一種基于SOA 的安全管理框架設(shè)計(jì)*

賈 佳，苗彥濤

（1.空軍裝備部信息保障室，北京 100843；2.中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引言

隨著信息系統(tǒng)網(wǎng)的發(fā)展和信息化程度的逐步提高，網(wǎng)絡(luò)安全已經(jīng)成為了影響國(guó)家大局和長(zhǎng)遠(yuǎn)利益的重大關(guān)鍵問(wèn)題[1]。由于各種安全技術(shù)過(guò)分依賴(lài)于企業(yè)壁壘，因此，各個(gè)安全設(shè)施在系統(tǒng)中彼此獨(dú)立分散、只能“各自為戰(zhàn)”，缺乏全系統(tǒng)的安全策略控制和聯(lián)動(dòng)呼應(yīng)性，只能進(jìn)行局部防御，進(jìn)而使得網(wǎng)絡(luò)的整體防御能力大打折扣。為了解決上述問(wèn)題，工程師們雖然已經(jīng)解決了不少技術(shù)層面的問(wèn)題，但是由于架構(gòu)受限，全系統(tǒng)的整體防御能力未能取得長(zhǎng)足進(jìn)步。

為了突破由于架構(gòu)所限所造成的上述問(wèn)題，面向服務(wù)架構(gòu)的SOA（Service-Oriented Architecture）技術(shù)應(yīng)運(yùn)而生[2]。不同于以外的架構(gòu)技術(shù)只是考慮信息系統(tǒng)的應(yīng)用問(wèn)題，SOA 將信息系統(tǒng)看作是服務(wù)的結(jié)合，主要聚焦并解決哪些服務(wù)需要暴露，以及哪些服務(wù)如何暴露的問(wèn)題[3]。雖然當(dāng)前不少研究機(jī)構(gòu)對(duì)SOA 有著不同的定義，但是總的來(lái)說(shuō)，SOA遵從下述四項(xiàng)基本原則：面向服務(wù)提供服務(wù)并支持組合服務(wù)；基于多種應(yīng)用實(shí)現(xiàn)應(yīng)用的互操作；基于開(kāi)放標(biāo)準(zhǔn)實(shí)現(xiàn)跨安全域的業(yè)務(wù)集成服務(wù)；基于服務(wù)進(jìn)行服務(wù)管理[4-5]。

本文基于SOA 技術(shù)架構(gòu)的應(yīng)用特點(diǎn)，將安全技術(shù)與安全管理進(jìn)行有機(jī)結(jié)合，并相互補(bǔ)充，提出了一種基于SOA 技術(shù)體系架構(gòu)的安全管理框架設(shè)計(jì)，確保安全設(shè)施發(fā)揮其應(yīng)有的安全作用，實(shí)現(xiàn)信息系統(tǒng)網(wǎng)整體的信息安全。

1 SOA 概述

1.1 SOA 架構(gòu)

SOA 架構(gòu)主要有三種實(shí)體：服務(wù)構(gòu)建者、服務(wù)使用者和服務(wù)注冊(cè)中心[6]。其中，服務(wù)構(gòu)建者是網(wǎng)絡(luò)服務(wù)的提供者，通過(guò)“網(wǎng)絡(luò)服務(wù)知識(shí)描述語(yǔ)言”將應(yīng)用程序能夠?qū)崿F(xiàn)的各種功能進(jìn)行概括表述；服務(wù)使用者是網(wǎng)絡(luò)服務(wù)的需求者，根據(jù)已經(jīng)默認(rèn)設(shè)定的通信格式發(fā)出需求訊息給服務(wù)構(gòu)建者，同時(shí)通過(guò)對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行捆綁和調(diào)用來(lái)滿(mǎn)足自己的功能需求；服務(wù)注冊(cè)中心在SOA 服務(wù)架構(gòu)中扮演橋梁的角色，不僅是服務(wù)構(gòu)建者中“網(wǎng)絡(luò)服務(wù)知識(shí)描述”的載體，還是服務(wù)構(gòu)建者向服務(wù)提供者傳遞服務(wù)的信使[7]。

