一种安全服务交付方法及系统

本发明涉及信息安全技术领域，特别涉及一种安全服务交付方法及系统。

随着信息时代的快速发展，云服务系统上存储的数据量越来越大，与此同时，云服 务系统的信息安全性受到越来越多的重视。为了提高云服务系统的信息安全，目前已有云 服务供应商创建了云安全服务平台(即CSSP，Cloud Security Service Platform)，通过上 述云安全服务平台，可以为云服务租户提供服务化的安全交付平台，以提升租户的个人信 息安全性。

然而，目前不同类型的租户在向云安全服务平台申请安全服务时，所获取到的安 全服务都是一样的，这样一方面会导致某些租户最终所获取到的安全服务超过了其真正需 要的安全服务水平，从而造成浪费现象，而另外一方面则会导致某些租户最终所获取到的 安全服务无法真正满足其对安全服务的实际需求，从而给租户造成了潜在的信息安全风 险。

有鉴于此，本发明的目的在于提供一种安全服务交付方法及系统，能够为租户提 供与其自身实际应用需要相匹配的安全服务。其具体方案如下：

一种安全服务交付方法，包括：

获取安全服务包申请单；

根据所述安全服务包申请单，在云安全服务平台上创建相应的安全服务包，得到 目标安全服务包；

对所述目标安全服务包所需的安全组件进行编排，得到相应的安全服务链；

创建与所述安全服务链对应的安全虚拟机，以利用所述安全虚拟机为租户提供相 应的安全服务。

可选的，所述获取安全服务包申请单的过程，包括：

获取租户根据自身的应用场景需求选取的安全服务包申请单。

可选的，所述获取安全服务包申请单的过程，包括：

获取预先内置的安全服务包申请单。

可选的，在所述云安全服务平台上所创建的安全服务包，包括安全接入服务包和/ 或运维审计服务包和/或网站安全场景服务包和/或检测类服务包和/或安全运营服务包 和/或应用交付服务包。

可选的，所述网站安全场景服务包，包括基础防御服务包和/或Web安全增强服务 包；

所述检测类服务包，包括失控主机发现服务包和/或数据库审计服务包和/或云端 监测服务包。

可选的，所述对所述目标安全服务包所需的安全组件进行编排，得到相应的安全 服务链的过程，包括：

确定所述目标安全服务包所需的所有安全组件，得到目标组件集合；

根据所述目标安全服务包，确定所述目标组件集合对应的组件连接顺序；

根据所述组件连接顺序，对所述目标组件集合中的安全组件之间的数据流传输通 道进行依序搭建，得到所述安全服务链。

可选的，所述根据所述组件连接顺序，对所述目标组件集合中的安全组件之间的 数据流传输通道进行依序搭建，得到所述安全服务链的过程，包括：

确定出所述目标组件集合中每个安全组件所在的区域位置；

通过策略路由回注技术并根据所述组件连接顺序将数据流量相应地引流至所述 目标组件集合中每个安全组件所在的区域位置的方式，对所述目标组件集合中的安全组件 之间的数据流传输通道进行依序搭建，相应地得到所述安全服务链。

可选的，所述方法，还包括：

确定出目标云的所有用户各自所对应的应用场景，得到相应的应用场景集合；

确定与所述应用场景集合中的每个应用场景对应的安全服务包，得到相应的目标 安全服务包集合；

根据与所述目标安全服务包集合中的每个安全服务包对应的安全服务链，构建与 每个安全服务链对应的安全网络拓扑线路，得到与所述目标云对应的安全网络拓扑图。

本发明还相应公开了一种安全服务交付系统，包括：

申请单获取模块，用于获取安全服务包申请单；

服务包创建模块，用于根据所述安全服务包申请单，在云安全服务平台上创建相 应的安全服务包，得到目标安全服务包；

组件编排模块，用于对所述目标安全服务包所需的安全组件进行编排得到相应的 安全服务链；

虚拟机创建模块，用于创建与所述安全服务链对应的安全虚拟机，以利用所述安 全虚拟机为租户提供相应的安全服务。

可选的，所述申请单获取模块，具体用于获取租户根据自身的应用场景需求选取 的安全服务包申请单。

可选的，所述申请单获取模块，具体用于获取预先内置的安全服务包申请单。

可选的，在所述云安全服务平台上所创建的安全服务包，包括安全接入服务包和/ 或运维审计服务包和/或网站安全场景服务包和/或检测类服务包和/或安全运营服务包 和/或应用交付服务包。

