云計(jì)算下的報(bào)業(yè)網(wǎng)絡(luò)安全一體化平臺(tái)

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了云計(jì)算下的報(bào)業(yè)網(wǎng)絡(luò)安全一體化平臺(tái)范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

近年來(lái)，大眾報(bào)業(yè)集團(tuán)推進(jìn)以新媒體為重點(diǎn)的深度融合發(fā)展，構(gòu)建全媒網(wǎng)絡(luò)一體化運(yùn)行體系成為不可或缺的一環(huán)，同時(shí)，信息系統(tǒng)的網(wǎng)絡(luò)硬件架構(gòu)有了質(zhì)的變化，面臨著復(fù)雜的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。為適應(yīng)網(wǎng)絡(luò)安全新形勢(shì)的需要，2019年國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)了新修訂的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，這標(biāo)志著等級(jí)保護(hù)2.0時(shí)代真正來(lái)臨。新標(biāo)準(zhǔn)更加注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)，實(shí)現(xiàn)了對(duì)云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)系統(tǒng)等保護(hù)對(duì)象全覆蓋。

報(bào)業(yè)集團(tuán)網(wǎng)絡(luò)的現(xiàn)狀和問(wèn)題

目前大眾報(bào)業(yè)集團(tuán)存在四個(gè)相對(duì)獨(dú)立的數(shù)據(jù)中心，分別由大眾日?qǐng)?bào)、山東省互聯(lián)網(wǎng)傳媒集團(tuán)（簡(jiǎn)稱“網(wǎng)媒集團(tuán)”）、齊魯傳媒、半島傳媒管理，這些數(shù)據(jù)中心均配備相關(guān)的網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)等設(shè)施和資源，也各自具有獨(dú)立的網(wǎng)絡(luò)安全系統(tǒng)。其中在濟(jì)南總部大眾傳媒大廈機(jī)房有分別由大眾日?qǐng)?bào)、網(wǎng)媒集團(tuán)、齊魯傳媒管理的三個(gè)數(shù)據(jù)中心，各自接入互聯(lián)網(wǎng)專線，配備不同型號(hào)的網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備，承載運(yùn)行不同的應(yīng)用系統(tǒng)。大眾報(bào)業(yè)集團(tuán)各數(shù)據(jù)中心內(nèi)部已通過(guò)VmvareESXi技術(shù)實(shí)現(xiàn)服務(wù)器虛擬化，解決了各數(shù)據(jù)中心內(nèi)部所謂“煙囪式”的配置模式，即每個(gè)業(yè)務(wù)部門、每種業(yè)務(wù)應(yīng)用都配置專門的硬件設(shè)備，而非一整套管理信息系統(tǒng)解決方案。ESXi體系在結(jié)構(gòu)上去除了基于Linux的服務(wù)控制臺(tái)，在安全、部署和配置以及日常管理等虛擬化管理方面進(jìn)行了改進(jìn)。ESXi可直接在服務(wù)器上安裝，不需要其他操作系統(tǒng)支持，能夠充分發(fā)揮硬件性能，同時(shí)虛擬機(jī)也不會(huì)受到操作系統(tǒng)的影響①。

1.項(xiàng)目重復(fù)建設(shè)問(wèn)題

大眾報(bào)業(yè)集團(tuán)建有四個(gè)相對(duì)獨(dú)立的數(shù)據(jù)中心，導(dǎo)致集團(tuán)每年在專線費(fèi)、設(shè)備新購(gòu)和運(yùn)維、信息系統(tǒng)研發(fā)中存在大量的重復(fù)建設(shè)，造成了人財(cái)物的資源浪費(fèi)，使得資金分散，資本集中度較低，難以實(shí)現(xiàn)規(guī)?；哿图s化建設(shè)。

2.設(shè)備和數(shù)據(jù)資源共享困難

因歷史原因，條線式業(yè)務(wù)系統(tǒng)在建設(shè)過(guò)程中，技術(shù)路線不統(tǒng)一，各業(yè)務(wù)應(yīng)用、數(shù)據(jù)分散式存儲(chǔ)在各部門、單位，因網(wǎng)絡(luò)系統(tǒng)本身的天然隔絕導(dǎo)致技術(shù)層面很難進(jìn)行高效整合，集團(tuán)部分?jǐn)?shù)據(jù)中心計(jì)算、存儲(chǔ)資源緊張，部分?jǐn)?shù)據(jù)中心計(jì)算、存儲(chǔ)資源有富裕，但無(wú)法進(jìn)行調(diào)配使用，設(shè)備和數(shù)據(jù)資源相互之間不能完全共享。

