王德政+王承忠+吉曉威

摘要：在M-ICT時代，物理設備、網(wǎng)絡部署、業(yè)務流程都呈現(xiàn)全面扁平化的趨勢。在物理設備層面，各類資源的池化已成為主要趨勢；在網(wǎng)絡部署層面，軟件定義網(wǎng)絡（SDN）/網(wǎng)絡功能虛擬化（NFV）等技術(shù)令網(wǎng)絡部署更加趨于扁平；在業(yè)務流程層面，大數(shù)據(jù)系統(tǒng)為扁平化提供了技術(shù)基礎。指出安全問題泛在化與安全邊界模糊化是扁平化趨勢帶來的新安全課題，在安全架構(gòu)的構(gòu)建中，需要重點考慮這兩方面的問題。強調(diào)M-ICT時代將是一個全面扁平化的時代。

關鍵詞： 扁平化； 資源池； 大數(shù)據(jù)； 安全

在互聯(lián)網(wǎng)思潮的沖擊下，網(wǎng)絡扁平化趨勢已成為業(yè)界共識。隨著M-ICT時代的到來，扁平化已不僅僅停留在網(wǎng)絡扁平化的層面，物理設備、網(wǎng)絡部署、業(yè)務流程都有全面扁平化的趨勢。這些“扁平化”技術(shù)將為管理扁平化趨勢提供技術(shù)支撐，并將會全面提升M-ICT時代下的工作效率。

1 設備扁平化趨勢

1.1 IT資源池化的趨勢

在M-ICT時代，IT基礎設施需要提供快速的業(yè)務部署能力和高效的設備運維能力，對物理設備也提出了更高的要求。

傳統(tǒng)設備將從單個實物形態(tài)的設備逐步過渡到池化設備形態(tài)，即一個管理域內(nèi)的數(shù)百乃至數(shù)萬臺物理設備組合成一臺池化設備。池化設備具備業(yè)務所需的各種功能部件，不同的功能部件由不同的物理資源池提供，設備也從“黑盒”逐步過渡到“白盒”。整個網(wǎng)絡和IT基礎設施可認為是由少量扁平化的池化設備組合構(gòu)成[1]。

在傳統(tǒng)“煙囪式IT”向云計算基礎架構(gòu)演進的過程中，資源池概念逐步得到了豐富和發(fā)展。通過虛擬化的方式，服務器、存儲、網(wǎng)絡等資源全面形成一個巨大的資源池。通過分布式算法將這些資源進行分配，從而消除物理邊界，提升資源利用率，最終實現(xiàn)按需動態(tài)分配資源。更進一步地，云計算技術(shù)將打破服務器機箱、機柜的限制，把所有的CPU和內(nèi)存等資源解放出來，匯集到一起，形成CPU池、內(nèi)存池、存儲池以及網(wǎng)絡池，當用戶產(chǎn)生需求時，便從這個池中配置能夠滿足需求的組合。

對于計算資源和內(nèi)存資源池化，因為受帶寬和時延約束，當前CPU資源和內(nèi)存資源，還屬于緊耦合綁定狀態(tài)，隨著硅光互連技術(shù)的發(fā)展和成熟，未來有解耦成相互獨立資源池的趨勢。

對于存儲資源池化，以存儲區(qū)域網(wǎng)絡（SAN）/網(wǎng)絡連接存儲（NAS）為代表的傳統(tǒng)網(wǎng)絡存儲，已逐漸演變?yōu)椴煌琒AN/NAS系統(tǒng)之間存儲資源共享，并由此產(chǎn)生了基于虛擬化的存儲資源池化。隨著未來技術(shù)進步和需求驅(qū)動，接近內(nèi)存性能的非易失性隨機訪問存儲（NVRAM）、依賴總線和接口標準（PCIe）互連的非易失性存儲器標準（NVMe）的固態(tài)硬盤（SSD）等新型存儲介質(zhì)也將得到商業(yè)應用。

網(wǎng)絡資源池化是一個逐步發(fā)展和完善的過程。多臺虛機共享物理網(wǎng)卡，每臺虛機呈現(xiàn)“獨立”的邏輯網(wǎng)卡，這屬于網(wǎng)絡資源池化概念雛形。未來網(wǎng)絡的開放和可編程特性，使得網(wǎng)絡資源對用戶將呈現(xiàn)資源池化的特征，即實現(xiàn)網(wǎng)絡資源的按需分配，滿足資源池內(nèi)設備互連以及外部互通等各種應用場景。

