前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了云計(jì)算下的報(bào)業(yè)網(wǎng)絡(luò)安全一體化平臺(tái)范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。
近年來(lái),大眾報(bào)業(yè)集團(tuán)推進(jìn)以新媒體為重點(diǎn)的深度融合發(fā)展,構(gòu)建全媒網(wǎng)絡(luò)一體化運(yùn)行體系成為不可或缺的一環(huán),同時(shí),信息系統(tǒng)的網(wǎng)絡(luò)硬件架構(gòu)有了質(zhì)的變化,面臨著復(fù)雜的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。為適應(yīng)網(wǎng)絡(luò)安全新形勢(shì)的需要,2019年國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)了新修訂的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,這標(biāo)志著等級(jí)保護(hù)2.0時(shí)代真正來(lái)臨。新標(biāo)準(zhǔn)更加注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù),實(shí)現(xiàn)了對(duì)云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)系統(tǒng)等保護(hù)對(duì)象全覆蓋。
報(bào)業(yè)集團(tuán)網(wǎng)絡(luò)的現(xiàn)狀和問(wèn)題
目前大眾報(bào)業(yè)集團(tuán)存在四個(gè)相對(duì)獨(dú)立的數(shù)據(jù)中心,分別由大眾日?qǐng)?bào)、山東省互聯(lián)網(wǎng)傳媒集團(tuán)(簡(jiǎn)稱“網(wǎng)媒集團(tuán)”)、齊魯傳媒、半島傳媒管理,這些數(shù)據(jù)中心均配備相關(guān)的網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)等設(shè)施和資源,也各自具有獨(dú)立的網(wǎng)絡(luò)安全系統(tǒng)。其中在濟(jì)南總部大眾傳媒大廈機(jī)房有分別由大眾日?qǐng)?bào)、網(wǎng)媒集團(tuán)、齊魯傳媒管理的三個(gè)數(shù)據(jù)中心,各自接入互聯(lián)網(wǎng)專線,配備不同型號(hào)的網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備,承載運(yùn)行不同的應(yīng)用系統(tǒng)。大眾報(bào)業(yè)集團(tuán)各數(shù)據(jù)中心內(nèi)部已通過(guò)VmvareESXi技術(shù)實(shí)現(xiàn)服務(wù)器虛擬化,解決了各數(shù)據(jù)中心內(nèi)部所謂“煙囪式”的配置模式,即每個(gè)業(yè)務(wù)部門、每種業(yè)務(wù)應(yīng)用都配置專門的硬件設(shè)備,而非一整套管理信息系統(tǒng)解決方案。ESXi體系在結(jié)構(gòu)上去除了基于Linux的服務(wù)控制臺(tái),在安全、部署和配置以及日常管理等虛擬化管理方面進(jìn)行了改進(jìn)。ESXi可直接在服務(wù)器上安裝,不需要其他操作系統(tǒng)支持,能夠充分發(fā)揮硬件性能,同時(shí)虛擬機(jī)也不會(huì)受到操作系統(tǒng)的影響①。
1.項(xiàng)目重復(fù)建設(shè)問(wèn)題
大眾報(bào)業(yè)集團(tuán)建有四個(gè)相對(duì)獨(dú)立的數(shù)據(jù)中心,導(dǎo)致集團(tuán)每年在專線費(fèi)、設(shè)備新購(gòu)和運(yùn)維、信息系統(tǒng)研發(fā)中存在大量的重復(fù)建設(shè),造成了人財(cái)物的資源浪費(fèi),使得資金分散,資本集中度較低,難以實(shí)現(xiàn)規(guī)?;哿图s化建設(shè)。
2.設(shè)備和數(shù)據(jù)資源共享困難
