本文基于软件定义安全架构,结合SDN/NFV技术,设计并实现了一套安全服务编排系统,旨在解决云计算中心安全运维自动化问题,以期合理地分配安全资源,实现安全服务自动化、高效化和智能化。在工程上,本文实现的安全服务编排系统已在企业内部试运行,其系统组件安全控制器、安全应用商店和虚拟安全设备管理平台都已产品化或用于实际项目中,充分证明了系统的可行性。本文首先从背景入手,介绍课题的意义所在,并从研究现状方面对编排技术进行了调研和分析;然后介绍了本论文使用的核心技术,包括软件定义安全技术、SDN网络技术、NFV虚拟化技术和安全应用商店等;接着介绍了整个系统的设计与开发,主要从应用场景、需求分析、架构设计和架构实现等角度分别介绍了系统的三大核心组件,包括基于AppStore平台扩展开发的编排业务系统、编排引擎和虚拟安全设备管理平台;最后介绍了基于编排系统开发的两个应用编排实例,验证了系统的可行性。本文的创新之处在于搭建了安全服务之间的桥梁,改变了云安全服务的交付模式,从交付单一安全服务转变为交付多个安全服务协同的安全防护方案。交付模式的转变既降低了安全服务的使用门槛,提升了用户体验,又提高了云平台的安全防护效率和资源利用率,降低了云计算厂商的成本。本文的编排系统与软件定义安全技术深度结合,最大化发挥了软件定义安全技术的优势,在数据平面屏蔽了各安全厂商设备之间的差异,弱化了系统底层的复杂技术细节,从而编排引擎可以专注于高层编排逻辑的处理。此外,针对云平台的虚拟化特性,本文设计了 一个虚拟安全设备管理平台,用于实现虚拟安全设备的管理和注册功能,为编排策略的底层实施提供保障。从软件定义安全架构角度来看,虚拟安全设备管理平台也是安全资源池的一种实现方式。本文最后以2016年RSA创新沙盒大赛的冠军产品——Phantom作为参照,和本文系统进行对比,从多方面分析了本文系统的优势和不足。