马 超 黄 劼

(上海浦东发展银行股份有限公司 上海 200002)

随着数字产业和产业数字化的发展，从政府到产业界都深刻意识到数字经济的巨大潜力和数字化转型的重要意义.2021年颁布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出加快建设数字经济、数字社会、数字政府，以数字化转型整体驱动生产方式，生活方式和治理方式变革.2022年国务院发布了《“十四五”数字经济发展规划》明确提出，2025年数字经济核心产业增加值占GDP比重达到10%的目标.

数字经济时代，社会各行业将更加依赖各类数字系统，其安全性将决定未来数字经济的健康发展.另一方面，在数字化转型中，尤其是业务上云过程中，面对多云环境和传统边界消失，传统业务和IT运营模式不断被颠覆，也使网络安全风险进一步加剧.因此，构建适应数字化转型的网络安全体系显得尤为重要.

本文基于金融行业的数字化转型实践，研究讨论了数字银行安全中台的功能需求和技术架构，以应对数字化转型下的网络安全风险，为银行数字化转型过程中安全防护体系建设提供参考.

1 数字化转型的安全需求

图1 数字化转型中台方案

数字化转型过程中，银行信息系统架构将朝着连接在线化、业务全云化和系统一体化方向发展[1-2].银行的网络边界逐渐泛化，网络安全事件频繁发生[3-4].现有网络安全防护体系无法适应未来数字化转型需求，主要表现在以下方面：

1) 安全孤岛.

现有银行的各类网络安全系统大多是独立采购或独立建设的，不同品牌、不同类型的产品无法实现协同联动，导致银行内部形成很多安全孤岛.

2) 重复建设.

为应对不断升高的安全风险，银行常常为各业务系统部署大量安全产品，对流量和日志等数据重复采集，造成大量IT资产重复投资和运维成本增高.

3) 技术门槛高.

随着安全防护技术的发展，安全产品或系统对管理人员的技术能力要求越来越高，各业务部门的技术人员往往缺乏信息安全相关经验，也不可能为每个业务部门配备专业的安全团队.

4) 新模式新需求.

数字化转型带来很多新的业务模式，例如云防护系统、移动安全防护系统、物联网安全平台等，新的模式需要新的安全系统作支撑[5].

因此，针对当前银行数字化转型所面临的安全挑战及防护需求，不能再依赖于传统的烟囱式安全建设思想，需要一套能够整合各安全孤岛数据、快速构建安全能力、支撑银行网络安全决策、运营和应急响应的网络安全平台或系统，安全中台则是一个非常适合的解决方案.

2 安全中台架构

安全中台是银行数字化转型过程中安全能力建设的适应性方案，也是系统中台化后网络安全架构的必然发展方向.

2.1 概 述

在实际运营中，不同业务系统往往需调用相同的数据和功能.随着大数据技术的发展，部分企业将共性能力抽取出来并形成一个“中间层”，即中台.通过收集各类数据，中台可形成标准化数据资源池和技术能力，供上层业务调用[6-9]，如图1所示.中台一般可分为业务中台、数据中台、算法中台、技术中台、研发中台和组织中台6类.

安全中台则属于技术中台的细分，通过将企业现有的安全资源和安全服务能力进行编排管理，并共享给企业各个业务单元或其他管理部门，提供基于企业业务及管理需求的安全能力快速集成.

基于各类中台，企业在搭建新的应用系统时，不需要再考虑数据获取或能力对接，可以把全部精力投入到上层应用搭建中，大大提升上层应用搭建速度.数字化转型过程中，中台被认为是数字化枢纽，通过将传统IT系统封装为能力模块，供业务端共享、复用.中台价值在于解决了数据孤岛、跟不上市场节奏、重复造轮子和创新力不足4大问题.

2.2 安全中台的发展

2015年，阿里提出中台概念，随后发布“大中台，小前台”组织和业务架构变革.从2018年下半年开始，腾讯、百度、京东、字节跳动、美团、滴滴等各大互联网巨头接连开启以建设中台为核心的组织变革.

目前，数据中台、业务中台已成为企业数字化转型的强大支撑.随着数字化转型的深入，各系统相对独立的安全体系将面临更大的挑战.随着网络安全需求的服务化、弹性化，安全中台将有力保障企业数字化转型的网络安全.从安全厂商、运营商到金融业，均已开展了安全中台方案研究和建设工作.

安全厂商方面，腾讯、绿盟、亚信等均已开展安全中台方案和技术研究，为客户提供安全中台建设方案[10-11].

