基于全媒體下的報(bào)社云安全建設(shè)

徐 鋒

（南通日?qǐng)?bào)社，江蘇 南通 226300）

導(dǎo)語(yǔ)

隨著新聞出版報(bào)紙數(shù)字化、網(wǎng)絡(luò)化的廣泛應(yīng)用，紙類傳媒信息安全工作的重要性日益彰顯。移動(dòng)互聯(lián)網(wǎng)的不斷發(fā)展，各種新興媒體以速度快的優(yōu)勢(shì)后來(lái)居上，對(duì)傳統(tǒng)媒體構(gòu)成了沖擊。在過(guò)去，基礎(chǔ)網(wǎng)絡(luò)建設(shè)方面存在著很多不足，許多工作主機(jī)是傳統(tǒng)的PC 模式，網(wǎng)絡(luò)設(shè)備智能化程度不高，不便于統(tǒng)一管理和配置，自然安全風(fēng)險(xiǎn)就比較高。而傳統(tǒng)媒體偏重紙媒的出版發(fā)行，對(duì)新媒體建設(shè)投入不足，基礎(chǔ)設(shè)施、設(shè)備老舊，不能適應(yīng)新形態(tài)的媒體形式，性能產(chǎn)生瓶頸；內(nèi)部素材管理沒(méi)有統(tǒng)一規(guī)范，內(nèi)容上與自家的網(wǎng)站、微信、App雷同，并且存在“多次編輯、多次發(fā)布”的問(wèn)題，浪費(fèi)了大量的人力物力。鑒于這些問(wèn)題，南通日?qǐng)?bào)社在集團(tuán)黨委的領(lǐng)導(dǎo)下大膽地提出對(duì)報(bào)社IT 系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全全面改造。在系統(tǒng)改造過(guò)程中，基于“云計(jì)算”的虛擬化技術(shù)被我們首次引入，在實(shí)踐中采用了公有云和私有云安全建設(shè)方案，將新媒體的對(duì)外發(fā)布App 放在公有云平臺(tái)，將傳統(tǒng)媒體的采編和排版系統(tǒng)放在了私有云平臺(tái)，在安全建設(shè)方面，同時(shí)對(duì)這兩個(gè)平臺(tái)制定了具有針對(duì)性的安全建設(shè)方案。

1.云計(jì)算的定義

云計(jì)算[2]就是分布式計(jì)算的一種形式，通過(guò)龐大的互聯(lián)網(wǎng)將多臺(tái)服務(wù)器組織在一起，來(lái)共同處理被分解的一個(gè)個(gè)小單元，通過(guò)分布在各個(gè)地方的處理單元，將計(jì)算處理的結(jié)果統(tǒng)一匯集到一起，最后發(fā)給用戶。通過(guò)這種分布式計(jì)算處理，可以在短時(shí)間內(nèi)處理龐大的數(shù)據(jù)，達(dá)到性能的最大化。狹義上講，云計(jì)算就是一種提供資源的平臺(tái)，用戶可以輕松的從云上獲取所需資源，按需求量的多少進(jìn)行付費(fèi)使用，并且可以在后期使用中進(jìn)行動(dòng)態(tài)無(wú)限擴(kuò)展，這種模式提供按需的網(wǎng)絡(luò)訪問(wèn)，按需的資源配置，共享的資源配置池包括網(wǎng)絡(luò)資源、服務(wù)器硬件、存儲(chǔ)資源、操作系統(tǒng)及多種服務(wù)，這些資源可以被快速的配置，快速的進(jìn)行重組及快速的進(jìn)行平臺(tái)升級(jí)，只需要投入較少的維護(hù)管理或與云供應(yīng)商進(jìn)行簡(jiǎn)單的溝通處理，就可以達(dá)到非常大的效果。

其中云計(jì)算在實(shí)踐過(guò)程中具有的特點(diǎn)有：

1.1 全局虛擬化技術(shù)的應(yīng)用

云計(jì)算中最重要的莫過(guò)于虛擬化技術(shù)的成熟應(yīng)用，虛擬化技術(shù)將所有硬件資源與軟件資源整合到一起，突破了服務(wù)器單機(jī)運(yùn)算的瓶頸，將原先單獨(dú)的各個(gè)模塊（物理硬件平臺(tái)、應(yīng)用軟件平臺(tái)、虛擬軟件平臺(tái)、數(shù)據(jù)存儲(chǔ)平臺(tái)等），統(tǒng)統(tǒng)整合到一起，進(jìn)行統(tǒng)一管理，統(tǒng)一監(jiān)控，資源統(tǒng)一分配，數(shù)據(jù)統(tǒng)一備份，做到應(yīng)用24 小時(shí)不宕機(jī)，數(shù)據(jù)再也不會(huì)丟失。

