楊繼家 靳瑞勇 張曉蕾

隨著服務(wù)器虛擬化技術(shù)和桌面虛擬化技術(shù)的成熟、GPU虛擬化技術(shù)的進一步發(fā)展，基于云計算、虛擬化技術(shù)的項目不斷落地。這也給廣電行業(yè)的非編系統(tǒng)安全問題提供了全新的解決方案。同時，隨著《網(wǎng)絡(luò)安全法》的發(fā)布實施，網(wǎng)絡(luò)安全工作已成為各項工作中最重要的一環(huán)。本文就云平臺上的非編制作網(wǎng)與我臺現(xiàn)有核心業(yè)務(wù)網(wǎng)的安全接入、互聯(lián)網(wǎng)安全通信的問題進行分析探討。

1 基于云平臺的非編制作網(wǎng)的發(fā)展

隨著GPU虛擬化技術(shù)的發(fā)展，現(xiàn)代廣播電視節(jié)目的生產(chǎn)流程和生產(chǎn)方式也發(fā)生了巨大的變革。隨著VMware、Citrix兩大國外虛擬化廠商以及國內(nèi)華為、新華三、深信服公司針對GPU虛擬化推出的全新版本，全國廣播電視行業(yè)紛紛投資建設(shè)基于云平臺的非編制作網(wǎng)。

目前，我臺正在部署基于VMware服務(wù)器虛擬化、Citrix桌面虛擬化等技術(shù)的云平臺非編制作網(wǎng)。此制作網(wǎng)的建設(shè)定位于集高清制作、包裝于一體的綜合制作平臺，目的在于實現(xiàn)我臺內(nèi)綜藝節(jié)目、民生新聞節(jié)目、專題節(jié)目的融合生產(chǎn)。

2 網(wǎng)絡(luò)安全防護體系

《信息系統(tǒng)安全等級保護基本要求》中的三級安全保護能力是指網(wǎng)絡(luò)應(yīng)能在統(tǒng)一安全策略下使系統(tǒng)免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊，較為嚴重的自然災難及其他相當危害程度的威脅所造成的主要資源損害，能夠及時發(fā)現(xiàn)安全漏洞，在系統(tǒng)遭到損害后，及時進行處理，使功能恢復。

參照信息安全等級保護工作的相關(guān)要求，河北廣播電視臺充分考慮信息安全建設(shè)的合規(guī)性，結(jié)合臺內(nèi)現(xiàn)有業(yè)務(wù)系統(tǒng)現(xiàn)狀進行梳理，逐步建立基于等級保護的網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及云安全的防護體系。

3 針對云平臺非編制作網(wǎng)的安全建設(shè)

云平臺非編制作網(wǎng)的安全域劃分為外部安全域與內(nèi)部安全域。外部安全域劃分為兩塊安全域，分別為全臺網(wǎng)安全域和制作云安全域，全臺網(wǎng)安全域為臺內(nèi)主干平臺的網(wǎng)絡(luò)，制作云安全域為節(jié)目制作業(yè)務(wù)使用的網(wǎng)絡(luò)。安全域之間網(wǎng)絡(luò)存在網(wǎng)絡(luò)通訊交互，但是通過防火墻進行隔離。

3.1 外部安全域

為保障云制作網(wǎng)與全臺互聯(lián)互通平臺的網(wǎng)絡(luò)邊界安全，相關(guān)工作人員在邊界處部署了下一代防火墻。利用防火墻的應(yīng)用識別、控制、協(xié)議解析和異常檢測等功能提供安全防護能力。通過防火墻功能、IPS功能做訪問控制和威脅檢測。防火墻設(shè)備的高性能入侵防御系統(tǒng)IPS設(shè)備或模塊，具備網(wǎng)絡(luò)帶寬高吞吐能力；通過IPS提供的通過深達7層的分析與檢測，可實時阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件和網(wǎng)頁篡改等攻擊或惡意行為，并實現(xiàn)對網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用和性能的全面保護。從而建立較完整的網(wǎng)絡(luò)邊界訪問控制機制，使云平臺非編制作網(wǎng)達到相關(guān)安全防護的要求。

外部安全域劃分涉及的兩塊區(qū)域，互相之間存在網(wǎng)絡(luò)通訊，在安全域隔離上使用防火墻，通過防火墻的訪問控制策略保障安全域間通信，使網(wǎng)絡(luò)具有能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級。

3.2 內(nèi)部安全域

內(nèi)部安全域劃分為虛擬機安全域、管理安全域、VMotion安全域和vSan安全域。虛擬機安全域為VPC虛擬機之間通訊專用網(wǎng)絡(luò)，管理安全域為管理vCenter管理ESXI專用網(wǎng)絡(luò)，VMotion安全域為虛擬機遷移和克隆專用網(wǎng)絡(luò)，vSAN安全域為vSAN存儲專用網(wǎng)絡(luò)，安全域之間網(wǎng)絡(luò)不存在通訊交互但是通過網(wǎng)絡(luò)劃分隔離。內(nèi)部安全域劃分的四塊區(qū)域，互相之間不存在網(wǎng)絡(luò)通訊，存在交換機上復用，但是在網(wǎng)絡(luò)規(guī)劃上分屬不同網(wǎng)段，中間不存在路由，可以從網(wǎng)絡(luò)劃分上進行隔離，控制粒度為鏈路級。在物理服務(wù)器上，四塊網(wǎng)絡(luò)分別使用獨享網(wǎng)卡，從物理層上進行網(wǎng)卡隔離，控制粒度為物理級。

