新闻媒体网络安全改造项目建设与研究

朱颖

摘要：随着网络媒体广泛应用，新闻媒体网络系统面对的网络风险日益增大，网络安全问题越来越严重。本文从提升系统整体安全性的角度，提出了体系防护的概念，对原有分区防护、边界防护的系统进行安全加固，将之建设成为系统安全的网络体系。

关键词：网络安全 体系防护

一、原有网络系统设计思路

面对互联网的迅速发展，新闻媒体面临的日常工作对象从简单的文字、图片，拓展到立足于互联网的移动采编、稿件发布管理、全文检索等业务，应用系统的拓展带来了海量数据，也使得系统必须面对来自互联网的非法入侵、病毒攻击，系统安全遭到极大威胁，因此，网络系统的安全防护问题是建设的重点。

网络安全的主要特点包括系统性、可控性、动态性等，我们根据业务需求，在原有系统网络建设中，结合网络安全特点，采用多种防护技术，设计了分区、分层的网络安全架构，原网络结构拓扑图如下所示。

原网络系统采取了分区、分层的设计思路，系统采取冗余架构，将系统分为核心区、发布区、接入区、应用服务区、数据服务区、数据存储（备份）区，各个分区用交换机互联内部，用VLAN隔离，由防火墙进行逻辑控制。网络系统内部重点防护越权访问和无意攻击，加强内部的安全防御审计与监控，进行边界防护；与外部用户之间的信息交互，则采取身份认证和多种对外防护措施，从而确保数据安全高效流转。

核心区是整个网络系统的中心，两台核心交换机互为热备，同时配备冗余引擎和冗余电源，每台核心交换机都连接了应用服务区、数据存储（备份）区，核心交换机之间用心跳线捆绑互联，极大的提升了该区域的安全可靠性。

发布区包括两台负载均衡设备、VPN设备、接入交换机，分别连接两台核心交换机，实现了数据传输的负载均衡。

接入区包括互联网接入区和局域网接入区。互联网接入区有两条专线通过链路负载均衡互为备份，同时配置了出口防火墙进行区域隔离；局域网接入区由双千兆链路连接到核心交换机，为内网用户提供了高效冗余的网络环境。

数据存储（备份）区包括了数据存储系统及备份系统，数据存储系统采用关系数据库和全文检索数据库，满足了海量数据的存储和全文检索功能；数据备份系统用磁盘阵列实现了数据备份功能，提高了整个系统的容灾能力。

原系统建设投入以来，基本实现了结构安全、负载均衡、高效冗余等设计目标，同时采取防火墙、VPN、防病毒系统、上网行为管理系统等软硬件设备，进一步体现了内外分离、边界隔离、层层防护的设计思路，为员工搭建了一个高效、安全、可扩展、冗余的网络平台。

二、原系统使用中发现的问题

随着新闻业务的不断拓展，尤其是网络媒体的迅猛发展，原有系统已经渐渐出现不满足当前需求的情况。

1.防火墙模块功能偏弱，新型的网络攻击层出不穷，有可能危及整个系统的稳定可靠运行，边界防护的设计理念使得网络系统缺乏系统、主动的防护，原有的基于接口、边界层面的防护急需加强。

2.随着Web应用日益广泛，很多基于Web的应用都可以深入底层，有可能威胁到密码安全、用户管理安全、数据安全等，发布区暴露过多，安全压力也越来越大，发布区安全防护亟待加强。

3.数据库集群通过千兆光纤直连核心交换机，缺乏有效防护，面对外部攻击和危险行为缺乏及时有效的阻断手段。数据层面要求实现高效率、防篡改的安全防护目标。

4.数据增速超过先期规划，存储系统有效容量过低，急需提高数据的高可靠性。

5.面对日益严重的种种安全问题，原系统缺乏严格有效的整体运维管理和安全管理，无法及时有效的进行主动防御，不能快速弥补安全隐患。

三、改造思路及方案实施

原有系统作为适应互联网思维的新一代媒体网络系统，能够较好的实现分区隔离、有效可控、易于扩展等设计目标，为使用者构建了一个交互良好的高效业务平台，因此，我們立足于原系统，对全系统进行整体安全加固，将原有的边界防护升级为更加全面的系统防护，不改变原有部署的模式下对原系统进行优化改造。