1.2 IT資源池化的關鍵技術(shù)

傳統(tǒng)服務器的各個組成部件都是固定配置的，為了進一步提升資源的利用率、要求服務器的功能標準化，形成更多功能級的資源池，各個組成部件通過解構(gòu)與重構(gòu)，重新組合成邏輯設備單元。為了實現(xiàn)池化設備的解構(gòu)與重構(gòu)，需要解決IT系統(tǒng)內(nèi)部的互連問題，同時需要一個高效的管理體系。我們將簡要描述IT資源池化的一些關鍵技術(shù)。

1.2.1 池化設備解構(gòu)與重構(gòu)

首先，出于成本、節(jié)能減排的考慮，我們需要把電源、風扇部件從服務器基本構(gòu)成中解構(gòu)出來，使得多臺服務器共享風扇、電源，這也是谷歌自研定制化機柜式服務器的初衷；其次，多服務器之間共享存儲，共享網(wǎng)卡也是服務器解構(gòu)的一種表現(xiàn)形式；最后，IT領域為了上層業(yè)務匹配最合適的服務器資源，一般把服務器的IO卡（網(wǎng)絡）、內(nèi)存條、硬盤設計成可配置方式，使得服務器可重構(gòu)。

OCP、天蝎等開源組織更是大大推進了服務器解構(gòu)與重構(gòu)的進展，將其從手工方式提升到自動化規(guī)模部署。傳統(tǒng)通信技術(shù)產(chǎn)業(yè)（CT）領域的電信設備一般是分布式部署，這些獨立設備在引入池化概念后，將解構(gòu)成不同的部件，并邏輯層面重構(gòu)為邏輯單元。電信設備IT化已被全球電信運營商廣泛接受，采用傳統(tǒng)信息技術(shù)產(chǎn)業(yè)（IT）服務器承載電信業(yè)務已有許多成功案例。

1.2.2 池化設備的內(nèi)部互連

池化設備的內(nèi)部互連是指：從各種資源池中選擇硬件模塊，然后通過內(nèi)部互連，構(gòu)成邏輯設備。內(nèi)部互連到底選擇什么技術(shù)方案，一方面取決于該技術(shù)的服務質(zhì)量（QoS）相關指標（帶寬、時延、抖動等）是否滿足應用需求，另一方面取決于該技術(shù)的產(chǎn)業(yè)成熟度和成本。

目前硬盤資源和服務器之間主要是通過串行連接SCSI（SAS）交換實現(xiàn)互連，而CPU資源與外部IO之間一般通過PCIe互連。隨著技術(shù)進步，高速存儲介質(zhì)通過PCIe互連，所以在資源池化設備中，存儲資源池將采用SAS交換和PCIe交換融合方案，統(tǒng)一提供低速或高速的存儲介質(zhì)。

目前以太網(wǎng)已成為設備內(nèi)部或設備之間最主流的互連方式，隨著云計算相關業(yè)務對高帶寬低時延需求的廣泛性，支持全稱遠程直接數(shù)據(jù)存?。≧DMA）將成為以太網(wǎng)技術(shù)的基本選項。目前網(wǎng)卡共享主要體現(xiàn)在服務器內(nèi)部多虛機之間，隨著multi-host網(wǎng)卡技術(shù)的發(fā)展，多臺服務器之間通過PCIe交換共享網(wǎng)卡，這將為云計算帶來諸多優(yōu)勢。

隨著芯片處理能力的逐年增強，芯片管腳數(shù)不能同步增加，電信號傳輸速率也受印刷電路板（PCB）的制約。硅光技術(shù)是解決上述問題的關鍵，硅光互連解決了芯片之間的互連帶寬問題，配合全光背板和硅光交換機技術(shù)，可以在數(shù)據(jù)中心范圍實現(xiàn)資源池的全光互連。硅光互連將成為池化設備內(nèi)部的主流方案，是未來主要方向。