3.工作難以協(xié)同

網(wǎng)絡(luò)結(jié)構(gòu)體系獨(dú)立、分散，各單位的技術(shù)部門各自為戰(zhàn)，導(dǎo)致業(yè)務(wù)系統(tǒng)和項(xiàng)目小型化、分散化。同時(shí)因各自應(yīng)用的互聯(lián)網(wǎng)技術(shù)、開(kāi)發(fā)平臺(tái)和工具不統(tǒng)一，工作難以協(xié)同，人力的集約效應(yīng)、工作效能不能充分發(fā)揮。同時(shí)，大眾報(bào)業(yè)集團(tuán)各數(shù)據(jù)中心的部分網(wǎng)絡(luò)安全設(shè)備進(jìn)入老化期，需要進(jìn)行更新?lián)Q代，整體網(wǎng)絡(luò)安全設(shè)施配備不全，需要購(gòu)買補(bǔ)充。按照等保2.0標(biāo)準(zhǔn)，滿足三級(jí)等保要求，必須增購(gòu)配置日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)、漏洞掃描等設(shè)備。因此，以更新網(wǎng)絡(luò)安全設(shè)備為契機(jī)，實(shí)施集團(tuán)網(wǎng)絡(luò)安全一體化平臺(tái)建設(shè)，可以對(duì)集團(tuán)網(wǎng)絡(luò)信息資源有計(jì)劃、分步驟地進(jìn)行有效整合。

報(bào)業(yè)網(wǎng)絡(luò)安全一體化平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)

1.報(bào)業(yè)網(wǎng)絡(luò)安全一體化平臺(tái)規(guī)劃和設(shè)計(jì)

大眾報(bào)業(yè)集團(tuán)四個(gè)數(shù)據(jù)中心為500多個(gè)信息業(yè)務(wù)系統(tǒng)提供技術(shù)支撐環(huán)境，其中包括集團(tuán)融媒體“中央廚房”、大眾日?qǐng)?bào)客戶端、大眾網(wǎng)及海報(bào)新聞客戶端、齊魯晚報(bào)網(wǎng)及齊魯壹點(diǎn)客戶端、半島網(wǎng)及半島新聞客戶端等集團(tuán)關(guān)鍵新媒體業(yè)務(wù)系統(tǒng)。這些關(guān)鍵新媒體業(yè)務(wù)系統(tǒng)經(jīng)過(guò)等保測(cè)評(píng)，定級(jí)為三級(jí)等保系統(tǒng)。集團(tuán)進(jìn)行網(wǎng)絡(luò)安全一體化平臺(tái)整合建設(shè)時(shí)，不能中斷這些關(guān)鍵業(yè)務(wù)系統(tǒng)。以業(yè)務(wù)系統(tǒng)數(shù)量最多、關(guān)鍵信息基礎(chǔ)設(shè)施較為完善的網(wǎng)媒集團(tuán)數(shù)據(jù)中心為基礎(chǔ)，替換掉老化的防火墻設(shè)備和VPN設(shè)備，增購(gòu)配置日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)、漏洞掃描等設(shè)備，建成滿足等保2.0標(biāo)準(zhǔn)三級(jí)防護(hù)水平的數(shù)據(jù)中心。重復(fù)利用大眾日?qǐng)?bào)和齊魯傳媒數(shù)據(jù)中心的計(jì)算和存儲(chǔ)資源，利用服務(wù)器接入交換機(jī)，連接到網(wǎng)媒集團(tuán)數(shù)據(jù)中心，建成大眾報(bào)業(yè)集團(tuán)網(wǎng)絡(luò)安全一體化平臺(tái)。

