基于全媒体下的报社云安全建设

徐 锋

（南通日报社，江苏 南通 226300）

导语

随着新闻出版报纸数字化、网络化的广泛应用，纸类传媒信息安全工作的重要性日益彰显。移动互联网的不断发展，各种新兴媒体以速度快的优势后来居上，对传统媒体构成了冲击。在过去，基础网络建设方面存在着很多不足，许多工作主机是传统的PC 模式，网络设备智能化程度不高，不便于统一管理和配置，自然安全风险就比较高。而传统媒体偏重纸媒的出版发行，对新媒体建设投入不足，基础设施、设备老旧，不能适应新形态的媒体形式，性能产生瓶颈；内部素材管理没有统一规范，内容上与自家的网站、微信、App雷同，并且存在“多次编辑、多次发布”的问题，浪费了大量的人力物力。鉴于这些问题，南通日报社在集团党委的领导下大胆地提出对报社IT 系统进行网络安全全面改造。在系统改造过程中，基于“云计算”的虚拟化技术被我们首次引入，在实践中采用了公有云和私有云安全建设方案，将新媒体的对外发布App 放在公有云平台，将传统媒体的采编和排版系统放在了私有云平台，在安全建设方面，同时对这两个平台制定了具有针对性的安全建设方案。

1.云计算的定义

云计算[2]就是分布式计算的一种形式，通过庞大的互联网将多台服务器组织在一起，来共同处理被分解的一个个小单元，通过分布在各个地方的处理单元，将计算处理的结果统一汇集到一起，最后发给用户。通过这种分布式计算处理，可以在短时间内处理庞大的数据，达到性能的最大化。狭义上讲，云计算就是一种提供资源的平台，用户可以轻松的从云上获取所需资源，按需求量的多少进行付费使用，并且可以在后期使用中进行动态无限扩展，这种模式提供按需的网络访问，按需的资源配置，共享的资源配置池包括网络资源、服务器硬件、存储资源、操作系统及多种服务，这些资源可以被快速的配置，快速的进行重组及快速的进行平台升级，只需要投入较少的维护管理或与云供应商进行简单的沟通处理，就可以达到非常大的效果。

其中云计算在实践过程中具有的特点有：

1.1 全局虚拟化技术的应用

云计算中最重要的莫过于虚拟化技术的成熟应用，虚拟化技术将所有硬件资源与软件资源整合到一起，突破了服务器单机运算的瓶颈，将原先单独的各个模块（物理硬件平台、应用软件平台、虚拟软件平台、数据存储平台等），统统整合到一起，进行统一管理，统一监控，资源统一分配，数据统一备份，做到应用24 小时不宕机，数据再也不会丢失。

1.2 可实时扩展资源

在以往的计算环境中，经常会遇到资源不够的情况，如服务器内存不够、CPU 运算能力不足、数据存储空间满了等，针对这些问题，以往只能重新更换性能更高的服务器，增加存储磁盘的容量，现在如果使用了云计算的平台，这些问题就迎刃而解，可随时在不影响业务的情况下，实时增加CPU、内存、存储等硬件资源，使计算的能力和计算的速度得到大大的提升。计算机云计算系统中出现设备的故障，对用户来说，无论是在计算机层面上，抑或是在具体运用上均不会受到阻碍，可以利用计算机云计算具有的动态扩展功能来对其他服务器进行有效扩展。这样一来就能够确保任务得以有序完成。

1.3 根据需求来部署应用环境

需求不同，部署的应用环境就不同，根据业务的需求，部署不同的操作系统、应用系统、资源池。云计算平台对快速部署的响应是非常快的，它可以根据业务应用系统的需要，快速地配置出高性能的计算机系统来。

1.4 云计算的高兼容性

高兼容性是云计算能持续发展下去的必要前提，在现在这个时代硬件和软件的更新换代非常快，如不能有效的兼容不同品牌的硬件和较早的低端硬件，那必然会影响云计算的发展。现在虚拟化软件有很多品牌，服务器、操作系统、存储网络的品牌也琳琅满目，如何将这些资源整合到虚拟池中，那就需要云计算的高兼容性。