根据预期规划，对互联网出口、发布区、管理服、数据存储、校对系统及桌面安全进行安全部署及加固。增加对发布区web应用的防护、核心oracle数据库的审计、安全策略的阻断，重新部署互联网出口防火墙以增加性能，为设备管理、桌面安全、数据存储提供整体化的安全建设。部署运维堡垒机进行运维管理，将分散的运维管理整合为具有身份认证、行为审计、安全监控的整体运维系统。

主要改造措施包括：

1.网络出口安全加固。在核心区部署两台新的互联网防火墙，配置为HA双机集群模式，连接了负载均衡、核心交换机以及DMZ区，在新防火墙上配置了三条路由，分别指向负载均衡、核心交换机以及发布区汇聚交换机。 出口防火墙将整个网络划分为untrust、trust和DMZ区，根据应用访问特征，针对性的在防火墙内配置访问控制策略，实现基于协议、源（目的）IP地址、端口的访问控制，控制各个区域间的互访，从而达到逻辑隔离的目的。例如从untrust和trust访问DMZ区域时，只开放需要的端口号，其余行为与端口号可以全部封掉，限制或者禁止不必要的访问。

应用Web防护。发布区不仅要保证应用服务器的接入安全，更要保障Web应用的安全，原有应用发布区没有对应用Web进行有效防护，大大增加了风险。本次改造在应用发布区部署一台Web应用防火墙，全方位的保护用户Web数据，通过对Web流量的深度检测，实现了实时有效的入侵防护功能。Web应用防火墙可以杜绝蠕虫攻击、网络钓鱼等基本攻击，同时对SOL注入攻击、XSS攻击等进行快捷有效的防护。

在出口防火墙和DMZ交换机之间部署一台Web应用防火墙，根据现有网络状况，将Web设置为透明桥接模式，配置两个透明桥，通过两条光纤上连至互联网出口防火墙，通过两条光纤下连至发布区汇聚交换机。其中桥1为主出口防火墙至主DMZ交换机，桥2为备出口防火墙至备DMZ交换机，默认流量从桥1经过，出现问题时自行切换至桥2。endprint

Web应用防火墙前期開启自学习策略，学习完成后开启阻断。开启阻断后，对非学习到的行为或是异常和攻击等行为进行阻断，保证web应用的安全。运维人员可通过设备内的日志查看阻断日志，对误报或新增行为可在设备内将其添加为信任，从而保证业务正常运行。

3.数据库服务器安全防护部署。原系统的数据库服务器通过千兆光纤直接上连到核心交换机，下连至光纤交换机。链路中并无安全设备对数据库集群进行有效的保护，缺乏安全审计、危险行为阻断等安全措施。

我们在数据库服务器与核心交换机之间部署数据库防火墙。数据库防火墙包含内置的漏洞攻击特征策略以及自定义策略，可以实时对数据库的请求进行精准判断，一旦识别到访问请求属于违规或者攻击行为，就会实时告警阻断，数据威胁将被迅速发现和解除。

数据库服务器双上连至交换机，因此本次配置两个透明桥。桥1连接数据库服务器和核心交换机。桥2连接另一路数据库服务器与核心交换机。数据库防火墙前期开启自学习策略，学习完成后开启阻断。开启阻断后，对非学习到的行为或是异常和攻击等行为将进行阻断，从而保证了数据库服务器的安全。

4.存储系统升级。原网络系统中配置了NAS和SAN两种存储方式，NAS主要用于存储文本、图片等数据文件；SAN主要用于存储数据库文本文件，在本系统中主要采用的是FCSAN，所有数据依据不同备份策略用磁带库进行备份。因实际业务增长迅速，数据量大幅增长，旧有存储系统逐渐不能应对海量数据增长所需要的性能。