1.2.3 池化設備的管理endprint

池化設備管理主要采用RESTFUL接口，可以實現(xiàn)管理程序和設備之間解耦，便于各自升級擴展。

分布式管理任務組（DMTF）制訂了相關協(xié)議，該協(xié)議包含交互協(xié)議和資源封裝格式，資源的表現(xiàn)形式為協(xié)議無關的JSON/Odata格式。

服務器、機框、機架等各個層級的設備，通過支持統(tǒng)一的管理接口，實現(xiàn)資源池設備的扁平化管理。

2 網(wǎng)絡部署扁平化趨勢

網(wǎng)絡扁平化主要指網(wǎng)絡層次簡單，業(yè)務部署簡單，運維簡單。

運營商網(wǎng)絡基本形成了典型架構(gòu)，它一般由接入網(wǎng)、匯聚網(wǎng)、核心網(wǎng)3個網(wǎng)絡層次構(gòu)成，同時，傳輸層面還有光網(wǎng)絡/IP網(wǎng)絡的層次結(jié)構(gòu)，相互之間的業(yè)務互通主要通過配置方式，業(yè)務部署靈活性不夠；另一方面，網(wǎng)絡設備都是獨立的“黑盒”設備，全分散的控制架構(gòu)，使得整個網(wǎng)絡的運維顯得復雜、低效。

為促進網(wǎng)絡的進一步扁平化，引入SDN架構(gòu)顯得非常重要；而NFV對電信業(yè)轉(zhuǎn)型也起到關鍵作用，通過其靈活性、低成本、易拓展、快速應用開發(fā)等特征可以重塑傳統(tǒng)電信網(wǎng)絡和業(yè)務。SDN和NFV的結(jié)合給運營商網(wǎng)絡部署提供了扁平化創(chuàng)新和變革的“引擎”。

2.1 SDN導致承載網(wǎng)絡扁平化

SDN是網(wǎng)絡演進的關鍵技術(shù)，它可以實現(xiàn)控制與轉(zhuǎn)發(fā)分離的架構(gòu)，逐步被IT和CT領域普遍接受。目前SDN場景也逐步從數(shù)據(jù)中心（DC）向運營商廣域網(wǎng)（WAN）、移動網(wǎng)絡（5G）擴展，進一步拓展到了池化設備內(nèi)部網(wǎng)絡的應用場景。

當前的承載網(wǎng)主要由底層的光網(wǎng)絡和上層的IP網(wǎng)構(gòu)成，基本上屬于靜態(tài)網(wǎng)絡，可編程能力比較弱，對于復雜多變的流量模型調(diào)度手段少，響應緩慢。

在M-ICT時代，承載網(wǎng)引入SDN架構(gòu)，實現(xiàn)轉(zhuǎn)發(fā)和控制分離、控制面集中，并通過引入可編程環(huán)境實現(xiàn)網(wǎng)絡的端到端全局資源調(diào)配能力，支持復雜多變的各類業(yè)務流量模型。

SDN對網(wǎng)絡端到端能力的提升，將在以下幾個方面有所體現(xiàn)：

（1）高效彈性部署，提高網(wǎng)絡資源利用率。由于引入了一個集中的全局網(wǎng)絡控制面，可以更有效地進行全局網(wǎng)絡視圖規(guī)劃，控制和管理，并通過軟件編程實現(xiàn)部署自動化。

（2）端到端的業(yè)務體驗。集中控制和統(tǒng)一策略部署能力使得端到端的業(yè)務保障成為可能，網(wǎng)絡能力開放，網(wǎng)絡可與上層應用更好地協(xié)調(diào)，物理網(wǎng)絡和邏輯網(wǎng)絡實時狀態(tài)監(jiān)控與協(xié)調(diào)，都保證了網(wǎng)絡業(yè)務體驗。

（3）簡化網(wǎng)絡，降低網(wǎng)絡復雜度。通過采取軟硬件解耦以及轉(zhuǎn)發(fā)控制分離等技術(shù)，逐步實現(xiàn)網(wǎng)元設備池化，各功能部件獨立發(fā)展，并最終實現(xiàn)全網(wǎng)簡化，降低總擁有成本（TCO）。

SDN的引入，模糊化了傳統(tǒng)承載網(wǎng)絡與內(nèi)部網(wǎng)絡的邊界，減少網(wǎng)絡的層次，使承載網(wǎng)絡更加扁平化，更容易適應端到端業(yè)務需求的變化。