可选的，所述网站安全场景服务包，包括基础防御服务包和/或Web安全增强服务 包；

所述检测类服务包，包括失控主机发现服务包和/或数据库审计服务包和/或云端 监测服务包。

可选的，所述组件编排模块，包括：

组件确定子模块，用于确定所述目标安全服务包所需的所有安全组件，得到目标 组件集合；

顺序确定子模块，用于根据所述目标安全服务包，确定所述目标组件集合对应的 组件连接顺序；

通道搭建子模块，用于根据所述组件连接顺序，对所述目标组件集合中的安全组 件之间的数据流传输通道进行依序搭建，得到所述安全服务链。

可选的，所述通道搭建子模块，包括：

区域位置确定单元，用于确定出所述目标组件集合中每个安全组件所在的区域位 置；

数据引流单元，用于通过策略路由回注技术并根据所述组件连接顺序将数据流量 相应地引流至所述目标组件集合中每个安全组件所在的区域位置的方式，对所述目标组件 集合中的安全组件之间的数据流传输通道进行依序搭建，相应地得到所述安全服务链。

可选的，所述系统，还包括：

应用场景确定模块，用于确定出目标云的所有用户各自所对应的应用场景，得到 相应的应用场景集合；

服务包确定模块，用于确定与所述应用场景集合中的每个应用场景对应的安全服 务包，得到相应的目标安全服务包集合；

拓扑图构建模块，用于根据与所述目标安全服务包集合中的每个安全服务包对应 的安全服务链，构建与每个安全服务链对应的安全网络拓扑线路，得到与所述目标云对应 的安全网络拓扑图。

本发明中，安全服务交付方法，包括：获取安全服务包申请单；根据安全服务包申 请单，在云安全服务平台上创建相应的安全服务包，得到目标安全服务包；对目标安全服务 包所需的安全组件进行编排，得到相应的安全服务链；创建与安全服务链对应的安全虚拟 机，以利用安全虚拟机为租户提供相应的安全服务。

可见，本发明在为租户提供安全服务之前，先获取安全服务包申请单，然后根据该 申请单创建相应的安全服务包、编排相应的安全组件，从而得到相应的安全服务链，由此可 见，本发明最终创建的安全服务链与起初获取到的安全服务包的申请单是对应的，这样使 得基于上述安全服务链创建的安全虚拟机能够恰好满足租户对安全服务的实际需求，也 即，本发明实现了为租户提供与其自身实际需求相适应的安全服务的目的，避免了供应与 实际需求不匹配的情况出现。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本 发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据 提供的附图获得其他的附图。

图1为本发明实施例公开的一种安全服务交付方法流程图；

图2为本发明实施例公开的一种具体的安全服务交付方法流程图；

图3为本发明实施例公开的一种安全服务交付时序图；

图4为本发明实施例公开的另一种具体的安全服务交付方法流程图；

图5为本发明实施例公开的安全服务包示意图；

图6为本发明实施例公开的一种具体的安全服务交付方法流程图；

图7为本发明实施例公开的一种安全服务编排示意图；

图8为本发明实施例公开的一种安全网络拓扑图；

图9为本发明实施例公开的一种安全服务交付系统结构示意图；

图10为本发明实施例公开的一种具体的安全服务交付系统结构示意图；

图11为本发明实施例公开的另一种具体的安全服务交付系统结构示意图。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完 整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于 本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例，都属于本发明保护的范围。

本发明实施例公开了一种安全服务交付方法，参见图1所示，该方法包括：

步骤S11：获取安全服务包申请单。

可以理解的是，本实施例中的安全服务包申请单可以是针对一个安全服务包的申 请单，也可以是针对多个安全服务包的申请单。

步骤S12：根据安全服务包申请单，在云安全服务平台上创建相应的安全服务包， 得到目标安全服务包。

本实施例中，上述目标安全服务包中可以包括与上述安全服务包申请单对应的一 个或多个安全服务包。

步骤S13：对目标安全服务包所需的安全组件进行编排，得到相应的安全服务链。

需要说明的是，本实施例中，不同的安全服务包各自所需的安全组件会有所不同， 不同的安全组件可以为数据流提供不同的安全服务。本实施例对上述目标安全服务包所需 的安全组件进行了编排，由此后续便可按照编排顺序将数据流相应地引流至不同的安全组 件中，从而实现对数据流的多层次有序的个性化安全服务。由此可见，本实施例中对安全组 件进行编排的本质便是对安全服务的编排。