本次改造在存储区域使用全固态存储，连接方式与方法均依照现有存储，首先将新存储设备进行预配置，将新存储设备接入SAN网络和NAS网络中，其中NAS数据通过核心交换机进行流量数据交互，FCSAN数据通过光纤交换机进行流量数据交互。

（1）NAS存储数据。旧存储NAS配置多个物理卷，分别映射给前端多台应用服务器，为保证存储割接平稳、安全，我们对这些卷逐个进行迁移和割接。

在新旧存储的数据迁移中，部署一台数据迁移服务器，使用系统内建的Rsync功能组件实现数据同步复制，在数据迁移服务器中建立多个文件夹，分别对应新旧存储的不同卷，将新旧存储的卷分别挂载到数据迁移服务器对应的文件夹中，通过Rsync组件，将旧存储中的卷逐步复制到新存储的卷中。通过数据迁移服务器进行完整平滑的数据迁移。

（2）FC SAN存储数据。原SAN数据库为ORACLE RAC集群，未安装PSU或单个PATCH，运行于归档模式， ASM磁盘采用ASMLIB管理，数据文件已经使用超过50%，急需扩容。在新存储上进行数据使用LUN划分，划分一块和旧存储空间大小一致的LUN，数据迁移之前，我们要对整个数据库进行RMAN备份，在新存储上再划分一个大小和旧存储空间一致的临时空间，，用于存放RMAN备份文件，待迁移完成后对该磁盘空间进行回收。

在新存储上划分相应的LUN之后，需要在ORACLE RAC数据库的生产服务器上进行相应设置以识别到新的LUN，之后multipath多路径聚合软件会自动聚合多路径。

5.运维堡垒机的应用。原网络系统的运维管理没有统一明确的方式及制度，对网络设备进行运维管理时，主要通过使用个人笔记本对设备进行直连的方式进行，有可能导致相关数据由个人笔记本泄漏，既无法对运维人员进行身份认证，也无法对运维人员的操作行为进行有效的控制和审计。

在互联网出口防火墙的DMZ区部署一台运维堡垒机，运维堡垒机与防火墙、IIS发布服务器及核心交换机协同配合工作，可以主动拦截非法访问与恶意攻击，及时发现非法命令并阻断，主动过滤掉所有对目标设备的非法访问行为。同时使用运维堡垒机所自带的审计功能，对运维行为的接入提供完备的审计信息，通过账号管理、身份认证等方式对接入者进行身份识别，身份识别后可以进行相应的资源授权，所有运维操作都可以在日志服务中记录，进一步增强运维管理的安全性。

随着运维堡垒机为主的运维系统全面应用，将原本的分散式、被动发现问题应对问题的个人运维，变为集中监控，及时感知网络安全态势的综合运维，实现了一体化的运维监控，极大的提高了网管人员对网络态势的掌控能力。

6.桌面安全系统。引入360企业版桌面防病毒软件，该企业版软件的服务器端和控制台部署在一台单独的服务器上，客户端部署在接入网络的终端PC上。系统采用了终端安全“一体化”的安全防护技术，将病毒防护监测、策略配置、报表查看等安全功能进行整合，对病毒防护和多种攻击进行主动防御，从而达到更加完善的安全防病毒功能。

四、成果与展望

经过整体安全加固后，网络系统的安全性、动态性得到明显提升，提高了系统应对网络攻击的快速响应能力，使得网管人员对整个网络的状态能实时监控，能够及时发现网络攻击和异常行为并快速应对，实现了系统的、可控的、动态的体系防护。

随着后续云平台、云架构、数据中心、智能化等新应用、新技术的不断拓展，新闻媒体网络系统的网络安全问题会贯穿始终，我们也要用发展的、全局的眼光去考虑网络系统安全，从而努力保持网络体系的整体最优。

参考文献：

[1]韩梅.网络维护中故障点排除分析及处理措施.信息与电脑（理论版），2011（12）.endprint