因歷史原因,條線式業(yè)務(wù)系統(tǒng)在建設(shè)過(guò)程中,技術(shù)路線不統(tǒng)一,各業(yè)務(wù)應(yīng)用、數(shù)據(jù)分散式存儲(chǔ)在各部門、單位,因網(wǎng)絡(luò)系統(tǒng)本身的天然隔絕導(dǎo)致技術(shù)層面很難進(jìn)行高效整合,集團(tuán)部分?jǐn)?shù)據(jù)中心計(jì)算、存儲(chǔ)資源緊張,部分?jǐn)?shù)據(jù)中心計(jì)算、存儲(chǔ)資源有富裕,但無(wú)法進(jìn)行調(diào)配使用,設(shè)備和數(shù)據(jù)資源相互之間不能完全共享。
3.工作難以協(xié)同
網(wǎng)絡(luò)結(jié)構(gòu)體系獨(dú)立、分散,各單位的技術(shù)部門各自為戰(zhàn),導(dǎo)致業(yè)務(wù)系統(tǒng)和項(xiàng)目小型化、分散化。同時(shí)因各自應(yīng)用的互聯(lián)網(wǎng)技術(shù)、開(kāi)發(fā)平臺(tái)和工具不統(tǒng)一,工作難以協(xié)同,人力的集約效應(yīng)、工作效能不能充分發(fā)揮。同時(shí),大眾報(bào)業(yè)集團(tuán)各數(shù)據(jù)中心的部分網(wǎng)絡(luò)安全設(shè)備進(jìn)入老化期,需要進(jìn)行更新?lián)Q代,整體網(wǎng)絡(luò)安全設(shè)施配備不全,需要購(gòu)買補(bǔ)充。按照等保2.0標(biāo)準(zhǔn),滿足三級(jí)等保要求,必須增購(gòu)配置日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)、漏洞掃描等設(shè)備。因此,以更新網(wǎng)絡(luò)安全設(shè)備為契機(jī),實(shí)施集團(tuán)網(wǎng)絡(luò)安全一體化平臺(tái)建設(shè),可以對(duì)集團(tuán)網(wǎng)絡(luò)信息資源有計(jì)劃、分步驟地進(jìn)行有效整合。
報(bào)業(yè)網(wǎng)絡(luò)安全一體化平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)
1.報(bào)業(yè)網(wǎng)絡(luò)安全一體化平臺(tái)規(guī)劃和設(shè)計(jì)
大眾報(bào)業(yè)集團(tuán)四個(gè)數(shù)據(jù)中心為500多個(gè)信息業(yè)務(wù)系統(tǒng)提供技術(shù)支撐環(huán)境,其中包括集團(tuán)融媒體“中央廚房”、大眾日?qǐng)?bào)客戶端、大眾網(wǎng)及海報(bào)新聞客戶端、齊魯晚報(bào)網(wǎng)及齊魯壹點(diǎn)客戶端、半島網(wǎng)及半島新聞客戶端等集團(tuán)關(guān)鍵新媒體業(yè)務(wù)系統(tǒng)。這些關(guān)鍵新媒體業(yè)務(wù)系統(tǒng)經(jīng)過(guò)等保測(cè)評(píng),定級(jí)為三級(jí)等保系統(tǒng)。集團(tuán)進(jìn)行網(wǎng)絡(luò)安全一體化平臺(tái)整合建設(shè)時(shí),不能中斷這些關(guān)鍵業(yè)務(wù)系統(tǒng)。以業(yè)務(wù)系統(tǒng)數(shù)量最多、關(guān)鍵信息基礎(chǔ)設(shè)施較為完善的網(wǎng)媒集團(tuán)數(shù)據(jù)中心為基礎(chǔ),替換掉老化的防火墻設(shè)備和VPN設(shè)備,增購(gòu)配置日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)、漏洞掃描等設(shè)備,建成滿足等保2.0標(biāo)準(zhǔn)三級(jí)防護(hù)水平的數(shù)據(jù)中心。重復(fù)利用大眾日?qǐng)?bào)和齊魯傳媒數(shù)據(jù)中心的計(jì)算和存儲(chǔ)資源,利用服務(wù)器接入交換機(jī),連接到網(wǎng)媒集團(tuán)數(shù)據(jù)中心,建成大眾報(bào)業(yè)集團(tuán)網(wǎng)絡(luò)安全一體化平臺(tái)。
2.報(bào)業(yè)網(wǎng)絡(luò)安全一體化平臺(tái)實(shí)施方案
