前言:想要寫出一篇引人入勝的文章?我們特意為您整理了云計算下的報業(yè)網(wǎng)絡(luò)安全一體化平臺范文,希望能給你帶來靈感和參考,敬請閱讀。
近年來,大眾報業(yè)集團(tuán)推進(jìn)以新媒體為重點的深度融合發(fā)展,構(gòu)建全媒網(wǎng)絡(luò)一體化運行體系成為不可或缺的一環(huán),同時,信息系統(tǒng)的網(wǎng)絡(luò)硬件架構(gòu)有了質(zhì)的變化,面臨著復(fù)雜的網(wǎng)絡(luò)安全風(fēng)險。為適應(yīng)網(wǎng)絡(luò)安全新形勢的需要,2019年國家標(biāo)準(zhǔn)化管理委員會了新修訂的《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》,這標(biāo)志著等級保護(hù)2.0時代真正來臨。新標(biāo)準(zhǔn)更加注重全方位主動防御、動態(tài)防御、整體防控和精準(zhǔn)防護(hù),實現(xiàn)了對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和移動互聯(lián)系統(tǒng)等保護(hù)對象全覆蓋。
報業(yè)集團(tuán)網(wǎng)絡(luò)的現(xiàn)狀和問題
目前大眾報業(yè)集團(tuán)存在四個相對獨立的數(shù)據(jù)中心,分別由大眾日報、山東省互聯(lián)網(wǎng)傳媒集團(tuán)(簡稱“網(wǎng)媒集團(tuán)”)、齊魯傳媒、半島傳媒管理,這些數(shù)據(jù)中心均配備相關(guān)的網(wǎng)絡(luò)、計算、存儲等設(shè)施和資源,也各自具有獨立的網(wǎng)絡(luò)安全系統(tǒng)。其中在濟(jì)南總部大眾傳媒大廈機(jī)房有分別由大眾日報、網(wǎng)媒集團(tuán)、齊魯傳媒管理的三個數(shù)據(jù)中心,各自接入互聯(lián)網(wǎng)專線,配備不同型號的網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備,承載運行不同的應(yīng)用系統(tǒng)。大眾報業(yè)集團(tuán)各數(shù)據(jù)中心內(nèi)部已通過VmvareESXi技術(shù)實現(xiàn)服務(wù)器虛擬化,解決了各數(shù)據(jù)中心內(nèi)部所謂“煙囪式”的配置模式,即每個業(yè)務(wù)部門、每種業(yè)務(wù)應(yīng)用都配置專門的硬件設(shè)備,而非一整套管理信息系統(tǒng)解決方案。ESXi體系在結(jié)構(gòu)上去除了基于Linux的服務(wù)控制臺,在安全、部署和配置以及日常管理等虛擬化管理方面進(jìn)行了改進(jìn)。ESXi可直接在服務(wù)器上安裝,不需要其他操作系統(tǒng)支持,能夠充分發(fā)揮硬件性能,同時虛擬機(jī)也不會受到操作系統(tǒng)的影響①。
1.項目重復(fù)建設(shè)問題
大眾報業(yè)集團(tuán)建有四個相對獨立的數(shù)據(jù)中心,導(dǎo)致集團(tuán)每年在專線費、設(shè)備新購和運維、信息系統(tǒng)研發(fā)中存在大量的重復(fù)建設(shè),造成了人財物的資源浪費,使得資金分散,資本集中度較低,難以實現(xiàn)規(guī)?;哿图s化建設(shè)。
2.設(shè)備和數(shù)據(jù)資源共享困難
因歷史原因,條線式業(yè)務(wù)系統(tǒng)在建設(shè)過程中,技術(shù)路線不統(tǒng)一,各業(yè)務(wù)應(yīng)用、數(shù)據(jù)分散式存儲在各部門、單位,因網(wǎng)絡(luò)系統(tǒng)本身的天然隔絕導(dǎo)致技術(shù)層面很難進(jìn)行高效整合,集團(tuán)部分?jǐn)?shù)據(jù)中心計算、存儲資源緊張,部分?jǐn)?shù)據(jù)中心計算、存儲資源有富裕,但無法進(jìn)行調(diào)配使用,設(shè)備和數(shù)據(jù)資源相互之間不能完全共享。