2.2 NFV導致通信網(wǎng)元扁平化

在軟交換技術(shù)時代，以話音業(yè)務為主的通信網(wǎng)首次引入承載與控制分離的概念，傳統(tǒng)電路交換也由扁平化IP交換替代，話音通信網(wǎng)因此實現(xiàn)了第一次扁平化改造；在移動互聯(lián)時代，話音和數(shù)據(jù)均是IP承載，扁平化趨勢越來越明顯：在2G、3G時代，網(wǎng)絡層次從基站到控制器再到核心網(wǎng)，共3層；在4G時代，網(wǎng)絡層次弱化了控制器，業(yè)務流實現(xiàn)了從基站直接到核心網(wǎng)的二層架構(gòu)；在5G時代，5G網(wǎng)絡架構(gòu)將把基站和核心網(wǎng)網(wǎng)關集成在一起，將垂直的網(wǎng)絡架構(gòu)演進為水平的一層網(wǎng)絡架構(gòu)，網(wǎng)絡層進一步扁平化。

NFV架構(gòu)以云計算為基礎，軟硬件解耦，實現(xiàn)通信網(wǎng)的水平切割及業(yè)務的快速發(fā)布。在2G/3G/4G混合組網(wǎng)的場景下，通過引入NFV架構(gòu)，可在一個公共的硬件資源池中實現(xiàn)網(wǎng)元虛擬化。即根據(jù)不同的用戶比例及業(yè)務特點，靈活調(diào)整各虛擬網(wǎng)元的部署規(guī)模，實現(xiàn)網(wǎng)絡與業(yè)務在整個演進過程中的最佳匹配。隨著5G時代的到來，適當增加硬件資源池中轉(zhuǎn)發(fā)功能部件，以及軟件化基帶處理部件，能夠靈活構(gòu)建全新的5G虛擬化網(wǎng)元。在整個通信網(wǎng)絡扁平化演進過程中，NFV是核心支撐技術(shù)。同時，NFV支持通信網(wǎng)資源開放，給運營商的經(jīng)營創(chuàng)新帶來了機會。

3 業(yè)務流程扁平化趨勢

3.1 大數(shù)據(jù)的智慧生成提供扁平化

技術(shù)基礎

無論是流程上的分層，還是管理上的分層，其原因之一是人類處理復雜信息能力的局限性，所以需要分層的流程與管理，并進行逐層信息收集、分析以及匯總。對于很多組織來說，中層領導的主要工作職責就是向上進行信息匯總以及決策建議，向下進行命令傳達與執(zhí)行。大數(shù)據(jù)技術(shù)第一次讓人類具備處理海量信息，并直接從這些海量信息中生成智慧的能力。大數(shù)據(jù)的智慧生成的能力，為流程扁平化提供了技術(shù)基礎。

大數(shù)據(jù)如何進行智慧生成呢？這需要從信息模型中進行分析。信息模型從底向上分為4個層次：數(shù)據(jù)、信息、知識和智慧。其中，單純的數(shù)據(jù)本身并無實質(zhì)性意義，信息是由數(shù)據(jù)加上內(nèi)容定義而構(gòu)成，知識是由信息加上規(guī)則而構(gòu)成，最高層的智慧是由知識加上經(jīng)驗而構(gòu)成。而提升人類活動準確性的工作，是由位于信息的最高層——智慧層來完成的[2]。

無論是對于人類自身，還是計算機系統(tǒng)來說，比較容易處理數(shù)據(jù)、信息、知識這3個層次的信息，因為其本質(zhì)都是數(shù)據(jù)的存儲與檢索，只是人類的處理效率與準確性要低于計算機。但是對于如何從知識中獲取智慧，無論是人類還是計算機，都是一件非常困難的事情。

在大數(shù)據(jù)誕生以前，智慧很難通過機器得到。各個行業(yè)的智慧生成都是依賴各行業(yè)的專家，一個專家的能力是與他在行業(yè)內(nèi)的經(jīng)驗積累密切相關的，其所沉淀積累的知識越多，則做出正確抉擇的可能性越大。但人類專家的工作效率和準確性均有限，特別是在經(jīng)驗或數(shù)據(jù)缺乏的情況下，專家們往往依靠直覺做判斷，并通過層層的流程與管理進行篩選與決策，加劇了結(jié)果的不準確性。