本实施例中，安全服务包所需的安全组件包括但不限于深信服开发的vNGAF(即 Virtual Next Generation Application Firewall)[如IPS(即Intrusion Prevention System)、AV(即Anti Virus)、WAF(即Web Application Firewall)、UTM(即Unified Threat Management)等]、vSSL(即Virtual Secure Sockets Layer)、vAD(即Virtual Application Delivery)、vDAS(即Virtual Database Audit System)、防篡改、漏洞扫描、堡垒机等。

步骤S14：创建与安全服务链对应的安全虚拟机，以利用安全虚拟机为租户提供相 应的安全服务。

具体的，本实施例可以为上述安全服务链中的每个安全组件均创建一个独立的安 全虚拟机，从而得到与上述安全服务链对应的多个安全虚拟机，这种情况下得到的安全虚 拟机可以为租户提供与一个安全组件相对应的安全服务。当然，本实施例也可以为上述安 全服务链中的多个安全组件创建相应的安全虚拟机，甚至可以为上述安全服务链中的所有 安全组件创建一个安全虚拟机，这样，在最终创建得到的与上述安全服务链对应的安全虚 拟机中，每台安全虚拟机可以与上述安全服务链中的多个安全组件相对应，这样意味着每 台安全虚拟机可以为租户提供与多个安全组件相对应的安全服务。

例如，假设上述安全服务链中包含5个已经编排好的安全组件，则可以为上述5个 安全组件中的每个安全组件均创建一个独立的安全虚拟机，从而得到相应的5台安全虚拟 机；当然，也可以只为上述5个安全组件创建一台安全虚拟机，以利用这台安全虚拟机为租 户提供与上述5个安全组件对应的安全服务；另外，本实施例也可以为上述5个安全组件创 建2台安全虚拟机，其中一台安全虚拟机可为租户提供与上述5个安全组件中的3个安全组 件相对应的安全服务，另一台安全虚拟机则可为租户提供与另外2个安全组件相应的安全 服务。

可以理解的是，本实施例在利用上述安全虚拟机在为租户提供安全服务之前，还 需要在安全虚拟机中创建与上述目标安全服务包相对应的安全策略，这样安全虚拟机便可 为租户提供相应的安全服务。

可见，本发明实施例在为租户提供安全服务之前，先获取安全服务包申请单，然后 根据该申请单创建相应的安全服务包、编排相应的安全组件，从而得到相应的安全服务链， 由此可见，本发明最终创建的安全服务链与起初获取到的安全服务包的申请单是对应的， 这样使得基于上述安全服务链创建的安全虚拟机能够恰好满足租户对安全服务的实际需 求，也即，本发明实施例实现了为租户提供与其自身实际需求相适应的安全服务的目的，避 免了供应与实际需求不匹配的情况出现。

参见图2所示，本发明实施例公开了一种具体的安全服务交付方法，包括以下步 骤：

步骤S21：获取租户根据自身的应用场景需求选取的安全服务包申请单。

具体的，本实施例可以在租户提交上述安全服务包申请单之前，先将所有可供租 户选择的安全服务包的相关信息展示给租户，例如，先把租户可以选择的安全服务包的名 称、类型、应用场景、优缺点、费用成本等相关信息呈现给租户，在此基础上，再获取租户根 据自身的实际应用场景需要提交的有关安全服务包的申请单。

步骤S22：根据安全服务包申请单，在云安全服务平台上创建相应的安全服务包， 得到目标安全服务包。

具体的，可以通过运营方审核的方式，先对上述安全服务包申请单进行审核，如果 审核通过，将可允许在CSSP平台上创建相应的安全服务包，如果审核未通过，则不允许在 CSSP平台上创建相应的安全服务包，此时租户可以重新提交安全服务包申请单，直到审核 通过或者提交次数达到预设次数阈值为止。

