云平台上非编制作网的安全性应用研究

杨继家 靳瑞勇 张晓蕾

随着服务器虚拟化技术和桌面虚拟化技术的成熟、GPU虚拟化技术的进一步发展，基于云计算、虚拟化技术的项目不断落地。这也给广电行业的非编系统安全问题提供了全新的解决方案。同时，随着《网络安全法》的发布实施，网络安全工作已成为各项工作中最重要的一环。本文就云平台上的非编制作网与我台现有核心业务网的安全接入、互联网安全通信的问题进行分析探讨。

1 基于云平台的非编制作网的发展

随着GPU虚拟化技术的发展，现代广播电视节目的生产流程和生产方式也发生了巨大的变革。随着VMware、Citrix两大国外虚拟化厂商以及国内华为、新华三、深信服公司针对GPU虚拟化推出的全新版本，全国广播电视行业纷纷投资建设基于云平台的非编制作网。

目前，我台正在部署基于VMware服务器虚拟化、Citrix桌面虚拟化等技术的云平台非编制作网。此制作网的建设定位于集高清制作、包装于一体的综合制作平台，目的在于实现我台内综艺节目、民生新闻节目、专题节目的融合生产。

2 网络安全防护体系

《信息系统安全等级保护基本要求》中的三级安全保护能力是指网络应能在统一安全策略下使系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击，较为严重的自然灾难及其他相当危害程度的威胁所造成的主要资源损害，能够及时发现安全漏洞，在系统遭到损害后，及时进行处理，使功能恢复。

参照信息安全等级保护工作的相关要求，河北广播电视台充分考虑信息安全建设的合规性，结合台内现有业务系统现状进行梳理，逐步建立基于等级保护的网络安全、主机安全、应用安全、数据安全及云安全的防护体系。

3 针对云平台非编制作网的安全建设

云平台非编制作网的安全域划分为外部安全域与内部安全域。外部安全域划分为两块安全域，分别为全台网安全域和制作云安全域，全台网安全域为台内主干平台的网络，制作云安全域为节目制作业务使用的网络。安全域之间网络存在网络通讯交互，但是通过防火墙进行隔离。

3.1 外部安全域

为保障云制作网与全台互联互通平台的网络边界安全，相关工作人员在边界处部署了下一代防火墙。利用防火墙的应用识别、控制、协议解析和异常检测等功能提供安全防护能力。通过防火墙功能、IPS功能做访问控制和威胁检测。防火墙设备的高性能入侵防御系统IPS设备或模块，具备网络带宽高吞吐能力；通过IPS提供的通过深达7层的分析与检测，可实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件和网页篡改等攻击或恶意行为，并实现对网络基础设施、网络应用和性能的全面保护。从而建立较完整的网络边界访问控制机制，使云平台非编制作网达到相关安全防护的要求。

外部安全域划分涉及的两块区域，互相之间存在网络通讯，在安全域隔离上使用防火墙，通过防火墙的访问控制策略保障安全域间通信，使网络具有能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。

3.2 内部安全域

内部安全域划分为虚拟机安全域、管理安全域、VMotion安全域和vSan安全域。虚拟机安全域为VPC虚拟机之间通讯专用网络，管理安全域为管理vCenter管理ESXI专用网络，VMotion安全域为虚拟机迁移和克隆专用网络，vSAN安全域为vSAN存储专用网络，安全域之间网络不存在通讯交互但是通过网络划分隔离。内部安全域划分的四块区域，互相之间不存在网络通讯，存在交换机上复用，但是在网络规划上分属不同网段，中间不存在路由，可以从网络划分上进行隔离，控制粒度为链路级。在物理服务器上，四块网络分别使用独享网卡，从物理层上进行网卡隔离，控制粒度为物理级。

由VXLAN构建大二层网络，保证了在虚拟迁移时虚拟机的IP地址、MAC地址等参数保持不变。在大二层网络，为了方便控制与部署使用SDN，控制器通过OpenFlow协议将信息下发给转发器，以实现控制器统一维护管理。

通过使用支持VXLAN技术的设备对云平台进行安全域划分，在物理机检查进出流量的MAC、IP，同时在虚拟路由上检测MAC、IP、ACL信息等。防止低安全域用户向高安全域进行突破，严格限制低安全域向高安全域进行数据传输。

3.3 媒体数据的交换

为保障云平台上非编制作网进行媒体数据文件交换时的安全，河北广播电视台采用了安全隔离网关，实现了跨业务系统交换文件，能够自动对音视频文件、图片文件、各类文档文件进行自动发现、自动检测和自动传输；在保证文件高效传输的同时，对各类文件进行深度智能解析及甄别，彻底杜绝假冒、伪装、非法文件的传输交换；同时集成的病毒检查功能提供对各类文件的病毒扫描，可有效防止携带病毒的文件进行传输交换。该设备采用Web方式提供设备使用配置、传输任务查看，并通过帐户、密码技术来保障设备的使用安全。

3.4 安全加固

按照信息安全等级保护工作的相关要求，河北广播电视台在核心交换机上部署了入侵检测系统，对网络、系统的运行状况进行监视，尽可能地发现各种攻击企图、攻击行为或攻击结果，以保证河北广播电视台网络系统资源的机密性、完整性和可用性。

3.4.1 主机方面

主机安全包括服务器安全和终端安全两个方面，河北广播电视台为保障云平台上服务器的主机安全，采用了亚信安全服务器深度安全防护系统。通过其无代理的部署方案，建立起了一套高效的针对虚拟化的病毒安全防护系统。在终端安全防护方面，还部署了终端安全系统，实现了动态检测、实时处理、全网追溯未知威胁，可以更好地管理终端并保护主机，防止病毒入侵。

3.4.2 身份鉴别方面

云平台上非编制作网中所有登录服务器操作系统和数据库系统的用户都有用户名和密码，且用户名唯一。部署了数字证书认证系统，实现了数字证书系统与用户名/密码的双因素认证。系统运维人员因为权限不同，管理不同的业务，所以必须先插入Ukey，输入Ukey对应密码后才能通过用户名密码正常登录系统，进行数据库、操作系统等操作，并可以通过堡垒机保存所有操作记录。

3.4.3 安全审计方面

云平台上非编制作网部署了运维审计、日志审计和数据库审计，并通过安全事件处理引擎将审计数据进行整合，帮助管理人员分析系统的运行状态，包括风险管理、告警管理、弱点查询和态势感知等信息。

运行维护人员进行网络设备、主机系统、数据库等操作时，运维审计可以对其进行身份认证和权限管理。日志审计具有对主机进行监控、审计的功能，审计范围覆盖到服务器上的每个操作系统用户，包括对重要用户行为、系统资源的异常使用、重要系统命令的使用等系统内重要的安全相关事件进行审计，审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等。

4 结语

本文从访问控制、边界完整性、主机安全、身份鉴别和安全审计等各个方面对云平台上非编制作网中进行了相应的控制和管理，并制定了严格的系统使用制度和规范。同时，河北广播电视台对Citrix虚拟桌面进行了大量的优化和调整，在保障系统安全的前提下最大限度地实现了云非编制作网的安全运行及与全台网等业务系统的互联互通。