1.2 可實(shí)時(shí)擴(kuò)展資源

在以往的計(jì)算環(huán)境中，經(jīng)常會(huì)遇到資源不夠的情況，如服務(wù)器內(nèi)存不夠、CPU 運(yùn)算能力不足、數(shù)據(jù)存儲(chǔ)空間滿了等，針對(duì)這些問(wèn)題，以往只能重新更換性能更高的服務(wù)器，增加存儲(chǔ)磁盤的容量，現(xiàn)在如果使用了云計(jì)算的平臺(tái)，這些問(wèn)題就迎刃而解，可隨時(shí)在不影響業(yè)務(wù)的情況下，實(shí)時(shí)增加CPU、內(nèi)存、存儲(chǔ)等硬件資源，使計(jì)算的能力和計(jì)算的速度得到大大的提升。計(jì)算機(jī)云計(jì)算系統(tǒng)中出現(xiàn)設(shè)備的故障，對(duì)用戶來(lái)說(shuō)，無(wú)論是在計(jì)算機(jī)層面上，抑或是在具體運(yùn)用上均不會(huì)受到阻礙，可以利用計(jì)算機(jī)云計(jì)算具有的動(dòng)態(tài)擴(kuò)展功能來(lái)對(duì)其他服務(wù)器進(jìn)行有效擴(kuò)展。這樣一來(lái)就能夠確保任務(wù)得以有序完成。

1.3 根據(jù)需求來(lái)部署應(yīng)用環(huán)境

需求不同，部署的應(yīng)用環(huán)境就不同，根據(jù)業(yè)務(wù)的需求，部署不同的操作系統(tǒng)、應(yīng)用系統(tǒng)、資源池。云計(jì)算平臺(tái)對(duì)快速部署的響應(yīng)是非?？斓模梢愿鶕?jù)業(yè)務(wù)應(yīng)用系統(tǒng)的需要，快速地配置出高性能的計(jì)算機(jī)系統(tǒng)來(lái)。

1.4 云計(jì)算的高兼容性

高兼容性是云計(jì)算能持續(xù)發(fā)展下去的必要前提，在現(xiàn)在這個(gè)時(shí)代硬件和軟件的更新?lián)Q代非?？?，如不能有效的兼容不同品牌的硬件和較早的低端硬件，那必然會(huì)影響云計(jì)算的發(fā)展。現(xiàn)在虛擬化軟件有很多品牌，服務(wù)器、操作系統(tǒng)、存儲(chǔ)網(wǎng)絡(luò)的品牌也琳瑯滿目，如何將這些資源整合到虛擬池中，那就需要云計(jì)算的高兼容性。

1.5 服務(wù)器的高可靠性

單臺(tái)服務(wù)器如出現(xiàn)故障，是絕不會(huì)影響應(yīng)用系統(tǒng)的，云計(jì)算中的HA 功能可以將故障服務(wù)器上的業(yè)務(wù)虛擬機(jī)，在不宕機(jī)的情況下，遷移到集群中正常的服務(wù)器上，完全不影響用戶端，不會(huì)中斷業(yè)務(wù)的正常使用。

1.6 云計(jì)算使用的綜合成本低

云計(jì)算使用中不需要購(gòu)買昂貴的高性能主機(jī)，本地只需要價(jià)格相對(duì)便宜的PC，在資源使用中，可以根據(jù)需求量，動(dòng)態(tài)擴(kuò)展資源池中的資源，相比購(gòu)買高性能的服務(wù)器、大空間的存儲(chǔ)等，云計(jì)算的使用來(lái)得更加便宜，性價(jià)比會(huì)更高。

2.云安全的特征

云計(jì)算架構(gòu)是一種新型的架構(gòu)形式，不管是公有云還是私有云環(huán)境，需要關(guān)注的安全節(jié)點(diǎn)越來(lái)越多，對(duì)云安全的防范也是一種嚴(yán)峻的挑戰(zhàn)。如虛擬機(jī)用戶端的穩(wěn)定運(yùn)行、數(shù)據(jù)傳輸?shù)目煽啃?、?shù)據(jù)在云端的存儲(chǔ)安全等，都是需要重點(diǎn)關(guān)注的安全問(wèn)題。涉及的面非常廣，暫從以下幾個(gè)方面講解。