3.工作難以協(xié)同
網(wǎng)絡(luò)結(jié)構(gòu)體系獨立、分散,各單位的技術(shù)部門各自為戰(zhàn),導(dǎo)致業(yè)務(wù)系統(tǒng)和項目小型化、分散化。同時因各自應(yīng)用的互聯(lián)網(wǎng)技術(shù)、開發(fā)平臺和工具不統(tǒng)一,工作難以協(xié)同,人力的集約效應(yīng)、工作效能不能充分發(fā)揮。同時,大眾報業(yè)集團(tuán)各數(shù)據(jù)中心的部分網(wǎng)絡(luò)安全設(shè)備進(jìn)入老化期,需要進(jìn)行更新?lián)Q代,整體網(wǎng)絡(luò)安全設(shè)施配備不全,需要購買補(bǔ)充。按照等保2.0標(biāo)準(zhǔn),滿足三級等保要求,必須增購配置日志審計、數(shù)據(jù)庫審計、堡壘機(jī)、漏洞掃描等設(shè)備。因此,以更新網(wǎng)絡(luò)安全設(shè)備為契機(jī),實施集團(tuán)網(wǎng)絡(luò)安全一體化平臺建設(shè),可以對集團(tuán)網(wǎng)絡(luò)信息資源有計劃、分步驟地進(jìn)行有效整合。
報業(yè)網(wǎng)絡(luò)安全一體化平臺設(shè)計與實現(xiàn)
1.報業(yè)網(wǎng)絡(luò)安全一體化平臺規(guī)劃和設(shè)計
大眾報業(yè)集團(tuán)四個數(shù)據(jù)中心為500多個信息業(yè)務(wù)系統(tǒng)提供技術(shù)支撐環(huán)境,其中包括集團(tuán)融媒體“中央廚房”、大眾日報客戶端、大眾網(wǎng)及海報新聞客戶端、齊魯晚報網(wǎng)及齊魯壹點客戶端、半島網(wǎng)及半島新聞客戶端等集團(tuán)關(guān)鍵新媒體業(yè)務(wù)系統(tǒng)。這些關(guān)鍵新媒體業(yè)務(wù)系統(tǒng)經(jīng)過等保測評,定級為三級等保系統(tǒng)。集團(tuán)進(jìn)行網(wǎng)絡(luò)安全一體化平臺整合建設(shè)時,不能中斷這些關(guān)鍵業(yè)務(wù)系統(tǒng)。以業(yè)務(wù)系統(tǒng)數(shù)量最多、關(guān)鍵信息基礎(chǔ)設(shè)施較為完善的網(wǎng)媒集團(tuán)數(shù)據(jù)中心為基礎(chǔ),替換掉老化的防火墻設(shè)備和VPN設(shè)備,增購配置日志審計、數(shù)據(jù)庫審計、堡壘機(jī)、漏洞掃描等設(shè)備,建成滿足等保2.0標(biāo)準(zhǔn)三級防護(hù)水平的數(shù)據(jù)中心。重復(fù)利用大眾日報和齊魯傳媒數(shù)據(jù)中心的計算和存儲資源,利用服務(wù)器接入交換機(jī),連接到網(wǎng)媒集團(tuán)數(shù)據(jù)中心,建成大眾報業(yè)集團(tuán)網(wǎng)絡(luò)安全一體化平臺。
2.報業(yè)網(wǎng)絡(luò)安全一體化平臺實施方案
(1)核心交換機(jī)CSS技術(shù)配置。CSS稱為集群交換機(jī)系統(tǒng),是華為公司開發(fā)的堆疊技術(shù),應(yīng)用于網(wǎng)絡(luò)交換機(jī)中,虛擬化實現(xiàn)方式為在兩臺交換機(jī)主控板位置插入堆疊卡,按一定規(guī)則順序連接堆疊卡;啟動堆疊競爭規(guī)則系統(tǒng),其中一臺為堆疊主設(shè)備,另一臺為堆疊備設(shè)備,堆疊主設(shè)備主用控制板稱為CSS的系統(tǒng)主,堆疊備設(shè)備的主用主控板稱為CSS的系統(tǒng)備,在系統(tǒng)主和系統(tǒng)備之間進(jìn)行主從備份處理,堆疊主和堆疊備的備用主控板則作為CSS候選系統(tǒng)備②③。