除此之外，SOA 當(dāng)前還是一種比較成熟的技術(shù)，不僅可以提供一種組織信息技術(shù)中基礎(chǔ)結(jié)構(gòu)和業(yè)務(wù)功能的方法，還提供了一種基于計(jì)算環(huán)境進(jìn)行設(shè)計(jì)、開(kāi)發(fā)、部署和管理服務(wù)模型的方法[8-9]。與此同時(shí)，SOA 還具有組織管理層面的優(yōu)點(diǎn)，可以通過(guò)直接組織開(kāi)發(fā)人員的方式構(gòu)建形成自己的應(yīng)用，并通過(guò)服務(wù)間的交互分析，向管理員或架構(gòu)設(shè)計(jì)師提供針對(duì)性的業(yè)務(wù)優(yōu)化流程，進(jìn)而提高開(kāi)發(fā)效率。

總的來(lái)說(shuō)，SOA 架構(gòu)具備下述三個(gè)優(yōu)點(diǎn)：高復(fù)用性降低了軟件開(kāi)發(fā)成本；通過(guò)服務(wù)松耦合性屏蔽了復(fù)雜的業(yè)務(wù)邏輯，進(jìn)而降低了軟件開(kāi)發(fā)復(fù)雜度；利用組織管理上的優(yōu)勢(shì)對(duì)專(zhuān)業(yè)功能進(jìn)行了分工，便于軟件進(jìn)行大規(guī)模開(kāi)發(fā)。因此，SOA 架構(gòu)作為一種新型構(gòu)建應(yīng)用系統(tǒng)的解決方案受到越來(lái)越多IT 廠(chǎng)家的重視和推廣。

1.2 SOA 的基本特征

SOA 架構(gòu)是一種具備“松散耦合、粗粒度服務(wù)、標(biāo)準(zhǔn)化接口”的服務(wù)架構(gòu)，由于該架構(gòu)不涉及底層編程接口和通訊模型，因此基于SOA 架構(gòu)中各個(gè)服務(wù)之間可以通過(guò)簡(jiǎn)單精確的定義接口進(jìn)行通訊。下面對(duì)該架構(gòu)的特征進(jìn)行具體描述。

1.2.1 松散耦合

SOA 架構(gòu)能夠方便地結(jié)合和重用不同的組件服務(wù)，可以很快地滿(mǎn)足不斷變化的商業(yè)要求[10]。SOA具備松散耦合的特點(diǎn)，可以使得服務(wù)使用者和服務(wù)提供者針對(duì)“服務(wù)實(shí)現(xiàn)”和“如何使用服務(wù)”之間進(jìn)行隔離，使得“服務(wù)實(shí)現(xiàn)”能夠在完全不影響服務(wù)使用的前提情況下進(jìn)行修改。同時(shí)，大多數(shù)松散耦合方式可以基于服務(wù)接口的消息采用同步和異步協(xié)議的方式進(jìn)行實(shí)現(xiàn)。

1.2.2 粗粒度服務(wù)

