廣電私有云計(jì)算平臺(tái)安全防護(hù)體系建設(shè)

王懌清

【摘要】當(dāng)前時(shí)代，云計(jì)算技術(shù)實(shí)現(xiàn)了更普及的應(yīng)用，其中私有云計(jì)算平臺(tái)建設(shè)在推進(jìn)各行各業(yè)信息化建設(shè)方面的作用突出，故而已成其發(fā)展自身的關(guān)鍵方向之一。廣電私有云計(jì)算平臺(tái)建設(shè)，會(huì)影響自身整個(gè)信息系統(tǒng)架構(gòu)，而私有云計(jì)算平臺(tái)安全防護(hù)體系建設(shè)也因此轉(zhuǎn)化為關(guān)鍵性問題。本文在闡述私有云計(jì)算平臺(tái)基本概念的基礎(chǔ)上，剖析了廣電私有云平臺(tái)安全防護(hù)體系建設(shè)重要性、安全風(fēng)險(xiǎn)，并從安全區(qū)域邊界、安全管理中心、安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)及安全物理環(huán)境五個(gè)方面探索了安全防護(hù)體系的構(gòu)建，以供參考與借鑒。

【關(guān)鍵詞】私有云計(jì)算平臺(tái);安全防護(hù)體系;建設(shè)

中圖分類號(hào)：TN92? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ? ?DOI：10.12246/j.issn.1673-0348.2021.16.028

廣電業(yè)務(wù)由于具備政治屬性的緣故，兼具國(guó)家輿論宣傳職責(zé)，社會(huì)影響力大且關(guān)注度高，所以也更為嚴(yán)格的要求了安全防護(hù)。私有云計(jì)算平臺(tái)憑借自身安全系數(shù)高、風(fēng)險(xiǎn)低的優(yōu)勢(shì)，也得到了廣電行業(yè)的高度重視。但是，在應(yīng)用私有云計(jì)算平臺(tái)的過程中，也暴露出虛擬環(huán)境威脅、網(wǎng)絡(luò)攻擊、邊界模糊等一系列全新的安全隱患。當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，廣電需要做好防護(hù)私有云計(jì)算平臺(tái)的工作，通過安全防護(hù)體系的建設(shè)，全面抵制各類風(fēng)險(xiǎn)及安全隱患，保障自身得以實(shí)現(xiàn)健康、穩(wěn)定的發(fā)展。

1. 私有云計(jì)算平臺(tái)簡(jiǎn)介

該平臺(tái)通常表示單位通過自主建設(shè)運(yùn)用的方式進(jìn)行云基礎(chǔ)設(shè)施的構(gòu)建，通過將相關(guān)業(yè)務(wù)及應(yīng)用系統(tǒng)部署在私有云平臺(tái)上，此時(shí)能幫助單位提高云基礎(chǔ)架構(gòu)掌握程度，不僅能達(dá)成傳統(tǒng)數(shù)據(jù)中心可靠、可信、可控及安全等特性，能在業(yè)務(wù)系統(tǒng)內(nèi)組織管理業(yè)務(wù)應(yīng)用及內(nèi)容安全，同時(shí)也擁有公有云服務(wù)彈性應(yīng)用、高性能和高質(zhì)量等特點(diǎn)，支持隨時(shí)進(jìn)行安全與彈性的調(diào)整和改善。

全媒體融合背景下，廣電行業(yè)也逐漸普及了私有云計(jì)算平臺(tái)的應(yīng)用，根據(jù)現(xiàn)有的平臺(tái)構(gòu)成來看，主要由物力資源層、管理中間件層、資源池層和面向服務(wù)構(gòu)造層四層組成。其中，物力資源層包含計(jì)算機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)施和存儲(chǔ)等，管理中間件層負(fù)責(zé)云計(jì)算資源的管理、多個(gè)應(yīng)用任務(wù)的調(diào)度、保障資源能為應(yīng)用提供安全高效地服務(wù)，資源池層負(fù)責(zé)整合管理物力資源、轉(zhuǎn)化大量類型相同的資源為同構(gòu)的計(jì)算資源池等資源庫，而面向服務(wù)構(gòu)造層則是將接口和訪問提供給服務(wù)對(duì)象。

