前言:尋找寫作靈感?中文期刊網用心挑選的融媒體平臺網絡安全設計研究,希望能為您的閱讀和創作帶來靈感,歡迎大家閱讀并分享。
摘要:本文基于陜西省融媒體平臺的安全建設實踐,介紹了省級融媒體平臺網絡安全的加固方案及實施措施。
關鍵詞:融媒體;網絡安全;防火墻;等級保護
1引言
縣級融媒體中心建設是各地推進媒體深度融合的龍頭工程,其中融媒體平臺的網絡安全建設尤其重要。陜西廣電網絡傳媒(集團)股份有限公司(以下簡稱“陜西廣電網絡”)在原有“秦嶺云”云平臺網絡的基礎上,結合融媒體安全特定需求逐步進行網絡安全加固改造,完成了省級融媒體平臺網絡安全建設。本文對陜西廣電網絡的融媒體平臺網絡安全建設實踐作簡要介紹,希望能為各地建設提供借鑒。
2現狀分析
陜西廣電網絡融媒體平臺部署在陜西“秦嶺云”虛擬化資源池上,配備多個業務支撐系統,如“中央廚房”生產系統、流媒體CDN等,可通過互聯網對外區實現對外融媒體業務、互聯互通、數據共享等功能。目前融媒體平臺具備專網和互聯網兩個出口,其出口區域已經部署了防火墻,開啟了“防病毒+入侵防御”模塊,具備邊界訪問控制措施,專網與互聯網通過核心交換機連接網閘實現數據擺渡交換。其網絡結構圖如圖1所示。在融媒體平臺建設初期主要完成了融媒體平臺虛擬化資源池獨立、融媒體平臺邊界安全、終端安全及虛擬化安全建設,但在整體網絡安全方面還存在一些問題。首先,終端安全已經建設,但在終端接入方面無相關技術手段保證縣級融媒體辦公PC接入省級融媒體平臺時安裝有終端安全防護軟件,無法確保桌面終端的安全接入。其次,融媒體平臺建設未達到等級保護三級要求,信息安全得不到有效保障。前期的融媒體平臺安全防護只能實現初步的邊界安全防護,只有在漏洞檢測、數據安全防護、身份鑒別、安全審計等方面作進一步完善,才能符合等級保護三級要求。最后,目前建設的虛擬化安全部署在“秦嶺云”虛擬化服務器上,后續需要通過遷移重新部署到融媒體平臺上,這樣才能實現東西向訪問控制、入侵防御、防病毒等功能,從而滿足等級保護三級要求中關于虛擬化安全訪問的基本要求。
3網絡安全建設
基于融媒體平臺安全通信網絡進行設計,陜西廣電網絡通過網絡架構。通信傳輸兩方面進行對標及設計,逐步滿足三級等保相關安全通信網絡要求,具體設計如圖2所示。陜西廣電網絡基于分區保護的原則,對融媒體平臺安全區域進行劃分,并確定要保護的計算環境、區域邊界和通信網絡。首先根據安全區域內的保護對象分別確定各個環節的保護強度,然后根據保護強度設計不同的安全防護系統,最后在實現基礎性保護措施的基礎上,利用安全信息管理體系進行總體安全技術體系設計,實現對融媒體平臺的統一安全管理。
3.1互聯網出口區安全設計
互聯網出口區是融媒體中心“中央廚房”系統內輿情采集、的重要互聯網業務區,承擔縣級融媒體用戶接入平臺的部分點播服務、服務,作為融媒體中心對外提供服務的統一出口,擔負著重要的邊界防護功能。該區域網絡架構采用雙鏈路、雙設備的冗余結構設計,可提高網絡系統的整體容錯能力,防止出現單點故障,最大化保障數據訪問的可用性和業務的連續性。陜西廣電網絡通過部署兩臺下一代防火墻,實現對網絡流量的全面透析與管控;通過優化網絡帶寬并細致劃分帶寬資源,保證核心業務的帶寬需求,限制非業務應用的帶寬占用,從而構建可視、可控、可優化的高效網絡。通過部署兩臺入侵防御系統,實現從物理層到應用層的分析與檢測,實時阻斷網絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網頁篡改等攻擊或惡意行為,實現對網絡應用、網絡基礎設施和網絡性能的全面保護。通過部署一臺上網行為管理設備,實現對用戶行為的管理,規避網絡泄密、防范法規風險。通過采集、分析、識別網絡數據,實時動態監測通信內容、網絡行為和網絡流量;通過發現和捕獲各種敏感信息、違規行為,實現實時報警響應;通過全面記錄網絡系統中的各種會話和事件,完成對網絡信息的智能關聯分析、評估,對安全事件的準確全程跟蹤定位,為整體網絡安全策略的制定提供可靠的支持。通過部署一臺VPN設備,實現對遠程連接的實時監視,對未授權的連接進行阻斷。
3.2互聯網應用接入區安全設計
互聯網應用接入區用于滿足公眾用戶或一般企業用戶對融媒體業務應用的訪問需求,是數據中心核心業務區域之一。陜西廣電網絡在安全設計中主要考慮以下三方面內容。一是應用負載均衡。通過部署兩臺應用負載均衡,實現鏈路負載均衡及服務器負載均衡,實現多個站點之間的流量均衡,提高應用的可用性,實現應用加速、站點級冗余和快速切換,保持一定的災難恢復能力。二是Web應用防護。部署兩臺Web安全網關設備,對部署在本區域內的對公業務系統Web訪問流量進行針對性防護,實現對Web類攻擊行為,如SQL注入、命令執行、XSS等的防護,保障Web應用自身安全。三是服務器防護。通過在虛擬機及裸服務器上安裝虛擬化安全管理系統,實現防病毒、訪問控制、入侵防御等功能,進而實現虛擬機防護及加固,完成對本區域主機的安全防護。