服務(wù)粒度通常指的是服務(wù)所公開(kāi)功能的范圍，服務(wù)粒度依據(jù)功能范圍的大小劃分為細(xì)粒度和粗粒度[11]。具體來(lái)說(shuō)，細(xì)粒度服務(wù)能夠提供少量業(yè)務(wù)流程的可用性服務(wù)；粗粒度服務(wù)能夠提供高層業(yè)務(wù)邏輯的可用性服務(wù)。在SOA 建模過(guò)程中，在不損失或不損害相關(guān)性、一致性和完整性的情況下，應(yīng)盡可能地選擇粗粒度服務(wù)進(jìn)行建模。通常情況下，粗粒度服務(wù)側(cè)重于解決專(zhuān)門(mén)的業(yè)務(wù)問(wèn)題，因此會(huì)出現(xiàn)通用性查、重用性設(shè)計(jì)困難的問(wèn)題。為了解決上述問(wèn)題，SOA 架構(gòu)采用不同的粗粒度等級(jí)進(jìn)行服務(wù)創(chuàng)建，該服務(wù)不僅會(huì)包含粒度較細(xì)、重用性較高的服務(wù)，還會(huì)包含粒度較粗、重用性較差的服務(wù)?？偟膩?lái)說(shuō)，細(xì)粒度服務(wù)一般為粗粒度服務(wù)來(lái)服務(wù)，通過(guò)靈活組合兩種服務(wù)模式，進(jìn)而形成新的業(yè)務(wù)邏輯。

1.2.3 標(biāo)準(zhǔn)化接口

SOA 架構(gòu)通過(guò)標(biāo)準(zhǔn)化接口描述，從而使得服務(wù)可以被異構(gòu)平臺(tái)和不同的用戶(hù)接口所通用。標(biāo)準(zhǔn)化接口描述包括了不同服務(wù)之間進(jìn)行交互的全部細(xì)節(jié)，并將實(shí)現(xiàn)服務(wù)的細(xì)節(jié)進(jìn)行隱藏封裝。值得一提的是，近年來(lái)的兩個(gè)重要標(biāo)準(zhǔn)XML 和Web Services增加了新的功能，將SOA 架構(gòu)的服務(wù)價(jià)值推向了更高層次。XML 和Web Services 的標(biāo)準(zhǔn)化的最大意義在于使得企業(yè)能夠在部署的技術(shù)和系統(tǒng)應(yīng)用中盡可能地采用SOA 架構(gòu)提升軟件開(kāi)發(fā)效率。

2 基于SOA 的安全管理框架設(shè)計(jì)

2.1 系統(tǒng)原理

基于SOA 的安全管理技術(shù)的多級(jí)關(guān)系以及每一級(jí)安全管理系統(tǒng)的實(shí)現(xiàn)原理如下圖1 所示。

圖1 系統(tǒng)原理

數(shù)據(jù)感知與收集：由入侵檢測(cè)、漏洞掃描、終端安全監(jiān)控、防火墻等安全設(shè)備實(shí)時(shí)檢測(cè)運(yùn)行環(huán)境中各種入侵事件和非法行為，安全管理系統(tǒng)實(shí)時(shí)收集各安全設(shè)備產(chǎn)生的告警信息，作為進(jìn)一步處理的數(shù)據(jù)源。

數(shù)據(jù)分析：安全管理系統(tǒng)根據(jù)主機(jī)的活動(dòng)狀態(tài)、操作系統(tǒng)以及運(yùn)行服務(wù)情況對(duì)收集到的安全數(shù)據(jù)過(guò)濾、合并以及分析，提取可靠性較高的安全事件，并根據(jù)設(shè)置好的相關(guān)策略生成相應(yīng)處理建議。

報(bào)告與響應(yīng)：將數(shù)據(jù)分析結(jié)果以及處理建議反映到管理界面。

聯(lián)動(dòng)決策：系統(tǒng)根據(jù)管理員的決策或配置好的聯(lián)動(dòng)策略生成相應(yīng)的聯(lián)動(dòng)指令，并發(fā)送至各安全設(shè)備。

聯(lián)防：各安全設(shè)備執(zhí)行安全管理系統(tǒng)下發(fā)的聯(lián)動(dòng)指令，完成對(duì)入侵事件和非法行為的處理，實(shí)現(xiàn)聯(lián)防。

2.2 管理系統(tǒng)體系結(jié)構(gòu)

2.2.1 體系架構(gòu)

