云計算下的報業(yè)網(wǎng)絡(luò)安全一體化平臺

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了云計算下的報業(yè)網(wǎng)絡(luò)安全一體化平臺范文，希望能給你帶來靈感和參考，敬請閱讀。

近年來，大眾報業(yè)集團推進以新媒體為重點的深度融合發(fā)展，構(gòu)建全媒網(wǎng)絡(luò)一體化運行體系成為不可或缺的一環(huán)，同時，信息系統(tǒng)的網(wǎng)絡(luò)硬件架構(gòu)有了質(zhì)的變化，面臨著復(fù)雜的網(wǎng)絡(luò)安全風(fēng)險。為適應(yīng)網(wǎng)絡(luò)安全新形勢的需要，2019年國家標(biāo)準化管理委員會了新修訂的《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》，這標(biāo)志著等級保護2.0時代真正來臨。新標(biāo)準更加注重全方位主動防御、動態(tài)防御、整體防控和精準防護，實現(xiàn)了對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和移動互聯(lián)系統(tǒng)等保護對象全覆蓋。

報業(yè)集團網(wǎng)絡(luò)的現(xiàn)狀和問題

目前大眾報業(yè)集團存在四個相對獨立的數(shù)據(jù)中心，分別由大眾日報、山東省互聯(lián)網(wǎng)傳媒集團（簡稱“網(wǎng)媒集團”）、齊魯傳媒、半島傳媒管理，這些數(shù)據(jù)中心均配備相關(guān)的網(wǎng)絡(luò)、計算、存儲等設(shè)施和資源，也各自具有獨立的網(wǎng)絡(luò)安全系統(tǒng)。其中在濟南總部大眾傳媒大廈機房有分別由大眾日報、網(wǎng)媒集團、齊魯傳媒管理的三個數(shù)據(jù)中心，各自接入互聯(lián)網(wǎng)專線，配備不同型號的網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備，承載運行不同的應(yīng)用系統(tǒng)。大眾報業(yè)集團各數(shù)據(jù)中心內(nèi)部已通過VmvareESXi技術(shù)實現(xiàn)服務(wù)器虛擬化，解決了各數(shù)據(jù)中心內(nèi)部所謂“煙囪式”的配置模式，即每個業(yè)務(wù)部門、每種業(yè)務(wù)應(yīng)用都配置專門的硬件設(shè)備，而非一整套管理信息系統(tǒng)解決方案。ESXi體系在結(jié)構(gòu)上去除了基于Linux的服務(wù)控制臺，在安全、部署和配置以及日常管理等虛擬化管理方面進行了改進。ESXi可直接在服務(wù)器上安裝，不需要其他操作系統(tǒng)支持，能夠充分發(fā)揮硬件性能，同時虛擬機也不會受到操作系統(tǒng)的影響①。

1.項目重復(fù)建設(shè)問題

大眾報業(yè)集團建有四個相對獨立的數(shù)據(jù)中心，導(dǎo)致集團每年在專線費、設(shè)備新購和運維、信息系統(tǒng)研發(fā)中存在大量的重復(fù)建設(shè)，造成了人財物的資源浪費，使得資金分散，資本集中度較低，難以實現(xiàn)規(guī)?；哿图s化建設(shè)。

2.設(shè)備和數(shù)據(jù)資源共享困難

因歷史原因，條線式業(yè)務(wù)系統(tǒng)在建設(shè)過程中，技術(shù)路線不統(tǒng)一，各業(yè)務(wù)應(yīng)用、數(shù)據(jù)分散式存儲在各部門、單位，因網(wǎng)絡(luò)系統(tǒng)本身的天然隔絕導(dǎo)致技術(shù)層面很難進行高效整合，集團部分數(shù)據(jù)中心計算、存儲資源緊張，部分數(shù)據(jù)中心計算、存儲資源有富裕，但無法進行調(diào)配使用，設(shè)備和數(shù)據(jù)資源相互之間不能完全共享。