2.1 身份安全

通過(guò)申請(qǐng)?jiān)朴?jì)算服務(wù)，就會(huì)被賦予合法的用戶身份，通過(guò)這個(gè)合法的身份，將可以通過(guò)網(wǎng)絡(luò)來(lái)獲得云端相應(yīng)的應(yīng)用和服務(wù)，在此過(guò)程中，云端服務(wù)提供者將會(huì)檢查你的身份，只有在身份合法時(shí)，才可獲得相應(yīng)的服務(wù)。一旦檢查出是未授權(quán)的用戶，提供者將終止為其提供服務(wù)。

2.2 業(yè)務(wù)安全

虛擬化網(wǎng)絡(luò)技術(shù)[3]使云計(jì)算在底層實(shí)現(xiàn)了數(shù)據(jù)、資源的共享，在共享資源的同時(shí)，安全問(wèn)題也需要值得考慮，虛擬機(jī)與虛擬機(jī)之間的互訪策略、虛擬機(jī)與存儲(chǔ)之間的訪問(wèn)策略、虛擬交換機(jī)A 與虛擬交換機(jī)B 之間的互訪策略等，這些策略與以往在防火墻上添加一條規(guī)則或在交換機(jī)里添加一條ACL 完全不同。

2.3 數(shù)據(jù)安全

數(shù)據(jù)的保存應(yīng)該屬于整個(gè)業(yè)務(wù)系統(tǒng)中最重要的一環(huán)，數(shù)據(jù)包括生產(chǎn)數(shù)據(jù)、歷史數(shù)據(jù)以及各種數(shù)據(jù)庫(kù)數(shù)據(jù)等等，一旦丟失或遭非法篡改，都會(huì)造成不可挽回的損失。傳統(tǒng)架構(gòu)中的數(shù)據(jù)都是放在本地存儲(chǔ)中，管理可控性更強(qiáng)，而云端的數(shù)據(jù)因不在本地，管理可控性差的原因，一般都進(jìn)行數(shù)據(jù)的多次拷貝，多次異地備份等措施，來(lái)確保云端業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全。

云安全是從云計(jì)算演變而來(lái)，云安全就是基于云計(jì)算商業(yè)模式的安全軟件、硬件、用戶、機(jī)構(gòu)安全云平臺(tái)的總稱。因其總體架構(gòu)、網(wǎng)絡(luò)部署、運(yùn)維服務(wù)具有一定的相似性，繼而面臨著安全風(fēng)險(xiǎn)也具有一定的共性。

一是基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)。主要包括：物理環(huán)境及設(shè)備安全風(fēng)險(xiǎn)、虛擬化安全風(fēng)險(xiǎn)、開源組件風(fēng)險(xiǎn)、配置與變更操作錯(cuò)誤、帶寬惡意占用、資源編排攻擊。

二是網(wǎng)絡(luò)部署安全風(fēng)險(xiǎn)。主要包括：數(shù)據(jù)泄露、身份和密鑰管理、接入認(rèn)證、跨數(shù)據(jù)中心的橫向攻擊、APT等新型攻擊。

三是云上應(yīng)用安全風(fēng)險(xiǎn)。主要包括：API 接口安全、無(wú)服務(wù)器攻擊、DOS 攻擊、跨租戶/跨省橫向攻擊、跨工作負(fù)載攻擊、云服務(wù)被濫用及違規(guī)使用、用戶賬號(hào)管理安全、核心網(wǎng)攻擊。

3.云安全建設(shè)中面臨的問(wèn)題

目前，南通日?qǐng)?bào)社以全媒體采編系統(tǒng)為核心，結(jié)合了報(bào)紙排版系統(tǒng)、網(wǎng)站發(fā)布系統(tǒng)、南通發(fā)布App 系統(tǒng)和其他第三方系統(tǒng)（如第三方CMS 系統(tǒng)、微信公眾號(hào)、新浪微博等）。將所有系統(tǒng)進(jìn)行統(tǒng)籌安排后，分為兩部分：一部分為報(bào)社采編系統(tǒng)、報(bào)紙排版系統(tǒng)（用于報(bào)社集團(tuán)辦公及紙質(zhì)媒體出版使用的）。由于這部分系統(tǒng)較為重要，考慮使用了本地化私有云部署，在部署方案上使用了大品牌的VMware 服務(wù)器虛擬化和Citrix 桌面虛擬化軟件，在后期使用中，不管在兼容性還是在安全性方面都是挺不錯(cuò)的選擇。另一部分為南通網(wǎng)系統(tǒng)和南通發(fā)布App 系統(tǒng)（用于門戶網(wǎng)站和移動(dòng)客戶端資訊的發(fā)布），針對(duì)這部分新媒體的系統(tǒng)，考慮到以后的快速發(fā)展和便捷的擴(kuò)展性，使用了阿里的公有云部署，在計(jì)算能力、資源調(diào)配、數(shù)據(jù)存儲(chǔ)、訪問(wèn)效率等各方面都進(jìn)行了綜合考慮后，選擇了性能優(yōu)越的公有云服務(wù)器。