通過大數(shù)據(jù)的挖掘手段，可以依托海量的知識庫，將輸入的知識或信息轉(zhuǎn)化為智慧。未來，機器可以通過海量數(shù)據(jù)挖掘、發(fā)現(xiàn)知識并輸出智慧，再由人類專家對結(jié)果進行檢驗與校正，并通過機器學習，逐步提高結(jié)果的準確率。通過這樣直接從海量信息中生成智慧的技術(shù)，讓流程的扁平化具備技術(shù)可行性。endprint

3.2 大數(shù)據(jù)的架構(gòu)加速扁平化趨勢

在過去的十年里，智能終端和移動互聯(lián)網(wǎng)的快速發(fā)展深刻地影響和改變著人類社會。傳統(tǒng)的“注意-興趣-搜索-行動-分享”購買模式已經(jīng)被打破，變得更為個性化。變化更快的市場環(huán)境使得現(xiàn)有的市場經(jīng)營模式能夠發(fā)揮的作用逐漸變小，企業(yè)越來越依賴數(shù)據(jù)分析指導自己的產(chǎn)品，改進服務，迎合市場需求。數(shù)據(jù)和數(shù)據(jù)處理能力成為企業(yè)在新的市場環(huán)境中生存、發(fā)展的關鍵。2014年，阿里巴巴集團創(chuàng)始人馬云在互聯(lián)網(wǎng)大會上說道：“人類正從IT時代走向DT時代”。

如圖1所示，我們可以采用以數(shù)據(jù)為中心的系統(tǒng)架構(gòu)，提高生產(chǎn)效率及反應速度，并滿足客戶個性化需求。大數(shù)據(jù)主要在3個方面促進業(yè)務流程扁平化。

（1）通過收集生產(chǎn)系統(tǒng)產(chǎn)生的業(yè)務過程數(shù)據(jù)，對業(yè)務數(shù)據(jù)進行建模，對當前生產(chǎn)系統(tǒng)提出建議與分析報告，從而去除或改進現(xiàn)有系統(tǒng)中不合理的環(huán)節(jié)，提高系統(tǒng)生產(chǎn)效率，降低成本。例如，通過收集無線網(wǎng)絡的網(wǎng)絡覆蓋信息，可以對現(xiàn)網(wǎng)的網(wǎng)規(guī)、網(wǎng)優(yōu)工作進行指導。與傳統(tǒng)依靠路測進行網(wǎng)規(guī)、網(wǎng)優(yōu)的模式相比，采用該種方式后無論是資金成本還是時間成本，都將急劇降低。

（2）通過將生產(chǎn)系統(tǒng)中的數(shù)據(jù)進行集中匯總，并通過大數(shù)據(jù)的分析與挖掘，可以直接給出相關的經(jīng)營與決策建議。與傳統(tǒng)的層層上報、層層決策的模式相比，這將顯著提高決策效率，加快市場反應速度，并減少決策失誤。

（3）在多個生產(chǎn)系統(tǒng)需要協(xié)調(diào)配合時，可以通過集中的數(shù)據(jù)，在多個生產(chǎn)系統(tǒng)之上構(gòu)建更高層面的無縫對接流程。與傳統(tǒng)的人工流程對接相比，這將極大地提高系統(tǒng)之間的協(xié)調(diào)速度，并降低對接出錯的概率。

4 扁平化趨勢下的安全技術(shù)

4.1 安全問題特性

在M-ICT扁平化趨勢下，安全問題呈現(xiàn)出泛在化與邊界模糊化這兩個顯著的特征。

對于安全問題泛在化，呈現(xiàn)出新的特點。

（1）攻擊源節(jié)點和目標節(jié)點泛在化。隨著智能終端、物聯(lián)網(wǎng)和云計算的發(fā)展，攻擊源節(jié)點和目標節(jié)點已經(jīng)不局限于原有的計算機系統(tǒng)和移動終端，攝像頭、汽車、機頂盒、打印機、個人穿戴設備、智能醫(yī)療設備等都可能成為攻擊的源節(jié)點或目標節(jié)點。這樣使得攻擊載體的規(guī)模迅速放大，物聯(lián)網(wǎng)終端將成為高級持續(xù)性威脅（APT）攻擊的跳板和僵尸網(wǎng)絡的目標。統(tǒng)計數(shù)據(jù)表明70%的物聯(lián)網(wǎng)終端存在安全漏洞，且缺乏認證和傳輸加密。