3.工作難以協(xié)同

網(wǎng)絡(luò)結(jié)構(gòu)體系獨立、分散，各單位的技術(shù)部門各自為戰(zhàn)，導(dǎo)致業(yè)務(wù)系統(tǒng)和項目小型化、分散化。同時因各自應(yīng)用的互聯(lián)網(wǎng)技術(shù)、開發(fā)平臺和工具不統(tǒng)一，工作難以協(xié)同，人力的集約效應(yīng)、工作效能不能充分發(fā)揮。同時，大眾報業(yè)集團各數(shù)據(jù)中心的部分網(wǎng)絡(luò)安全設(shè)備進入老化期，需要進行更新?lián)Q代，整體網(wǎng)絡(luò)安全設(shè)施配備不全，需要購買補充。按照等保2.0標(biāo)準，滿足三級等保要求，必須增購配置日志審計、數(shù)據(jù)庫審計、堡壘機、漏洞掃描等設(shè)備。因此，以更新網(wǎng)絡(luò)安全設(shè)備為契機，實施集團網(wǎng)絡(luò)安全一體化平臺建設(shè)，可以對集團網(wǎng)絡(luò)信息資源有計劃、分步驟地進行有效整合。

報業(yè)網(wǎng)絡(luò)安全一體化平臺設(shè)計與實現(xiàn)

1.報業(yè)網(wǎng)絡(luò)安全一體化平臺規(guī)劃和設(shè)計

大眾報業(yè)集團四個數(shù)據(jù)中心為500多個信息業(yè)務(wù)系統(tǒng)提供技術(shù)支撐環(huán)境，其中包括集團融媒體“中央廚房”、大眾日報客戶端、大眾網(wǎng)及海報新聞客戶端、齊魯晚報網(wǎng)及齊魯壹點客戶端、半島網(wǎng)及半島新聞客戶端等集團關(guān)鍵新媒體業(yè)務(wù)系統(tǒng)。這些關(guān)鍵新媒體業(yè)務(wù)系統(tǒng)經(jīng)過等保測評，定級為三級等保系統(tǒng)。集團進行網(wǎng)絡(luò)安全一體化平臺整合建設(shè)時，不能中斷這些關(guān)鍵業(yè)務(wù)系統(tǒng)。以業(yè)務(wù)系統(tǒng)數(shù)量最多、關(guān)鍵信息基礎(chǔ)設(shè)施較為完善的網(wǎng)媒集團數(shù)據(jù)中心為基礎(chǔ)，替換掉老化的防火墻設(shè)備和VPN設(shè)備，增購配置日志審計、數(shù)據(jù)庫審計、堡壘機、漏洞掃描等設(shè)備，建成滿足等保2.0標(biāo)準三級防護水平的數(shù)據(jù)中心。重復(fù)利用大眾日報和齊魯傳媒數(shù)據(jù)中心的計算和存儲資源，利用服務(wù)器接入交換機，連接到網(wǎng)媒集團數(shù)據(jù)中心，建成大眾報業(yè)集團網(wǎng)絡(luò)安全一體化平臺。