由VXLAN構(gòu)建大二層網(wǎng)絡(luò)，保證了在虛擬遷移時虛擬機的IP地址、MAC地址等參數(shù)保持不變。在大二層網(wǎng)絡(luò)，為了方便控制與部署使用SDN，控制器通過OpenFlow協(xié)議將信息下發(fā)給轉(zhuǎn)發(fā)器，以實現(xiàn)控制器統(tǒng)一維護管理。

通過使用支持VXLAN技術(shù)的設(shè)備對云平臺進行安全域劃分，在物理機檢查進出流量的MAC、IP，同時在虛擬路由上檢測MAC、IP、ACL信息等。防止低安全域用戶向高安全域進行突破，嚴格限制低安全域向高安全域進行數(shù)據(jù)傳輸。

3.3 媒體數(shù)據(jù)的交換

為保障云平臺上非編制作網(wǎng)進行媒體數(shù)據(jù)文件交換時的安全，河北廣播電視臺采用了安全隔離網(wǎng)關(guān)，實現(xiàn)了跨業(yè)務(wù)系統(tǒng)交換文件，能夠自動對音視頻文件、圖片文件、各類文檔文件進行自動發(fā)現(xiàn)、自動檢測和自動傳輸；在保證文件高效傳輸?shù)耐瑫r，對各類文件進行深度智能解析及甄別，徹底杜絕假冒、偽裝、非法文件的傳輸交換；同時集成的病毒檢查功能提供對各類文件的病毒掃描，可有效防止攜帶病毒的文件進行傳輸交換。該設(shè)備采用Web方式提供設(shè)備使用配置、傳輸任務(wù)查看，并通過帳戶、密碼技術(shù)來保障設(shè)備的使用安全。

3.4 安全加固

按照信息安全等級保護工作的相關(guān)要求，河北廣播電視臺在核心交換機上部署了入侵檢測系統(tǒng)，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能地發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果，以保證河北廣播電視臺網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。

3.4.1 主機方面

主機安全包括服務(wù)器安全和終端安全兩個方面，河北廣播電視臺為保障云平臺上服務(wù)器的主機安全，采用了亞信安全服務(wù)器深度安全防護系統(tǒng)。通過其無代理的部署方案，建立起了一套高效的針對虛擬化的病毒安全防護系統(tǒng)。在終端安全防護方面，還部署了終端安全系統(tǒng)，實現(xiàn)了動態(tài)檢測、實時處理、全網(wǎng)追溯未知威脅，可以更好地管理終端并保護主機，防止病毒入侵。

3.4.2 身份鑒別方面

云平臺上非編制作網(wǎng)中所有登錄服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶都有用戶名和密碼，且用戶名唯一。部署了數(shù)字證書認證系統(tǒng)，實現(xiàn)了數(shù)字證書系統(tǒng)與用戶名/密碼的雙因素認證。系統(tǒng)運維人員因為權(quán)限不同，管理不同的業(yè)務(wù)，所以必須先插入Ukey，輸入Ukey對應(yīng)密碼后才能通過用戶名密碼正常登錄系統(tǒng)，進行數(shù)據(jù)庫、操作系統(tǒng)等操作，并可以通過堡壘機保存所有操作記錄。

3.4.3 安全審計方面

云平臺上非編制作網(wǎng)部署了運維審計、日志審計和數(shù)據(jù)庫審計，并通過安全事件處理引擎將審計數(shù)據(jù)進行整合，幫助管理人員分析系統(tǒng)的運行狀態(tài)，包括風險管理、告警管理、弱點查詢和態(tài)勢感知等信息。

運行維護人員進行網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、數(shù)據(jù)庫等操作時，運維審計可以對其進行身份認證和權(quán)限管理。日志審計具有對主機進行監(jiān)控、審計的功能，審計范圍覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶，包括對重要用戶行為、系統(tǒng)資源的異常使用、重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件進行審計，審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等。

4 結(jié)語

本文從訪問控制、邊界完整性、主機安全、身份鑒別和安全審計等各個方面對云平臺上非編制作網(wǎng)中進行了相應(yīng)的控制和管理，并制定了嚴格的系統(tǒng)使用制度和規(guī)范。同時，河北廣播電視臺對Citrix虛擬桌面進行了大量的優(yōu)化和調(diào)整，在保障系統(tǒng)安全的前提下最大限度地實現(xiàn)了云非編制作網(wǎng)的安全運行及與全臺網(wǎng)等業(yè)務(wù)系統(tǒng)的互聯(lián)互通。