云平臺上非編制作網(wǎng)的安全性應(yīng)用研究

楊繼家 靳瑞勇 張曉蕾

隨著服務(wù)器虛擬化技術(shù)和桌面虛擬化技術(shù)的成熟、GPU虛擬化技術(shù)的進(jìn)一步發(fā)展，基于云計算、虛擬化技術(shù)的項目不斷落地。這也給廣電行業(yè)的非編系統(tǒng)安全問題提供了全新的解決方案。同時，隨著《網(wǎng)絡(luò)安全法》的發(fā)布實施，網(wǎng)絡(luò)安全工作已成為各項工作中最重要的一環(huán)。本文就云平臺上的非編制作網(wǎng)與我臺現(xiàn)有核心業(yè)務(wù)網(wǎng)的安全接入、互聯(lián)網(wǎng)安全通信的問題進(jìn)行分析探討。

1 基于云平臺的非編制作網(wǎng)的發(fā)展

隨著GPU虛擬化技術(shù)的發(fā)展，現(xiàn)代廣播電視節(jié)目的生產(chǎn)流程和生產(chǎn)方式也發(fā)生了巨大的變革。隨著VMware、Citrix兩大國外虛擬化廠商以及國內(nèi)華為、新華三、深信服公司針對GPU虛擬化推出的全新版本，全國廣播電視行業(yè)紛紛投資建設(shè)基于云平臺的非編制作網(wǎng)。

目前，我臺正在部署基于VMware服務(wù)器虛擬化、Citrix桌面虛擬化等技術(shù)的云平臺非編制作網(wǎng)。此制作網(wǎng)的建設(shè)定位于集高清制作、包裝于一體的綜合制作平臺，目的在于實現(xiàn)我臺內(nèi)綜藝節(jié)目、民生新聞節(jié)目、專題節(jié)目的融合生產(chǎn)。

2 網(wǎng)絡(luò)安全防護(hù)體系

《信息系統(tǒng)安全等級保護(hù)基本要求》中的三級安全保護(hù)能力是指網(wǎng)絡(luò)應(yīng)能在統(tǒng)一安全策略下使系統(tǒng)免受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊，較為嚴(yán)重的自然災(zāi)難及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠及時發(fā)現(xiàn)安全漏洞，在系統(tǒng)遭到損害后，及時進(jìn)行處理，使功能恢復(fù)。

參照信息安全等級保護(hù)工作的相關(guān)要求，河北廣播電視臺充分考慮信息安全建設(shè)的合規(guī)性，結(jié)合臺內(nèi)現(xiàn)有業(yè)務(wù)系統(tǒng)現(xiàn)狀進(jìn)行梳理，逐步建立基于等級保護(hù)的網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及云安全的防護(hù)體系。

3 針對云平臺非編制作網(wǎng)的安全建設(shè)

云平臺非編制作網(wǎng)的安全域劃分為外部安全域與內(nèi)部安全域。外部安全域劃分為兩塊安全域，分別為全臺網(wǎng)安全域和制作云安全域，全臺網(wǎng)安全域為臺內(nèi)主干平臺的網(wǎng)絡(luò)，制作云安全域為節(jié)目制作業(yè)務(wù)使用的網(wǎng)絡(luò)。安全域之間網(wǎng)絡(luò)存在網(wǎng)絡(luò)通訊交互，但是通過防火墻進(jìn)行隔離。

3.1 外部安全域

為保障云制作網(wǎng)與全臺互聯(lián)互通平臺的網(wǎng)絡(luò)邊界安全，相關(guān)工作人員在邊界處部署了下一代防火墻。利用防火墻的應(yīng)用識別、控制、協(xié)議解析和異常檢測等功能提供安全防護(hù)能力。通過防火墻功能、IPS功能做訪問控制和威脅檢測。防火墻設(shè)備的高性能入侵防御系統(tǒng)IPS設(shè)備或模塊，具備網(wǎng)絡(luò)帶寬高吞吐能力；通過IPS提供的通過深達(dá)7層的分析與檢測，可實時阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件和網(wǎng)頁篡改等攻擊或惡意行為，并實現(xiàn)對網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用和性能的全面保護(hù)。從而建立較完整的網(wǎng)絡(luò)邊界訪問控制機(jī)制，使云平臺非編制作網(wǎng)達(dá)到相關(guān)安全防護(hù)的要求。

外部安全域劃分涉及的兩塊區(qū)域，互相之間存在網(wǎng)絡(luò)通訊，在安全域隔離上使用防火墻，通過防火墻的訪問控制策略保障安全域間通信，使網(wǎng)絡(luò)具有能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級。

3.2 內(nèi)部安全域

內(nèi)部安全域劃分為虛擬機(jī)安全域、管理安全域、VMotion安全域和vSan安全域。虛擬機(jī)安全域為VPC虛擬機(jī)之間通訊專用網(wǎng)絡(luò)，管理安全域為管理vCenter管理ESXI專用網(wǎng)絡(luò)，VMotion安全域為虛擬機(jī)遷移和克隆專用網(wǎng)絡(luò)，vSAN安全域為vSAN存儲專用網(wǎng)絡(luò)，安全域之間網(wǎng)絡(luò)不存在通訊交互但是通過網(wǎng)絡(luò)劃分隔離。內(nèi)部安全域劃分的四塊區(qū)域，互相之間不存在網(wǎng)絡(luò)通訊，存在交換機(jī)上復(fù)用，但是在網(wǎng)絡(luò)規(guī)劃上分屬不同網(wǎng)段，中間不存在路由，可以從網(wǎng)絡(luò)劃分上進(jìn)行隔離，控制粒度為鏈路級。在物理服務(wù)器上，四塊網(wǎng)絡(luò)分別使用獨(dú)享網(wǎng)卡，從物理層上進(jìn)行網(wǎng)卡隔離，控制粒度為物理級。