1.5 服务器的高可靠性

单台服务器如出现故障，是绝不会影响应用系统的，云计算中的HA 功能可以将故障服务器上的业务虚拟机，在不宕机的情况下，迁移到集群中正常的服务器上，完全不影响用户端，不会中断业务的正常使用。

1.6 云计算使用的综合成本低

云计算使用中不需要购买昂贵的高性能主机，本地只需要价格相对便宜的PC，在资源使用中，可以根据需求量，动态扩展资源池中的资源，相比购买高性能的服务器、大空间的存储等，云计算的使用来得更加便宜，性价比会更高。

2.云安全的特征

云计算架构是一种新型的架构形式，不管是公有云还是私有云环境，需要关注的安全节点越来越多，对云安全的防范也是一种严峻的挑战。如虚拟机用户端的稳定运行、数据传输的可靠性、数据在云端的存储安全等，都是需要重点关注的安全问题。涉及的面非常广，暂从以下几个方面讲解。

2.1 身份安全

通过申请云计算服务，就会被赋予合法的用户身份，通过这个合法的身份，将可以通过网络来获得云端相应的应用和服务，在此过程中，云端服务提供者将会检查你的身份，只有在身份合法时，才可获得相应的服务。一旦检查出是未授权的用户，提供者将终止为其提供服务。

2.2 业务安全

虚拟化网络技术[3]使云计算在底层实现了数据、资源的共享，在共享资源的同时，安全问题也需要值得考虑，虚拟机与虚拟机之间的互访策略、虚拟机与存储之间的访问策略、虚拟交换机A 与虚拟交换机B 之间的互访策略等，这些策略与以往在防火墙上添加一条规则或在交换机里添加一条ACL 完全不同。

2.3 数据安全

数据的保存应该属于整个业务系统中最重要的一环，数据包括生产数据、历史数据以及各种数据库数据等等，一旦丢失或遭非法篡改，都会造成不可挽回的损失。传统架构中的数据都是放在本地存储中，管理可控性更强，而云端的数据因不在本地，管理可控性差的原因，一般都进行数据的多次拷贝，多次异地备份等措施，来确保云端业务系统的数据安全。

云安全是从云计算演变而来，云安全就是基于云计算商业模式的安全软件、硬件、用户、机构安全云平台的总称。因其总体架构、网络部署、运维服务具有一定的相似性，继而面临着安全风险也具有一定的共性。

一是基础设施安全风险。主要包括：物理环境及设备安全风险、虚拟化安全风险、开源组件风险、配置与变更操作错误、带宽恶意占用、资源编排攻击。

二是网络部署安全风险。主要包括：数据泄露、身份和密钥管理、接入认证、跨数据中心的横向攻击、APT等新型攻击。

三是云上应用安全风险。主要包括：API 接口安全、无服务器攻击、DOS 攻击、跨租户/跨省横向攻击、跨工作负载攻击、云服务被滥用及违规使用、用户账号管理安全、核心网攻击。

3.云安全建设中面临的问题

目前，南通日报社以全媒体采编系统为核心，结合了报纸排版系统、网站发布系统、南通发布App 系统和其他第三方系统（如第三方CMS 系统、微信公众号、新浪微博等）。将所有系统进行统筹安排后，分为两部分：一部分为报社采编系统、报纸排版系统（用于报社集团办公及纸质媒体出版使用的）。由于这部分系统较为重要，考虑使用了本地化私有云部署，在部署方案上使用了大品牌的VMware 服务器虚拟化和Citrix 桌面虚拟化软件，在后期使用中，不管在兼容性还是在安全性方面都是挺不错的选择。另一部分为南通网系统和南通发布App 系统（用于门户网站和移动客户端资讯的发布），针对这部分新媒体的系统，考虑到以后的快速发展和便捷的扩展性，使用了阿里的公有云部署，在计算能力、资源调配、数据存储、访问效率等各方面都进行了综合考虑后，选择了性能优越的公有云服务器。