本实施例中，在云安全服务平台上所创建的安全服务包，具体可以包括但不限于 安全接入服务包和/或运维审计服务包和/或网站安全场景服务包和/或检测类服务包和/ 或安全运营服务包和/或应用交付服务包。

具体的，本实施例可以预先创建一个安全服务包数据库，该数据库中可以包括所 有可供租户选择购买的安全服务包，例如可以包括上述安全接入服务包、运维审计服务包、 网站安全场景服务包、检测类服务包、安全运营服务包以及应用交付服务包。在获取到租户 提供的安全服务包申请单之后，本实施例将可以从上述安全服务包数据库中挑选出与上述 申请单相对应的安全服务包，并将挑选出的安全服务包添加至上述云安全服务平台，从而 达到在云安全服务平台上创建与上述申请单相对应的安全服务包的目的。

其中，上述网站安全场景服务包，具体可以包括但不限于基础防御服务包和/或 Web安全增强服务包。上述检测类服务包，具体可以包括但不限于失控主机发现服务包和/ 或数据库审计服务包和/或云端监测服务包。

需要进一步说明的是，上述安全接入服务包，具体可提供IPSEC(即Internet Protocol Security)、VPN(Virtual Private Network)、SSL VPN(SSL，即Secure Sockets Layer)等安全接入服务。上述运维审计服务包，具体可提供针对租户虚拟机的运维审计服 务。上述基础防御服务包，具体可提供应用控制、FW(即Firewall)、AV、IPS等防御服务。上述 Web安全增强服务包，具体可提供WAF、防篡改、数据防泄密等服务。上述失控主机发现服务 包，具体可提供异常行为检测、发现已被黑客控制虚拟机的服务。上述数据库审计服务包， 具体可提供针对租户数据库审计服务。上述云端监测服务包，具体可提供针对租户Web业务 的安全监测服务。上述安全运营服务包，具体可提供针对租户Web业务的安全运营服务。上 述应用交付服务包，具体可提供针对租户业务系统的应用负载均衡服务。

步骤S23：确定目标安全服务包所需的所有安全组件，得到目标组件集合。

步骤S24：根据目标安全服务包，确定目标组件集合对应的组件连接顺序。

步骤S25：根据组件连接顺序，对目标组件集合中的安全组件之间的数据流传输通 道进行依序搭建，得到安全服务链。

由上可见，本发明实施例在得到上述目标安全服务包之后，将会创建相应的安全 服务链，具体的过程是先确定与目标安全服务包对应的目标组件集合以及与上述目标组件 集合对应的组件连接顺序，然后根据上述组件连接顺序在安全组件之间依序搭建数据流传 输通道，从而得到相应的安全服务链。可以理解的是，上述数据流传输通道起到将数据流从 一个安全组件传输至另一个安全组件的作用，这样意味着在某个安全组件内部为数据流提 供某种安全服务之后，将会在另一个安全组件内部为该数据流提供另一种安全服务。

具体的，上述步骤S25中，根据组件连接顺序，对目标组件集合中的安全组件之间 的数据流传输通道进行依序搭建，得到安全服务链的过程，可以包括以下步骤：

确定出目标组件集合中每个安全组件所在的区域位置，然后通过策略路由回注技 术并根据组件连接顺序将数据流量相应地引流至目标组件集合中每个安全组件所在的区 域位置的方式，对目标组件集合中的安全组件之间的数据流传输通道进行依序搭建，相应 地得到安全服务链。

也即，本实施例具体可以通过策略路由回注技术对数据流量进行引流处理，以此 实现对安全组件之间的数据流传输通道进行依序搭建的目的。

步骤S26：创建与安全服务链对应的安全虚拟机，以利用安全虚拟机为租户提供相 应的安全服务。

关于上述创建安全虚拟机的具体过程可以参考前述实施例中公开的相应内容，在 此不再进行赘述。

进一步的，本发明实施例还可以包括：为租户提供相应的账号信息，以便租户通过 账号信息登录CSSP租户侧客户端，然后在CSSP租户侧客户端上管理运营相应的安全服务。 可以理解的是，上述账号信息的有效期与租户实际支付的费用呈正相关关系。

