◆马翔 沈曙 丁旭东
“数智传媒”融媒云的网络安全规划
◆马翔 沈曙 丁旭东
(浙江省湖州市新闻传媒中心 浙江 313000)
融媒体是时代发展的产物,其能够将纸质媒体与新媒体等媒体进行全面整合,将各媒体的优劣进行整合处理,让各类资源以及内容能够相互补充相互兼容。在当下的社会环境中,融媒体相较于传统的媒体形式更具影响力,传播范围也更广。在当下融媒体的发展趋势下,融媒云成了媒体宣传的重要一环,而其网络安全,就成了该种媒体形式发展的前提条件。本文以当下的融媒体背景下“数智传媒”融媒云的网络安全规划进行深入探讨,供相关读者参考。
“数智传媒”;融媒云;网络安全规划
湖州市新闻传媒中心为认真贯彻落实中央关于加快推进媒体深度融合发展的部署要求,积极探索以数字化改革赋能市级主流媒体融合创新模式,打造全省领先、全国有影响力的区域龙头新型主流媒体,经过两年持续发展目前业务架构逐步成型,已建设了以私有云为基础、阿里云、天翼云为辅助的混合云架构,业务涵盖报纸、杂志、广播、电视、网站、手机移动端、政务服务,初步建成“新闻+新政务、新服务、新商务”为核心新型传播平台。而网络安全工作是信息化建设中最重要的一环,在此以“数智传媒”的安全规划为例做简要介绍。
“数智传媒”融媒云结合私有云、阿里云和电信天翼云,采用主流混合云技术架构,为实现聚焦“突出4个升级、打造4个平台、构建4个体系”、建设高效的一体化内容生产体系和全媒体传播体系的目标,采取“移动优先、用户优先、数据优先”的理念来打造具有流程智能化、媒资管理数字化的新闻生产传播平台,推动中心数字化改革建设工作的同时实现与各部门协同、流程再造的模式。目前已承载了中心南太湖号新闻APP、南太湖智能采编系统、中心OA流程系统、财务流程系统、96345服务平台、指尖饭卡、手机商城等业务系统,汇聚了中心纸媒、广播电视、网站、新闻客户端等综合应用数据。
在“数智传媒”融媒云中多个不同的业务系统运行于不同的虚拟化环境[1]。在融媒云中不按私有云或公有云机房环境区分,而是按业务逻辑的不同划分不同的安全域,不同安全域设置不同访问控制策略,限制非法的访问,控制信息流向。在融媒云的网络层还规划了南北向和东西向流量安全模型,云平台与互联网之间部署南北向边界防火墙和应用防火墙(WAF)、入侵检测/入侵防御设备,发现和防护从外部而来的各种攻击。不同安全域之间则以东西向防火墙精细控制内部信息与数据的流向,逻辑隔离不同业务区域和不同租户之间的数据,最大程度减小安全事故发生时的危害范围。以该种形式,进一步加强对用户信息的保护,降低个人私人信息泄露的可能,为人们提供一个更为安全的浏览环境以及网络环境。并且经由该种形式,也能够更为清晰地划分所有形式的访问行为,减少安全事故所引发的信息泄露问题。
“数智传媒”融媒云面临的安全状况与传统云平台不同。中心通过一体化内容生产体系打通中心内部各部门、各媒体间稿库数据,利用AI能力与大数据分析实现智慧创作,在各业务系统平台之间逐步实现统一身份认证和单点登录能力,实现内部稿件的完全流转,成品数据的自动入库[2]。“数智传媒”融媒云平台还接入了新的智慧业务运营场景:如南太湖号APP中打通用户数据接入了指类饭卡应用(在线消费类)、手机商城系统、老北街直播秀场、少儿短视频大赛等新玩法,新建了MCN生产系统,集自助注册、身份认证、投稿报料、取用追踪、数据统计等于一体,助力构建多渠道网络的UGC/PGC内容生态,为内容生态圈品牌沉淀和后续管理运营打好前置基础。
由于在新应用场景的部署与使用过程中往往优先注重于应用所提供的服务内容、服务质量,而容易忽略应用本身的安全性。针对融媒云业务数据横向打通的现状内部建设了多级安全防御体系:第一级防御系统是基于主机对于网络环境的检测,通过对信息内容来判断数据的来源和安全性,将检测到的信息进行分类,以此来提高用户的信息安全性;第二级防御系统则针对融媒中执行未知文件的分析与检测,通过部署的轻杀毒代理来对环境中用户的操作进行安全防御,以免未知文件中藏有病毒或者其他程序,破坏用户信息数据;第三级防御系统则是指云端程序动态分析系统,通过对各类用户行为的AI分析提供安全阻断的防御功能,有效地保障用户的信息安全,确保融媒云的稳定与可靠。通过该种方式,来分析所有的用户行为,一方面能够保障用户在自身权限范围内完成信息提取活动,另一方面,能够减少恶意访问行为,杜绝各类恶意访问行为进入到整个系统当中。以该种形式,来进一步保障信息的安全性。并通过多级安全防御体系的方式,层层递进的提高信息安全性,减少信息数据泄露的可能,并做好对各类恶意攻击的有效防护。