媒體作為重點(diǎn)單位，其自身的所有信息系統(tǒng)安全[4]都應(yīng)該屬于重點(diǎn)系統(tǒng)。因此，在南通市信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組辦公室進(jìn)行了三級(jí)備案，并邀請(qǐng)第三方測(cè)評(píng)公司對(duì)本單位進(jìn)行了安全風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)。依據(jù)等級(jí)保護(hù)基本要求中三級(jí)標(biāo)準(zhǔn)要求，對(duì)本單位的公有云和私有云系統(tǒng)進(jìn)行了網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)。因前期僅進(jìn)行了網(wǎng)絡(luò)基礎(chǔ)建設(shè)，并未考慮安全方面的建設(shè)，導(dǎo)致測(cè)評(píng)后發(fā)現(xiàn)在云安全防護(hù)上比較弱，不能達(dá)到三級(jí)防護(hù)的要求，根據(jù)等級(jí)化保護(hù)2.0 要求，將測(cè)評(píng)中屬于高風(fēng)險(xiǎn)值的問(wèn)題分別列出：

一是公有云系統(tǒng)使用的阿里云的云服務(wù)器，在前期使用中，只考慮了使用的方便，沒(méi)有對(duì)系統(tǒng)的安全性進(jìn)行考慮，如云服務(wù)器的防火墻策略，沒(méi)有進(jìn)行訪問(wèn)策略的控制，因此，風(fēng)險(xiǎn)等級(jí)較高，需要及時(shí)處理。

二是私有云系統(tǒng)中未部署態(tài)勢(shì)感知類產(chǎn)品，無(wú)法對(duì)整個(gè)系統(tǒng)中存在的網(wǎng)絡(luò)攻擊行為進(jìn)行發(fā)現(xiàn)、檢測(cè)、防范、限制和報(bào)警，存在不能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為而造成系統(tǒng)信息泄漏和損壞的風(fēng)險(xiǎn)。

三是系統(tǒng)網(wǎng)絡(luò)中未部署非法外聯(lián)、內(nèi)聯(lián)檢查防范類產(chǎn)品，存在非授權(quán)用戶連接系統(tǒng)后，訪問(wèn)系統(tǒng)資源及違規(guī)外聯(lián)繞過(guò)安全措施的風(fēng)險(xiǎn)。

四是私有云業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)邊界處未部署防惡意代碼產(chǎn)品，不能檢測(cè)網(wǎng)絡(luò)中潛在的惡意代碼程序，可能會(huì)造成惡意代碼程序進(jìn)入重要信息系統(tǒng)，造成系統(tǒng)及應(yīng)用程序故障的風(fēng)險(xiǎn)。

五是沒(méi)有在網(wǎng)絡(luò)中部署審計(jì)類設(shè)備，目前系統(tǒng)所處網(wǎng)絡(luò)環(huán)境中未部署日志審計(jì)類設(shè)備，無(wú)法對(duì)網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，重要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等日志均本地存儲(chǔ)，無(wú)法滿足網(wǎng)絡(luò)安全法要求保留6 個(gè)月以上，無(wú)法滿足標(biāo)準(zhǔn)要求。

六是應(yīng)用服務(wù)器操作系統(tǒng)未采用兩種或兩種以上組合的鑒別技術(shù)，一般都是采用的用戶名加密碼認(rèn)證的方式，且用戶名多數(shù)為administrator 賬號(hào)，密碼的復(fù)雜程度也較低，因此，登錄密碼容易被未授權(quán)的用戶輕松破解，操作系統(tǒng)容易被非法控制。

七是操作系統(tǒng)未統(tǒng)一安裝網(wǎng)絡(luò)版殺毒軟件，即使一部分安裝了殺毒軟件，也都是免費(fèi)的版本，且病毒庫(kù)長(zhǎng)時(shí)間不更新，殺毒能力較差，也沒(méi)有進(jìn)行升級(jí)、殺毒的統(tǒng)一管理，導(dǎo)致很大一部分客戶端極易受到病毒的侵襲。