另外，需要进一步说明的是，在上述获取到安全服务包申请单、创建安全服务包、 编排安全组件、创建安全虚拟机等各个步骤完成之后，均可以向上一级发送相应的反馈信 息，以通知上一级相应步骤的处理结果。图3为本发明实施例公开的一种安全服务交付时序 图，该图3示出了租户方、运营方、CSSP平台、服务编排器、安全虚拟机之间的处理流程以及 信息反馈过程。

由上可知，与租户的应用场景需求对应的安全服务包中可以融合多种安全组件， 通过多种安全组件之间的相互协调调用，可以达到1+1大于2的效果。例如，当云端扫描出来 0day的漏洞，CSSP平台就可以在vAF上开启对应的WAF和IPS的策略。另外，当AF发现失陷主 机和僵尸网络，可以直接在安全虚拟机上进行杀毒和webshell查杀，从而协助租户从云端 到云平台边界，再到服务器终端建立了一套紧密无缝的安全防御体系。其中，上述webshell 是以asp(即Active Server Pages)、php(即PHP:Hypertext Preprocessor)、jsp(即Java Server Pages)或者cgi(即Common Gateway Interface)等文件形式存在的一种命令执行 环境，也可以称做是一种网页后门。

参见图4所示，本发明实施例公开了另一种具体的安全服务交付方法，包括以下步 骤：

步骤S31：获取预先内置的安全服务包申请单。

本实施例中，上述预先内置的安全服务包申请单可以预先保存在申请单数据库 中，其中，上述申请单数据库中预先保存有能够覆盖租户大部分应用场景需求的安全服务 包申请单，也即，上述申请单数据库中的每一份安全服务包申请单所对应的安全服务均能 满足租户的一种特定应用场景需求。可以理解的是，上述申请单数据库具体可以是由运营 方根据当前市场上大部分租户的较为典型的应用场景需求，创建相应的申请单并保存后得 到的。

步骤S32：根据安全服务包申请单，在云安全服务平台上创建相应的安全服务包， 得到目标安全服务包。

根据上述内容以及前述实施例中公开的内容可知，本发明可以通过租户根据自身 实际需求来进行选取的方式或者通过预先内置的方式来确定出相应的安全服务包。

图5为本发明实施例中公开的安全服务包示意图，从图5中可以看出，第一，“安全 接入场景”服务包现在已经内置了“安全接入服务包”，可提供IPSEC VPN、SSL VPN等安全接 入服务，同时对有堡垒机需求的租户，提供“运维审计服务包”，可提供针对租户虚机的运维 审计服务。两种服务包可以叠加使用，效果更好。第二，“网站安全场景”的服务包从低到高 提供了“基础防御服务包”、“Web安全增强服务包”，前者可提供应用控制、FW(防火墙)、AV、 IPS等防御功能；后者可提供WAF、网站防篡改、数据防泄密等服务。并且两者可以叠加使用， 效果更好。第三，同时可以为“网站安全场景”提供几类检测性服务包，如“失控主机发现服 务包”、“数据库审计服务包”和“云端监测服务包”。其中，“失控主机发现服务包”可提供通 过检测异常行为来发现已被黑客控制虚拟机的服务；“数据库审计服务包”可提供针对租户 数据库的审计服务；“云端监测服务包”可提供针对租户Web业务的安全监测服务。这三类服 务包也可和“基础防御服务包”、“Web安全增强服务包”叠加使用。第四，本实施例还提供“安 全运营服务包”，用于提供针对租户Web业务的安全运营服务。第五，在租户的“业务发布场 景”中，提供了“应用交付服务包”，可用于提供针对租户业务系统的应用负载均衡服务。

步骤S33：确定目标安全服务包所需的所有安全组件，得到目标组件集合。

步骤S34：根据目标安全服务包，确定目标组件集合对应的组件连接顺序。

步骤S35：确定出目标组件集合中每个安全组件所在的区域位置。

步骤S36：通过策略路由回注技术并根据组件连接顺序将数据流量相应地引流至 目标组件集合中每个安全组件所在的区域位置的方式，对目标组件集合中的安全组件之间 的数据流传输通道进行依序搭建，相应地得到安全服务链。