在中心機(jī)房部署2臺華為CE12812核心交換機(jī),采用CSS技術(shù)(集群)將2臺CE12812交換機(jī)虛擬成一臺邏輯設(shè)備,CE12812物理系統(tǒng)承載網(wǎng)絡(luò)安全一體化平臺業(yè)務(wù)系統(tǒng)。服務(wù)器接入交換機(jī)使用S5700堆疊配置,通過萬兆多模光纖雙線上聯(lián)到2臺核心交換機(jī),并做鏈路聚合,等同于兩萬兆帶寬上聯(lián)至核心交換機(jī)。將設(shè)備堆疊組中不同設(shè)備中的物理接口聚合到一個邏輯接口中。當(dāng)堆疊設(shè)備中某臺設(shè)備發(fā)生故障,或加入鏈路聚合接口中的物理成員接口故障,可通過堆疊設(shè)備間線纜跨設(shè)備傳輸數(shù)據(jù)流量,從而保證數(shù)據(jù)流量的可靠傳輸,同時也實現(xiàn)了數(shù)據(jù)流量在不同鏈路上的負(fù)載分擔(dān)。接入交換機(jī)為二層部署,所有網(wǎng)關(guān)全部終結(jié)在核心交換機(jī)(CE12812)上。(2)服務(wù)器配置多網(wǎng)卡架構(gòu)。大眾日報和齊魯傳媒數(shù)據(jù)中心的每臺物理主機(jī)均配置4塊以上千兆網(wǎng)卡,網(wǎng)卡全部配置為全雙工模式,綁定物理網(wǎng)卡1端口和2端口,用于大眾日報或齊魯傳媒數(shù)據(jù)中心的生產(chǎn)網(wǎng)絡(luò),每臺物理主機(jī)光纖網(wǎng)卡接入光纖交換機(jī),和存儲設(shè)備連接起來,原結(jié)構(gòu)軟硬件不用做任何調(diào)整,綁定空閑的物理主機(jī)網(wǎng)卡3和4端口,通過服務(wù)器接入交換機(jī)連入網(wǎng)媒集團(tuán)數(shù)據(jù)中心,物理主機(jī)網(wǎng)卡1和2端口屬于大眾日報或齊魯傳媒數(shù)據(jù)中心網(wǎng)絡(luò)區(qū)域,物理主機(jī)網(wǎng)卡3和端口屬于網(wǎng)媒集團(tuán)數(shù)據(jù)中心網(wǎng)絡(luò)區(qū)域;通過雙網(wǎng)卡的綁定,可實現(xiàn)一組網(wǎng)卡之間的相互冗余備份,并提高虛擬機(jī)網(wǎng)卡吞吐量以及網(wǎng)絡(luò)訪問的穩(wěn)定性。通過此網(wǎng)絡(luò)架構(gòu)改造,打通了大眾日報、齊魯傳媒和網(wǎng)媒集團(tuán)三個數(shù)據(jù)中心,為大眾日報和齊魯傳媒數(shù)據(jù)中心的應(yīng)用系統(tǒng)平滑遷移到網(wǎng)媒集團(tuán)數(shù)據(jù)中心打下基礎(chǔ)。復(fù)制大眾日報和齊魯傳媒數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)虛擬機(jī),此虛擬機(jī)關(guān)聯(lián)到物理主機(jī)網(wǎng)卡3和4端口,加入網(wǎng)媒集團(tuán)數(shù)據(jù)中心網(wǎng)絡(luò)區(qū)域。
這樣,在網(wǎng)媒集團(tuán)數(shù)據(jù)中心里,建立了大眾日報和齊魯傳媒數(shù)據(jù)中心所有業(yè)務(wù)系統(tǒng)的備份系統(tǒng),在合適的條件下,切換備用系統(tǒng)為主生產(chǎn)系統(tǒng)。(3)堡壘機(jī)。報業(yè)網(wǎng)絡(luò)安全一體化平臺內(nèi)部署了關(guān)鍵業(yè)務(wù)系統(tǒng)、重要數(shù)據(jù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等,軟硬件設(shè)施運維人員眾多,而且分散在大眾報業(yè)集團(tuán)下不同的部門和單位,特別是很多系統(tǒng)的維護(hù)還需要借助廠家工程師、系統(tǒng)建設(shè)集成商等多種角色的技術(shù)人員參與系統(tǒng)與支持④。