstract:

Currently,most enterprises have deployed information security defense system based on policy access control.With cloud computing environment deployment and network attacking technology development,security has been regarded as one of the greatest problems in the cloud computing environment.The advanced persistent attacks including of bypassing the traditional firewall easily,breaking through the black and white list and feature matching of the security defense mechanism have included to the traditional security system new challenges.The problem in the traditional tightly coupled security defense system of combining the virtual with the true for construction of network environments was described,and a software defined security model and framework was provided.The decoupling scheme of access patterns and deployment position in combining the virtual with the true for construction of network environments was realized,which provided a beneficial exploration in the field of the adaptive active safety for enterprise cloud computing environment.

Key words: access control, cloud computing, advanced persistent threat, software defined security, decoupled

中图分类号:

TP309

郭春梅,马骏,郭昊,毕学尧,张如辉,朱少敏,杨聪毅. 软件定义安全模型与架构浅析[J]. 电信科学, 2017, 33(6): 186-192.

Chunmei GUO,Jun MA,Hao GUO,Xueyao BI,Ruhui ZHANG,Shaomin ZHU,Congyi YANG. Analysis of software defined security model and architecture[J]. Telecommunications Science, 2017, 33(6): 186-192.

图/表 4

参考文献 5

[1]	刘文懋, 裘晓峰, 陈鹏程 ,等. 面向 SDN 环境的软件定义安全架构[J]. 计算机科学与探索, 2015,9(1): 63-70.
	LIU W M , QIU X F , CHEN P C ,et al. SDN oriented software-defined security architecture[J]. Journal of Frontiers of Computer Science and Technology, 2015,9(1): 63-70.
[2]	裘晓峰, 赵粮, 高腾 . VSA和SDS:两种SDN网络安全架构的研究[J]. 小型微型计算机系统, 2013,34(10): 2299-2303.
	QIU X F , ZHAO L , GAO T . VSA and SDS:two security architectures in SDN[J]. Journal of Chinese Computer Systems, 2013,34(10): 2299-2303.
[3]	左青云, 陈鸣, 赵广松 ,等. 基于OpenFlow的SDN技术研究[J]. 软件学报, 2013,24(5): 1078-1097.
	ZUO Q Y , CHEN M , ZHAO G S ,et al. Research on OpenFlow-based SDN technologies[J]. Journal of Software, 2013,24(5): 1078-1097.
[4]	李陟, 李小爽 . 通过虚拟导流突破云环境安全部署问题[J]. 邮电设计技术, 2016,10(1): 45-49.
	LI Z , LI X S . Through the virtual diversion to break through the cloud environment safety deployment issues[J]. Designing Techniques of Posts and Telecommunications, 2016,10(1): 45-49.
[5]	林萍萍, 毕军, 胡虹雨 ,等. 一种面向 SDN 域内控制平面可扩展性的机制[J]. 小型微型计算机系统, 2013,34(9): 1980-1983.
	LIN P P , BI J , HU H Y ,et al. MSDN:a mechanism for scalable intra-domain control plane in SDN[J]. Journal of Chinese Computer Systems, 2013,34(9): 1980-1983.

[1]	韩雪. 基于电力大数据的电力骨干通信网络毁伤韧性评估方法[J]. 电信科学, 2023, 39(5): 136-143.
[2]	邢文娟, 雷波, 赵倩颖. 算力基础设施发展现状与趋势展望[J]. 电信科学, 2022, 38(6): 51-61.
[3]	邓平科, 张同须, 施南翔, 张童, 邵天竺, 郑韶雯. 星算网络——空天地一体化算力融合网络新发展[J]. 电信科学, 2022, 38(6): 71-81.
[4]	邬江兴. 论网络技术体制发展范式的变革——网络之网络[J]. 电信科学, 2022, 38(6): 3-12.
[5]	马焜, 徐玲玉, 沈晓萍, 龚志城, 蓝建平, 陈双喜, 钱钧. 云计算中基于Shapley值改进遗传算法的虚拟机调度模型[J]. 电信科学, 2022, 38(12): 1-10.
[6]	刘志勇, 何忠江, 阮宜龙, 单俊峰, 张超. 大数据安全特征与运营实践[J]. 电信科学, 2021, 37(5): 160-169.
[7]	全硕, 王旭亮, 朱泽亚. 5G+时代的软件定义安全技术架构研究与实践[J]. 电信科学, 2021, 37(12): 60-71.
[8]	许剑,靳莉. 一种可量化的云计算平台安全评估模型[J]. 电信科学, 2020, 36(7): 163-167.
[9]	张鉴,唐洪玉,刘文韬,薄明霞. 面向云网融合的电信网安全防护体系参考架构[J]. 电信科学, 2020, 36(5): 10-15.
[10]	罗斯宁,王化龙,李弘宇,彭蔚. 基于改进蚁群算法的云计算用户任务调度算法[J]. 电信科学, 2020, 36(2): 95-100.
[11]	何国锋. 零信任架构在5G云网中应用防护的研究[J]. 电信科学, 2020, 36(12): 123-132.
[12]	卢梦瑶,唐洪玉,唐维,张鉴. 面向网站应用的SDS自适应安全防御体系[J]. 电信科学, 2020, 36(12): 133-138.
[13]	雷波, 刘增义, 王旭亮, 杨明川, 陈运清. 基于云、网、边融合的边缘计算新方案：算力网络[J]. 电信科学, 2019, 35(9): 44-51.
[14]	高永梅,程冠杰. 基于边缘计算的数据密集型服务部署[J]. 电信科学, 2019, 35(7): 87-99.
[15]	鲁泽霖,李强治. 电子商务平台的演化逻辑和运营机理[J]. 电信科学, 2019, 35(7): 152-158.

软件定义安全模型与架构浅析

Analysis of software defined security model and architecture

在线阅读

PDF下载

可视化

被引次数

摘要/Abstract

引用本文

使用本文

图/表 4

参考文献 5

相关文章 15

Metrics

推荐阅读 0