(1)核心交換機(jī)CSS技術(shù)配置。CSS稱為集群交換機(jī)系統(tǒng),是華為公司開(kāi)發(fā)的堆疊技術(shù),應(yīng)用于網(wǎng)絡(luò)交換機(jī)中,虛擬化實(shí)現(xiàn)方式為在兩臺(tái)交換機(jī)主控板位置插入堆疊卡,按一定規(guī)則順序連接堆疊卡;啟動(dòng)堆疊競(jìng)爭(zhēng)規(guī)則系統(tǒng),其中一臺(tái)為堆疊主設(shè)備,另一臺(tái)為堆疊備設(shè)備,堆疊主設(shè)備主用控制板稱為CSS的系統(tǒng)主,堆疊備設(shè)備的主用主控板稱為CSS的系統(tǒng)備,在系統(tǒng)主和系統(tǒng)備之間進(jìn)行主從備份處理,堆疊主和堆疊備的備用主控板則作為CSS候選系統(tǒng)備②③。在中心機(jī)房部署2臺(tái)華為CE12812核心交換機(jī),采用CSS技術(shù)(集群)將2臺(tái)CE12812交換機(jī)虛擬成一臺(tái)邏輯設(shè)備,CE12812物理系統(tǒng)承載網(wǎng)絡(luò)安全一體化平臺(tái)業(yè)務(wù)系統(tǒng)。服務(wù)器接入交換機(jī)使用S5700堆疊配置,通過(guò)萬(wàn)兆多模光纖雙線上聯(lián)到2臺(tái)核心交換機(jī),并做鏈路聚合,等同于兩萬(wàn)兆帶寬上聯(lián)至核心交換機(jī)。將設(shè)備堆疊組中不同設(shè)備中的物理接口聚合到一個(gè)邏輯接口中。當(dāng)堆疊設(shè)備中某臺(tái)設(shè)備發(fā)生故障,或加入鏈路聚合接口中的物理成員接口故障,可通過(guò)堆疊設(shè)備間線纜跨設(shè)備傳輸數(shù)據(jù)流量,從而保證數(shù)據(jù)流量的可靠傳輸,同時(shí)也實(shí)現(xiàn)了數(shù)據(jù)流量在不同鏈路上的負(fù)載分擔(dān)。接入交換機(jī)為二層部署,所有網(wǎng)關(guān)全部終結(jié)在核心交換機(jī)(CE12812)上。(2)服務(wù)器配置多網(wǎng)卡架構(gòu)。大眾日?qǐng)?bào)和齊魯傳媒數(shù)據(jù)中心的每臺(tái)物理主機(jī)均配置4塊以上千兆網(wǎng)卡,網(wǎng)卡全部配置為全雙工模式,綁定物理網(wǎng)卡1端口和2端口,用于大眾日?qǐng)?bào)或齊魯傳媒數(shù)據(jù)中心的生產(chǎn)網(wǎng)絡(luò),每臺(tái)物理主機(jī)光纖網(wǎng)卡接入光纖交換機(jī),和存儲(chǔ)設(shè)備連接起來(lái),原結(jié)構(gòu)軟硬件不用做任何調(diào)整,綁定空閑的物理主機(jī)網(wǎng)卡3和4端口,通過(guò)服務(wù)器接入交換機(jī)連入網(wǎng)媒集團(tuán)數(shù)據(jù)中心,物理主機(jī)網(wǎng)卡1和2端口屬于大眾日?qǐng)?bào)或齊魯傳媒數(shù)據(jù)中心網(wǎng)絡(luò)區(qū)域,物理主機(jī)網(wǎng)卡3和端口屬于網(wǎng)媒集團(tuán)數(shù)據(jù)中心網(wǎng)絡(luò)區(qū)域;通過(guò)雙網(wǎng)卡的綁定,可實(shí)現(xiàn)一組網(wǎng)卡之間的相互冗余備份,并提高虛擬機(jī)網(wǎng)卡吞吐量以及網(wǎng)絡(luò)訪問(wèn)的穩(wěn)定性。通過(guò)此網(wǎng)絡(luò)架構(gòu)改造,打通了大眾日?qǐng)?bào)、齊魯傳媒和網(wǎng)媒集團(tuán)三個(gè)數(shù)據(jù)中心,為大眾日?qǐng)?bào)和齊魯傳媒數(shù)據(jù)中心的應(yīng)用系統(tǒng)平滑遷移到網(wǎng)媒集團(tuán)數(shù)據(jù)中心打下基礎(chǔ)。復(fù)制大眾日?qǐng)?bào)和齊魯傳媒數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)虛擬機(jī),此虛擬機(jī)關(guān)聯(lián)到物理主機(jī)網(wǎng)卡3和4端口,加入網(wǎng)媒集團(tuán)數(shù)據(jù)中心網(wǎng)絡(luò)區(qū)域。
這樣,在網(wǎng)媒集團(tuán)數(shù)據(jù)中心里,建立了大眾日?qǐng)?bào)和齊魯傳媒數(shù)據(jù)中心所有業(yè)務(wù)系統(tǒng)的備份系統(tǒng),在合適的條件下,切換備用系統(tǒng)為主生產(chǎn)系統(tǒng)。(3)堡壘機(jī)。報(bào)業(yè)網(wǎng)絡(luò)安全一體化平臺(tái)內(nèi)部署了關(guān)鍵業(yè)務(wù)系統(tǒng)、重要數(shù)據(jù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、安全設(shè)備等,軟硬件設(shè)施運(yùn)維人員眾多,而且分散在大眾報(bào)業(yè)集團(tuán)下不同的部門和單位,特別是很多系統(tǒng)的維護(hù)還需要借助廠家工程師、系統(tǒng)建設(shè)集成商等多種角色的技術(shù)人員參與系統(tǒng)與支持④。