3.3專網接入區安全設計
專網接入區用于實現全省融媒體中心各部門對融媒體中心私有云上業務應用系統的訪問。陜西廣電網絡通過原有兩臺防火墻的訪問控制策略篩選可建立的連接,即規定內網中哪些IP地址可以訪問本區域,以及區域內的應用系統開放策略;開啟防火墻上的防病毒、應用識別等模塊,使其可應對復雜的應用流量。
3.4融媒體中心核心應用區安全設計
融媒體中心私有云承載著融媒體中心的核心業務,也是本次建設方案的核心保障區域。陜西廣電網絡通過在融媒體中心核心應用區與核心區之間設置安全隔離,在交換機上劃分區域,實現基于區域的訪問控制,即規定內網中哪些IP地址可以訪問本區域,規定區域內的應用系統端口開放策略,通過策略完成訪問控制。陜西廣電網絡通過部署虛擬化安全防護系統,對融媒體中心云平臺中所有服務器的業務安全域進行邏輯劃域隔離,并對業務區域內服務器提供的服務進行應用角色劃分,對不同應用角色之間的服務訪問進行控制配置,減少物理服務器、虛擬服務器被攻擊的機會,從而完成集中統一管理服務器的訪問控制策略。通過部署網絡準入系統,對縣級融媒體中心接入內網訪問核心業務的流量進行準入控制,保證系統安全、可靠地接入內網,實現業務訪問。
3.5安全管理區安全設計
安全管理區是負責整個融媒體私有云平臺安全管理、安全運維以及與之相關的用戶管理、云平臺管理、備份管理等功能的組件的集合區域,是維系云平臺正常運轉、制定各類安全策略的核心區域。安全管理區主要對數據中心的軟件、硬件系統進行統一的運維管理,負責全網的整體運維監控和流程管理,保障云平臺各類設施及管理的有序開展。通過在安全管理區部署漏洞掃描、堡壘機、日志審計、數據庫審計、高級威脅感知、虛擬化安全防護等系統,“零信任”統一身份認證系統和安全管理中心等,可以為整個平臺的網絡安全、計算資源安全、應用安全、數據安全提供支撐。具體分別介紹如下。入侵檢測系統,通過旁路部署到核心交換,實現對進入內網的木馬病毒、垃圾郵件、DDoS/DoS攻擊、網絡資源濫用等危害網絡安全行為的檢測。高級威脅感知系統,通過大數據挖掘分析的惡意代碼智能檢測技術,提升檢測惡意代碼的能力;基于輕量級沙箱的未知漏洞攻擊檢測技術,提升客戶檢測未知漏洞的能力;通過打通威脅情報從而進行攻擊定位、溯源分析及阻斷,幫助企業從源頭上解決未知威脅帶來的安全問題。堡壘機,負責對上線應用服務器的每個操作系統和數據庫,以及網絡設備、安全設備的運維行為,進行集中帳號管理、集中訪問控制、集中安全審計,滿足等級保護中主機安全對于身份認證、訪問控制、安全審計的相關要求。數據庫審計,用于實現對虛擬化服務器中數據庫操作行為的跟蹤,從而記錄對數據庫的操作、實現對數據庫活動或狀態的監控,支撐數據庫審計異常行為追蹤取證。日志審計系統,用于實時不間斷地將企業和組織中來自不同廠商的安全設備、網絡設備、主機、操作系統、數據庫系統、用戶業務系統的日志及警報等信息匯集到審計中心,實現全網綜合安全審計功能,滿足等級保護三級中的6個月日志審計要求。漏洞掃描系統,用于實現對融媒體平臺主機、數據庫、中間件及Web應用的安全漏洞掃描,從而及時發現系統或應用中存在的安全漏洞,從而及時進行補丁升級和漏洞整改。網絡安全審計,用于實現融媒體平臺各運維終端對HTTP/HTTPS類應用的用戶行為訪問記錄及審計功能。安全管理中心,用于形成全網、全維、全方位安全態勢感知能力。從監控、審計、風險、運維四個維度對全網的整體安全進行集中化管理與運維,從而建立起了一個可視、可查、可度量、可持續的安全管理平臺;通過安全告警、信息采集、威脅發現等功能,完成安全風險管理,提升預警能力;通過安全運營,實現對預測、阻斷、檢測和響應的閉環管理,具備集中管控、響應和處置的能力;通過采集全網安全日志和網絡流量,實現對全網安全數據的集中管控和對異常事件、行為的有效感知,為融媒體中心業務應用體系提供全面的安全保障。“零信任”統一身份認證系統,用于實現對人、設備、應用的身份認證,以及對訪問的動態細粒度授權,將靜態的訪問控制策略轉變為動態,實現對企業數據的統一安全訪問。
4結語
陜西廣電網絡以“保障應用、確保安全”為目標,按照“統籌規劃、同步建設,分級管理、逐級負責,屬地管理、明確責任”的原則,依據國家網絡安全等級保護三級標準要求,建立和完善融媒體中心安全體系架構,將整個融媒體平臺的安全保障提升到一個較高的水平,最終實現了網絡安全由邊界防護、被動防御向全域聯動、主動防御轉變,形成了與融媒體平臺相適應的智能化網絡安全保障體系,整體提高了陜西廣電網絡融媒體平臺的防護水平。
作者:王鈺 龍偉 單位:陜西廣電網絡傳媒(集團)股份有限公司