與傳統(tǒng)的安全管理架構(gòu)比較，基于SOA 架構(gòu)的安全管理技術(shù)體系架構(gòu)的改進(jìn)主要體現(xiàn)在兩個(gè)方面：增加了基于SOA 的安全信息交換系統(tǒng)，該系統(tǒng)實(shí)現(xiàn)了分布式的安全消息交換平臺(tái)，提供了全網(wǎng)統(tǒng)一的安全信息交換入口，保證在網(wǎng)絡(luò)的任意位置通過(guò)交換系統(tǒng)都可以發(fā)布被允許發(fā)布的安全信息和獲取需要的、被允許訪(fǎng)問(wèn)的安全信息；信息交互接口SOA 化，使用平臺(tái)、編程語(yǔ)言等無(wú)關(guān)的方式定義信息交互接口，實(shí)現(xiàn)了設(shè)備交互的松耦合，保證可擴(kuò)展性和靈活性。基于SOA 的安全管理體系結(jié)構(gòu)如下圖2 所示。

基于SOA 的安全管理技術(shù)體系結(jié)構(gòu)由四部分組成：表示層（安全設(shè)備管理控制臺(tái)）、安全設(shè)備管理服務(wù)器、訪(fǎng)問(wèn)層（數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)接口）以及數(shù)據(jù)層（數(shù)據(jù)庫(kù)服務(wù)器）。其中，表示層作為安全管理系統(tǒng)的用戶(hù)界面，負(fù)責(zé)完成對(duì)安全管理服務(wù)器的管理和與用戶(hù)的交互；安全設(shè)備管理服務(wù)器又分為業(yè)務(wù)外觀(guān)層和業(yè)務(wù)層兩個(gè)部分，業(yè)務(wù)外觀(guān)層給出了在SOA 架構(gòu)下，管理系統(tǒng)可以提供的各種服務(wù)類(lèi)型，業(yè)務(wù)層包括實(shí)現(xiàn)上述各種服務(wù)的具體模塊；數(shù)據(jù)層包括了安全事件庫(kù)、安全設(shè)備庫(kù)、安全策略庫(kù)、聯(lián)動(dòng)預(yù)案庫(kù)以及安全日志庫(kù)。

2.2.2 業(yè)務(wù)外觀(guān)層設(shè)計(jì)

業(yè)務(wù)外觀(guān)層包括了設(shè)備注冊(cè)服務(wù)、信息注冊(cè)服務(wù)、信息格式檢索服務(wù)、信息訂閱服務(wù)、信息發(fā)布服務(wù)、身份認(rèn)證服務(wù)、授權(quán)管理服務(wù)、設(shè)備管理服務(wù)、事件管理服務(wù)、策略管理服務(wù)、應(yīng)急響應(yīng)服務(wù)、多級(jí)管理服務(wù)、執(zhí)勤管理服務(wù)等十三類(lèi)服務(wù)。

其中，設(shè)備注冊(cè)服務(wù)用于安全設(shè)備向安全管理系統(tǒng)注冊(cè)安全設(shè)備，只有注冊(cè)成功的設(shè)備才能加入安全管理體系；信息注冊(cè)服務(wù)用于安全設(shè)備向安全管理系統(tǒng)注冊(cè)信息格式，只有安全設(shè)備按照統(tǒng)一的信息格式進(jìn)行注冊(cè)，才能向安全管理系統(tǒng)發(fā)送信息；信息格式檢索服務(wù)用于安全設(shè)備在向安全管理系統(tǒng)上報(bào)信息時(shí)檢索上報(bào)的信息格式；信息訂閱服務(wù)通過(guò)安全管理系統(tǒng)提供訂閱服務(wù)接口，安全管理員可以通過(guò)控制臺(tái)訂閱某些類(lèi)型的安全信息；信息發(fā)布服務(wù)由安全管理系統(tǒng)向安全設(shè)備提供信息發(fā)布服務(wù)接口。