媒体作为重点单位，其自身的所有信息系统安全[4]都应该属于重点系统。因此，在南通市信息安全等级保护工作领导小组办公室进行了三级备案，并邀请第三方测评公司对本单位进行了安全风险等级测评。依据等级保护基本要求中三级标准要求，对本单位的公有云和私有云系统进行了网络安全等级测评。因前期仅进行了网络基础建设，并未考虑安全方面的建设，导致测评后发现在云安全防护上比较弱，不能达到三级防护的要求，根据等级化保护2.0 要求，将测评中属于高风险值的问题分别列出：

一是公有云系统使用的阿里云的云服务器，在前期使用中，只考虑了使用的方便，没有对系统的安全性进行考虑，如云服务器的防火墙策略，没有进行访问策略的控制，因此，风险等级较高，需要及时处理。

二是私有云系统中未部署态势感知类产品，无法对整个系统中存在的网络攻击行为进行发现、检测、防范、限制和报警，存在不能及时发现网络攻击行为而造成系统信息泄漏和损坏的风险。

三是系统网络中未部署非法外联、内联检查防范类产品，存在非授权用户连接系统后，访问系统资源及违规外联绕过安全措施的风险。

四是私有云业务系统网络边界处未部署防恶意代码产品，不能检测网络中潜在的恶意代码程序，可能会造成恶意代码程序进入重要信息系统，造成系统及应用程序故障的风险。

五是没有在网络中部署审计类设备，目前系统所处网络环境中未部署日志审计类设备，无法对网络边界、重要网络节点进行安全审计，重要网络设备、安全设备、服务器等日志均本地存储，无法满足网络安全法要求保留6 个月以上，无法满足标准要求。

六是应用服务器操作系统未采用两种或两种以上组合的鉴别技术，一般都是采用的用户名加密码认证的方式，且用户名多数为administrator 账号，密码的复杂程度也较低，因此，登录密码容易被未授权的用户轻松破解，操作系统容易被非法控制。

七是操作系统未统一安装网络版杀毒软件，即使一部分安装了杀毒软件，也都是免费的版本，且病毒库长时间不更新，杀毒能力较差，也没有进行升级、杀毒的统一管理，导致很大一部分客户端极易受到病毒的侵袭。

4.云安全中技术加固设计

4.1 安全加固的原则

首先，事前风险预防包括事前分析系统各个组成要素、组成要素可能面临的威胁和存在的脆弱性，并将分析结果作为安全治理输入，[5]对于威胁，需要制定相应措施避免或减少威胁发生。对于脆弱性，需要针对性地进行巩固，比如对经常会导致系统故障的系统变配操作，通过统一的变更平台集中管理各种变配申请，从而实现对变配操作集中管控。

其次，通过最小权限原则，限制操作人操作权限，包括操作时间限制、操作对象限制和操作范围限制。另外，每一次的变配操作，系统可以根据操作人、操作对象、操作类型等要素，计算操作过程中存在的风险，一旦发现过程中存在确定风险，则会直接阻断当前操作；如果是高风险，则会发起交叉确认流程；如果是低风险，则会直接放行。这种方式，既实现了对风险的实时管控，防止由于人为失误导致故障，同时又平衡了研发效率与安全生产间的关系。

快速发现是避免损失扩大的重要手段。在系统运行过程中，通过业务指标观测、应用程序观测、云资源观测相结合的方式，能够及时发现系统存在的问题，一旦发现故障，按照事先制定的预案，系统会通知相关人员进行处理。其次，基于大数据和人工智能算法，平台会实时预测相关指标变化趋势，将故障预警时间再次提前。