运营商方面，中国移动在智慧中台建设中，将安全中台作为智慧中台重要组成部分，提供安全资源池集成，赋能各类安全业务,实现智能决策、自动化处置和集中管控的安全能力[12].中国电信提出了“网信安、云网运”的安全能力建设规划，以安全能力集中化、智能化、中台化建设的思路，实现对集中化安全能力池和边缘池的统一配置、编排和使用.

金融业方面，在数字化转型过程中也逐步开展了中台或能力集约化建设，在数据中台、业务中台方面进展较快，部分银行已开展安全中台验证工作，但仍处于探索阶段.

2.3 安全中台建设基础

在传统信息系统基础上建设安全中台，将面临各安全设备的管理、数据接口不统一等难题.大多数企业已具备一定的网络安全建设基础，部署了安全管理平台、态势感知、威胁情报等安全系统，沉淀了一些安全数据，但业务场景复杂.

因此，安全中台应按需设计、因地适宜，在业务上云和安全服务化基础上才能发挥最大价值.

1) 业务全云化.

在数字化转型的趋势推动下，业务全云化已成绝大多数数字化转型企业的共识，如：公有云、私有云、混合云、行业云等方案.业务全云化是一个长期的建设过程，需基于未来业务发展方向进行云化架构设计，制定演进策略和实施计划.

2) 安全服务化.

安全能力服务化(security as a service, SaaS)的主要特点是安全能力云化，通过构建“安全云”解决弹性问题，并为客户提供“无接触”“按需”的安全服务.

2.4 架构设计

安全中台的核心目标是提升安全效能、数据化运营服务，更好地保障业务持续、规模化地创新发展.安全中台需整合已建设的各种安全能力，也要做到自身安全能力与业务需求的持续对接，更好地服务于数字化转型.

如图2所示，安全中台可分为安全资源层、安全管理层和安全应用层，以及安全数据中台及安全能力中台.安全中台利用相关技术，针对各种安全日志、安全事件、流量数据等安全数据进行采集，计算，存储，加工，同时统一标准和接口.通过安全数据清洗整合形成标准安全数据，再进行存储，形成安全大数据资产层，进而为客户提供高效安全服务.

图2 安全中台架构

1) 安全资源层.

安全资源层主要负责管理、资源化安全基础设施，包括网络安全设备、安全软件和其他非安全系统.利用镜像、API、部署Agent等方式开展安全资源化工作，并通过标准接口为安全能力中台和安全数据中台提供基础安全数据和能力.按照功能划分，安全资源层可分为基础计算组件、网络安全组件和数据安全组件.网络安全组件包括基础设备，如入侵检测系统(intrusion detection system, IDS)、入侵防御系统(intrusion prevention system, IPS)、Web应用防护系统(Web application firewall, WAF)、防火墙等安全设备；数据安全组件包括数据防泄露(data leakage prevention, DLP)、数据库审计和文件管理等安全设备或软件.

2) 安全能力中台.

安全能力中台是安全中台的重要组成部分，主要负责资源层所接入安全资源的注册、管理、编排和调度.通过规范化处理完成资源分类标记，按特性关联调度模块，实现对封装后各项安全组件的能力调度与编排.通过对资源层接入的各类安全能力进行服务化改造，实现服务能力的构建、共享和开放，对外提供标准化的安全能力服务，为前台业务系统屏蔽复杂的安全能力构建过程，实现安全能力服务化和快速适配业务，以保障业务快速迭代发展.

3) 安全数据中台.

安全数据中台负责安全数据的采集、汇聚、存储和部分分析工作.安全数据中台通过安全资源层，利用工具、协议或接口的方式采集多源异构安全数据及相关IT运营数据，针对原始安全数据进行汇集、标准化处理、存储及管理等，并向安全应用层及前台系统提供各类安全数据及分析服务.

安全数据中台的数据源包括安全资源层接入的安全设备、软件产生的设备日志、威胁情报等安全数据，也包括网络流量和IT系统的资产数据、系统日志等运营数据.安全数据中台对汇聚的各类安全数据进行数据清洗、封装等处理，保障数据质量，为前台安全系统提供标准化和高质量的安全数据.

安全数据中台内置有数据关联分析、机器学习等数据分析引擎，在向安全运营中心及前台系统提供安全数据的同时，也可提供基础的数据分析服务，支撑前台安全监测、风险评估、合规性检查等复杂运营业务的开展.

4) 安全管理层.

安全管理层负责安全组件的调度与管理、新增服务的注册、安全策略的更新和管理.可依据不同业务的安全需求配置安全能力方案，整合各类安全能力，为前台业务提供灵活、开放、全面的服务化安全能力.安全管理层向上对接安全应用层，接收安全应用层各应用的安全配置要求，并协调安全组件开展事件响应处置，是安全运营响应处置业务的重要支撑.