由VXLAN構(gòu)建大二層網(wǎng)絡(luò)，保證了在虛擬遷移時虛擬機(jī)的IP地址、MAC地址等參數(shù)保持不變。在大二層網(wǎng)絡(luò)，為了方便控制與部署使用SDN，控制器通過OpenFlow協(xié)議將信息下發(fā)給轉(zhuǎn)發(fā)器，以實現(xiàn)控制器統(tǒng)一維護(hù)管理。

通過使用支持VXLAN技術(shù)的設(shè)備對云平臺進(jìn)行安全域劃分，在物理機(jī)檢查進(jìn)出流量的MAC、IP，同時在虛擬路由上檢測MAC、IP、ACL信息等。防止低安全域用戶向高安全域進(jìn)行突破，嚴(yán)格限制低安全域向高安全域進(jìn)行數(shù)據(jù)傳輸。

3.3 媒體數(shù)據(jù)的交換

為保障云平臺上非編制作網(wǎng)進(jìn)行媒體數(shù)據(jù)文件交換時的安全，河北廣播電視臺采用了安全隔離網(wǎng)關(guān)，實現(xiàn)了跨業(yè)務(wù)系統(tǒng)交換文件，能夠自動對音視頻文件、圖片文件、各類文檔文件進(jìn)行自動發(fā)現(xiàn)、自動檢測和自動傳輸；在保證文件高效傳輸?shù)耐瑫r，對各類文件進(jìn)行深度智能解析及甄別，徹底杜絕假冒、偽裝、非法文件的傳輸交換；同時集成的病毒檢查功能提供對各類文件的病毒掃描，可有效防止攜帶病毒的文件進(jìn)行傳輸交換。該設(shè)備采用Web方式提供設(shè)備使用配置、傳輸任務(wù)查看，并通過帳戶、密碼技術(shù)來保障設(shè)備的使用安全。

3.4 安全加固

按照信息安全等級保護(hù)工作的相關(guān)要求，河北廣播電視臺在核心交換機(jī)上部署了入侵檢測系統(tǒng)，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能地發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果，以保證河北廣播電視臺網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

3.4.1 主機(jī)方面

主機(jī)安全包括服務(wù)器安全和終端安全兩個方面，河北廣播電視臺為保障云平臺上服務(wù)器的主機(jī)安全，采用了亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)。通過其無代理的部署方案，建立起了一套高效的針對虛擬化的病毒安全防護(hù)系統(tǒng)。在終端安全防護(hù)方面，還部署了終端安全系統(tǒng)，實現(xiàn)了動態(tài)檢測、實時處理、全網(wǎng)追溯未知威脅，可以更好地管理終端并保護(hù)主機(jī)，防止病毒入侵。

3.4.2 身份鑒別方面

云平臺上非編制作網(wǎng)中所有登錄服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶都有用戶名和密碼，且用戶名唯一。部署了數(shù)字證書認(rèn)證系統(tǒng)，實現(xiàn)了數(shù)字證書系統(tǒng)與用戶名/密碼的雙因素認(rèn)證。系統(tǒng)運(yùn)維人員因為權(quán)限不同，管理不同的業(yè)務(wù)，所以必須先插入Ukey，輸入Ukey對應(yīng)密碼后才能通過用戶名密碼正常登錄系統(tǒng)，進(jìn)行數(shù)據(jù)庫、操作系統(tǒng)等操作，并可以通過堡壘機(jī)保存所有操作記錄。

3.4.3 安全審計方面

云平臺上非編制作網(wǎng)部署了運(yùn)維審計、日志審計和數(shù)據(jù)庫審計，并通過安全事件處理引擎將審計數(shù)據(jù)進(jìn)行整合，幫助管理人員分析系統(tǒng)的運(yùn)行狀態(tài)，包括風(fēng)險管理、告警管理、弱點查詢和態(tài)勢感知等信息。

運(yùn)行維護(hù)人員進(jìn)行網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫等操作時，運(yùn)維審計可以對其進(jìn)行身份認(rèn)證和權(quán)限管理。日志審計具有對主機(jī)進(jìn)行監(jiān)控、審計的功能，審計范圍覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶，包括對重要用戶行為、系統(tǒng)資源的異常使用、重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件進(jìn)行審計，審計記錄包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等。

4 結(jié)語

本文從訪問控制、邊界完整性、主機(jī)安全、身份鑒別和安全審計等各個方面對云平臺上非編制作網(wǎng)中進(jìn)行了相應(yīng)的控制和管理，并制定了嚴(yán)格的系統(tǒng)使用制度和規(guī)范。同時，河北廣播電視臺對Citrix虛擬桌面進(jìn)行了大量的優(yōu)化和調(diào)整，在保障系統(tǒng)安全的前提下最大限度地實現(xiàn)了云非編制作網(wǎng)的安全運(yùn)行及與全臺網(wǎng)等業(yè)務(wù)系統(tǒng)的互聯(lián)互通。