【摘要】云計(jì)算在廣電行業(yè)逐步推廣和應(yīng)用，從傳統(tǒng)業(yè)務(wù)信息系統(tǒng)到云計(jì)算環(huán)境的轉(zhuǎn)變過(guò)程中網(wǎng)絡(luò)安全問(wèn)題也逐步顯現(xiàn)。2019年國(guó)家修訂了等級(jí)保護(hù)標(biāo)準(zhǔn)，如何在新的等級(jí)保護(hù)體系下保障廣電私有云平臺(tái)的安全成為廣電網(wǎng)絡(luò)安全關(guān)注的問(wèn)題。本文以天津廣播電視臺(tái)綜合節(jié)目制作云平臺(tái)為案例，分析探討等保2.0對(duì)云計(jì)算安全擴(kuò)展要求的技術(shù)部分，旨在為廣電私有云安全項(xiàng)目建設(shè)提供設(shè)計(jì)思路。

【關(guān)鍵詞】廣電行業(yè);等級(jí)保護(hù);媒體安全

本文以天津廣播電視臺(tái)綜合節(jié)目制作云平臺(tái)為案例，分析探討等保2.0對(duì)云計(jì)算安全擴(kuò)展要求的技術(shù)部分，旨在為廣電私有云安全項(xiàng)目建設(shè)提供設(shè)計(jì)思路。

1. 等級(jí)保護(hù)的變化

等級(jí)保護(hù)2.0（《GB/T 22239-2019》）相較于等級(jí)保護(hù)1.0（《GB/T22239-2008》），對(duì)云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)新技術(shù)提出新的安全擴(kuò)展要求。主要變化如下：

等級(jí)保護(hù)對(duì)象由原來(lái)的信息系統(tǒng)調(diào)整為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（含采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)）、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等。

將原來(lái)各級(jí)別的安全要求分為安全通用要求和安全擴(kuò)展要求，安全擴(kuò)展要求包括云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求以及工業(yè)控制系統(tǒng)安全擴(kuò)展要求。安全通用要求是不管等級(jí)保護(hù)對(duì)象形態(tài)如何必須滿足的要求，針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出的特殊要求稱為安全擴(kuò)展要求。

安全控制的框架結(jié)構(gòu)由原有的十個(gè)層面變成八個(gè)層面，分別是安全技術(shù)涉及的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全，如下圖1所示：

2. 天津廣播電視臺(tái)綜合節(jié)目制作云平臺(tái)的技術(shù)架構(gòu)

天津廣播電視臺(tái)綜合節(jié)目制作云平臺(tái)包含按照廣電總局《電視臺(tái)融合媒體平臺(tái)建設(shè)技術(shù)白皮書(shū)》的要求，設(shè)計(jì)采用IaaS、PaaS、SaaS三層云平臺(tái)結(jié)構(gòu)，構(gòu)建基于全媒體融合生產(chǎn)的節(jié)目生產(chǎn)、管理體系。系統(tǒng)包含綜合制作業(yè)務(wù)、全臺(tái)收錄業(yè)務(wù)以及全臺(tái)媒資（內(nèi)容庫(kù)）業(yè)務(wù)，全方位為業(yè)務(wù)發(fā)展提供技術(shù)支撐，提供多種內(nèi)容產(chǎn)品形態(tài)的生產(chǎn)工具。該平臺(tái)對(duì)數(shù)據(jù)中心資源進(jìn)行高效集中統(tǒng)一管理，充分利用云平臺(tái)的靈活性、動(dòng)態(tài)性保證內(nèi)容的安全、可靠、穩(wěn)定。云平臺(tái)由高密度刀片服務(wù)器+VMware虛擬化平臺(tái)+云平臺(tái)管理系統(tǒng)組成，實(shí)現(xiàn)計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源的統(tǒng)一調(diào)度和管理，滿足業(yè)務(wù)彈性、敏捷的需求。（見(jiàn)圖2）

3.私有云平臺(tái)分層面保護(hù)思路

私有云平臺(tái)與傳統(tǒng)信息系統(tǒng)的保護(hù)對(duì)象既有相同的部分，又有基于云計(jì)算演化而來(lái)的部分，增加了虛擬化技術(shù)，并且云平臺(tái)具有資源池化、按需劃分、彈性調(diào)配、高可靠性特點(diǎn)，因此面臨傳統(tǒng)安全威脅的同時(shí)在云計(jì)算環(huán)境下一些安全風(fēng)險(xiǎn)逐步暴露。下面以天津廣播電視臺(tái)綜合節(jié)目制作云平臺(tái)為切入點(diǎn)，討論等保2.0體系下云平臺(tái)的技術(shù)安全防護(hù)。云平臺(tái)及租戶業(yè)務(wù)系統(tǒng)保護(hù)對(duì)象與傳統(tǒng)信息系統(tǒng)保護(hù)對(duì)象對(duì)比如圖3所示。