圖2 基于SOA 的安全管理技術(shù)體系

身份認(rèn)證服務(wù)通過(guò)安全管理系統(tǒng)提供身份認(rèn)證服務(wù)接口，安全設(shè)備和管理員基于該接口進(jìn)行身份認(rèn)證；授權(quán)管理服務(wù)通過(guò)安全管理系統(tǒng)提供授權(quán)管理服務(wù)接口，安全設(shè)備和管理員利用該接口進(jìn)行授權(quán)管理；設(shè)備管理服務(wù)通過(guò)調(diào)用設(shè)備管理服務(wù)接口設(shè)備性能監(jiān)視、配置信息查詢(xún)、被管設(shè)備認(rèn)證等功能；事件管理通過(guò)調(diào)用管理服務(wù)接口，實(shí)現(xiàn)事件按照統(tǒng)一格式和協(xié)議采集、多種條件下的事件合并和過(guò)濾、基于事件生成報(bào)表等功能；策略管理服務(wù)通過(guò)調(diào)用策略管理服務(wù)接口實(shí)現(xiàn)安全設(shè)備的查看配置；應(yīng)急響應(yīng)服務(wù)通過(guò)調(diào)用應(yīng)急響應(yīng)服務(wù)接口實(shí)現(xiàn)安全事件應(yīng)急響應(yīng)預(yù)案庫(kù)、預(yù)案與告警事件類(lèi)型關(guān)聯(lián)、安全事件處置過(guò)程日志記錄等功能；多級(jí)管理服務(wù)接口實(shí)現(xiàn)上下級(jí)關(guān)系認(rèn)證、安全信息集中管理、上級(jí)對(duì)下級(jí)系統(tǒng)總體情況監(jiān)視等功能；執(zhí)勤管理服務(wù)通過(guò)調(diào)用執(zhí)勤管理服務(wù)接口實(shí)現(xiàn)值班日志向?qū)А嘬?chē)管理、安全執(zhí)勤規(guī)范報(bào)告等功能。

2.2.3 業(yè)務(wù)層設(shè)計(jì)

業(yè)務(wù)層包塊了存儲(chǔ)模塊、推送模塊、訂閱發(fā)布模塊、查詢(xún)模塊、報(bào)表模塊、網(wǎng)絡(luò)拓?fù)淠K、配置模塊、身份認(rèn)證模塊、授權(quán)管理模塊、優(yōu)先排序模塊、歸并過(guò)濾模塊、態(tài)勢(shì)計(jì)算模塊、分析與關(guān)聯(lián)模塊、聯(lián)動(dòng)響應(yīng)模塊、多級(jí)信息處理模塊、協(xié)議轉(zhuǎn)換模塊，以及執(zhí)勤管理模塊等十七個(gè)模塊。

其中，存儲(chǔ)模塊提供安全信息存儲(chǔ)功能，用于存儲(chǔ)安全設(shè)備注冊(cè)和安全管理控制臺(tái)的發(fā)布信息；推送模塊用于安全設(shè)備向安全管理系統(tǒng)上報(bào)安全信息，并推送該信息至安全管理控制臺(tái)；訂閱發(fā)布模塊用于提供安全信息的訂閱功能，管理員通過(guò)管理控制臺(tái)訂閱安全信息，并通過(guò)系統(tǒng)進(jìn)行推送；查詢(xún)模塊提供設(shè)備查詢(xún)、事件查詢(xún)、以及策略查詢(xún)；報(bào)表模塊基于查詢(xún)結(jié)果生成報(bào)表；網(wǎng)絡(luò)拓?fù)淠K由安全管理員調(diào)用實(shí)時(shí)顯示網(wǎng)絡(luò)安全狀況；配置模塊提供設(shè)備策略配置、事件策略配置、以及系統(tǒng)策略配置功能；身份認(rèn)證支撐“用戶(hù)向PKI 的CA 申請(qǐng)證書(shū)”和“通過(guò)CA 來(lái)向其他用戶(hù)對(duì)身份進(jìn)行確認(rèn)”兩種情況的身份確認(rèn)；授權(quán)管理提供對(duì)安全設(shè)備和安全管理員的權(quán)限進(jìn)行管理；優(yōu)先級(jí)排序模塊基于網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)的主機(jī)情況對(duì)接收到的安全事件進(jìn)行優(yōu)先級(jí)排序，用來(lái)決定事件處理順序；歸并過(guò)濾模塊由事件管理服務(wù)調(diào)用，規(guī)避關(guān)鍵信息淹沒(méi)的風(fēng)險(xiǎn)。