2. 廣電私有云計(jì)算平臺(tái)安全防護(hù)重要性

當(dāng)前時(shí)代背景下，廣電在發(fā)展過程中有必要深入認(rèn)識(shí)信息化程度的必要性，并以此為基礎(chǔ)逐步推進(jìn)私有云計(jì)算平臺(tái)安全防護(hù)體系建設(shè)進(jìn)程。通過不斷整合系統(tǒng)與架構(gòu)，在加大成本控制力度的同時(shí)，有效提升平臺(tái)中心數(shù)據(jù)資源的利用率。廣電現(xiàn)代化發(fā)展進(jìn)程中，私有云計(jì)算平臺(tái)安全防護(hù)建設(shè)、計(jì)算機(jī)桌面虛擬化及服務(wù)器虛擬化等已成為必然面對(duì)的關(guān)鍵選擇，而相關(guān)人員在這一過程中也逐漸對(duì)私有云平臺(tái)的作用及其在提高資源利用效率方面的作用形成了深刻認(rèn)知，且明確了安全防護(hù)在保障資源安全、消除安全隱患及威脅方面的意義與價(jià)值。同時(shí)，通過安全防護(hù)的建設(shè)，還能促進(jìn)業(yè)務(wù)創(chuàng)新可能性的增加、實(shí)現(xiàn)業(yè)務(wù)的靈活性。因此，落實(shí)私有云計(jì)算平臺(tái)安全防護(hù)體系建設(shè)十分重要。

3. 私有云計(jì)算平臺(tái)安全風(fēng)險(xiǎn)

3.1 傳統(tǒng)安全風(fēng)險(xiǎn)

傳統(tǒng)安全風(fēng)險(xiǎn)包含僵尸、蠕蟲、木馬及病毒等，是威脅私有云計(jì)算平臺(tái)的主要對(duì)象，且滲透至平臺(tái)內(nèi)部之后會(huì)在短時(shí)間內(nèi)傳播至極大的范圍，構(gòu)成巨大風(fēng)險(xiǎn)。同時(shí)，私有云計(jì)算平臺(tái)也面臨了拒絕服務(wù)攻擊這一重要風(fēng)險(xiǎn)，云內(nèi)至云外或云外至云內(nèi)的攻擊行為，都會(huì)嚴(yán)重影響私有云計(jì)算平臺(tái)的安全性。私有云計(jì)算平臺(tái)內(nèi)承載了主機(jī)、系統(tǒng)軟件、網(wǎng)絡(luò)設(shè)備、中間件層及數(shù)據(jù)庫等軟硬件設(shè)備及其他業(yè)務(wù)系統(tǒng)，此類系統(tǒng)也時(shí)刻面臨著暴力破解、SQL注入攻擊、安全漏洞風(fēng)險(xiǎn)或跨站點(diǎn)請(qǐng)求偽造等傳統(tǒng)安全風(fēng)險(xiǎn)。

3.2 云平臺(tái)風(fēng)險(xiǎn)

虛擬化新技術(shù)風(fēng)險(xiǎn)，也是威脅私有云計(jì)算平臺(tái)的一種主要風(fēng)險(xiǎn)。私有云計(jì)算平臺(tái)通過虛擬化技術(shù)和云計(jì)算技術(shù)的應(yīng)用，池化服務(wù)器、網(wǎng)絡(luò)及存儲(chǔ)等物理資源后，會(huì)有高度自由的資源形成，并完成虛擬機(jī)的動(dòng)態(tài)創(chuàng)建及遷移。而因虛擬機(jī)之間是很難監(jiān)控東西向流量通信的緣故，因此或許會(huì)發(fā)生惡意代碼感染并蔓延至虛擬機(jī)間或虛擬機(jī)彼此攻擊的情況，亦或是通過虛擬機(jī)漏洞的運(yùn)用對(duì)宿主主機(jī)展開攻擊。同時(shí)，虛擬機(jī)在硬件資源共享或重新分配的過程中，也有發(fā)生信息泄漏情況的可能。此外，由于虛擬化會(huì)模糊資源邊界，導(dǎo)致傳統(tǒng)物理隔離被打破，此時(shí)平臺(tái)或許會(huì)出現(xiàn)管理復(fù)雜或安全邊界界限不清等情況。

4. 廣電私有云計(jì)算平臺(tái)安全防護(hù)體系建設(shè)

4.1 安全區(qū)域邊界

在保障私有云計(jì)算平臺(tái)區(qū)域邊界安全方面，在建設(shè)安全防護(hù)體系的過程中可進(jìn)行WEB防火墻及云出口防火墻等安全產(chǎn)品的部署。防火墻以業(yè)務(wù)系統(tǒng)應(yīng)用數(shù)據(jù)流向?yàn)楦鶕?jù)，通過源地址、目的地址、協(xié)議細(xì)顆粒度、端口的配置，從而完成控制訪問的目標(biāo)，在防火墻入侵防御功能的運(yùn)用下，能將外部對(duì)內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為及時(shí)阻斷，并在防火墻防病毒功能的作用下完成惡意代碼的檢測(cè)和清除，具備高效性、及時(shí)性。而將WEB防火墻配置在核心交換區(qū)域旁，能將應(yīng)用層攻擊融合媒體業(yè)務(wù)Web站點(diǎn)及應(yīng)用的情況有效規(guī)避。云內(nèi)虛擬環(huán)境中，在完成虛擬防火墻的構(gòu)建后，能為云內(nèi)租戶區(qū)域邊界提供安全保障。