為了軟硬件安全可靠運行,降低人為安全風(fēng)險,避免安全損失,在網(wǎng)絡(luò)安全一體化平臺內(nèi)配置了一臺堡壘機(jī)。堡壘機(jī)邏輯上位于主機(jī)和網(wǎng)絡(luò)設(shè)備的前面,采用協(xié)議的方式,接管了終端計算機(jī)對主機(jī)和網(wǎng)絡(luò)設(shè)備的訪問,運維安全審計堡壘機(jī)能夠攔截非法訪問和惡意攻擊,對不合法命令進(jìn)行命令阻斷,過濾掉所有對目標(biāo)設(shè)備的非法訪問行為,并對內(nèi)部人員誤操作和非法操作進(jìn)行審計監(jiān)控,以便事后責(zé)任追蹤。(4)數(shù)據(jù)庫審計系統(tǒng)。數(shù)據(jù)庫審計系統(tǒng)是對用戶訪問數(shù)據(jù)庫操作行為進(jìn)行細(xì)粒度分析和審計的安全系統(tǒng),它可提供實時監(jiān)控、違規(guī)響應(yīng)、歷史行為回溯等操作分析功能,可詳細(xì)完整記錄數(shù)據(jù)庫的訪問行為,識別越權(quán)等違規(guī)操作,并可追蹤溯源,為數(shù)據(jù)庫安全管理及性能優(yōu)化提供決策依據(jù)。數(shù)據(jù)庫審計系統(tǒng)部署在核心交換機(jī)上,通過設(shè)置端口鏡像,將數(shù)據(jù)庫的流量鏡像到數(shù)據(jù)庫審計系統(tǒng),實現(xiàn)數(shù)據(jù)庫系統(tǒng)的操作審計。(5)Web應(yīng)用防火墻。Web應(yīng)用防火墻專門保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動的攻擊。網(wǎng)絡(luò)安全一體化平臺配置安恒明御Web應(yīng)用防火墻,串接在防火墻和核心交換機(jī)之間,啟用光纖旁路功能,即當(dāng)Web應(yīng)用防火墻硬件出現(xiàn)故障時,網(wǎng)絡(luò)流量直接物理導(dǎo)通,不進(jìn)入Web應(yīng)用防火墻。(6)災(zāi)備系統(tǒng)方案。優(yōu)化報業(yè)集團(tuán)關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)的備份策略,實現(xiàn)“2+1”模式部署,即在本地私有云上部署2套應(yīng)用系統(tǒng),同時租用阿里云或華為云等公有云網(wǎng)絡(luò)資源,在其上再部署一套應(yīng)用系統(tǒng),確保極端情況下關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)的連續(xù)性、安全性。
結(jié)語
網(wǎng)絡(luò)安全等級保護(hù)2.0對等級保護(hù)1.0進(jìn)行了發(fā)展與完善,能夠為網(wǎng)絡(luò)安全防護(hù)工作的實施提供有效的指導(dǎo)。報業(yè)集團(tuán)在網(wǎng)絡(luò)安全一體化平臺建設(shè)過程中,按照網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn),利用服務(wù)器多網(wǎng)卡架構(gòu),增購配置日志審計、數(shù)據(jù)庫審計、堡壘機(jī)、漏洞掃描等網(wǎng)絡(luò)安全設(shè)備,建成報業(yè)集團(tuán)網(wǎng)絡(luò)安全一體化平臺,在深度融合背景下為傳媒集團(tuán)在多數(shù)據(jù)中心整合建設(shè)、網(wǎng)絡(luò)安全防護(hù)能力建設(shè)方面提供了可以借鑒的思路。
作者:鞠傳森 向小平 單位:大眾報業(yè)集團(tuán)