5) 安全应用层.

安全应用层主要负责对外提供封装的安全数据、基础分析结果和安全服务，包括身份认证、密钥管理、漏洞管理、策略管理、数据加密和行为审计等基础安全能力.安全应用层通过标准接口和管理规范，支撑前台安全系统运行，如安全态势感知、资产管理、威胁监测、SOAR、SOC等，以及支撑安全中台在应急指挥调度、敏感数据防护、安全能力开放等方面的应用.

3 安全中台构建技术

安全中台的建设是一项持续性工作，需要在现有安全体系基础上建设安全中台，但面临传统安全设备的管理、数据接口不统一等难题.因此，安全中台的建设需逐步开展，由安全能力集成到安全能力编排，按需构建安全服务功能链.对后台实现网络安全资源统一管理，通过能力原子化解耦，具备可调度编排的场景化安全生态，对前台提供服务化网络安全能力.

3.1 安全能力集成

大多数企业已具备一定的网络安全建设基础，如满足等级保护3级要求，部署了态势感知、威胁情报和入侵检测等安全系统，沉淀了一些安全数据，但业务场景复杂，对网络安全保障要求较高.

现有安全设备，如入侵检测系统(IDS)、防火墙(FW)和深度报文检测系统(DPI)等，不仅可配置性差，无法相互协作，且不具备灵活的接入方式.可针对现有安全设备制定统一API及控制标准，形成北向和南向接口，如图3所示，实现不同厂商、不同型号设备的统一管理以及策略配置和安全数据采集[13].通过制定统一数据和控制接口，在一定程度上可集成现有安全能力，但控制平台开发工作量较大，并且需要各安全设备厂商配合开发，技术、管理难度较大.

图3 安全能力集成示意图

3.2 安全能力编排

在集成现有安全能力基础上，随着业务全云化，可进一步利用虚拟化技术进行安全能力编排，通过将不同的系统或不同组件的安全能力按照一定的逻辑关系组合到一起，为前台提供服务化安全能力.

基于软件定义网络((software defined network, SDN)和网络功能虚拟化(network function virtualization, NFV)技术，在通用硬件平台上实现虚拟化安全功能.在NFV环境中，传统安全设备均有对应的虚拟化安全实例(virtualized security appliance, VSA)，如vIDS,vFW,vDPI等，具有灵活性和较高可扩展性.用户可以根据不同需求建立不同的安全策略，根据不同的安全策略进行安全服务功能链(service function chain, SFC)编排.

例如，在可疑文件检测场景下，需要威胁情报系统、文件检测系统和终端安全软件等安全设备或软件协同工作.通过威胁情报系统可查询比对恶意文件来源、类型信息，通过文件检测可识别分析该文件，通过终端安全软件可实现恶意文件的告警、处置，通过以上检测工作流程可形成文件检测SFC，为用户按需提供安全能力.

现有NFV环境下，可基于虚拟机构建安全SFC，如：使用OpenStack与OpenDaylight作为虚拟化管理器来构建安全SFC，具有资源按需配置、灵活性和隔离性好等优点，但虚拟机的资源消耗较大.此外，基于容器化NFV平台构建SFC，可最大化地利用资源，满足灵活配置的要求，但需要解决SFC端到端的网络延迟问题[14].

3.3 安全服务功能链

安全服务功能链的构建需根据用户的安全需求，编排虚拟安全能力，调度数据流到相应的虚拟安全实例，提供相应的安全服务[15-20].

安全中台框架中负责安全SFC相关的重要组件包括VSA实例、vSwitch、能力编排、策略管理、能力管理、服务管理和Restful编程接口，如图4所示.其中，VSA实例是基于虚拟化技术创建的安全资源，如vIDS,vFW,vDPI等.vSwitch负责根据流量牵引策略，将流量牵引相应的安全功能实例，以及回收实例流量，并牵引到下一跳，实现安全功能服务链.能力编排组件负责安全事件分析以及动态响应，当发现安全攻击后，根据规则生成安全SFC请求，并将请求发送给服务管理组件.服务管理负责服务目录和服务注册、负载SFC实例创建和管理.能力管理负责能力目录和能力注册、安全功能实例创建与管理.策略管理负责对分流策略和策略冲突管理，以及流量牵引策略的管理.Restful编程接口为SFC管理对上提供基于Restful的编程接口,方便与其他服务或应用的集成.