4.云安全中技術(shù)加固設(shè)計(jì)

4.1 安全加固的原則

首先，事前風(fēng)險(xiǎn)預(yù)防包括事前分析系統(tǒng)各個(gè)組成要素、組成要素可能面臨的威脅和存在的脆弱性，并將分析結(jié)果作為安全治理輸入，[5]對(duì)于威脅，需要制定相應(yīng)措施避免或減少威脅發(fā)生。對(duì)于脆弱性，需要針對(duì)性地進(jìn)行鞏固，比如對(duì)經(jīng)常會(huì)導(dǎo)致系統(tǒng)故障的系統(tǒng)變配操作，通過(guò)統(tǒng)一的變更平臺(tái)集中管理各種變配申請(qǐng)，從而實(shí)現(xiàn)對(duì)變配操作集中管控。

其次，通過(guò)最小權(quán)限原則，限制操作人操作權(quán)限，包括操作時(shí)間限制、操作對(duì)象限制和操作范圍限制。另外，每一次的變配操作，系統(tǒng)可以根據(jù)操作人、操作對(duì)象、操作類型等要素，計(jì)算操作過(guò)程中存在的風(fēng)險(xiǎn)，一旦發(fā)現(xiàn)過(guò)程中存在確定風(fēng)險(xiǎn)，則會(huì)直接阻斷當(dāng)前操作；如果是高風(fēng)險(xiǎn)，則會(huì)發(fā)起交叉確認(rèn)流程；如果是低風(fēng)險(xiǎn)，則會(huì)直接放行。這種方式，既實(shí)現(xiàn)了對(duì)風(fēng)險(xiǎn)的實(shí)時(shí)管控，防止由于人為失誤導(dǎo)致故障，同時(shí)又平衡了研發(fā)效率與安全生產(chǎn)間的關(guān)系。

快速發(fā)現(xiàn)是避免損失擴(kuò)大的重要手段。在系統(tǒng)運(yùn)行過(guò)程中，通過(guò)業(yè)務(wù)指標(biāo)觀測(cè)、應(yīng)用程序觀測(cè)、云資源觀測(cè)相結(jié)合的方式，能夠及時(shí)發(fā)現(xiàn)系統(tǒng)存在的問(wèn)題，一旦發(fā)現(xiàn)故障，按照事先制定的預(yù)案，系統(tǒng)會(huì)通知相關(guān)人員進(jìn)行處理。其次，基于大數(shù)據(jù)和人工智能算法，平臺(tái)會(huì)實(shí)時(shí)預(yù)測(cè)相關(guān)指標(biāo)變化趨勢(shì)，將故障預(yù)警時(shí)間再次提前。

盡管事前事中制定了詳盡的方案，但還是很難避免故障發(fā)生。一旦故障發(fā)生，如何快速進(jìn)行故障恢復(fù)就是首要事情。按照故障不同類型，可以使用故障恢復(fù)手段有限流、攔截、熔斷、快恢、降級(jí)、擴(kuò)容、切流、重啟等。不同恢復(fù)方式都需要有相應(yīng)系統(tǒng)支持和日常演練測(cè)試。故障恢復(fù)后，安全生產(chǎn)委員會(huì)還需要組織相關(guān)人員排查和分析故障原因，制定整改方案，確定故障責(zé)任人，推進(jìn)和落實(shí)整改方案，防止相同故障再次發(fā)生。[6]

4.2 安全加固的措施

目前網(wǎng)絡(luò)攻擊形式越來(lái)越多樣化，手法也越來(lái)越隱匿，面對(duì)這種多樣化攻擊，往往需要部署多種安全設(shè)備，如防火墻、IPS、日志審計(jì)、WAF 等。面對(duì)多種多樣的安全設(shè)備，需要知道安全設(shè)備只是輔助，在日常維護(hù)中，需要定期進(jìn)行安全巡檢，其中包括對(duì)安全設(shè)備記錄的日志進(jìn)行分析，發(fā)現(xiàn)潛在威脅、定期進(jìn)行策略優(yōu)化、定期進(jìn)行特征庫(kù)升級(jí)等。