步骤S37：创建与安全服务链对应的安全虚拟机，以利用安全虚拟机为租户提供相 应的安全服务。

关于上述步骤S32至S37的具体过程可以参考前述实施例中公开的相应内容，在此 不再进行赘述。

在前述实施例的基础上，参见图6所示，本发明实施例中的安全服务交付方法，还 可以进一步包括以下步骤：

步骤S401：确定出目标云的所有用户各自所对应的应用场景，得到相应的应用场 景集合；

步骤S402：确定与应用场景集合中的每个应用场景对应的安全服务包，得到相应 的目标安全服务包集合；

步骤S403：根据与目标安全服务包集合中的每个安全服务包对应的安全服务链。

图7为本发明实施例中公开的一种安全服务编排示意图，对于政府云而言，通常涉 及以下三种用户，分别是政府人员、运维人员以及互联网访问人员，基于上述三种人各自 所对应的应用场景，可以确定出与每种应用场景相对应的安全服务包，进而可以确定出与 每种应用场景相对应的安全服务链。对政府办公OA系统来说，用户为政府人员，本实施例可 以创建如下安全服务链：Internet→vNGAF→vSSL→vNGAF→数据库审计；对政务云运维系 统来说，用户是运维人员，本实施例可以创建如下安全服务链：Internet→vNGAF→vSSL→ vNGAF→堡垒机；对政府门户网站来说，用户是普通的互联网访问人员，本实施例可以创建 如下安全服务链：Internet→vNGAF→漏洞扫描→vAD→数据库审计→防篡改。本实施例中， 在对安全组件进行编排时，可以通过策略路由回注技术，将数据流按需引流至各个服务区 域中相应的服务节点，如审计区域中的“数据库审计”和“堡垒机”、代理区域中的vAD和 vSSL，以及安全区域中的“漏洞扫描”以及vNGAF。

步骤S404：构建与每个安全服务链对应的安全网络拓扑线路，得到与目标云对应 的安全网络拓扑图。

图8中便示出了一种安全网络拓扑图。通过上述步骤S404，本实施例可以在交付安 全服务时，可全自动地构建出与特定的云系统对应的适用于安全服务包的拓扑图，而无需 手动去构造拓扑。

相应的，本发明实施例还公开了一种安全服务交付系统，参见图9所示，该系统包 括：

申请单获取模块11，用于获取安全服务包申请单；

服务包创建模块12，用于根据安全服务包申请单，在云安全服务平台上创建相应 的安全服务包，得到目标安全服务包；

组件编排模块13，用于对目标安全服务包所需的安全组件进行编排得到相应的安 全服务链；

虚拟机创建模块14，用于创建与安全服务链对应的安全虚拟机，以利用安全虚拟 机为租户提供相应的安全服务。

可以理解的是，本实施例中的安全服务包申请单可以是针对一个安全服务包的申 请单，也可以是针对多个安全服务包的申请单。

本实施例中，上述目标安全服务包中可以包括与上述安全服务包申请单对应的一 个或多个安全服务包。

需要说明的是，本实施例中，不同的安全服务包各自所需的安全组件会有所不同， 不同的安全组件可以为数据流提供不同的安全服务。本实施例对上述目标安全服务包所需 的安全组件进行了编排，由此后续便可按照编排顺序将数据流相应地引流至不同的安全组 件中，从而实现对数据流的多层次有序的个性化安全服务。由此可见，本实施例中对安全组 件进行编排的本质便是对安全服务的编排。

本实施例中，安全服务包所需的安全组件包括但不限于深信服开发的vNGAF[如 IPS、AV、WAF、UTM等]、vSSL、vAD、vDAS、防篡改、漏洞扫描、堡垒机等。

本实施例中，上述虚拟机创建模块14可以为上述安全服务链中的每个安全组件均 创建一个独立的安全虚拟机，从而得到与上述安全服务链对应的多个安全虚拟机，这种情 况下得到的安全虚拟机可以为租户提供与一个安全组件相对应的安全服务。当然，本实施 例中的虚拟机创建模块14也可以为上述安全服务链中的多个安全组件创建相应的安全虚 拟机，甚至可以为上述安全服务链中的所有安全组件创建一个安全虚拟机，这样，在最终创 建得到的与上述安全服务链对应的安全虚拟机中，每台安全虚拟机可以与上述安全服务链 中的多个安全组件相对应，这样意味着每台安全虚拟机可以为租户提供与多个安全组件相 对应的安全服务。

