云计算下的报业网络安全一体化平台

近年来，大众报业集团推进以新媒体为重点的深度融合发展，构建全媒网络一体化运行体系成为不可或缺的一环，同时，信息系统的网络硬件架构有了质的变化，面临着复杂的网络安全风险。为适应网络安全新形势的需要，2019年国家标准化管理委员会了新修订的《信息安全技术网络安全等级保护基本要求》，这标志着等级保护2.0时代真正来临。新标准更加注重全方位主动防御、动态防御、整体防控和精准防护，实现了对云计算、大数据、物联网和移动互联系统等保护对象全覆盖。

报业集团网络的现状和问题

目前大众报业集团存在四个相对独立的数据中心，分别由大众日报、山东省互联网传媒集团（简称“网媒集团”）、齐鲁传媒、半岛传媒管理，这些数据中心均配备相关的网络、计算、存储等设施和资源，也各自具有独立的网络安全系统。其中在济南总部大众传媒大厦机房有分别由大众日报、网媒集团、齐鲁传媒管理的三个数据中心，各自接入互联网专线，配备不同型号的网络及网络安全设备，承载运行不同的应用系统。大众报业集团各数据中心内部已通过VmvareESXi技术实现服务器虚拟化，解决了各数据中心内部所谓“烟囱式”的配置模式，即每个业务部门、每种业务应用都配置专门的硬件设备，而非一整套管理信息系统解决方案。ESXi体系在结构上去除了基于Linux的服务控制台，在安全、部署和配置以及日常管理等虚拟化管理方面进行了改进。ESXi可直接在服务器上安装，不需要其他操作系统支持，能够充分发挥硬件性能，同时虚拟机也不会受到操作系统的影响①。

1.项目重复建设问题

大众报业集团建有四个相对独立的数据中心，导致集团每年在专线费、设备新购和运维、信息系统研发中存在大量的重复建设，造成了人财物的资源浪费，使得资金分散，资本集中度较低，难以实现规模化聚力和集约化建设。

2.设备和数据资源共享困难

因历史原因，条线式业务系统在建设过程中，技术路线不统一，各业务应用、数据分散式存储在各部门、单位，因网络系统本身的天然隔绝导致技术层面很难进行高效整合，集团部分数据中心计算、存储资源紧张，部分数据中心计算、存储资源有富裕，但无法进行调配使用，设备和数据资源相互之间不能完全共享。

3.工作难以协同

网络结构体系独立、分散，各单位的技术部门各自为战，导致业务系统和项目小型化、分散化。同时因各自应用的互联网技术、开发平台和工具不统一，工作难以协同，人力的集约效应、工作效能不能充分发挥。同时，大众报业集团各数据中心的部分网络安全设备进入老化期，需要进行更新换代，整体网络安全设施配备不全，需要购买补充。按照等保2.0标准，满足三级等保要求，必须增购配置日志审计、数据库审计、堡垒机、漏洞扫描等设备。因此，以更新网络安全设备为契机，实施集团网络安全一体化平台建设，可以对集团网络信息资源有计划、分步骤地进行有效整合。

报业网络安全一体化平台设计与实现

1.报业网络安全一体化平台规划和设计

大众报业集团四个数据中心为500多个信息业务系统提供技术支撑环境，其中包括集团融媒体“中央厨房”、大众日报客户端、大众网及海报新闻客户端、齐鲁晚报网及齐鲁壹点客户端、半岛网及半岛新闻客户端等集团关键新媒体业务系统。这些关键新媒体业务系统经过等保测评，定级为三级等保系统。集团进行网络安全一体化平台整合建设时，不能中断这些关键业务系统。以业务系统数量最多、关键信息基础设施较为完善的网媒集团数据中心为基础，替换掉老化的防火墙设备和VPN设备，增购配置日志审计、数据库审计、堡垒机、漏洞扫描等设备，建成满足等保2.0标准三级防护水平的数据中心。重复利用大众日报和齐鲁传媒数据中心的计算和存储资源，利用服务器接入交换机，连接到网媒集团数据中心，建成大众报业集团网络安全一体化平台。