態(tài)勢(shì)計(jì)算模塊有事件管理服務(wù)調(diào)用，對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行安全狀態(tài)量化；分析與關(guān)聯(lián)模塊由事件管理服務(wù)調(diào)用，對(duì)來(lái)自不同安全設(shè)備的安全態(tài)勢(shì)數(shù)據(jù)進(jìn)行相關(guān)性分析，進(jìn)而進(jìn)行一系列安全事件的合并；聯(lián)動(dòng)響應(yīng)模塊由應(yīng)急響應(yīng)服務(wù)調(diào)用，負(fù)責(zé)顯示安全態(tài)勢(shì)數(shù)據(jù)處理引擎分析后的入侵警報(bào)與針對(duì)警報(bào)系統(tǒng)進(jìn)行處理響應(yīng)策略，并基于數(shù)據(jù)的組合查詢(xún)操作生成統(tǒng)一的響應(yīng)命令；多級(jí)信息處理模塊由多級(jí)管理服務(wù)調(diào)用，負(fù)責(zé)安全管理系統(tǒng)的上下級(jí)之間的信息交互；協(xié)議轉(zhuǎn)換模塊由事件服務(wù)調(diào)用，完成安全設(shè)備專(zhuān)用協(xié)議至安全設(shè)備管理協(xié)議之間的轉(zhuǎn)換，使得安全事件可以按照統(tǒng)一協(xié)議進(jìn)行收集；執(zhí)勤管理模塊由執(zhí)勤管理服務(wù)調(diào)用，完成值班日志向?qū)?、班?chē)管理、安全執(zhí)勤規(guī)范報(bào)告等功能。

2.2.4 數(shù)據(jù)層設(shè)計(jì)

安全事件庫(kù)用于保存安全事件定義、從安全設(shè)備采集到的原始事件和經(jīng)安全管理系統(tǒng)處理過(guò)的安全事件；安全設(shè)備庫(kù)用于保存所有的安全設(shè)備信息，包括設(shè)備的編號(hào)，設(shè)備的類(lèi)型，設(shè)備的名稱(chēng)，以及設(shè)備的狀態(tài)、參數(shù)和策略等相關(guān)信息；安全策略庫(kù)保存關(guān)聯(lián)規(guī)則、響應(yīng)策略、多級(jí)策略等；聯(lián)動(dòng)預(yù)案庫(kù)主要保存進(jìn)行應(yīng)急響應(yīng)時(shí)的方案策略。當(dāng)發(fā)現(xiàn)安全事件需要做出相關(guān)響應(yīng)操作時(shí)，可按照聯(lián)動(dòng)預(yù)案庫(kù)中設(shè)置的策略來(lái)執(zhí)行；安全日志庫(kù)主要保存在操作處理過(guò)程中產(chǎn)生的日志文件。

2.3 系統(tǒng)組成

SOA 架構(gòu)下的安全管理系統(tǒng)仍然采用集中式的管理架構(gòu)，在一個(gè)區(qū)域中由一臺(tái)安全管理設(shè)備對(duì)安全設(shè)備進(jìn)行統(tǒng)一管理。安全設(shè)備與安全管理設(shè)備間的通信有兩種方式：對(duì)于遺留的安全設(shè)備，如已部署的防火墻、IDS 等，使用原有的非SOA 管理協(xié)議進(jìn)行管理；對(duì)于新開(kāi)發(fā)的安全設(shè)備，通過(guò)基于SOA的安全信息交換系統(tǒng)與安全管理系統(tǒng)交互。

