作者:电子商务与电子支付国家工程实验室博士后周雍恺
内容摘要
近年来,为了满足不断增长的业务需求与集约化建设要求,金融机构逐渐开始进行数据中心的云化建设。在此过程中,软件定义网络(SDN)技术将发挥重要的作用。SDN本质是网络架构上的革新,在组网方面可以提升网络的利用效率与灵活性,在安全方面对网络进行精细化粒度的管控成为可能。本文主要针对金融云网络的安全需求,一是考察SDN技术是否能够提升现有网络的安全性,二是评估可能新引入的安全风险。
如下文本节选自博士后出站报告的第二部分——理论与研究框架。这部分内容旨在提出一套面向金融云SDN安全的完备理论框架体系,为之后的具体实现工作提供理论指导。
其中主要包含如下的理论贡献:
1)理论框架:提出面向金融云SDN安全的完备理论研究框架,由SDN安全组网、安全服务交付以及安全运维监控三部分组成;
2)安全模型:提出金融数据中心“大区安全组网”模型,将金融数据中心的安全级别由区域级深化至业务级,实现更优资源复用效果的同时,能够更好地应对互联网业务的高安全风险;
3)演进模式:提出未来金融行业云的演进模式,并对其中多租户、多中心、多云互联的组网安全问题进行了理论研究。
关键词:软件定义网络(SDN),安全域模型,大区安全模型,大区互联,多中心大区安全模型,金融行业云,安全服务交付,云网监控
Keyword:SoftwareDefinedNetwork(SDN),SecurityRegionModel,GiantSecurityRegionModel,RegionInterconnection,FinancialPublicCloud,SecurityServiceProvision,CloudNetworkMonitoringSystem
一、研究背景(一)研究背景近年来,为了满足不断增长的业务需求与集约化建设要求,金融机构逐渐开始进行数据中心的云化建设。中国银联从年即开始金融云平台的建设,在本人年3月博士后入站时,该平台已经初具规模,并且生产上线。与此同时,也在积极开展针对下一代基于软件定义网络(SDN)的金融云平台实现研究。促使金融云采用新一代网络技术进行建设升级主要有如下几大因素:
1)面向互联网化的业务日益增加,云网自动化协同的需求愈发迫切,同时网络必须更加鲁棒以应对互联网业务的高风险;网络的建设将逐渐从传统的“以网络为中心”,过渡到“以业务为中心”,甚至于“以数据为中心”;
2)面向外部金融机构提供金融云托管服务,在服务形态多样化的同时,对于网络服务的质量与安全也提出了更高的要求;
3)组网技术自主可控程度提升,这是国家目前对金融、能源等大型基础行业的技术转型要求。
因此,对于金融云网络的核心需求便是如何在提升组网效率的同时保证安全。在此过程中,软件定义网络(SDN)技术将发挥重要的作用。SDN早在年就由学术界提出,并在年左右随着云计算的兴起受到了业界广泛的