尽管事前事中制定了详尽的方案，但还是很难避免故障发生。一旦故障发生，如何快速进行故障恢复就是首要事情。按照故障不同类型，可以使用故障恢复手段有限流、拦截、熔断、快恢、降级、扩容、切流、重启等。不同恢复方式都需要有相应系统支持和日常演练测试。故障恢复后，安全生产委员会还需要组织相关人员排查和分析故障原因，制定整改方案，确定故障责任人，推进和落实整改方案，防止相同故障再次发生。[6]

4.2 安全加固的措施

目前网络攻击形式越来越多样化，手法也越来越隐匿，面对这种多样化攻击，往往需要部署多种安全设备，如防火墙、IPS、日志审计、WAF 等。面对多种多样的安全设备，需要知道安全设备只是辅助，在日常维护中，需要定期进行安全巡检，其中包括对安全设备记录的日志进行分析，发现潜在威胁、定期进行策略优化、定期进行特征库升级等。

针对单位内网站系统和采编系统目前的情况，对网络安全整改按高、中、低安全风险等级进行逐步进行。首先考虑的是等保测评中属于高风险的项目，进行初步的安全加固，在边界处安装防火墙，使内外域达到安全隔离的效果，做到有效的防护和访问控制。

本次在围绕设备加固的同时，强化安全管理，完善系统管理员制度，建立网络拓扑图，方便系统管理员图形化的管理；建立硬件资产管理系统，让管理员能查询系统中所有平台的硬件信息。

针对通过安全测评检查出来的问题，根据等保2.0标准中的技术要求和管理要求，对网络安全基础设施进行整改、优化，并对各个应用系统的安全性的架构设计、安全漏洞等方面进行整改和优化。

基于安全通用技术要求，在所有系统的边界处部署了下一代防火墙、IPS 入侵防御系统、Web 应用防火墙、防病毒系统、安全日志审计系统综合解决方案，按照分级分域的原则，对安全区域边界进行全面保护，有效应对区域边界常见的安全威胁。在网络中部署态势感知设备对整网进行安全分析，防范来自单位内部及外部针对重要业务系统的网络攻击及病毒传播；在网络中部署非法外联、内联检查设备，对网络中的违规内外联操作进行有效监测处置；在网络中部署日志审计设备，对重要网络设备的日志进行统一收集管理分析，对运维操作进行安全审计管理，便于日后的分析及安全事件发生后的追溯，通过安全管理平台对网络中的设备进行统一管理，便于网络管理者的日常运维工作。[7]

4.3 安全计算环境

计算环境的安全涉及的面很广，主要是主机层面和应用层面的风险，其具体包括：安全访问控制策略方面的、身份验证方面的、数据安全保护方面的、个人信息安全保护方面的、入侵防御与恶意代码攻击等方面。

在业务系统服务配备两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，如动态口令、USB key 等方式，有效保证身份鉴别的可靠性。

在网络中部署日志审计、堡垒机、数据库审计设备，对重要服务器系统及数据库的日志进行统一收集管理分析，在统一存储日志的同时，协助网络管理员分析日志信息。

通过自检和第三方公司，定期对日报社重要信息系统进行漏洞扫描、渗透测试，对发现的操作系统、数据库、应用系统高危漏洞进行及时修补。

为终端和服务器都部署网络版防病毒和防恶意代码产品，通过服务端进行统一管理、统一升级、统一杀毒。

为重要数据处理系统进行冗余部署，通过租用运营商的云存储空间，将系统重要数据库和重要数据进行了本地和异地备份，保障了系统的高可用性。

4.4 安全管理中心

为了解决安全隐患，我们部署了一套终端管理系统，包括资产的统一管理、安全外联管控、漏洞的统一管理、病毒和恶意代码的统一查杀。

南通日报社单位内部网络包含着多种多样的网络设备和网络终端，内部服务器和PC 搭载着许多重要的应用平台和数据，由于办公使用人员的防范意识普遍偏低，防毒措施往往不到位，一旦发生病毒感染，往往扩散到全网络，令网络陷于瘫痪状态，工作无法进行。故通过终端管理系统中的病毒和恶意代码查杀模块，对单位内部网络进行统一管理、统一查杀。

