王晓晴，洪　东，乔　喆，杜雪涛（ 中国移动通信集团公司信息安全管理与运行中心，北京 00053； 中国移动通信集团设计院有限公司，北京 00080）

基于SID改进模型的信息安全数据资源共享研究

王晓晴1，洪东2，乔喆1，杜雪涛2
（1 中国移动通信集团公司信息安全管理与运行中心，北京 100053；2 中国移动通信集团设计院有限公司，北京 100080）

为构建统一数据存储分析中心，本文基于电信管理论坛新一代运营支撑系统中的共享信息数据模型理论，首次改进构建了信息安全数据资源共享元模型，并结合eTOM模型理念，进一步建设了面向业务流程的信息安全数据共享预警系统。实践证明该系统有效实现了信息安全数据资源的共享互通，节省了存储资源，实现了关联分析和专题生成，提升了动态可扩展性，降低了新增建设成本，既有助于提升电信运营商信息安全管理和运营水平，也为未来的信息安全系统建设提供了统一的数据框架基础。

信息安全数据资源共享； SID模型； DSIS元模型； eTOM模型

1　信息安全系统建设现状及挑战

自《2006-2020年国家信息化发展战略》发布以来，特别是随着4G网络的大规模建设、移动终端的迅速普及以及“互联网+”形态的深度融合，我国信息化建设实现了跨越式发展。但各类不良信息、安全威胁、网络违法行为随之而来、愈演愈烈，且传播源头、范围和手段花样不断翻新，网络信息安全形势日趋严峻。与此同时，业务的综合化发展，使得系统开放互通、数据共享交互成为必然趋势。实现信息安全数据资源的全面整合和共享主要面临如下挑战。

（1）数据存储分散，且格式标准不一致。随着信息安全系统建设数量的增多，各系统数据存储过于分散，进而出现交叉引用、存储冗余、格式标准不一致等问题。如何统一标准格式、实现统一的数据组织是实现数据共享的基础问题。

（2）功能重叠交叉，资源利用率待提升。多个系统涉及同类功能的情况普遍存在，如何整合复用相同功能，是提升信息安全管理效率的核心问题。

（3）业务发展，新增需求频繁。随着业务和应用的多样化发展，如何在兼容已建系统、灵活新增系统功能、降低建设成本，成为亟需考虑的问题。

（4）数据信息未有效关联分析，存在“信息孤岛”问题。电信运营商拥有海量数据资源，在做好客户信息保护工作的前提下，如何开展数据关联分析和挖掘，将有助于提升精细化、科学化的信息安全管理水平和预警能力。

为此，本文以建立一种标准化、可扩展的数据资源共享元模型为突破口，研究提出面向信息安全业务流程的数据资源共享方案，并应用构建集中化的数据资源共享平台——信息安全数据共享预警系统，实现“业务流程+数据共享”的统一数据存储分析中心，助力提升电信运营商信息安全管理和运营水平。

收稿日期：2015-11-16

表1　主流数据信息模型规范

2　现有数据信息建模规范分析

2.1主流建模规范

目前主流数据信息建模规范对比分析如表1所示。

由表1看出，SID（共享信息数据）建模规范的核心思想是：以搭建统一数据框架为建模标准，将数据资源作为对象，利用具有共同特征的类概念，对各数据资源进行抽象和归类， 并对类间的关系和规则进行标准化描述。特别是SID模型规范作为电信运营商企业数据共享建模的通用框架，已被越来越多的电信运营商参考借鉴和成功实施，例如Vodafone、美国Verizon、英国电信、澳大利亚电信、意大利电信等，结合本文研究目标，SID模型最终成为本文开展数据资源共享建模研究的理论基础。

2.2SID模型规范

SID模型连同eTOM（增强的电信运营图）模型，由TMF（电信管理论坛）在NGOSS（新一代运营支撑系统）中提出。由于NGOSS理念是“过程驱动”，两者共同解释了数据资源间协同工作以满足业务需求的完整过程，即系统根据eTOM模型分析业务流程并提炼数据资源，进而利用共享模型将数据资源进行抽象、集中和互通，最后根据模型建设实际系统。因此，eTOM模型描述“业务流程是什么”，而SID模型则解决了业务流程中的数据共享问题，旨在提供一套标准的、公共的术语及统一建模的方法论。

