云計算下的報業網絡安全一體化平臺

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了云計算下的報業網絡安全一體化平臺范文，希望能給你帶來靈感和參考，敬請閱讀。

近年來，大眾報業集團推進以新媒體為重點的深度融合發展，構建全媒網絡一體化運行體系成為不可或缺的一環，同時，信息系統的網絡硬件架構有了質的變化，面臨著復雜的網絡安全風險。為適應網絡安全新形勢的需要，2019年國家標準化管理委員會了新修訂的《信息安全技術網絡安全等級保護基本要求》，這標志著等級保護2.0時代真正來臨。新標準更加注重全方位主動防御、動態防御、整體防控和精準防護，實現了對云計算、大數據、物聯網和移動互聯系統等保護對象全覆蓋。

報業集團網絡的現狀和問題

目前大眾報業集團存在四個相對獨立的數據中心，分別由大眾日報、山東省互聯網傳媒集團（簡稱“網媒集團”）、齊魯傳媒、半島傳媒管理，這些數據中心均配備相關的網絡、計算、存儲等設施和資源，也各自具有獨立的網絡安全系統。其中在濟南總部大眾傳媒大廈機房有分別由大眾日報、網媒集團、齊魯傳媒管理的三個數據中心，各自接入互聯網專線，配備不同型號的網絡及網絡安全設備，承載運行不同的應用系統。大眾報業集團各數據中心內部已通過VmvareESXi技術實現服務器虛擬化，解決了各數據中心內部所謂“煙囪式”的配置模式，即每個業務部門、每種業務應用都配置專門的硬件設備，而非一整套管理信息系統解決方案。ESXi體系在結構上去除了基于Linux的服務控制臺，在安全、部署和配置以及日常管理等虛擬化管理方面進行了改進。ESXi可直接在服務器上安裝，不需要其他操作系統支持，能夠充分發揮硬件性能，同時虛擬機也不會受到操作系統的影響①。

1.項目重復建設問題

大眾報業集團建有四個相對獨立的數據中心，導致集團每年在專線費、設備新購和運維、信息系統研發中存在大量的重復建設，造成了人財物的資源浪費，使得資金分散，資本集中度較低，難以實現規模化聚力和集約化建設。

2.設備和數據資源共享困難

因歷史原因，條線式業務系統在建設過程中，技術路線不統一，各業務應用、數據分散式存儲在各部門、單位，因網絡系統本身的天然隔絕導致技術層面很難進行高效整合，集團部分數據中心計算、存儲資源緊張，部分數據中心計算、存儲資源有富裕，但無法進行調配使用，設備和數據資源相互之間不能完全共享。

3.工作難以協同

網絡結構體系獨立、分散，各單位的技術部門各自為戰，導致業務系統和項目小型化、分散化。同時因各自應用的互聯網技術、開發平臺和工具不統一，工作難以協同，人力的集約效應、工作效能不能充分發揮。同時，大眾報業集團各數據中心的部分網絡安全設備進入老化期，需要進行更新換代，整體網絡安全設施配備不全，需要購買補充。按照等保2.0標準，滿足三級等保要求，必須增購配置日志審計、數據庫審計、堡壘機、漏洞掃描等設備。因此，以更新網絡安全設備為契機，實施集團網絡安全一體化平臺建設，可以對集團網絡信息資源有計劃、分步驟地進行有效整合。

報業網絡安全一體化平臺設計與實現

1.報業網絡安全一體化平臺規劃和設計

大眾報業集團四個數據中心為500多個信息業務系統提供技術支撐環境，其中包括集團融媒體“中央廚房”、大眾日報客戶端、大眾網及海報新聞客戶端、齊魯晚報網及齊魯壹點客戶端、半島網及半島新聞客戶端等集團關鍵新媒體業務系統。這些關鍵新媒體業務系統經過等保測評，定級為三級等保系統。集團進行網絡安全一體化平臺整合建設時，不能中斷這些關鍵業務系統。以業務系統數量最多、關鍵信息基礎設施較為完善的網媒集團數據中心為基礎，替換掉老化的防火墻設備和VPN設備，增購配置日志審計、數據庫審計、堡壘機、漏洞掃描等設備，建成滿足等保2.0標準三級防護水平的數據中心。重復利用大眾日報和齊魯傳媒數據中心的計算和存儲資源，利用服務器接入交換機，連接到網媒集團數據中心，建成大眾報業集團網絡安全一體化平臺。