2.報業(yè)網(wǎng)絡(luò)安全一體化平臺實施方案

(1)核心交換機CSS技術(shù)配置。CSS稱為集群交換機系統(tǒng)，是華為公司開發(fā)的堆疊技術(shù)，應(yīng)用于網(wǎng)絡(luò)交換機中，虛擬化實現(xiàn)方式為在兩臺交換機主控板位置插入堆疊卡，按一定規(guī)則順序連接堆疊卡；啟動堆疊競爭規(guī)則系統(tǒng)，其中一臺為堆疊主設(shè)備，另一臺為堆疊備設(shè)備，堆疊主設(shè)備主用控制板稱為CSS的系統(tǒng)主，堆疊備設(shè)備的主用主控板稱為CSS的系統(tǒng)備，在系統(tǒng)主和系統(tǒng)備之間進行主從備份處理，堆疊主和堆疊備的備用主控板則作為CSS候選系統(tǒng)備②③。在中心機房部署2臺華為CE12812核心交換機，采用CSS技術(shù)（集群）將2臺CE12812交換機虛擬成一臺邏輯設(shè)備，CE12812物理系統(tǒng)承載網(wǎng)絡(luò)安全一體化平臺業(yè)務(wù)系統(tǒng)。服務(wù)器接入交換機使用S5700堆疊配置，通過萬兆多模光纖雙線上聯(lián)到2臺核心交換機，并做鏈路聚合，等同于兩萬兆帶寬上聯(lián)至核心交換機。將設(shè)備堆疊組中不同設(shè)備中的物理接口聚合到一個邏輯接口中。當(dāng)堆疊設(shè)備中某臺設(shè)備發(fā)生故障，或加入鏈路聚合接口中的物理成員接口故障，可通過堆疊設(shè)備間線纜跨設(shè)備傳輸數(shù)據(jù)流量，從而保證數(shù)據(jù)流量的可靠傳輸，同時也實現(xiàn)了數(shù)據(jù)流量在不同鏈路上的負載分擔(dān)。接入交換機為二層部署，所有網(wǎng)關(guān)全部終結(jié)在核心交換機（CE12812）上。(2)服務(wù)器配置多網(wǎng)卡架構(gòu)。大眾日報和齊魯傳媒數(shù)據(jù)中心的每臺物理主機均配置4塊以上千兆網(wǎng)卡，網(wǎng)卡全部配置為全雙工模式，綁定物理網(wǎng)卡1端口和2端口，用于大眾日報或齊魯傳媒數(shù)據(jù)中心的生產(chǎn)網(wǎng)絡(luò)，每臺物理主機光纖網(wǎng)卡接入光纖交換機，和存儲設(shè)備連接起來，原結(jié)構(gòu)軟硬件不用做任何調(diào)整，綁定空閑的物理主機網(wǎng)卡3和4端口，通過服務(wù)器接入交換機連入網(wǎng)媒集團數(shù)據(jù)中心，物理主機網(wǎng)卡1和2端口屬于大眾日報或齊魯傳媒數(shù)據(jù)中心網(wǎng)絡(luò)區(qū)域，物理主機網(wǎng)卡3和端口屬于網(wǎng)媒集團數(shù)據(jù)中心網(wǎng)絡(luò)區(qū)域；通過雙網(wǎng)卡的綁定，可實現(xiàn)一組網(wǎng)卡之間的相互冗余備份，并提高虛擬機網(wǎng)卡吞吐量以及網(wǎng)絡(luò)訪問的穩(wěn)定性。通過此網(wǎng)絡(luò)架構(gòu)改造，打通了大眾日報、齊魯傳媒和網(wǎng)媒集團三個數(shù)據(jù)中心，為大眾日報和齊魯傳媒數(shù)據(jù)中心的應(yīng)用系統(tǒng)平滑遷移到網(wǎng)媒集團數(shù)據(jù)中心打下基礎(chǔ)。復(fù)制大眾日報和齊魯傳媒數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)虛擬機，此虛擬機關(guān)聯(lián)到物理主機網(wǎng)卡3和4端口，加入網(wǎng)媒集團數(shù)據(jù)中心網(wǎng)絡(luò)區(qū)域。

