摘要:本文基于陕西省融媒体平台的安全建设实践,介绍了省级融媒体平台网络安全的加固方案及实施措施。
关键词:融媒体;网络安全;防火墙;等级保护
1引言
县级融媒体中心建设是各地推进媒体深度融合的龙头工程,其中融媒体平台的网络安全建设尤其重要。陕西广电网络传媒(集团)股份有限公司(以下简称“陕西广电网络”)在原有“秦岭云”云平台网络的基础上,结合融媒体安全特定需求逐步进行网络安全加固改造,完成了省级融媒体平台网络安全建设。本文对陕西广电网络的融媒体平台网络安全建设实践作简要介绍,希望能为各地建设提供借鉴。
2现状分析
陕西广电网络融媒体平台部署在陕西“秦岭云”虚拟化资源池上,配备多个业务支撑系统,如“中央厨房”生产系统、流媒体CDN等,可通过互联网对外区实现对外融媒体业务、互联互通、数据共享等功能。目前融媒体平台具备专网和互联网两个出口,其出口区域已经部署了防火墙,开启了“防病毒+入侵防御”模块,具备边界访问控制措施,专网与互联网通过核心交换机连接网闸实现数据摆渡交换。其网络结构图如图1所示。在融媒体平台建设初期主要完成了融媒体平台虚拟化资源池独立、融媒体平台边界安全、终端安全及虚拟化安全建设,但在整体网络安全方面还存在一些问题。首先,终端安全已经建设,但在终端接入方面无相关技术手段保证县级融媒体办公PC接入省级融媒体平台时安装有终端安全防护软件,无法确保桌面终端的安全接入。其次,融媒体平台建设未达到等级保护三级要求,信息安全得不到有效保障。前期的融媒体平台安全防护只能实现初步的边界安全防护,只有在漏洞检测、数据安全防护、身份鉴别、安全审计等方面作进一步完善,才能符合等级保护三级要求。最后,目前建设的虚拟化安全部署在“秦岭云”虚拟化服务器上,后续需要通过迁移重新部署到融媒体平台上,这样才能实现东西向访问控制、入侵防御、防病毒等功能,从而满足等级保护三级要求中关于虚拟化安全访问的基本要求。
3网络安全建设
基于融媒体平台安全通信网络进行设计,陕西广电网络通过网络架构。通信传输两方面进行对标及设计,逐步满足三级等保相关安全通信网络要求,具体设计如图2所示。陕西广电网络基于分区保护的原则,对融媒体平台安全区域进行划分,并确定要保护的计算环境、区域边界和通信网络。首先根据安全区域内的保护对象分别确定各个环节的保护强度,然后根据保护强度设计不同的安全防护系统,最后在实现基础性保护措施的基础上,利用安全信息管理体系进行总体安全技术体系设计,实现对融媒体平台的统一安全管理。
3.1互联网出口区安全设计
互联网出口区是融媒体中心“中央厨房”系统内舆情采集、的重要互联网业务区,承担县级融媒体用户接入平台的部分点播服务、服务,作为融媒体中心对外提供服务的统一出口,担负着重要的边界防护功能。该区域网络架构采用双链路、双设备的冗余结构设计,可提高网络系统的整体容错能力,防止出现单点故障,最大化保障数据访问的可用性和业务的连续性。陕西广电网络通过部署两台下一代防火墙,实现对网络流量的全面透析与管控;通过优化网络带宽并细致划分带宽资源,保证核心业务的带宽需求,限制非业务应用的带宽占用,从而构建可视、可控、可优化的高效网络。通过部署两台入侵防御系统,实现从物理层到应用层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击或恶意行为,实现对网络应用、网络基础设施和网络性能的全面保护。通过部署一台上网行为管理设备,实现对用户行为的管理,规避网络泄密、防范法规风险。通过采集、分析、识别网络数据,实时动态监测通信内容、网络行为和网络流量;通过发现和捕获各种敏感信息、违规行为,实现实时报警响应;通过全面记录网络系统中的各种会话和事件,完成对网络信息的智能关联分析、评估,对安全事件的准确全程跟踪定位,为整体网络安全策略的制定提供可靠的支持。通过部署一台VPN设备,实现对远程连接的实时监视,对未授权的连接进行阻断。
3.2互联网应用接入区安全设计
互联网应用接入区用于满足公众用户或一般企业用户对融媒体业务应用的访问需求,是数据中心核心业务区域之一。陕西广电网络在安全设计中主要考虑以下三方面内容。一是应用负载均衡。通过部署两台应用负载均衡,实现链路负载均衡及服务器负载均衡,实现多个站点之间的流量均衡,提高应用的可用性,实现应用加速、站点级冗余和快速切换,保持一定的灾难恢复能力。二是Web应用防护。部署两台Web安全网关设备,对部署在本区域内的对公业务系统Web访问流量进行针对性防护,实现对Web类攻击行为,如SQL注入、命令执行、XSS等的防护,保障Web应用自身安全。三是服务器防护。通过在虚拟机及裸服务器上安装虚拟化安全管理系统,实现防病毒、访问控制、入侵防御等功能,进而实现虚拟机防护及加固,完成对本区域主机的安全防护。