3.1 物理和環(huán)境安全

包括IT機(jī)房硬件設(shè)備及風(fēng)、暖、水、電等環(huán)境設(shè)施，機(jī)房門(mén)禁設(shè)施，防火、防水、防雷、防潮、防靜電等設(shè)施。還要考慮機(jī)房的電力供應(yīng)問(wèn)題，配備UPS的情況。涉及物理和環(huán)境安全防護(hù)主要是機(jī)房和環(huán)境的人工巡檢監(jiān)控，設(shè)備的供電及機(jī)房的溫濕度自動(dòng)監(jiān)控，一旦濕度和溫度出現(xiàn)異常，通過(guò)報(bào)警方式呈現(xiàn)。

3.2 網(wǎng)絡(luò)和通信安全

虛擬化平臺(tái)通過(guò)定義安全域，配置VMware防火墻（vDFW）實(shí)現(xiàn)租戶邊界和VM邊界的訪問(wèn)控制。部署入侵防御設(shè)備檢測(cè)記錄并阻斷租戶的網(wǎng)絡(luò)攻擊，對(duì)有害信息進(jìn)行實(shí)時(shí)監(jiān)測(cè)和報(bào)警。綜合節(jié)目制作云平臺(tái)采用旁路檢測(cè)方案處理網(wǎng)絡(luò)的攻擊行為，對(duì)虛擬化流量進(jìn)行IDS檢測(cè)。根據(jù)責(zé)任劃分收集審計(jì)數(shù)據(jù)，提供接口實(shí)現(xiàn)集中審計(jì)。配置專用的主機(jī)用于存儲(chǔ)審計(jì)數(shù)據(jù)，嚴(yán)格的訪問(wèn)控制策略來(lái)完成對(duì)審計(jì)數(shù)據(jù)的真實(shí)性和完整性保護(hù)。配置syslog日志采集服務(wù)器，數(shù)據(jù)存儲(chǔ)于單獨(dú)的存儲(chǔ)，保證180天日志存儲(chǔ)時(shí)間。

3.3 設(shè)備和計(jì)算安全

包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備、物理機(jī)、宿主機(jī)、虛擬機(jī)、虛擬機(jī)監(jiān)視器、云管平臺(tái)、數(shù)據(jù)庫(kù)管理系統(tǒng)、終端、存儲(chǔ)等。等保體系在身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、鏡像和快照保護(hù)方面有特殊的安全要求。要求管理終端和云平臺(tái)邊界設(shè)備之間、網(wǎng)絡(luò)策略控制器和網(wǎng)絡(luò)設(shè)備之間建立雙向身份驗(yàn)證機(jī)制。在管理資源的配置上實(shí)現(xiàn)云管平臺(tái)統(tǒng)一調(diào)度，我臺(tái)采用h3c云管平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)資源的安全管理。

3.4 應(yīng)用和數(shù)據(jù)安全

應(yīng)用系統(tǒng)運(yùn)行狀況的監(jiān)控除了PaaS層集成的云平臺(tái)監(jiān)控工具集，使用開(kāi)源的端口監(jiān)控軟件監(jiān)控重要應(yīng)用服務(wù)端口狀況，Zabbix監(jiān)控資源占用異常情況。VMware的vMotion通過(guò)多步傳輸保證數(shù)據(jù)遷移過(guò)程中的瞬時(shí)狀態(tài)同步，MD5校驗(yàn)保證數(shù)據(jù)完整性。對(duì)于定制系統(tǒng)配置文件以及軟件配置信息的備份也十分重要，不僅要根據(jù)數(shù)據(jù)備份計(jì)劃定期備份數(shù)據(jù)，還要定期對(duì)備份數(shù)據(jù)進(jìn)行完整性、可用性驗(yàn)證。

4. 結(jié)束語(yǔ)

通過(guò)等保2.0對(duì)于云計(jì)算擴(kuò)展要求技術(shù)部分的梳理，希望能夠給規(guī)劃建設(shè)融合媒體云平臺(tái)的決策者有一定啟示。網(wǎng)絡(luò)安全保護(hù)體系的建立應(yīng)該早規(guī)劃、早建設(shè)，媒體融合生產(chǎn)云平臺(tái)的安全不僅依托于技術(shù)體系的保障，更應(yīng)注重管理的部分。俗話說(shuō)三分技術(shù)、七分管理，如何將已有技術(shù)防御的部分和管理方法有機(jī)統(tǒng)一，將影響整個(gè)防御體系的安全。所以依靠健全、嚴(yán)格的安全技術(shù)保障體系和安全管理保障體系才能保證廣電云平臺(tái)的安全建設(shè)和運(yùn)行。

參考文獻(xiàn)：

[1]李婉紅.天津廣播電視臺(tái)綜合云平臺(tái)的設(shè)計(jì)構(gòu)思與建設(shè)[J].天津科技，2018（6）：72-75.

[2]張振峰，張志文，王睿超.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0云計(jì)算安全合規(guī)能力模型[J].信息網(wǎng)絡(luò)安全，2019，19（11）：1-7.

作者簡(jiǎn)介：蒙和龍，天津，職稱：中級(jí)工程師，研究方向：廣播電視技術(shù)、網(wǎng)絡(luò)安全、融合媒體新技術(shù).