可以理解的是，本实施例在利用上述安全虚拟机在为租户提供安全服务之前，还 需要在安全虚拟机中创建与上述目标安全服务包相对应的安全策略，这样安全虚拟机便可 为租户提供相应的安全服务。

可见，本发明在为租户提供安全服务之前，先获取安全服务包申请单，然后根据该 申请单创建相应的安全服务包、编排相应的安全组件，从而得到相应的安全服务链，由此可 见，本发明最终创建的安全服务链与起初获取到的安全服务包的申请单是对应的，这样使 得基于上述安全服务链创建的安全虚拟机能够恰好满足租户对安全服务的实际需求，也 即，本发明实现了为租户提供与其自身实际需求相适应的安全服务的目的，避免了供应与 实际需求不匹配的情况出现。

参见图10所示，本发明实施例公开了一种具体的安全服务交付系统，包括以下模 块：

申请单获取模块21，用于获取安全服务包申请单。

在一种具体实施方式，上述申请单获取模块21，具体可以用于获取租户根据自身 的应用场景需求选取的安全服务包申请单。

具体的，本实施例中的申请单获取模块21可以在租户提交上述安全服务包申请单 之前，先将所有可供租户选择的安全服务包的相关信息展示给租户，例如，先把租户可以选 择的安全服务包的名称、类型、应用场景、优缺点、费用成本等相关信息呈现给租户，在此基 础上，再获取租户根据自身的实际应用场景需要提交的有关安全服务包的申请单。

在另一种具体实施方式中，上述申请单获取模块22，具体可以用于获取预先内置 的安全服务包申请单。

本实施例中，上述预先内置的安全服务包申请单可以预先保存在申请单数据库 中，其中，上述申请单数据库中预先保存有能够覆盖租户大部分应用场景需求的安全服务 包申请单，也即，上述申请单数据库中的每一份安全服务包申请单所对应的安全服务均能 满足租户的一种特定应用场景需求。可以理解的是，上述申请单数据库具体可以是由运营 方根据当前市场上大部分租户的较为典型的应用场景需求，创建相应的申请单并保存后得 到的。

服务包创建模块22，用于根据安全服务包申请单，在云安全服务平台上创建相应 的安全服务包，得到目标安全服务包。

具体的，上述服务包创建模块22可以通过运营方审核的方式，先对上述安全服务 包申请单进行审核，如果审核通过，将可允许在CSSP平台上创建相应的安全服务包，如果审 核未通过，则不允许在CSSP平台上创建相应的安全服务包，此时租户可以重新提交安全服 务包申请单，直到审核通过或者提交次数达到预设次数阈值为止。

本实施例中，在云安全服务平台上所创建的安全服务包，具体可以包括但不限于 安全接入服务包和/或运维审计服务包和/或网站安全场景服务包和/或检测类服务包和/ 或安全运营服务包和/或应用交付服务包。

具体的，本实施例可以预先创建一个安全服务包数据库，该数据库中可以包括所 有可供租户选择购买的安全服务包，例如可以包括上述安全接入服务包、运维审计服务包、 网站安全场景服务包、检测类服务包、安全运营服务包以及应用交付服务包。在获取到租户 提供的安全服务包申请单之后，本实施例将可以从上述安全服务包数据库中挑选出与上述 申请单相对应的安全服务包，并将挑选出的安全服务包添加至上述云安全服务平台，从而 达到在云安全服务平台上创建与上述申请单相对应的安全服务包的目的。

其中，上述网站安全场景服务包，具体可以包括但不限于基础防御服务包和/或 Web安全增强服务包。上述检测类服务包，具体可以包括但不限于失控主机发现服务包和/ 或数据库审计服务包和/或云端监测服务包。

需要进一步说明的是，上述安全接入服务包，具体可提供IPSEC、VPN、SSL VPN等安 全接入服务。上述运维审计服务包，具体可提供针对租户虚拟机的运维审计服务。上述基础 防御服务包，具体可提供应用控制、FW、AV、IPS等防御服务。上述Web安全增强服务包，具体 可提供WAF、防篡改、数据防泄密等服务。上述失控主机发现服务包，具体可提供异常行为检 测、发现已被黑客控制虚拟机的服务。上述数据库审计服务包，具体可提供针对租户数据库 审计服务。上述云端监测服务包，具体可提供针对租户Web业务的安全监测服务。上述安全 运营服务包，具体可提供针对租户Web业务的安全运营服务。上述应用交付服务包，具体可 提供针对租户业务系统的应用负载均衡服务。