3.3专网接入区安全设计
专网接入区用于实现全省融媒体中心各部门对融媒体中心私有云上业务应用系统的访问。陕西广电网络通过原有两台防火墙的访问控制策略筛选可建立的连接,即规定内网中哪些IP地址可以访问本区域,以及区域内的应用系统开放策略;开启防火墙上的防病毒、应用识别等模块,使其可应对复杂的应用流量。
3.4融媒体中心核心应用区安全设计
融媒体中心私有云承载着融媒体中心的核心业务,也是本次建设方案的核心保障区域。陕西广电网络通过在融媒体中心核心应用区与核心区之间设置安全隔离,在交换机上划分区域,实现基于区域的访问控制,即规定内网中哪些IP地址可以访问本区域,规定区域内的应用系统端口开放策略,通过策略完成访问控制。陕西广电网络通过部署虚拟化安全防护系统,对融媒体中心云平台中所有服务器的业务安全域进行逻辑划域隔离,并对业务区域内服务器提供的服务进行应用角色划分,对不同应用角色之间的服务访问进行控制配置,减少物理服务器、虚拟服务器被攻击的机会,从而完成集中统一管理服务器的访问控制策略。通过部署网络准入系统,对县级融媒体中心接入内网访问核心业务的流量进行准入控制,保证系统安全、可靠地接入内网,实现业务访问。
3.5安全管理区安全设计
安全管理区是负责整个融媒体私有云平台安全管理、安全运维以及与之相关的用户管理、云平台管理、备份管理等功能的组件的集合区域,是维系云平台正常运转、制定各类安全策略的核心区域。安全管理区主要对数据中心的软件、硬件系统进行统一的运维管理,负责全网的整体运维监控和流程管理,保障云平台各类设施及管理的有序开展。通过在安全管理区部署漏洞扫描、堡垒机、日志审计、数据库审计、高级威胁感知、虚拟化安全防护等系统,“零信任”统一身份认证系统和安全管理中心等,可以为整个平台的网络安全、计算资源安全、应用安全、数据安全提供支撑。具体分别介绍如下。入侵检测系统,通过旁路部署到核心交换,实现对进入内网的木马病毒、垃圾邮件、DDoS/DoS攻击、网络资源滥用等危害网络安全行为的检测。高级威胁感知系统,通过大数据挖掘分析的恶意代码智能检测技术,提升检测恶意代码的能力;基于轻量级沙箱的未知漏洞攻击检测技术,提升客户检测未知漏洞的能力;通过打通威胁情报从而进行攻击定位、溯源分析及阻断,帮助企业从源头上解决未知威胁带来的安全问题。堡垒机,负责对上线应用服务器的每个操作系统和数据库,以及网络设备、安全设备的运维行为,进行集中帐号管理、集中访问控制、集中安全审计,满足等级保护中主机安全对于身份认证、访问控制、安全审计的相关要求。数据库审计,用于实现对虚拟化服务器中数据库操作行为的跟踪,从而记录对数据库的操作、实现对数据库活动或状态的监控,支撑数据库审计异常行为追踪取证。日志审计系统,用于实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志及警报等信息汇集到审计中心,实现全网综合安全审计功能,满足等级保护三级中的6个月日志审计要求。漏洞扫描系统,用于实现对融媒体平台主机、数据库、中间件及Web应用的安全漏洞扫描,从而及时发现系统或应用中存在的安全漏洞,从而及时进行补丁升级和漏洞整改。网络安全审计,用于实现融媒体平台各运维终端对HTTP/HTTPS类应用的用户行为访问记录及审计功能。安全管理中心,用于形成全网、全维、全方位安全态势感知能力。从监控、审计、风险、运维四个维度对全网的整体安全进行集中化管理与运维,从而建立起了一个可视、可查、可度量、可持续的安全管理平台;通过安全告警、信息采集、威胁发现等功能,完成安全风险管理,提升预警能力;通过安全运营,实现对预测、阻断、检测和响应的闭环管理,具备集中管控、响应和处置的能力;通过采集全网安全日志和网络流量,实现对全网安全数据的集中管控和对异常事件、行为的有效感知,为融媒体中心业务应用体系提供全面的安全保障。“零信任”统一身份认证系统,用于实现对人、设备、应用的身份认证,以及对访问的动态细粒度授权,将静态的访问控制策略转变为动态,实现对企业数据的统一安全访问。
4结语
陕西广电网络以“保障应用、确保安全”为目标,按照“统筹规划、同步建设,分级管理、逐级负责,属地管理、明确责任”的原则,依据国家网络安全等级保护三级标准要求,建立和完善融媒体中心安全体系架构,将整个融媒体平台的安全保障提升到一个较高的水平,最终实现了网络安全由边界防护、被动防御向全域联动、主动防御转变,形成了与融媒体平台相适应的智能化网络安全保障体系,整体提高了陕西广电网络融媒体平台的防护水平。
作者:王钰 龙伟 单位:陕西广电网络传媒(集团)股份有限公司