2.報業網絡安全一體化平臺實施方案

(1)核心交換機CSS技術配置。CSS稱為集群交換機系統，是華為公司開發的堆疊技術，應用于網絡交換機中，虛擬化實現方式為在兩臺交換機主控板位置插入堆疊卡，按一定規則順序連接堆疊卡；啟動堆疊競爭規則系統，其中一臺為堆疊主設備，另一臺為堆疊備設備，堆疊主設備主用控制板稱為CSS的系統主，堆疊備設備的主用主控板稱為CSS的系統備，在系統主和系統備之間進行主從備份處理，堆疊主和堆疊備的備用主控板則作為CSS候選系統備②③。在中心機房部署2臺華為CE12812核心交換機，采用CSS技術（集群）將2臺CE12812交換機虛擬成一臺邏輯設備，CE12812物理系統承載網絡安全一體化平臺業務系統。服務器接入交換機使用S5700堆疊配置，通過萬兆多模光纖雙線上聯到2臺核心交換機，并做鏈路聚合，等同于兩萬兆帶寬上聯至核心交換機。將設備堆疊組中不同設備中的物理接口聚合到一個邏輯接口中。當堆疊設備中某臺設備發生故障，或加入鏈路聚合接口中的物理成員接口故障，可通過堆疊設備間線纜跨設備傳輸數據流量，從而保證數據流量的可靠傳輸，同時也實現了數據流量在不同鏈路上的負載分擔。接入交換機為二層部署，所有網關全部終結在核心交換機（CE12812）上。(2)服務器配置多網卡架構。大眾日報和齊魯傳媒數據中心的每臺物理主機均配置4塊以上千兆網卡，網卡全部配置為全雙工模式，綁定物理網卡1端口和2端口，用于大眾日報或齊魯傳媒數據中心的生產網絡，每臺物理主機光纖網卡接入光纖交換機，和存儲設備連接起來，原結構軟硬件不用做任何調整，綁定空閑的物理主機網卡3和4端口，通過服務器接入交換機連入網媒集團數據中心，物理主機網卡1和2端口屬于大眾日報或齊魯傳媒數據中心網絡區域，物理主機網卡3和端口屬于網媒集團數據中心網絡區域；通過雙網卡的綁定，可實現一組網卡之間的相互冗余備份，并提高虛擬機網卡吞吐量以及網絡訪問的穩定性。通過此網絡架構改造，打通了大眾日報、齊魯傳媒和網媒集團三個數據中心，為大眾日報和齊魯傳媒數據中心的應用系統平滑遷移到網媒集團數據中心打下基礎。復制大眾日報和齊魯傳媒數據中心業務系統虛擬機，此虛擬機關聯到物理主機網卡3和4端口，加入網媒集團數據中心網絡區域。

這樣，在網媒集團數據中心里，建立了大眾日報和齊魯傳媒數據中心所有業務系統的備份系統，在合適的條件下，切換備用系統為主生產系統。(3)堡壘機。報業網絡安全一體化平臺內部署了關鍵業務系統、重要數據、服務器、網絡設備、數據庫、安全設備等，軟硬件設施運維人員眾多，而且分散在大眾報業集團下不同的部門和單位，特別是很多系統的維護還需要借助廠家工程師、系統建設集成商等多種角色的技術人員參與系統與支持④。為了軟硬件安全可靠運行，降低人為安全風險，避免安全損失，在網絡安全一體化平臺內配置了一臺堡壘機。堡壘機邏輯上位于主機和網絡設備的前面，采用協議的方式，接管了終端計算機對主機和網絡設備的訪問，運維安全審計堡壘機能夠攔截非法訪問和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標設備的非法訪問行為，并對內部人員誤操作和非法操作進行審計監控，以便事后責任追蹤。(4)數據庫審計系統。數據庫審計系統是對用戶訪問數據庫操作行為進行細粒度分析和審計的安全系統，它可提供實時監控、違規響應、歷史行為回溯等操作分析功能，可詳細完整記錄數據庫的訪問行為，識別越權等違規操作，并可追蹤溯源，為數據庫安全管理及性能優化提供決策依據。數據庫審計系統部署在核心交換機上，通過設置端口鏡像，將數據庫的流量鏡像到數據庫審計系統，實現數據庫系統的操作審計。(5)Web應用防火墻。Web應用防火墻專門保護Web應用通信流和所有相關的應用資源免受利用Web協議或應用程序漏洞發動的攻擊。網絡安全一體化平臺配置安恒明御Web應用防火墻，串接在防火墻和核心交換機之間，啟用光纖旁路功能，即當Web應用防火墻硬件出現故障時，網絡流量直接物理導通，不進入Web應用防火墻。（6）災備系統方案。優化報業集團關鍵業務應用系統的備份策略，實現“2+1”模式部署，即在本地私有云上部署2套應用系統，同時租用阿里云或華為云等公有云網絡資源，在其上再部署一套應用系統，確保極端情況下關鍵業務應用系統的連續性、安全性。

結語

網絡安全等級保護2.0對等級保護1.0進行了發展與完善，能夠為網絡安全防護工作的實施提供有效的指導。報業集團在網絡安全一體化平臺建設過程中，按照網絡安全等級保護2.0標準，利用服務器多網卡架構，增購配置日志審計、數據庫審計、堡壘機、漏洞掃描等網絡安全設備，建成報業集團網絡安全一體化平臺，在深度融合背景下為傳媒集團在多數據中心整合建設、網絡安全防護能力建設方面提供了可以借鑒的思路。

作者：鞠傳森 向小平 單位：大眾報業集團