由于对终端准入没有做限制，访客PC 或外来终端设备可以轻易的接入企业内网获取企业内部信息，尤其在当今网络无边界的趋势之下，通过私设无线路由，手机、Pad、USB 无线网卡等移动终端也可以轻松的接入企业内网。故通过部署终端管理系统中的安全外联管控模块来对内部网络中的非法内外联进行限制，对不允许接入互联网的、不允许接入内部网络的严格进行限制。

单位的网络资产较多、较乱，没有进行统一管理，某些设备很容易就被遗忘，对于庞大的资产，仅有的技术人员很难做到管理到位，且所有的系统也没有及时进行漏洞扫描、升级补丁。针对此，通过部署了终端管理中的资产管理模块和漏洞管理模块，对整个系统进行统一管理，自动扫描系统中的所有资产信息，分类管理，定期扫描整个系统中设备的漏洞，及时修补补丁。

4.5 安全运维管理

定期对应用系统进行漏洞扫描、渗透测试工作，对漏扫、渗透测试中发现的安全问题进行及时整改，确保信息系统的安全性。

定期修订评估信息系统应急演练文档，并对系统相关的人员进行应急预案培训，应急预案的培训应至少每半年举办一次。定期开展信息系统等级测评工作，每年邀请第三方公司进行一次全网的等级测评，对测评中发现的安全问题进行及时整改，使得信息系统能完全达到安全保护能力要求。

5.云系统安全加固中的管理设计

5.1 安全管理制度

在制度方面，南通日报社根据安全管理制度的基本要求，修订了一系列的管理规定、办法。制定严格的网络运行与维护制度，如：重要网络设备放置在主机房内，由网络管理员负责管理。网络管理员实时监测系统的运行情况，检查登录日志。严禁任何人将未经技术保障部许可的计算机及通信设备接入网络。

5.2 安全管理机构

根据要求成立了相应的管理机构，设立了各个岗位，明确了各个岗位的管理人员，包括有安全管理员、网络管理员和系统管理员等，成立了领导小组，负责制订所有岗位的工作章程、工作分工，在管理机构的管理下，有序地开展工作。

5.3 安全管理人员

成立了信息安全领导小组，主要负责整个信息系统的安全管理工作。领导小组的组长由社长担任，安全主管由分管技术保障部的领导担任，安全管理员由技术保障部的主任担任，网络管理员和系统管理员由核心的技术人员担任，设备和机房管理员由单位技术人员担任，各司其职、分工合作。

5.4 安全建设管理

根据等级保护的要求，南通日报社制定了安全建设管理方面的制度，包括有系统安全方案设计、系统安全等级的定级，测评、软件开发的方案实施与验收、系统完备后的验收与交付。从系统项目的前期一直到最后，从开始的设计、定级，到最后的验收、交付都按照安全建设管理的制度有条不紊的进行。

5.5 安全运维管理

对管理员来说，信息系统的日常维护管理是个繁杂的工作，涉及方方面面的设备与资产，按照等保标准要求，制定出管理制度且利用安全管理中心对所有系统进行有序的管理、维护工作。统一管理的对象有网络设备的管理、PC 与服务器的管理、数据备份与恢复的管理、入侵与恶意代码防范的管理、应急预案的管理等。

结语

云计算的运用是当今时代的前沿技术，在使用云计算业务的同时，南通报业传媒集团进行了一次全方位、大面积的信息系统安全建设，在各个方面都进行了安全加固，从前期基础建设的思考，到安全设计方案、再到管理措施及人员安全培训等[8]，进行了一系列的措施。随着《网络安全法》的颁布和等级化保护2.0 标准的实施，云安全建设也被越来越关注，针对信息系统的安全也越来越高，南通日报社的两个三级系统，更应该按照等保2.0 的标准，严格执行网络安全的要求，保护好公有云业务系统和私有云业务系统，作为重要的媒体单位，网络安全的建设刻不容缓！