2.報(bào)業(yè)網(wǎng)絡(luò)安全一體化平臺(tái)實(shí)施方案

(1)核心交換機(jī)CSS技術(shù)配置。CSS稱為集群交換機(jī)系統(tǒng)，是華為公司開(kāi)發(fā)的堆疊技術(shù)，應(yīng)用于網(wǎng)絡(luò)交換機(jī)中，虛擬化實(shí)現(xiàn)方式為在兩臺(tái)交換機(jī)主控板位置插入堆疊卡，按一定規(guī)則順序連接堆疊卡；啟動(dòng)堆疊競(jìng)爭(zhēng)規(guī)則系統(tǒng)，其中一臺(tái)為堆疊主設(shè)備，另一臺(tái)為堆疊備設(shè)備，堆疊主設(shè)備主用控制板稱為CSS的系統(tǒng)主，堆疊備設(shè)備的主用主控板稱為CSS的系統(tǒng)備，在系統(tǒng)主和系統(tǒng)備之間進(jìn)行主從備份處理，堆疊主和堆疊備的備用主控板則作為CSS候選系統(tǒng)備②③。在中心機(jī)房部署2臺(tái)華為CE12812核心交換機(jī)，采用CSS技術(shù)（集群）將2臺(tái)CE12812交換機(jī)虛擬成一臺(tái)邏輯設(shè)備，CE12812物理系統(tǒng)承載網(wǎng)絡(luò)安全一體化平臺(tái)業(yè)務(wù)系統(tǒng)。服務(wù)器接入交換機(jī)使用S5700堆疊配置，通過(guò)萬(wàn)兆多模光纖雙線上聯(lián)到2臺(tái)核心交換機(jī)，并做鏈路聚合，等同于兩萬(wàn)兆帶寬上聯(lián)至核心交換機(jī)。將設(shè)備堆疊組中不同設(shè)備中的物理接口聚合到一個(gè)邏輯接口中。當(dāng)堆疊設(shè)備中某臺(tái)設(shè)備發(fā)生故障，或加入鏈路聚合接口中的物理成員接口故障，可通過(guò)堆疊設(shè)備間線纜跨設(shè)備傳輸數(shù)據(jù)流量，從而保證數(shù)據(jù)流量的可靠傳輸，同時(shí)也實(shí)現(xiàn)了數(shù)據(jù)流量在不同鏈路上的負(fù)載分擔(dān)。接入交換機(jī)為二層部署，所有網(wǎng)關(guān)全部終結(jié)在核心交換機(jī)（CE12812）上。(2)服務(wù)器配置多網(wǎng)卡架構(gòu)。大眾日?qǐng)?bào)和齊魯傳媒數(shù)據(jù)中心的每臺(tái)物理主機(jī)均配置4塊以上千兆網(wǎng)卡，網(wǎng)卡全部配置為全雙工模式，綁定物理網(wǎng)卡1端口和2端口，用于大眾日?qǐng)?bào)或齊魯傳媒數(shù)據(jù)中心的生產(chǎn)網(wǎng)絡(luò)，每臺(tái)物理主機(jī)光纖網(wǎng)卡接入光纖交換機(jī)，和存儲(chǔ)設(shè)備連接起來(lái)，原結(jié)構(gòu)軟硬件不用做任何調(diào)整，綁定空閑的物理主機(jī)網(wǎng)卡3和4端口，通過(guò)服務(wù)器接入交換機(jī)連入網(wǎng)媒集團(tuán)數(shù)據(jù)中心，物理主機(jī)網(wǎng)卡1和2端口屬于大眾日?qǐng)?bào)或齊魯傳媒數(shù)據(jù)中心網(wǎng)絡(luò)區(qū)域，物理主機(jī)網(wǎng)卡3和端口屬于網(wǎng)媒集團(tuán)數(shù)據(jù)中心網(wǎng)絡(luò)區(qū)域；通過(guò)雙網(wǎng)卡的綁定，可實(shí)現(xiàn)一組網(wǎng)卡之間的相互冗余備份，并提高虛擬機(jī)網(wǎng)卡吞吐量以及網(wǎng)絡(luò)訪問(wèn)的穩(wěn)定性。通過(guò)此網(wǎng)絡(luò)架構(gòu)改造，打通了大眾日?qǐng)?bào)、齊魯傳媒和網(wǎng)媒集團(tuán)三個(gè)數(shù)據(jù)中心，為大眾日?qǐng)?bào)和齊魯傳媒數(shù)據(jù)中心的應(yīng)用系統(tǒng)平滑遷移到網(wǎng)媒集團(tuán)數(shù)據(jù)中心打下基礎(chǔ)。復(fù)制大眾日?qǐng)?bào)和齊魯傳媒數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)虛擬機(jī)，此虛擬機(jī)關(guān)聯(lián)到物理主機(jī)網(wǎng)卡3和4端口，加入網(wǎng)媒集團(tuán)數(shù)據(jù)中心網(wǎng)絡(luò)區(qū)域。