图4 安全SFC框架

3.3.1 安全服务功能链构建流程

由安全应用层发起定制安全服务请求，向安全控制层的服务管理发送SFC请求.图5为安全服务链编排流程.服务管理先查找服务链目录并选择适当的SFC.通过检查服务链列表，判断该SFC请求是否在有SFC列表中注册并激活的实例.

如果已存在激活实例，则重用该SFC活动实例，并创建对应的分流策略.如果相关SFC实例未被建立，则服务管理会查找能力目录，并根据要求选定SFC所需的安全能力.通过SDN控制器将安全能力镜像实例化并部署在相应的主机中，并在能力管理中进行注册.最后，创建分流策略和流量牵引策略，并反馈给安全管理层的策略管理.

图5 安全服务链编排流程图

通过编排流程可形成与需求对应的安全服务功能链，其关键要素包括服务主体、客体、权限以及VSA优先级，可由Policy(Subject，Object，Permission，Priority)来描述.其中，Subject指SFC的执行者，Object指被执行对象，如满足特定属性的网路流量.Permission是指流量牵引策略，牵引网络流依次经各相关VSA，还需明确VSA类型及相关信息.Priority是指各VSA的优先级，以解决策略权限冲突，可按照优先级牵引网络流，保障SFC正确执行.

3.3.2 安全服务功能链优化

为保障安全SFC实施效果，需考虑VSA实例和路由选取策略，使网络流正确、高效地经过相应的VSA.本文从实例资源空闲程度、网络延迟状况2个角度，提出了安全SFC实例选取和路由优化算法，提高了安全SFC实际服务质量.

1) 实例选取机制.

SFC实施过程中，需考虑VSA实例和链路选取，以提高资源利用和SFC服务效果的问题.

在构建安全SFC过程中，应明确该SFC所需的VSA类型和序列，将SFC所需各类型VSA组成的集合表示为V={V1,V2,…,Vp}，其中p为VSA类型数量.VSA的优先级则表示为priority(Vi)，SFC实施时通过遍历集合V中各元素的优先级，由高到低设定流量路由.

同类VSA往往会同时存在多台实例，其集合可表示为Vi={vi1,vi2,…,viqi}，其中i∈{1,2,…,p}，qi为Vi的实例个数.

将某VSA实例vij的实时资源利用率表示为ψij，设定该类VSA利用率阈值为δi，则VSA实例的空闲程度φij的计算公式为

φij=(ψij-δi)/ψij.

(1)

安全SFC的VSA实例序列可表示为listSFC，可由算法1执行得出，并反馈给服务注册组件.算法1通过遍历各类型VSA，选取其中资源利用率较低的实例组成安全功能服务链.针对资源占用超过阈值的VSA，则触发创建机制.根据该实例序列，SDN控制器可进行流量牵引和调度，保障安全SFC正常进行.

算法1.实例选取算法.

输入：V,δi，ψ;

输出：listSFC.

SORTVbypriority(Vi) tolistV

/*明确SFC所需的VSA类型序列*/

for eachViinlistV/*遍历VSA类型序列*/

for eachvijinVi/*遍历该类型实例*/

COMPUTEφ/*计算该类型实例空闲

情况*/

ifφij≤0 then

CREAT new VSAvi(qi+1)

INSERTvi(qi+1)in the end oflistSFC

/*若该类型VSA资源利用率超过阈值，则新建实例并利用*/

else SELECT the minimum ofφij

/*定位空闲实例*/

INSERTvijin the end oflistSFC

/*选定该类型VSA实例*/

end if

end for

end for

2) 路由选取机制.

实例选取机制仅根据VSA实例的资源闲置情况选择提供服务的实例，没有考虑到网络延迟问题.在网络条件较好的数据中心，实例选取算法效果较好，但在多云环境中网络延迟将严重影响服务质量.因此，在考察VSA资源利用率的情况下，也应分析评估网络延迟情况，给出整体服务最优的VSA实例序列.

根据VSA类型的优先级，可形成类型序列listV.把各类型VSA实例看作顶点，各实例间的网络延迟看作路径权值，则选取网络延迟最小的VSA实例序列问题就变成最小路径问题.可利用最小路径算法遍历所有VSA序列，选取最小的网络延迟序列.但该方法遍历很多无效序列，也未加权考虑实例资源利用率的问题.

因此，可在算法1基础上考虑网络延迟问题，修正安全SFC的VSA实例序列.Vi与Vj间的网络延迟可表示为Delayij，设定网络延迟阈值Delayδ，若延迟大于该阈值将严重影响服务质量，则会舍弃该路由.