（2）攻擊途徑泛在化。在M-ICT時代，萬物互聯(lián)使得各種終端可通過Wi-Fi，zigbee，藍牙等多種途徑接入網(wǎng)絡，相應的攻擊途徑也得到了擴展。并且，SDN架構(gòu)、云計算架構(gòu)下豐富的應用程序網(wǎng)絡接口（API）也成為理想的攻擊途徑。

（3）攻擊目的泛在化。首先，SDN和云計算本身帶來了新的安全問題，例如，SDN控制器是網(wǎng)絡的控制中樞，如果SDN控制器受到攻擊可能導致整個網(wǎng)絡癱瘓或者被劫持；例如，采用虛擬化技術(shù)的云計算，也會引起數(shù)據(jù)殘留、資源風暴等新的安全問題。其次，物聯(lián)網(wǎng)的興起讓攻擊者的攻擊目的從傳統(tǒng)的網(wǎng)頁漏洞與應用程序漏洞，轉(zhuǎn)移成竊取智能聯(lián)網(wǎng)裝置的資料與控制權(quán)、破解車載系統(tǒng)漏洞、入侵醫(yī)療設備儀器等。攻擊者只要能滲透智能終端、智能家具或者是智能聯(lián)網(wǎng)裝置，便能竊取機密資料、取得控制權(quán)，甚至劫持這些智能聯(lián)網(wǎng)裝置發(fā)動更大規(guī)模的攻擊。

對于安全邊界模糊化，其表現(xiàn)在網(wǎng)絡邊界的模糊導致原有安全邊界的模糊。

首先，隨著移動辦公、BYOD等應用，處于企業(yè)外網(wǎng)的終端需要訪問企業(yè)內(nèi)網(wǎng)資源，突破了內(nèi)外網(wǎng)隔離的邊界。其次，云環(huán)境下多租戶共用物理資源，多個租戶的服務可能運行在一個計算節(jié)點上，租戶間沒有物理上的明確邊界。再次，企業(yè)的Wi-Fi接入、咖啡館熱點接入、機場熱點接入、家庭接入都存在眾多的“最后一公里”網(wǎng)絡，有眾多的數(shù)據(jù)中心和應用程序網(wǎng)絡接口，沒有明確的安全邊界，造成信任缺失。

安全問題泛在化與安全邊界模糊化是扁平化趨勢帶來的新的安全課題，在安全架構(gòu)的構(gòu)建中，需要重點考慮這兩方面的問題。

4.2安全技術(shù)發(fā)展趨勢

4.2.1 利用SDN架構(gòu)特性解決安全

問題

SDN本身會引入一些安全問題，但同時也可以借助SDN架構(gòu)解決安全問題：

·SDN能夠基于流模式提供端到端、面向業(yè)務的連接模型，并且不受到傳統(tǒng)路由的約束，可以實現(xiàn)基于流的控制。

·集中控制的特點有助于建立全網(wǎng)視野，可以在整網(wǎng)監(jiān)控威脅。

·安全策略的粒度管理可以基于應用、服務、組織、地域等，不取決于物理配置。

·基于資源的安全策略可以緊湊地實現(xiàn)多種威脅的防御措施，增強管理。

·通過編排可以動態(tài)、靈活地調(diào)整安全策略。

·靈活的路徑管理，快速封裝以及隔離入侵可以不沖擊到其他網(wǎng)絡用戶。

4.2.2 利用大數(shù)據(jù)特性解決安全問題

可以借助大數(shù)據(jù)的特性解決扁平化趨勢下的安全問題：

·網(wǎng)絡吞吐的倍增以及攻擊的泛在化，導致攻擊數(shù)據(jù)隱蔽在海量業(yè)務數(shù)據(jù)中，這極易觸及安全設備的性能瓶頸，因此有必要引入大數(shù)據(jù)分析方法。

