本發明實施例公開一種安全服務系統及方法，所述系統包括：安全資源池，包括提供安全處理的安全設備，其中，所述安全設備包括提供虛擬化安全功能的虛擬安全設備和/或自身提供安全處理的物理安全設備；安全控制平臺，用于接收用戶需求，根據所述用戶需求，生成安全業務鏈的關聯信息。在本實施例中引入安全控制平臺，將根據用戶需求生成安全業務鏈的關聯信息，通過該關聯信息對對應的業務進行安全控制，這樣利用該安全業務鏈傳輸的數據將通過前述安全資源池的安全設備，實現用戶級別的業務安全性控制。

技術領域

本發明涉及信息技術領域的安全技術，尤其涉及一種安全服務系統及方法。

背景技術

數據中心用于集中存儲數據，形成有一個或多個存儲數據的數據庫。為了實現流量控制和數據的安全管理，會設置軟件定義網絡(Software Defined Network，SDN)控制器實現對流量的調度和集中管理；還會設置虛擬化的安全控制平臺或其他網絡功能虛擬化(Network Function Virtualization，NFV)實體進行安全控制。

然而在使用中發現，現有安全控制平臺對數據庫的安全控制存在以下問題的至少其中之一：

1)有些安全功能只對南北向流量提供安全服務。如分布式拒絕服務(DistributedDenial of Service，DDoS)部署在數據中心入口，只為用戶的租用設備提供了數據中心南北向流量的DDoS防護，并沒有針對該用戶租用的虛擬機是否有遭受內部DDoS攻擊的檢測和保護，即沒有對數據中心內東西向的流量進行檢測和防護。

2)SDN、NFC實體和安全控制平臺之間不存在互動，導致流量以及安全控制等方面的處理出現僵化，靈活性差。

3)無法滿足用戶的個性安全需求。

發明內容

有鑒于此，本發明實施例期望提供一種安全服務系統及方法，至少可用于解決上述一個問題。

為達到上述目的，本發明的技術方案是這樣實現的：

本發明實施例第一方面提供一種安全服務系統，包括：

安全資源池，包括提供安全處理的安全設備；其中，所述安全設備包括提供虛擬化安全功能的虛擬安全設備和/或自身提供安全處理的物理安全設備。

安全控制平臺，用于接收用戶需求，根據所述用戶需求，生成安全業務鏈的關聯信息；其中，所述關聯信息包括屬性信息、配置信息、策略信息及元數據的至少其中之一，用于生成所述安全業務鏈；其中，所述安全業務鏈包括轉發路徑，所述轉發路徑至少經過部分所述安全設備；所述屬性信息用于指示所述安全業務鏈的安全特征和/或使用的安全功能；所述配置信息用于指示所述安全業務鏈的進行安全控制的操作參數；所述策略信息用于生成流分類策略和/或封裝策略；所述流分類策略用于進行業務的分類；所述封裝策略用于進行數據包的封裝；所述元數據為描述所述安全業務鏈傳輸的數據包的信息。

基于上述方案，所述系統還包括：

軟件定義網絡SDN控制器，用于接收所述關聯信息，并根據所述關聯信息確定所述轉發路徑，和/或生成所述流分類策略和/或所述封裝策略，并將所述轉發路徑發送路由節點，和/或，將流分類策略發送給業務分類功能節點，和/或，將所述封裝策略發送給業務轉發功能節點。

基于上述方案，所述SDN控制器，通過北向接口與所述安全控制平臺連接，通過南向接口與所述路由節點、所述業務分類功能節點及所述業務轉發功能節點連接。

基于上述方案，所述安全控制平臺，還用于根據所述關聯信息確定所述轉發路徑，和/或生成所述流分類策略和/或所述封裝策略，并將所述轉發路徑發送路由節點，和/或，將流分類策略發送給業務分類功能節點，和/或，將所述封裝策略發送給業務轉發功能節點。

基于上述方案，所述系統還包括：