2.报业网络安全一体化平台实施方案

(1)核心交换机CSS技术配置。CSS称为集群交换机系统，是华为公司开发的堆叠技术，应用于网络交换机中，虚拟化实现方式为在两台交换机主控板位置插入堆叠卡，按一定规则顺序连接堆叠卡；启动堆叠竞争规则系统，其中一台为堆叠主设备，另一台为堆叠备设备，堆叠主设备主用控制板称为CSS的系统主，堆叠备设备的主用主控板称为CSS的系统备，在系统主和系统备之间进行主从备份处理，堆叠主和堆叠备的备用主控板则作为CSS候选系统备②③。在中心机房部署2台华为CE12812核心交换机，采用CSS技术（集群）将2台CE12812交换机虚拟成一台逻辑设备，CE12812物理系统承载网络安全一体化平台业务系统。服务器接入交换机使用S5700堆叠配置，通过万兆多模光纤双线上联到2台核心交换机，并做链路聚合，等同于两万兆带宽上联至核心交换机。将设备堆叠组中不同设备中的物理接口聚合到一个逻辑接口中。当堆叠设备中某台设备发生故障，或加入链路聚合接口中的物理成员接口故障，可通过堆叠设备间线缆跨设备传输数据流量，从而保证数据流量的可靠传输，同时也实现了数据流量在不同链路上的负载分担。接入交换机为二层部署，所有网关全部终结在核心交换机（CE12812）上。(2)服务器配置多网卡架构。大众日报和齐鲁传媒数据中心的每台物理主机均配置4块以上千兆网卡，网卡全部配置为全双工模式，绑定物理网卡1端口和2端口，用于大众日报或齐鲁传媒数据中心的生产网络，每台物理主机光纤网卡接入光纤交换机，和存储设备连接起来，原结构软硬件不用做任何调整，绑定空闲的物理主机网卡3和4端口，通过服务器接入交换机连入网媒集团数据中心，物理主机网卡1和2端口属于大众日报或齐鲁传媒数据中心网络区域，物理主机网卡3和端口属于网媒集团数据中心网络区域；通过双网卡的绑定，可实现一组网卡之间的相互冗余备份，并提高虚拟机网卡吞吐量以及网络访问的稳定性。通过此网络架构改造，打通了大众日报、齐鲁传媒和网媒集团三个数据中心，为大众日报和齐鲁传媒数据中心的应用系统平滑迁移到网媒集团数据中心打下基础。复制大众日报和齐鲁传媒数据中心业务系统虚拟机，此虚拟机关联到物理主机网卡3和4端口，加入网媒集团数据中心网络区域。

这样，在网媒集团数据中心里，建立了大众日报和齐鲁传媒数据中心所有业务系统的备份系统，在合适的条件下，切换备用系统为主生产系统。(3)堡垒机。报业网络安全一体化平台内部署了关键业务系统、重要数据、服务器、网络设备、数据库、安全设备等，软硬件设施运维人员众多，而且分散在大众报业集团下不同的部门和单位，特别是很多系统的维护还需要借助厂家工程师、系统建设集成商等多种角色的技术人员参与系统与支持④。为了软硬件安全可靠运行，降低人为安全风险，避免安全损失，在网络安全一体化平台内配置了一台堡垒机。堡垒机逻辑上位于主机和网络设备的前面，采用协议的方式，接管了终端计算机对主机和网络设备的访问，运维安全审计堡垒机能够拦截非法访问和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为，并对内部人员误操作和非法操作进行审计监控，以便事后责任追踪。(4)数据库审计系统。数据库审计系统是对用户访问数据库操作行为进行细粒度分析和审计的安全系统，它可提供实时监控、违规响应、历史行为回溯等操作分析功能，可详细完整记录数据库的访问行为，识别越权等违规操作，并可追踪溯源，为数据库安全管理及性能优化提供决策依据。数据库审计系统部署在核心交换机上，通过设置端口镜像，将数据库的流量镜像到数据库审计系统，实现数据库系统的操作审计。(5)Web应用防火墙。Web应用防火墙专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。网络安全一体化平台配置安恒明御Web应用防火墙，串接在防火墙和核心交换机之间，启用光纤旁路功能，即当Web应用防火墙硬件出现故障时，网络流量直接物理导通，不进入Web应用防火墙。（6）灾备系统方案。优化报业集团关键业务应用系统的备份策略，实现“2+1”模式部署，即在本地私有云上部署2套应用系统，同时租用阿里云或华为云等公有云网络资源，在其上再部署一套应用系统，确保极端情况下关键业务应用系统的连续性、安全性。

结语

网络安全等级保护2.0对等级保护1.0进行了发展与完善，能够为网络安全防护工作的实施提供有效的指导。报业集团在网络安全一体化平台建设过程中，按照网络安全等级保护2.0标准，利用服务器多网卡架构，增购配置日志审计、数据库审计、堡垒机、漏洞扫描等网络安全设备，建成报业集团网络安全一体化平台，在深度融合背景下为传媒集团在多数据中心整合建设、网络安全防护能力建设方面提供了可以借鉴的思路。

作者：鞠传森 向小平 单位：大众报业集团