針對(duì)單位內(nèi)網(wǎng)站系統(tǒng)和采編系統(tǒng)目前的情況，對(duì)網(wǎng)絡(luò)安全整改按高、中、低安全風(fēng)險(xiǎn)等級(jí)進(jìn)行逐步進(jìn)行。首先考慮的是等保測(cè)評(píng)中屬于高風(fēng)險(xiǎn)的項(xiàng)目，進(jìn)行初步的安全加固，在邊界處安裝防火墻，使內(nèi)外域達(dá)到安全隔離的效果，做到有效的防護(hù)和訪問(wèn)控制。

本次在圍繞設(shè)備加固的同時(shí)，強(qiáng)化安全管理，完善系統(tǒng)管理員制度，建立網(wǎng)絡(luò)拓?fù)鋱D，方便系統(tǒng)管理員圖形化的管理；建立硬件資產(chǎn)管理系統(tǒng)，讓管理員能查詢系統(tǒng)中所有平臺(tái)的硬件信息。

針對(duì)通過(guò)安全測(cè)評(píng)檢查出來(lái)的問(wèn)題，根據(jù)等保2.0標(biāo)準(zhǔn)中的技術(shù)要求和管理要求，對(duì)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施進(jìn)行整改、優(yōu)化，并對(duì)各個(gè)應(yīng)用系統(tǒng)的安全性的架構(gòu)設(shè)計(jì)、安全漏洞等方面進(jìn)行整改和優(yōu)化。

基于安全通用技術(shù)要求，在所有系統(tǒng)的邊界處部署了下一代防火墻、IPS 入侵防御系統(tǒng)、Web 應(yīng)用防火墻、防病毒系統(tǒng)、安全日志審計(jì)系統(tǒng)綜合解決方案，按照分級(jí)分域的原則，對(duì)安全區(qū)域邊界進(jìn)行全面保護(hù)，有效應(yīng)對(duì)區(qū)域邊界常見的安全威脅。在網(wǎng)絡(luò)中部署態(tài)勢(shì)感知設(shè)備對(duì)整網(wǎng)進(jìn)行安全分析，防范來(lái)自單位內(nèi)部及外部針對(duì)重要業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)攻擊及病毒傳播；在網(wǎng)絡(luò)中部署非法外聯(lián)、內(nèi)聯(lián)檢查設(shè)備，對(duì)網(wǎng)絡(luò)中的違規(guī)內(nèi)外聯(lián)操作進(jìn)行有效監(jiān)測(cè)處置；在網(wǎng)絡(luò)中部署日志審計(jì)設(shè)備，對(duì)重要網(wǎng)絡(luò)設(shè)備的日志進(jìn)行統(tǒng)一收集管理分析，對(duì)運(yùn)維操作進(jìn)行安全審計(jì)管理，便于日后的分析及安全事件發(fā)生后的追溯，通過(guò)安全管理平臺(tái)對(duì)網(wǎng)絡(luò)中的設(shè)備進(jìn)行統(tǒng)一管理，便于網(wǎng)絡(luò)管理者的日常運(yùn)維工作。[7]

4.3 安全計(jì)算環(huán)境

計(jì)算環(huán)境的安全涉及的面很廣，主要是主機(jī)層面和應(yīng)用層面的風(fēng)險(xiǎn)，其具體包括：安全訪問(wèn)控制策略方面的、身份驗(yàn)證方面的、數(shù)據(jù)安全保護(hù)方面的、個(gè)人信息安全保護(hù)方面的、入侵防御與惡意代碼攻擊等方面。

在業(yè)務(wù)系統(tǒng)服務(wù)配備兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別，如動(dòng)態(tài)口令、USB key 等方式，有效保證身份鑒別的可靠性。

在網(wǎng)絡(luò)中部署日志審計(jì)、堡壘機(jī)、數(shù)據(jù)庫(kù)審計(jì)設(shè)備，對(duì)重要服務(wù)器系統(tǒng)及數(shù)據(jù)庫(kù)的日志進(jìn)行統(tǒng)一收集管理分析，在統(tǒng)一存儲(chǔ)日志的同時(shí)，協(xié)助網(wǎng)絡(luò)管理員分析日志信息。

通過(guò)自檢和第三方公司，定期對(duì)日?qǐng)?bào)社重要信息系統(tǒng)進(jìn)行漏洞掃描、滲透測(cè)試，對(duì)發(fā)現(xiàn)的操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)高危漏洞進(jìn)行及時(shí)修補(bǔ)。

為終端和服務(wù)器都部署網(wǎng)絡(luò)版防病毒和防惡意代碼產(chǎn)品，通過(guò)服務(wù)端進(jìn)行統(tǒng)一管理、統(tǒng)一升級(jí)、統(tǒng)一殺毒。