這樣，在網(wǎng)媒集團(tuán)數(shù)據(jù)中心里，建立了大眾日?qǐng)?bào)和齊魯傳媒數(shù)據(jù)中心所有業(yè)務(wù)系統(tǒng)的備份系統(tǒng)，在合適的條件下，切換備用系統(tǒng)為主生產(chǎn)系統(tǒng)。(3)堡壘機(jī)。報(bào)業(yè)網(wǎng)絡(luò)安全一體化平臺(tái)內(nèi)部署了關(guān)鍵業(yè)務(wù)系統(tǒng)、重要數(shù)據(jù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、安全設(shè)備等，軟硬件設(shè)施運(yùn)維人員眾多，而且分散在大眾報(bào)業(yè)集團(tuán)下不同的部門和單位，特別是很多系統(tǒng)的維護(hù)還需要借助廠家工程師、系統(tǒng)建設(shè)集成商等多種角色的技術(shù)人員參與系統(tǒng)與支持④。為了軟硬件安全可靠運(yùn)行，降低人為安全風(fēng)險(xiǎn)，避免安全損失，在網(wǎng)絡(luò)安全一體化平臺(tái)內(nèi)配置了一臺(tái)堡壘機(jī)。堡壘機(jī)邏輯上位于主機(jī)和網(wǎng)絡(luò)設(shè)備的前面，采用協(xié)議的方式，接管了終端計(jì)算機(jī)對(duì)主機(jī)和網(wǎng)絡(luò)設(shè)備的訪問(wèn)，運(yùn)維安全審計(jì)堡壘機(jī)能夠攔截非法訪問(wèn)和惡意攻擊，對(duì)不合法命令進(jìn)行命令阻斷，過(guò)濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問(wèn)行為，并對(duì)內(nèi)部人員誤操作和非法操作進(jìn)行審計(jì)監(jiān)控，以便事后責(zé)任追蹤。(4)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是對(duì)用戶訪問(wèn)數(shù)據(jù)庫(kù)操作行為進(jìn)行細(xì)粒度分析和審計(jì)的安全系統(tǒng)，它可提供實(shí)時(shí)監(jiān)控、違規(guī)響應(yīng)、歷史行為回溯等操作分析功能，可詳細(xì)完整記錄數(shù)據(jù)庫(kù)的訪問(wèn)行為，識(shí)別越權(quán)等違規(guī)操作，并可追蹤溯源，為數(shù)據(jù)庫(kù)安全管理及性能優(yōu)化提供決策依據(jù)。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)部署在核心交換機(jī)上，通過(guò)設(shè)置端口鏡像，將數(shù)據(jù)庫(kù)的流量鏡像到數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)的操作審計(jì)。(5)Web應(yīng)用防火墻。Web應(yīng)用防火墻專門保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動(dòng)的攻擊。網(wǎng)絡(luò)安全一體化平臺(tái)配置安恒明御Web應(yīng)用防火墻，串接在防火墻和核心交換機(jī)之間，啟用光纖旁路功能，即當(dāng)Web應(yīng)用防火墻硬件出現(xiàn)故障時(shí)，網(wǎng)絡(luò)流量直接物理導(dǎo)通，不進(jìn)入Web應(yīng)用防火墻。（6）災(zāi)備系統(tǒng)方案。優(yōu)化報(bào)業(yè)集團(tuán)關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)的備份策略，實(shí)現(xiàn)“2+1”模式部署，即在本地私有云上部署2套應(yīng)用系統(tǒng)，同時(shí)租用阿里云或華為云等公有云網(wǎng)絡(luò)資源，在其上再部署一套應(yīng)用系統(tǒng)，確保極端情況下關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)的連續(xù)性、安全性。

結(jié)語(yǔ)

網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0對(duì)等級(jí)保護(hù)1.0進(jìn)行了發(fā)展與完善，能夠?yàn)榫W(wǎng)絡(luò)安全防護(hù)工作的實(shí)施提供有效的指導(dǎo)。報(bào)業(yè)集團(tuán)在網(wǎng)絡(luò)安全一體化平臺(tái)建設(shè)過(guò)程中，按照網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)，利用服務(wù)器多網(wǎng)卡架構(gòu)，增購(gòu)配置日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)、漏洞掃描等網(wǎng)絡(luò)安全設(shè)備，建成報(bào)業(yè)集團(tuán)網(wǎng)絡(luò)安全一體化平臺(tái)，在深度融合背景下為傳媒集團(tuán)在多數(shù)據(jù)中心整合建設(shè)、網(wǎng)絡(luò)安全防護(hù)能力建設(shè)方面提供了可以借鑒的思路。

作者：鞠傳森 向小平 單位：大眾報(bào)業(yè)集團(tuán)