·可以基于大數(shù)據(jù)分析方法進行安全管理平臺（SOC）的海量系統(tǒng)日志分析，netflow/IPfix流量分析、安全策略分析、審計分析。

·傳統(tǒng)的安全防護手段如深度包檢測（DPI）、深度/動態(tài)流檢測（DFI）、入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、防病毒等都是基于特定規(guī)則進行匹配運算，符合大數(shù)據(jù)處理特性。

·攻擊手段的隱蔽化，尤其是APT攻擊的發(fā)展，使得單個安全設備僅能獲取部分攻擊片段而防護失效，大數(shù)據(jù)技術(shù)可以匯總完整的攻擊數(shù)據(jù)從而進行綜合分析。

4.2.3 軟件定義邊界

如圖2所示，軟件定義邊界（SDP）通過利用云計算，在任何IP可尋址實體間創(chuàng)建高度安全的、終端到終端網(wǎng)絡，緩解可訪問的互聯(lián)網(wǎng)應用程序的風險，在連接網(wǎng)絡前對設備和用戶進行身份驗證。endprint

SDP采用機密網(wǎng)絡模型來保護應用程序，傳統(tǒng)邊界已經(jīng)迅速成為設備在網(wǎng)絡內(nèi)部移動以及應用程序從網(wǎng)絡邊界遷移到云計算的障礙。通常在機密或高度安全網(wǎng)絡，每臺服務器被隱藏在遠程接入網(wǎng)關后面，用戶在查看和訪問授權(quán)服務之前必須進行身份驗證。

SDP保留了“需要知道”模型的優(yōu)勢，同時消除了對遠程訪問網(wǎng)關設備的缺點，SDP要求端點在獲取對受保護的服務器的網(wǎng)絡訪問之前，必須進行身份驗證以及獲得授權(quán)，然后在請求系統(tǒng)和應用程序基礎設施之間會實時創(chuàng)建加密連接。請求系統(tǒng)可以是移動設備，如智能手機、計算機或者傳感器。

SDP采用了標準安全工具，如公鑰基礎設施、可信分層安全、IPsec和安全斷言標記語言（SAML）以及地理位置等概念，來實現(xiàn)任何設備到任何基礎設施的連接。SDP外圍可以部署在任何位置，例如互聯(lián)網(wǎng)、云計算中、托管中心、企業(yè)私有網(wǎng)絡中，也可以跨網(wǎng)絡部署。

4.2.4 構(gòu)建可信體系

傳統(tǒng)的安全解決思路立足于防，防火墻、IDS/IPS和AV構(gòu)成了傳統(tǒng)信息安全系統(tǒng)，并且以防外為重點，在物理邊界上對非法用戶和越權(quán)訪問進行封堵，捕捉攻擊和入侵的特征信息。由于其特征是已發(fā)生過的滯后信息，這樣導致防總是落后于攻，也不能根據(jù)已有的可疑特征預測未來的攻擊和入侵。

有別于傳統(tǒng)的安全技術(shù)，可信體系的思路是消除惡意代碼、病毒等攻擊行為的作用空間?？尚偶夹g(shù)的根本機制如圖3所示。

如圖3所示，在系統(tǒng)啟動過程中，有兩個流按序串行進行：度量流和執(zhí)行流。這兩個流遵循先度量后執(zhí)行的原則，保證了下一步執(zhí)行的執(zhí)行體是經(jīng)過嚴格度量的可信任實體。

可信體系由可信計算、可信存儲、可信網(wǎng)絡組成，并且在單個系統(tǒng)啟動過程中進行逐級驗證，形成網(wǎng)絡中一個可信節(jié)點，與其他可信節(jié)點之間形成一個可信網(wǎng)絡，從根本上提高整個系統(tǒng)的安全性。其中可信存儲框架由TCG/T10/T13定義。

5 結(jié)束語

當前，對于物理設備、網(wǎng)絡部署以及流程管理的扁平化，無論是理念還是技術(shù)，都已經(jīng)具備實現(xiàn)的可行性。未來，M-ICT時代將是一個全面扁平化的時代，是一個端到端效率極大提升的時代。

參考文獻

[1] 騰訊云：服務器資源池化技術(shù)發(fā)展趨勢[EB/OL].http：//www.cctime.com/html/2015-4-22/20154221716419323.htm

[2] Software Defined Perimeter Working Group.SDP Specification 1.0[S]endprint