组件编排模块23，用于对目标安全服务包所需的安全组件进行编排得到相应的安 全服务链。

虚拟机创建模块24，用于创建与安全服务链对应的安全虚拟机，以利用安全虚拟 机为租户提供相应的安全服务。

其中，上述组件编排模块23，具体可以包括以下子模块：

组件确定子模块231，用于确定目标安全服务包所需的所有安全组件，得到目标组 件集合；

顺序确定子模块232，用于根据目标安全服务包，确定目标组件集合对应的组件连 接顺序；

通道搭建子模块233，用于根据组件连接顺序，对目标组件集合中的安全组件之间 的数据流传输通道进行依序搭建，得到安全服务链。

由上可见，本发明实施例在得到上述目标安全服务包之后，将会利用上述组件编 排模块23创建相应的安全服务链，具体的过程是先确定与目标安全服务包对应的目标组件 集合以及与上述目标组件集合对应的组件连接顺序，然后根据上述组件连接顺序在安全组 件之间依序搭建数据流传输通道，从而得到相应的安全服务链。可以理解的是，上述数据流 传输通道起到将数据流从一个安全组件传输至另一个安全组件的作用，这样意味着在某个 安全组件内部为数据流提供某种安全服务之后，将会在另一个安全组件内部为该数据流提 供另一种安全服务。

具体的，上述通道搭建子模块233，可以包括如下单元：

区域位置确定单元2331，用于确定出目标组件集合中每个安全组件所在的区域位 置；

数据引流单元2332，用于通过策略路由回注技术并根据组件连接顺序将数据流量 相应地引流至目标组件集合中每个安全组件所在的区域位置的方式，对目标组件集合中的 安全组件之间的数据流传输通道进行依序搭建，相应地得到安全服务链。

进一步的，本发明实施例中的安全服务交付系统还可以包括：账号信息提供模块， 用于为租户提供相应的账号信息，以便租户通过账号信息登录CSSP租户侧客户端，然后在 CSSP租户侧客户端上管理运营相应的安全服务。可以理解的是，上述账号信息的有效期与 租户实际支付的费用呈正相关关系。

在前述实施例的基础上，参见图11所示，本发明实施例中的安全服务交付系统，还 可以进一步包括：

应用场景确定模块31，用于确定出目标云的所有用户各自所对应的应用场景，得 到相应的应用场景集合；

服务包确定模块32，用于确定与应用场景集合中的每个应用场景对应的安全服务 包，得到相应的目标安全服务包集合；

拓扑图构建模块33，用于根据与目标安全服务包集合中的每个安全服务包对应的 安全服务链，构建与每个安全服务链对应的安全网络拓扑线路，得到与目标云对应的安全 网络拓扑图。

例如，对于政府云而言，通常涉及以下三种用户，分别是政府人员、运维人员以及 互联网访问人员，基于上述三种人各自所对应的应用场景，可以确定出与每种应用场景 相对应的安全服务包，进而可以确定出与每种应用场景相对应的安全服务链。对政府办公 OA系统来说，用户为政府人员，本实施例可以创建如下安全服务链：Internet→vNGAF→ vSSL→vNGAF→数据库审计；对政务云运维系统来说，用户是运维人员，本实施例可以创建 如下安全服务链：Internet→vNGAF→vSSL→vNGAF→堡垒机；对政府门户网站来说，用户是 普通的互联网访问人员，本实施例可以创建如下安全服务链：Internet→vNGAF→漏洞扫描 →vAD→数据库审计→防篡改。本实施例中，在对安全组件进行编排时，可以通过策略路由 回注技术，将数据流按需引流至各个服务区域中相应的服务节点，如审计区域中的“数据库 审计”和“堡垒机”、代理区域中的vAD和vSSL，以及安全区域中的“漏洞扫描”以及vNGAF。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将 一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作 之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意 在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那 些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者 设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排 除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明所提供的一种安全服务交付方法及系统进行了详细介绍，本文中应 用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理 解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在 具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发 明的限制。