安全管理系統(tǒng)的上下級(jí)交互、安全數(shù)據(jù)的提取、分析、再利用是通過(guò)基于SOA 的安全信息交換系統(tǒng)進(jìn)行。安全管理系統(tǒng)的邏輯組成如下圖3 所示。

基于SOA 架構(gòu)的安全管理體系包括兩個(gè)主要部分：安全管理系統(tǒng)和安全信息交換系統(tǒng)。安全管理系統(tǒng)完成安全信息的采集、分析和安全設(shè)備集中管理功能；安全信息交換系統(tǒng)完成安全事件、安全策略等信息在安全管理系統(tǒng)與安全設(shè)備、上下級(jí)安全管理系統(tǒng)間的傳遞功能。

圖3 安全管理系統(tǒng)邏輯結(jié)構(gòu)

遺留安全設(shè)備的安全信息獲取和安全策略的下發(fā)仍然使用傳統(tǒng)的安全管理協(xié)議在安全設(shè)備和安全管理系統(tǒng)間進(jìn)行，安全設(shè)備的安全信息統(tǒng)一經(jīng)安全管理系統(tǒng)向安全信息交換系統(tǒng)提交供全網(wǎng)使用。

2.4 傳輸協(xié)議

基于SOA 架構(gòu)的安全管理系統(tǒng)通過(guò)Web 服務(wù)實(shí)現(xiàn)，而Web 服務(wù)是基于SOAP 協(xié)議的，因此，在管理系統(tǒng)中，安全設(shè)備與安全管理系統(tǒng)之間是通過(guò)SOAP（Simple Object Access Protocol，簡(jiǎn)單對(duì)象接入?yún)f(xié)議）協(xié)議來(lái)進(jìn)行信息的收集與下發(fā)。

SOAP 是一種基于XML 標(biāo)準(zhǔn)標(biāo)記語(yǔ)言，且用于信息交換的簡(jiǎn)單協(xié)議，該協(xié)議在分布式的計(jì)算機(jī)環(huán)境中，為對(duì)等地交換結(jié)構(gòu)化和類(lèi)型化信息提供了一種簡(jiǎn)單且輕量級(jí)機(jī)制。具體來(lái)說(shuō)，由于SOAP 消息的格式基于XML 標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)，所以SOAP 為不同的計(jì)算機(jī)體系結(jié)構(gòu)、不同的技術(shù)平臺(tái)、以及不同的操作系統(tǒng)之間的信息交互提供了技術(shù)支撐。值得一提的是，Web 服務(wù)就是使用SOAP 作為標(biāo)準(zhǔn)通信協(xié)議的典型應(yīng)用。

3 結(jié)語(yǔ)

一種基于SOA 的安全管理框架設(shè)計(jì)，從網(wǎng)絡(luò)整體的安全防御體系出發(fā)，將SOA 技術(shù)框架和安全管理技術(shù)有機(jī)結(jié)合，目的是提升整體網(wǎng)絡(luò)的安全防御能力。該設(shè)計(jì)定義了各種服務(wù)接口和功能模塊、SOA 架構(gòu)下的安全管理數(shù)據(jù)交換機(jī)制、以及數(shù)據(jù)交換接口標(biāo)準(zhǔn)和該架構(gòu)下的聯(lián)動(dòng)模式。借鑒上述研究進(jìn)行網(wǎng)絡(luò)安全系統(tǒng)整體設(shè)計(jì)，可以加強(qiáng)安全設(shè)備之間的信息共享，提升安全網(wǎng)絡(luò)的整體防御能力。