近年来传统的病毒、木马等以恶意代码为主的攻击方式正在逐步被APT、协同攻击等基于行为的攻击方式所取代[3]。虽然“数智传媒”融媒云目前已经构建了以边界防御为主、兼顾纵深防护的云安全防护体系,但在新应用快速上线,攻击手段日新的现状下,逐步增加“零信任”安全模式作为边界信任安全模式的补充势在必行。只有做好对各类攻击模式的应对措施,方能进一步减少被恶意攻击的可能性,进一步提高网络信息的安全性。零信任安全网络架构在一个简单的以及众所周知的前提之上,也就是在相关系统以及防火墙运行的过程中,对任何网络内部以及外部的访问行为、设备命令以及系统命令等持以不信任的态度,同时也包括了对传统网络边界保护的不信任。零信任并非是一种对安全系统的全面颠覆,其主要理念以及原则是自网络安全领域诞生以来就已经存在已久的公认原则。其分别为最小特权原则、需要指导原则以及深层防御原则。根据以上原则,零信任网络安全构架能够确保所有资源处于安全状态下,能够被安全访问,并且其访问活动的局限性更低;在访问的过程中,能够实时记录与检查其访问流程所占用的流量;并在整个访问活动中,强制执行最小特权原则,用户只能在自己的权限范围内完成相关信息的读取以及存储。
对于运行于“数智传媒”融媒云中的应用来说,传统的网络安全边界已日渐模糊,单纯在网络边界上进行隔离,对于网络内部运行的资产、用户无条件信任已不符合安全要求。当前“数智传媒”融媒云已开始建立统一身份认证体系,针对新对接进入融媒云的应用不再以信息系统所在工作区域、网络位置做为判别是否可信的决定因素,以SDP架构进行安全设计,假设应用系统一直工作在非信任的网络环境,只有通过了统一身份系统的认证和授权才能最终获取合法运行权限。当然在“数智传媒”的融媒云平台中“零信任”的运用还只是刚刚起步,但相信随着智媒云平台中新应用的越来越多,“零信任”+边界信任的模式将会成融媒云安全模型中的主流。通过零信任安全系统构架,能够进一步减少供给面,并且保护拥有相关权限的用户正常访问相关信息,减少相关数据在访问的过程中,出现数据泄露以及丢失等恶劣事件,并且能够拒绝各类未授权的访问活动,在数据安全方面,具备较高的应用价值。零信任可以通过云服务的方式交互,同时,也可以通过独立方案的方式,交付给相应的用户。
“数智传媒”融媒云平台中数据安全非常重要[4]。传统新闻单位以往的工作模式下各个部门都是以单独部门、系统为单位进行工作,业务相互之间隔断、资源独立,无法有效资源共享。在“数智传媒”中改变了传统纵向融合的方式,采用横向打通,数据由点汇聚成面,实现全域融合。但也正是因为各平台融合更加彻底,形成了个人、部门、系统、业务甚至跨业务的全形态数字资产管理,在项目二期建设中还规划了通过数据中台标准化协议开放了其基础设施层、能力层、数据层在内的全部数据及服务能力,今后海量的数据信息将会逐步汇聚于“数智传媒”融媒云,一旦发生数据泄露,安全威胁非常大。
为了确保中心“数智传媒”融媒云的信息数据的安全性、可用性和可控性,增强媒体云抵御数据安全风险的能力,针对“数智传媒”融媒云可能发生的数据泄露风险、隔离失效的风险,融媒云以数据泄露风险为基准全面进行数据风险管控,部署入侵防护/网络探针系统,初步具备发现可疑/非法网络行为、自动报警、拦截防护、提供云端技术指导等AI安全能力,为整个平台提供敏感数据泄露的安全防护能力。同时融媒云数据在传输过程中经过了完整数据加密,网络设计了架构冗余,数据可以多份备份,确保云平台上的各种用户数据的隐私不被泄露,业务信息系统的数据安全不丢失。
安全管理是整个中心融媒云安全体系中非常重要的部分,在当前大数据云计算背景之下,安全管理形势愈发复杂[5]。湖州市新闻传媒中心在成立了“数智传媒”建设工作领导小组,由中心领导负责安全建设的日常统筹协调工作。同时成立工作专班组发挥牵头作用,明确责任、统一指挥、设立制度、细化管理,统筹落实相关安全工作责任,强化工作协作推进,切实形成工作合力。其次成立专职的安全技术部门具体负责日常安全运维工作,设立具备专业安全资质的安全技术岗协调各安全厂家工作。最后通过大数据的手段让“数智传媒”融媒云中诸多网络、安全设备、云安全产品接入到U-Center系统,从而让过去的单一性安全事件具有了整体性和关联性。
网络安全工作是融媒云建设工作的重要一环,“数智传媒”融媒云以等保三级相关标准为依据构建整体安全方案,设计了立体化、纵深化的网络安全防御体系,确保了承载湖州市新闻传媒中心一体化内容生产体系、全媒体传播体系、大数据运用体系和全方位的服务体系的安全能力,为实现湖州市新闻传媒中心全流程智能协同、全业务智慧运营、全领域智库服务,为大数据时代下的媒体数字化转型保驾护航。
[1]姚育翠,胡宝胜.县级融媒体中心信息安全体系建设实践[J].广播电视信息,2020(04):61-63.
[2]张春剑,刘艳.市级融媒体中心建设的路径探析——以廊坊广播电视台为例[J].广播电视信息,2020(04):25-27+35.