具体来说，SID模型可从业务视图和系统视图两种不同的角度描述其规范。

（1）业务视图下的SID模型：与eTOM Level0划分相对应，包括管理域、业务实体、属性、实体间的关系及规则等要素，其描述结构如图1所示。

（2）系统视图下的SID模型：将SID业务视图以面向对象概念的UML类图及序列图等方式表示，更为直观，其描述结构如图2所示。

图1　从业务视图描述的SID模型

图2　从系统视图描述的SID模型

3　基于SID改进模型的信息安全数据共享预警系统

3.1基于SID改进的DSIS元模型

本节基于SID模型规范，从资源类型、资源关系、描述结构等方面进行优化改进，即首先细化了电信运营商信息安全系统中的物理资源与逻辑资源，进而分别抽象为各级不同的类，最后通过各级类之间的继承、包含、组合、连接、依赖等关系予以呈现，改进提出了DSIS（Data resource Sharing for Information Security control systems， 信息安全数据资源共享）元模型，其系统视图如图3所示。其中，各信息安全系统使用的数据资源可视为物理资源与逻辑资源的复合，其中，逻辑资源可分为“网络地址、网络、协议、数据实体”，物理资源可分为“物理存储、物理设备、物理连接”。

图3　DSIS元模型系统视图

进一步地，从业务视图角度对提出的DSIS元模型予以阐述，如图4所示，主要包括数据资源、业务、产品等3个管理域。

（1）数据资源：主要包括物理资源与逻辑资源，是DSIS元模型的构建对象。

（2）产品：是DSIS元模型的分析产出，包括自身应用产品和第三方应用产品。

（3）业务：由面向数据资源的业务和面向客户的业务构成，由物理资源承载、通过逻辑资源来实现，其中，面向数据资源的业务是对数据资源基本业务能力的封装，面向客户的业务则直接支撑产品。

综上，DSIS元模型以类的概念将各类数据资源、业务和产品予以模块化、组件化，可在保持核心框架保持不变的前提下，通过继承、组合、连接等关系规则，在已有各级类的基础上新增系统的抽象类，具有灵活的扩展性和广泛的适应性。相对于SID模型，DSIS元模型更具简洁性和可操作性。

3.2基于DSIS+eTOM的信息安全数据共享预警系统

3.2.1系统技术方案

基于DSIS元模型，结合各数据源系统的具体技术特征和功能需求，对DSIS元模型相关要素实例化，可进一步得到信息安全数据共享预警系统的技术方案，如图5所示。

（1）“产品”是指数据共享预警系统可对外提供的应用产品，主要包括对接系统所需应用以及系统自身提供应用。

图4　DSIS元模型业务视图

图5　基于DSIS元模型的数据共享预警系统技术方案

（2）“业务”是指数据共享预警系统具备的基本业务能力，并进一步划分为面向数据资源和面向客户的两种类型。其中，面向数据资源的业务是指依托于逻辑资源扩展出的业务能力，如数据采集涉及到逻辑数据资源的抽取、转换和加载（ETL），形成了“产品”与“数据资源”之间的映射关系；而面向客户的业务则直接用于支撑“产品”，某些面向客户的业务也包含面向资源的业务，如数据挖掘和分析。

（3）“数据资源”是数据共享预警系统的逻辑资源和物理资源共同封装完成，数据主要来源于已有或新增的信息安全相关数据资源。

3.2.2系统整体架构

图6是基于DSIS元模型的数据共享预警系统的整体架构视图。

（1）以数据采集与数据处理为核心，形成统一的数据共享层，面向不同的应用需求，提供标准、统一、完整的数据资源管理，减少数据存储冗余和交叉引用的同时，从根本上保证了异构数据源系统使用数据的一致性。

