基于面向服务架构的企业信息安全体系设计

摘 要：信息安全领域的研究人员专注于不同的子学科，例如网络安全、应用安全、网格安全、web安全、完全入侵检测等，但很少会将重点放在企业综合信息安全体系结构。本文提出基于企业服务总线架构的企业信息安全体系结构，通过建立一个模型，系统、智能地管理企业信息安全，并结合总体信息管理活动。此外参考ISO/IEC 27002标准和实践证明：SOA体系结构定义的信息安全和风险控制服务能够有效地增强企业信息安全管理和风险控制活动的有效性。

关键词：SOA 信息安全 企业服务总线

中图分类号：TP2 文献标识码：A 文章编号：1672-3791（2013）01（c）-0022-02

随着信息技术的不断普遍，信息安全体系结构在当前的企业信息技术中扮演着越来越重要的角色。我们尝试将信息安全和风险控制活动定义到安全服务里，设计面向服务的企业信息安全体系结构。

SOA是工业界的一个热点主题。它是一个策略、实践和框架的集合，能够为提供跨域注册、动态发现和自动机制提供内建的基础设施。并且提供的服务封装，通过消息协议提供可由双方共同操作的服务。SOA也为服务质量控制和资源管理及其它的监控服务和异常处理机制准备了基础设施。作为一个agility-pursued体系结构，SOA将企业逻辑从技术实现分离，从而使围绕SOA体系结构建立的应用能够满足企业和技术领域持续变化的需求。它也将有益于可复用性和系统集成，以及可扩展性、分布性和跨域注册。

1 问题发现

我们在SOA安全体系结构上的研究发现了以下几个问题。

（1）缺少企业信息安全集成体系结构，引入了不同的、相互独立的信息安全系统和解决方案，这会导致整个系统的不兼容性，导致无法达到期望的风险管理控制。

（2）由于在信息风险管理系统的信息采集还处于半自动化阶段，人工的信息采集过程会导致人为造成的错误。

（3）ISO/IEC 27002系统为企业信息安全管理提供非常好的方法和指南，但由于缺乏合适的工具进行管理，无法很好解决企业信息安全。

（4）我们需要注意SOA自身的可靠性和安全性问题。

2 信息安全体系结构的设计

根据上述问题，提出本文的基于SOA的信息安全体系的设计。

通过研究，我们提出了一个面向服务架构的企业信息安全体系结构，它是底层基于数据仓库/数据集市技术，并以安全服务总线作为hub，为企业信息安全活动提供集成信息安全的管理和有效的控制，使用BPM（企业过程管理）、规则引擎（Rule Engine，RE）和，企业智能（Business Intelligence，BI）技术。它有益于企业公司达到需要的信息安全管理级别。并且建立一个PDCA（Plan-Do-Check-Act）适配器，以确保信息安全管理和风险控制活动，能够进行自我优化。

2.1 体系结构的结构

参考七层OSI设计，我们设计了五层的智能企业信息安全体系结构。自下向上为安全数据库层、安全应用层、安全服务总线、集成和智能层、信息安全框架。

（图1）说明了智能企业信息安全体系结构的结构。

（1）安全数据层。体系结构的底层是整个体系结构的基础层。这是因为安全数据易于被其它应用和服务使用。这一层的数据被分为两个部分：操作数据和分析数据。

（2）安全应用层。应用层包括所有的信息安全系统，如防火墙、入侵防御系统、反病毒系统，以及被防护的设备，如网络设备、服务器和桌面环境等。它也包括这些系统上的各种各样的操作系统。

（3）安全服务总线。是基于SOA的信息安全体系结构的中枢。我们在这一层定义SOA服务总线的结构和需要的各种各样的信息安全服务。在面向服务的信息安全体系结构中，我们能够将当前和未来的安全需求定义为安全服务，但这些服务的实现是隐藏的。

（4）集成&智能层。体系结构中数据、过程和应用都是在这一层进行处理实现的，解决一个企业各种业务问题，满足快速变化的环境。集成层具有“应用之间”和“过程之间”进行通信的能力，通过适配器，它还能够与其他企业过程、服务提供者或数据提供者通信。

（5）信息安全辅助设计。这是信息安全对外的接口，主要是由匀衡器、关键风险指示仪以及监控接口。

企业智能模型提供各种各样的服务，例如报告、查询、OLAP、数据挖掘和多维分析。规则引擎，作为工作流的一部分，可以结合到BPM模型。因为有了规则引擎，我们能够更加有效地执行信息安全管理和风险控制。PDCA适配器是一个特殊的工具，它利用人工智能能够帮助公司达到信息安全管理中持续提高和自我优化的目标。

2.2 特点和优势

本文提出的企业信息安全体系结构具有以下特点。

（1）集成。它也能够将信息安全管理和风险控制联合起来作为一个集成的框架。

（2）可复用。体系结构是比较独立的，适合于企业和小型组织。服务的封装使得可复用，与其他服务联合使用。

（3）面向服务的体系结构。SOA体系机构的采用提供了服务的独立性、自我管理和自我弹性。

（4）集成的数据环境。集成的数据结构使之适合于各种数据库进行对接。

（5）企业智能。这个体系结构将企业智能应用到信息安全管理，信息安全管理主要使用了数据挖掘和模式识别技术。这可以大大减少由于人工误操作引起的损失，增强信息安全管理和风险控制操作。

（6）开放的体系结构。体系结构开放设计，以满足整个企业的安全需求；面向服务的特征使得体系结构式开放的，允许多个接口与外部应用通信。

3 结论

与传统的信息安全体系结构设计相比，本文提出的体系结构设计具有几个优势，包括开放、集成、可复用、面向服务、集成数据平台和商业智能。信息安全管理人员可以自由地执行重要的任务，如风险分析等。最后，这个体系结构式我们建立集成和智能企业信息安全体系结构的开端，以后会有更多的、更好的产品出现。

参考文献

[1] 魏东，陈晓江，房鼎益，等.基于SOA体系结构的软件开发方法研究[J].微电子学与计算机，2005，22（6）：73-76.

[2] 叶宇风.基于SOA的企业应用集成研究[J].微电子学与计算机，2006，23（5）：211-213.

[3] 雷冬艳.SOA环境下的数字图书馆信息安全研究[J].科教文汇，2010（33）：189-190.

[4] 李益文.基于SOA的商业系统的信息安全技术探讨[J].电脑编程技巧与维护，2010（20）：114-115，154.

[5] 霍林.基于SOA架构的信息管理系统的设计实现[D].华中科技大学，2006.

[6] 裴华，卿昱.基于SOA的Web安全通信模型研究[J].信息安全与通信保密，2008（8）：116-118.