首先基于算法1输出的序列listSFC，设定网络延迟阈值，遍历流量路径，并替换延迟较大的路由，局部修正了listSFC.

算法2.路由优化算法.

输入：listSFC，V;

输出：listSFC.

for eachvinlistSFC

/*遍历VSA实例序列*/

DETECTION and COMPUTEDelayij

/*遍历各路由网络延迟*/

ifDelayij≥Delayδthen

forvjiinVj

/*遍历下一跳各实例路由*/

SELECT the minimum ofDelayij+

Delayj(j+1)

/*选取两跳延迟最小路由*/

REPLACEvjinlistSFC

/*替换实例*/

end for

end if

end for

4 安全中台应用场景

安全中台通过安全能力编排，将分散异构的安全能力进行整合，以支撑企业各业务、信息化和安全运营等部门快速构建相应的安全服务.安全中台可为安全运营和上层安全应用作支撑，提升安全管理效率，最终完成网络安全能力建设.

以构建数字银行一体化身份认证服务为例，一方面需整合现有的认证系统，另一方面要按需新增认证方式、策略或技术，如终端认证、零信任策略、生物识别技术等.银行已投入使用的认证系统或平台往往架构各不相同，数据和策略互不相通，整合和扩展都存在较大困难.

若按照传统思路建设身份认证平台，需从底层资源到应用层一体设计，重新梳理各认证系统的数据交互流程、认证策略，关联或重构核心身份数据库，无法直接利用现有的安全能力，也往往会造成基础安全资源的浪费和安全能力的重复建设.

基于安全中台，通过前端和后端资源的解耦，产品团队只需针对统一身份认证所需的功能、交互方式、可视化方案及安全能力进行设计，并向安全中台明确所需的安全能力或服务.由安全中台进行能力编排和数据引流，向前端系统提供身份认证、管理和异常登录检测等安全服务接口，为用户提供实现一体化的身份认证，如图6所示:

图6 基于安全中台构建一体化身份认证服务

在安全服务构建阶段，安全团队依次针对一体化身份认证平台所需的安全能力进行梳理.需整合的SFC，通过优化数据交互提高服务效率和性能；需新建的SFC，按照3.3.1节所提安全服务功能链创建方法，进行能力编排和服务注册.

对新增认证技术，如虹膜识别，首先需进行资源注册，再修改相关SFC的引流策略，并对安全中台服务接口进行功能测试.通过安全中台，实现了资源部署、能力构建和前台应用的解耦，各团队可并行开展相关工作，支持底层分析引擎、认证技术的快速切换和扩展，保障前端认证系统的安全稳定运行.

5 安全中台的安全性分析

安全中台为银行提升安全能力建设效率的同时，也带来了新的安全风险.

1) 数据安全.

安全中台实现了安全数据的标准化和集中化，通过安全中台可接入各类敏感安全数据，包括主机运行数据、安全设备日志和流量数据等.安全中台面临较大的数据安全风险.数据集中化带来了风险集中化、危害扩大化.

在安全中台建设和运营中：应建立统一安全认证和权限管理，通过划分权限等级，对数据的接入访问进行细粒度控制；应建立数据分类分级管理，根据所采集数据的安全级别采取不同的安全防护措施；应建立数据流动性监测机制，实时感知用户、应用和SFC对数据的操作行为，发现异常行为及时处置.

2) API安全.

安全中台往往通过API接口为前台系统提供数据、服务.攻击者可通过嗅探工具捕获相关API交互流量，进行篡改并大规模批量调用，实现敏感数据获取，或使安全中台产生大量垃圾数据，资源被大量消耗，甚至导致安全中台无法正常工作.

在安全中台建设期间，应使用加密和签名技术，防止数据传输过程中被篡改，防范重放攻击；应建立API访问机制，限制访问频率和权限，通过接口调用分析恶意行为并拒绝服务；配置专用API安全网关，控制和管理API接口使用.

6 结 语

安全中台是中台思想在网络安全场景下的落地方案，也是企业数字化转型中解决安全困境的架构方案.未来，随着企业数字化转型的深入，能力与数据的集约化是必经之路.本文通过分析银行数字化转型安全需求，研究设计了面向数字转型的安全中台架构，并论述了中台建设所需的安全能力编排相关技术，提出了安全服务功能链架构所需的实例选取和路由优化算法.

通过安全中台的建设，银行可整合安全数据收集能力，打破安全数据孤岛，完善安全数据的利用，实现安全数据的统一管理与共享应用.最终，通过安全中台支撑上层业务的快速进化，实现安全防护业务全场景覆盖，提高安全运营效率.