這樣，在網(wǎng)媒集團數(shù)據(jù)中心里，建立了大眾日報和齊魯傳媒數(shù)據(jù)中心所有業(yè)務(wù)系統(tǒng)的備份系統(tǒng)，在合適的條件下，切換備用系統(tǒng)為主生產(chǎn)系統(tǒng)。(3)堡壘機。報業(yè)網(wǎng)絡(luò)安全一體化平臺內(nèi)部署了關(guān)鍵業(yè)務(wù)系統(tǒng)、重要數(shù)據(jù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等，軟硬件設(shè)施運維人員眾多，而且分散在大眾報業(yè)集團下不同的部門和單位，特別是很多系統(tǒng)的維護還需要借助廠家工程師、系統(tǒng)建設(shè)集成商等多種角色的技術(shù)人員參與系統(tǒng)與支持④。為了軟硬件安全可靠運行，降低人為安全風(fēng)險，避免安全損失，在網(wǎng)絡(luò)安全一體化平臺內(nèi)配置了一臺堡壘機。堡壘機邏輯上位于主機和網(wǎng)絡(luò)設(shè)備的前面，采用協(xié)議的方式，接管了終端計算機對主機和網(wǎng)絡(luò)設(shè)備的訪問，運維安全審計堡壘機能夠攔截非法訪問和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標(biāo)設(shè)備的非法訪問行為，并對內(nèi)部人員誤操作和非法操作進行審計監(jiān)控，以便事后責(zé)任追蹤。(4)數(shù)據(jù)庫審計系統(tǒng)。數(shù)據(jù)庫審計系統(tǒng)是對用戶訪問數(shù)據(jù)庫操作行為進行細粒度分析和審計的安全系統(tǒng)，它可提供實時監(jiān)控、違規(guī)響應(yīng)、歷史行為回溯等操作分析功能，可詳細完整記錄數(shù)據(jù)庫的訪問行為，識別越權(quán)等違規(guī)操作，并可追蹤溯源，為數(shù)據(jù)庫安全管理及性能優(yōu)化提供決策依據(jù)。數(shù)據(jù)庫審計系統(tǒng)部署在核心交換機上，通過設(shè)置端口鏡像，將數(shù)據(jù)庫的流量鏡像到數(shù)據(jù)庫審計系統(tǒng)，實現(xiàn)數(shù)據(jù)庫系統(tǒng)的操作審計。(5)Web應(yīng)用防火墻。Web應(yīng)用防火墻專門保護Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動的攻擊。網(wǎng)絡(luò)安全一體化平臺配置安恒明御Web應(yīng)用防火墻，串接在防火墻和核心交換機之間，啟用光纖旁路功能，即當(dāng)Web應(yīng)用防火墻硬件出現(xiàn)故障時，網(wǎng)絡(luò)流量直接物理導(dǎo)通，不進入Web應(yīng)用防火墻。（6）災(zāi)備系統(tǒng)方案。優(yōu)化報業(yè)集團關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)的備份策略，實現(xiàn)“2+1”模式部署，即在本地私有云上部署2套應(yīng)用系統(tǒng)，同時租用阿里云或華為云等公有云網(wǎng)絡(luò)資源，在其上再部署一套應(yīng)用系統(tǒng)，確保極端情況下關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)的連續(xù)性、安全性。

結(jié)語

網(wǎng)絡(luò)安全等級保護2.0對等級保護1.0進行了發(fā)展與完善，能夠為網(wǎng)絡(luò)安全防護工作的實施提供有效的指導(dǎo)。報業(yè)集團在網(wǎng)絡(luò)安全一體化平臺建設(shè)過程中，按照網(wǎng)絡(luò)安全等級保護2.0標(biāo)準，利用服務(wù)器多網(wǎng)卡架構(gòu)，增購配置日志審計、數(shù)據(jù)庫審計、堡壘機、漏洞掃描等網(wǎng)絡(luò)安全設(shè)備，建成報業(yè)集團網(wǎng)絡(luò)安全一體化平臺，在深度融合背景下為傳媒集團在多數(shù)據(jù)中心整合建設(shè)、網(wǎng)絡(luò)安全防護能力建設(shè)方面提供了可以借鑒的思路。

作者：鞠傳森 向小平 單位：大眾報業(yè)集團