4.2 安全管理中心

廣電私有云計(jì)算平臺(tái)中，通過融合媒體安全云平臺(tái)的部署，結(jié)合安全資源池的構(gòu)建，并在現(xiàn)有私有云平臺(tái)的運(yùn)用下，能面向租戶提供入侵防御、VPN、防病毒、防火墻、漏洞掃描、負(fù)載均衡、數(shù)據(jù)庫審計(jì)、WEB應(yīng)用安全防護(hù)、運(yùn)維設(shè)計(jì)等諸多安全服務(wù)目錄。同時(shí)，廣電私有云計(jì)算平臺(tái)中，通過漏洞掃描系統(tǒng)的部署，能夠定期掃描業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)設(shè)備，保障安全性。此外，通過日志審計(jì)系統(tǒng)的部署，能夠收集匯總各個(gè)設(shè)備上分散儲(chǔ)存的審計(jì)數(shù)據(jù)并展開集中分析。而通過數(shù)據(jù)庫審計(jì)系統(tǒng)的部署，能夠面向數(shù)據(jù)庫訪問行為展開全面實(shí)時(shí)的監(jiān)控，為數(shù)據(jù)庫運(yùn)行的穩(wěn)定性提供保障，消除核心數(shù)據(jù)資產(chǎn)受損的可能性。在落實(shí)了運(yùn)維審計(jì)系統(tǒng)的部署后，以運(yùn)維人員為對(duì)象，細(xì)粒度授權(quán)其訪問過程，記錄并控制全過程操作、審計(jì)全方位操作，通過統(tǒng)一管理用戶和資源，有利于運(yùn)維管理水平的提高，最終賦予平臺(tái)更可靠的安全性保障。

4.3 安全計(jì)算環(huán)境

廣電私有云計(jì)算平臺(tái)安全防護(hù)體系建設(shè)中，通過安全計(jì)算環(huán)境的構(gòu)建，能夠有效提升運(yùn)行效率及服務(wù)質(zhì)量，保障平臺(tái)運(yùn)行穩(wěn)定性。具體而言，可從下述幾方面進(jìn)行構(gòu)建：一是統(tǒng)一管理。私有云計(jì)算平臺(tái)安全防護(hù)體系建設(shè)中，需要保證管理工作的系統(tǒng)性和一致性，通過統(tǒng)一管理該體系操作端和服務(wù)器，為系統(tǒng)運(yùn)行穩(wěn)定性提供保障。在管理業(yè)務(wù)終端時(shí)，可引入安全代理方式，依托安全管控器的運(yùn)用高效管理服務(wù)器，并在具體管理中結(jié)合安全管控器安裝的方式，有效監(jiān)控管理終端及服務(wù)器。二是安全審計(jì)?；谟?jì)算環(huán)境安全保障角度，在信息安全審計(jì)工作開展中，需要引入針對(duì)性的措施，如增加日志功能的方式，而該功能不僅能在數(shù)據(jù)庫層面實(shí)現(xiàn)，同時(shí)也能在信息系統(tǒng)層面實(shí)現(xiàn)。具體實(shí)現(xiàn)過程中，需入手于安全管理中心，通過設(shè)置日志審計(jì)體系，依托該審計(jì)系統(tǒng)的運(yùn)用對(duì)系統(tǒng)日志展開廣泛收集，在集中收集的信息資源后開展審計(jì)工作并完成審計(jì)報(bào)表的繪制。三是應(yīng)用安全。在構(gòu)建安全防護(hù)體系的過程中，需要謹(jǐn)記保障核心業(yè)務(wù)順利開展的目標(biāo)?；谛畔踩Ｕ系慕嵌龋ㄟ^針對(duì)性維護(hù)措施的應(yīng)用，有效鑒別用戶身份，并做好訪問控制及安全審計(jì)工作。同時(shí)，需立足于不同層面對(duì)系統(tǒng)聯(lián)動(dòng)措施展開探索，圍繞系統(tǒng)核心業(yè)務(wù)推進(jìn)安全防護(hù)工作的開展。四是基礎(chǔ)設(shè)施。廣電私有云計(jì)算平臺(tái)安全防護(hù)體系建設(shè)中，全面建設(shè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施也是一大重點(diǎn)，如安全設(shè)施和實(shí)現(xiàn)平臺(tái)健康運(yùn)行的支撐設(shè)施等。在建立與完善網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基礎(chǔ)上，也要注重硬件支撐作用的發(fā)揮，可將平臺(tái)系統(tǒng)運(yùn)行中產(chǎn)生問題的可能性規(guī)避，能為基礎(chǔ)設(shè)施提供全面性及實(shí)用性保障。值得一提的是，也要注重基礎(chǔ)安全設(shè)施的健全與優(yōu)化，將門禁系統(tǒng)引入機(jī)房中，全面監(jiān)控機(jī)房，消除安全隱患及風(fēng)險(xiǎn)產(chǎn)生的可能性。