為重要數(shù)據(jù)處理系統(tǒng)進(jìn)行冗余部署，通過(guò)租用運(yùn)營(yíng)商的云存儲(chǔ)空間，將系統(tǒng)重要數(shù)據(jù)庫(kù)和重要數(shù)據(jù)進(jìn)行了本地和異地備份，保障了系統(tǒng)的高可用性。

4.4 安全管理中心

為了解決安全隱患，我們部署了一套終端管理系統(tǒng)，包括資產(chǎn)的統(tǒng)一管理、安全外聯(lián)管控、漏洞的統(tǒng)一管理、病毒和惡意代碼的統(tǒng)一查殺。

南通日?qǐng)?bào)社單位內(nèi)部網(wǎng)絡(luò)包含著多種多樣的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)終端，內(nèi)部服務(wù)器和PC 搭載著許多重要的應(yīng)用平臺(tái)和數(shù)據(jù)，由于辦公使用人員的防范意識(shí)普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴(kuò)散到全網(wǎng)絡(luò)，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)，工作無(wú)法進(jìn)行。故通過(guò)終端管理系統(tǒng)中的病毒和惡意代碼查殺模塊，對(duì)單位內(nèi)部網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理、統(tǒng)一查殺。

由于對(duì)終端準(zhǔn)入沒(méi)有做限制，訪客PC 或外來(lái)終端設(shè)備可以輕易的接入企業(yè)內(nèi)網(wǎng)獲取企業(yè)內(nèi)部信息，尤其在當(dāng)今網(wǎng)絡(luò)無(wú)邊界的趨勢(shì)之下，通過(guò)私設(shè)無(wú)線路由，手機(jī)、Pad、USB 無(wú)線網(wǎng)卡等移動(dòng)終端也可以輕松的接入企業(yè)內(nèi)網(wǎng)。故通過(guò)部署終端管理系統(tǒng)中的安全外聯(lián)管控模塊來(lái)對(duì)內(nèi)部網(wǎng)絡(luò)中的非法內(nèi)外聯(lián)進(jìn)行限制，對(duì)不允許接入互聯(lián)網(wǎng)的、不允許接入內(nèi)部網(wǎng)絡(luò)的嚴(yán)格進(jìn)行限制。

單位的網(wǎng)絡(luò)資產(chǎn)較多、較亂，沒(méi)有進(jìn)行統(tǒng)一管理，某些設(shè)備很容易就被遺忘，對(duì)于龐大的資產(chǎn)，僅有的技術(shù)人員很難做到管理到位，且所有的系統(tǒng)也沒(méi)有及時(shí)進(jìn)行漏洞掃描、升級(jí)補(bǔ)丁。針對(duì)此，通過(guò)部署了終端管理中的資產(chǎn)管理模塊和漏洞管理模塊，對(duì)整個(gè)系統(tǒng)進(jìn)行統(tǒng)一管理，自動(dòng)掃描系統(tǒng)中的所有資產(chǎn)信息，分類管理，定期掃描整個(gè)系統(tǒng)中設(shè)備的漏洞，及時(shí)修補(bǔ)補(bǔ)丁。

4.5 安全運(yùn)維管理

定期對(duì)應(yīng)用系統(tǒng)進(jìn)行漏洞掃描、滲透測(cè)試工作，對(duì)漏掃、滲透測(cè)試中發(fā)現(xiàn)的安全問(wèn)題進(jìn)行及時(shí)整改，確保信息系統(tǒng)的安全性。

定期修訂評(píng)估信息系統(tǒng)應(yīng)急演練文檔，并對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每半年舉辦一次。定期開展信息系統(tǒng)等級(jí)測(cè)評(píng)工作，每年邀請(qǐng)第三方公司進(jìn)行一次全網(wǎng)的等級(jí)測(cè)評(píng)，對(duì)測(cè)評(píng)中發(fā)現(xiàn)的安全問(wèn)題進(jìn)行及時(shí)整改，使得信息系統(tǒng)能完全達(dá)到安全保護(hù)能力要求。

5.云系統(tǒng)安全加固中的管理設(shè)計(jì)