（2）由于数据资源，无论是原始明细数据，还是归一化的维度汇总数据，均通过标准化、模块化的共享方式供应用层使用，使得新增功能更着眼于应用需求的实现，而非底层数据本身，保持整体架构不变的同时，灵活实现新增功能的扩展。

（3）数据资源的集中存储和统一管理，为深化各系统间联系、开展海量数据关联分析、挖掘提供了基础保证，安全分析预警能力将得到有效提升。

图6　信息安全数据共享预警系统整体架构图

3.3 应用实践效果

根据系统现网应用实践效果，其优势主要包括如下。

3.3.1实现数据统一共享，提高存储和共享效率

基于DSIS模型构建的信息安全数据共享预警系统，采用标准数据资源描述方法搭建统一框架，打通了数据壁垒，提高了资源复用度，实现了数据的集中存储并统一输出，且信息安全数据可基本实现自动入库，解决了长期困扰系统建设的数据存储冗余、功能重复和格式不一致等问题。

3.3.2实现数据资源关联分析，提升分析预警能力

分析预警系统利用DSIS元模型建立资源分类标准，并结合Apriori、FP增长等算法，融合多种业务数据开展关联性分析和挖掘，按需开展专题分析，量化了合规结果，全面提升了分析预警能力；同时完善了全流程管理机制，有效促进了业务流程合规有序开展，为运营商管理决策提供了及时、全面的信息依据。

3.3.3支持新增功能动态扩展，降低系统建设成本

信息安全数据共享预警系统基于DSIS模型的组件化思路，有效实现了数据采集、数据存储、数据共享及数据分析的标准模块化，使得新增需求带来的数据层变化不会波及业务层和产品层，同时支持系统功能的模块组装，可实现系统功能的共享，可在不影响已有系统的同时，降低新增系统开发量和建设成本，将产生直接的经济效益。

4　总结和展望

本文以构建“业务流程+数据共享”信息安全数据资源共享体系为目标，提出了信息安全数据资源共享方案及系统，深度融合合规业务流程管理，实现了信息安全合规的量化评价，同时可进一步扩大覆盖范围，深化联动分析挖掘，强化分析预警能力，构建覆盖运营商全网信息安全系统的关联规则库和预警指标库，最终实现信息安全数据资源的高效存储和利用、提升系统应用价值，助力电信运营商信息安全管理和运营水平的提升。

［1］ 魏丽红，蔺思涛，等. 资源管理SID建模方法及在网络管理系统中的应用［J］. 北京邮电大学学报，2004.

［2］ 焦建飞. 基于SID模型的电信运营企业客户信息共享问题研究与应用［D］. 北京：北京邮电大学，2007.

［3］ 张振丹. 基于元数据模型的综合网管服务接口［D］. 北京：北京邮电大学，2010.

［4］ 李晓蕾. 基于信息孤岛消除的资源优化模型研究［J］. 科技通报，2012.

［5］ 彭雨，马又良，等. 电信运营商企业级数据分类体系介绍［J］.数据通信，2014.

Study and practice for information security data resource sharing based on improved SID model

WANG Xiao-qing1， HONG Dong2， QIAO Zhe1， DU Xue-tao2
（1 China Mobile Information Security Centre， Beijing 100053， China； 2 China Mobile Group Design Institute Co.， Ltd.，Beijing 100080， China）

In order to build an unifi ed data storage and analysis center， this paper has fi rstly proposed an improved meta-model of data resource sharing for information security， which is based on the shared information data model theory proposed by the new generation operations support systems in TeleManagement Forum， and further built the information security data sharing and early warning system intended for business process， by applying eTOM model. It is proved that the system efficiently realizes the data resource sharing， saves the storage resource， realizes the association analysis and the special topic generation， improves the data resource dynamic scalability and lowers the new construction cost，which would not only improve the information security management and operation level of the telecom operators， but also provide a unified data framework foundation for the further information security system construction.

information security data resource sharing； SID model； DSIS meta-model； eTOM model

TN918

A

1008-5599（2015）12-0006-05