4.4 安全通信網(wǎng)絡(luò)

廣電在構(gòu)建私有云計(jì)算平臺(tái)安全防護(hù)體系的過程中，也需要從安全通信網(wǎng)絡(luò)入手，保障跨越訪問的安全性。由于平臺(tái)中資源池服務(wù)器等關(guān)鍵計(jì)算設(shè)備及核心交換機(jī)、通信線路等關(guān)鍵網(wǎng)絡(luò)設(shè)備中，皆已實(shí)現(xiàn)硬件冗余的緣故，具備了能將業(yè)務(wù)高峰期需要滿足的業(yè)務(wù)處理能力，且系統(tǒng)可用性極高，同時(shí)網(wǎng)絡(luò)安全也得到有效保障。針對(duì)平臺(tái)系統(tǒng)中的外來訪問，通過安全通信網(wǎng)絡(luò)的建立與健全，能為信息提供保密性及完整性保證。同時(shí)，能將平臺(tái)系統(tǒng)受外部環(huán)境干擾的情況規(guī)避，使信息傳輸?shù)恼麄€(gè)過程獲得安全性與保密性保障，消除不良信息對(duì)平臺(tái)系統(tǒng)侵害的可能。

4.5 安全物理環(huán)境

安全物理環(huán)境指的是在地理位置適宜的地區(qū)構(gòu)建機(jī)房，控制機(jī)房方位，并面向防水防潮、防火、防雷擊、防破壞、防盜竊、電磁防護(hù)、溫濕度控制、防靜電等方面實(shí)施對(duì)應(yīng)的防護(hù)措施，為持續(xù)供應(yīng)電力提供保障。為了達(dá)成這一目標(biāo)，廣電私有云平臺(tái)安全防護(hù)體系建設(shè)中，就需要將電子門禁系統(tǒng)、漏水檢測(cè)系統(tǒng)、自動(dòng)消防系統(tǒng)、防盜報(bào)警系統(tǒng)、不間斷電源等產(chǎn)品引入機(jī)房建設(shè)中，賦予物理環(huán)境安全性保障。

5. 結(jié)語

綜上所述，持續(xù)推進(jìn)的媒體融合背景下，廣電行業(yè)中也進(jìn)一步普及了私有云計(jì)算平臺(tái)的應(yīng)用。然而，由于網(wǎng)絡(luò)安全形式日益嚴(yán)峻的緣故，廣電也應(yīng)當(dāng)對(duì)平臺(tái)的安全防護(hù)予以更高的重視，從安全區(qū)域邊界、安全管理中心、安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)及安全物理環(huán)境五個(gè)層面入手，面向私有云計(jì)算平臺(tái)構(gòu)建安全防護(hù)體系，全面消除可能出現(xiàn)的威脅及隱患，為平臺(tái)的正常運(yùn)轉(zhuǎn)提供保障，進(jìn)而夯實(shí)廣電健康穩(wěn)定發(fā)展的基礎(chǔ)。

參考文獻(xiàn)：

[1]鞏耀曉.廣電私有云計(jì)算平臺(tái)的安全防護(hù)體系建設(shè)[J].現(xiàn)代電視技術(shù)，2020，（6）：117-119.

[2]高曉俊.廣電私有云平臺(tái)的建設(shè)思路[J].世界廣播電視，2017，031（004）：26-28.

[3]吳迪.電力私有云安全防護(hù)體系建設(shè)分析[J].通訊世界，2017，20（327）：35-36.

[4]陸蘊(yùn)超.廣電私有云平臺(tái)云監(jiān)控的設(shè)計(jì)與應(yīng)用[J].信息系統(tǒng)工程，2018，296（08）：37-37.

[5]蔡宏伍，趙雅嬌.廣電融媒體云平臺(tái)安全體系建設(shè)方案探析與實(shí)踐[J].廣播電視信息，2018，318（10）：106-110.