5.1 安全管理制度

在制度方面，南通日?qǐng)?bào)社根據(jù)安全管理制度的基本要求，修訂了一系列的管理規(guī)定、辦法。制定嚴(yán)格的網(wǎng)絡(luò)運(yùn)行與維護(hù)制度，如：重要網(wǎng)絡(luò)設(shè)備放置在主機(jī)房?jī)?nèi)，由網(wǎng)絡(luò)管理員負(fù)責(zé)管理。網(wǎng)絡(luò)管理員實(shí)時(shí)監(jiān)測(cè)系統(tǒng)的運(yùn)行情況，檢查登錄日志。嚴(yán)禁任何人將未經(jīng)技術(shù)保障部許可的計(jì)算機(jī)及通信設(shè)備接入網(wǎng)絡(luò)。

5.2 安全管理機(jī)構(gòu)

根據(jù)要求成立了相應(yīng)的管理機(jī)構(gòu)，設(shè)立了各個(gè)崗位，明確了各個(gè)崗位的管理人員，包括有安全管理員、網(wǎng)絡(luò)管理員和系統(tǒng)管理員等，成立了領(lǐng)導(dǎo)小組，負(fù)責(zé)制訂所有崗位的工作章程、工作分工，在管理機(jī)構(gòu)的管理下，有序地開展工作。

5.3 安全管理人員

成立了信息安全領(lǐng)導(dǎo)小組，主要負(fù)責(zé)整個(gè)信息系統(tǒng)的安全管理工作。領(lǐng)導(dǎo)小組的組長(zhǎng)由社長(zhǎng)擔(dān)任，安全主管由分管技術(shù)保障部的領(lǐng)導(dǎo)擔(dān)任，安全管理員由技術(shù)保障部的主任擔(dān)任，網(wǎng)絡(luò)管理員和系統(tǒng)管理員由核心的技術(shù)人員擔(dān)任，設(shè)備和機(jī)房管理員由單位技術(shù)人員擔(dān)任，各司其職、分工合作。

5.4 安全建設(shè)管理

根據(jù)等級(jí)保護(hù)的要求，南通日?qǐng)?bào)社制定了安全建設(shè)管理方面的制度，包括有系統(tǒng)安全方案設(shè)計(jì)、系統(tǒng)安全等級(jí)的定級(jí)，測(cè)評(píng)、軟件開發(fā)的方案實(shí)施與驗(yàn)收、系統(tǒng)完備后的驗(yàn)收與交付。從系統(tǒng)項(xiàng)目的前期一直到最后，從開始的設(shè)計(jì)、定級(jí)，到最后的驗(yàn)收、交付都按照安全建設(shè)管理的制度有條不紊的進(jìn)行。

5.5 安全運(yùn)維管理

對(duì)管理員來(lái)說(shuō)，信息系統(tǒng)的日常維護(hù)管理是個(gè)繁雜的工作，涉及方方面面的設(shè)備與資產(chǎn)，按照等保標(biāo)準(zhǔn)要求，制定出管理制度且利用安全管理中心對(duì)所有系統(tǒng)進(jìn)行有序的管理、維護(hù)工作。統(tǒng)一管理的對(duì)象有網(wǎng)絡(luò)設(shè)備的管理、PC 與服務(wù)器的管理、數(shù)據(jù)備份與恢復(fù)的管理、入侵與惡意代碼防范的管理、應(yīng)急預(yù)案的管理等。

結(jié)語(yǔ)

云計(jì)算的運(yùn)用是當(dāng)今時(shí)代的前沿技術(shù)，在使用云計(jì)算業(yè)務(wù)的同時(shí)，南通報(bào)業(yè)傳媒集團(tuán)進(jìn)行了一次全方位、大面積的信息系統(tǒng)安全建設(shè)，在各個(gè)方面都進(jìn)行了安全加固，從前期基礎(chǔ)建設(shè)的思考，到安全設(shè)計(jì)方案、再到管理措施及人員安全培訓(xùn)等[8]，進(jìn)行了一系列的措施。隨著《網(wǎng)絡(luò)安全法》的頒布和等級(jí)化保護(hù)2.0 標(biāo)準(zhǔn)的實(shí)施，云安全建設(shè)也被越來(lái)越關(guān)注，針對(duì)信息系統(tǒng)的安全也越來(lái)越高，南通日?qǐng)?bào)社的兩個(gè)三級(jí)系統(tǒng)，更應(yīng)該按照等保2.0 的標(biāo)準(zhǔn)，嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的要求，保護(hù)好公有云業(yè)務(wù)系統(tǒng)和私有云業(yè)務(wù)系統(tǒng)，作為重要的媒體單位，網(wǎng)絡(luò)安全的建設(shè)刻不容緩！