為了軟硬件安全可靠運(yùn)行,降低人為安全風(fēng)險(xiǎn),避免安全損失,在網(wǎng)絡(luò)安全一體化平臺(tái)內(nèi)配置了一臺(tái)堡壘機(jī)。堡壘機(jī)邏輯上位于主機(jī)和網(wǎng)絡(luò)設(shè)備的前面,采用協(xié)議的方式,接管了終端計(jì)算機(jī)對(duì)主機(jī)和網(wǎng)絡(luò)設(shè)備的訪問(wèn),運(yùn)維安全審計(jì)堡壘機(jī)能夠攔截非法訪問(wèn)和惡意攻擊,對(duì)不合法命令進(jìn)行命令阻斷,過(guò)濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問(wèn)行為,并對(duì)內(nèi)部人員誤操作和非法操作進(jìn)行審計(jì)監(jiān)控,以便事后責(zé)任追蹤。(4)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是對(duì)用戶訪問(wèn)數(shù)據(jù)庫(kù)操作行為進(jìn)行細(xì)粒度分析和審計(jì)的安全系統(tǒng),它可提供實(shí)時(shí)監(jiān)控、違規(guī)響應(yīng)、歷史行為回溯等操作分析功能,可詳細(xì)完整記錄數(shù)據(jù)庫(kù)的訪問(wèn)行為,識(shí)別越權(quán)等違規(guī)操作,并可追蹤溯源,為數(shù)據(jù)庫(kù)安全管理及性能優(yōu)化提供決策依據(jù)。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)部署在核心交換機(jī)上,通過(guò)設(shè)置端口鏡像,將數(shù)據(jù)庫(kù)的流量鏡像到數(shù)據(jù)庫(kù)審計(jì)系統(tǒng),實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)的操作審計(jì)。(5)Web應(yīng)用防火墻。Web應(yīng)用防火墻專門保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動(dòng)的攻擊。網(wǎng)絡(luò)安全一體化平臺(tái)配置安恒明御Web應(yīng)用防火墻,串接在防火墻和核心交換機(jī)之間,啟用光纖旁路功能,即當(dāng)Web應(yīng)用防火墻硬件出現(xiàn)故障時(shí),網(wǎng)絡(luò)流量直接物理導(dǎo)通,不進(jìn)入Web應(yīng)用防火墻。(6)災(zāi)備系統(tǒng)方案。優(yōu)化報(bào)業(yè)集團(tuán)關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)的備份策略,實(shí)現(xiàn)“2+1”模式部署,即在本地私有云上部署2套應(yīng)用系統(tǒng),同時(shí)租用阿里云或華為云等公有云網(wǎng)絡(luò)資源,在其上再部署一套應(yīng)用系統(tǒng),確保極端情況下關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)的連續(xù)性、安全性。
結(jié)語(yǔ)
網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0對(duì)等級(jí)保護(hù)1.0進(jìn)行了發(fā)展與完善,能夠?yàn)榫W(wǎng)絡(luò)安全防護(hù)工作的實(shí)施提供有效的指導(dǎo)。報(bào)業(yè)集團(tuán)在網(wǎng)絡(luò)安全一體化平臺(tái)建設(shè)過(guò)程中,按照網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn),利用服務(wù)器多網(wǎng)卡架構(gòu),增購(gòu)配置日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)、漏洞掃描等網(wǎng)絡(luò)安全設(shè)備,建成報(bào)業(yè)集團(tuán)網(wǎng)絡(luò)安全一體化平臺(tái),在深度融合背景下為傳媒集團(tuán)在多數(shù)據(jù)中心整合建設(shè)、網(wǎng)絡(luò)安全防護(hù)能力建設(shè)方面提供了可以借鑒的思路。
作者:鞠傳森 向小平 單位:大眾報(bào)業(yè)集團(tuán)