论文部分内容阅读
【摘要】云计算在广电行业逐步推广和应用,从传统业务信息系统到云计算环境的转变过程中网络安全问题也逐步显现。2019年国家修订了等级保护标准,如何在新的等级保护体系下保障广电私有云平台的安全成为广电网络安全关注的问题。本文以天津广播电视台综合节目制作云平台为案例,分析探讨等保2.0对云计算安全扩展要求的技术部分,旨在为广电私有云安全项目建设提供设计思路。
【关键词】广电行业;等级保护;媒体安全
本文以天津广播电视台综合节目制作云平台为案例,分析探讨等保2.0对云计算安全扩展要求的技术部分,旨在为广电私有云安全项目建设提供设计思路。
1. 等级保护的变化
等级保护2.0(《GB/T 22239-2019》)相较于等级保护1.0(《GB/T22239-2008》),对云计算、物联网、移动互联网、工业控制、大数据新技术提出新的安全扩展要求。主要变化如下:
等级保护对象由原来的信息系统调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。
将原来各级别的安全要求分为安全通用要求和安全扩展要求,安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出的特殊要求称为安全扩展要求。
安全控制的框架结构由原有的十个层面变成八个层面,分别是安全技术涉及的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全,如下图1所示:
2. 天津广播电视台综合节目制作云平台的技术架构
天津广播电视台综合节目制作云平台包含按照广电总局《电视台融合媒体平台建设技术白皮书》的要求,设计采用IaaS、PaaS、SaaS三层云平台结构,构建基于全媒体融合生产的节目生产、管理体系。系统包含综合制作业务、全台收录业务以及全台媒资(内容库)业务,全方位为业务发展提供技术支撑,提供多种内容产品形态的生产工具。该平台对数据中心资源进行高效集中统一管理,充分利用云平台的灵活性、动态性保证内容的安全、可靠、稳定。云平台由高密度刀片服务器+VMware虚拟化平台+云平台管理系统组成,实现计算资源、存储资源、网络资源的统一调度和管理,满足业务弹性、敏捷的需求。(见图2)
3.私有云平台分层面保护思路
私有云平台与传统信息系统的保护对象既有相同的部分,又有基于云计算演化而来的部分,增加了虚拟化技术,并且云平台具有资源池化、按需划分、弹性调配、高可靠性特点,因此面临传统安全威胁的同时在云计算环境下一些安全风险逐步暴露。下面以天津广播电视台综合节目制作云平台为切入点,讨论等保2.0体系下云平台的技术安全防护。云平台及租户业务系统保护对象与传统信息系统保护对象对比如图3所示。
3.1 物理和环境安全
包括IT机房硬件设备及风、暖、水、电等环境设施,机房门禁设施,防火、防水、防雷、防潮、防静电等设施。还要考虑机房的电力供应问题,配备UPS的情况。涉及物理和环境安全防护主要是机房和环境的人工巡检监控,设备的供电及机房的温湿度自动监控,一旦湿度和温度出现异常,通过报警方式呈现。
3.2 网络和通信安全
虚拟化平台通过定义安全域,配置VMware防火墙(vDFW)实现租户边界和VM边界的访问控制。部署入侵防御设备检测记录并阻断租户的网络攻击,对有害信息进行实时监测和报警。综合节目制作云平台采用旁路检测方案处理网络的攻击行为,对虚拟化流量进行IDS检测。根据责任划分收集审计数据,提供接口实现集中审计。配置专用的主机用于存储审计数据,严格的访问控制策略来完成对审计数据的真实性和完整性保护。配置syslog日志采集服务器,数据存储于单独的存储,保证180天日志存储时间。
3.3 设备和计算安全
包括网络设备、安全设备、虚拟网络设备、虚拟安全设备、物理机、宿主机、虚拟机、虚拟机监视器、云管平台、数据库管理系统、终端、存储等。等保体系在身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、镜像和快照保护方面有特殊的安全要求。要求管理终端和云平台边界设备之间、网络策略控制器和网络设备之间建立双向身份验证机制。在管理资源的配置上实现云管平台统一调度,我台采用h3c云管平台实现网络资源的安全管理。
3.4 应用和数据安全
应用系统运行状况的监控除了PaaS层集成的云平台监控工具集,使用开源的端口监控软件监控重要应用服务端口状况,Zabbix监控资源占用异常情况。VMware的vMotion通过多步传输保证数據迁移过程中的瞬时状态同步,MD5校验保证数据完整性。对于定制系统配置文件以及软件配置信息的备份也十分重要,不仅要根据数据备份计划定期备份数据,还要定期对备份数据进行完整性、可用性验证。
4. 结束语
通过等保2.0对于云计算扩展要求技术部分的梳理,希望能够给规划建设融合媒体云平台的决策者有一定启示。网络安全保护体系的建立应该早规划、早建设,媒体融合生产云平台的安全不仅依托于技术体系的保障,更应注重管理的部分。俗话说三分技术、七分管理,如何将已有技术防御的部分和管理方法有机统一,将影响整个防御体系的安全。所以依靠健全、严格的安全技术保障体系和安全管理保障体系才能保证广电云平台的安全建设和运行。
参考文献:
[1]李婉红.天津广播电视台综合云平台的设计构思与建设[J].天津科技,2018(6):72-75.
[2]张振峰,张志文,王睿超.网络安全等级保护2.0云计算安全合规能力模型[J].信息网络安全,2019,19(11):1-7.
作者简介:蒙和龙,天津,职称:中级工程师,研究方向:广播电视技术、网络安全、融合媒体新技术.
【关键词】广电行业;等级保护;媒体安全
本文以天津广播电视台综合节目制作云平台为案例,分析探讨等保2.0对云计算安全扩展要求的技术部分,旨在为广电私有云安全项目建设提供设计思路。
1. 等级保护的变化
等级保护2.0(《GB/T 22239-2019》)相较于等级保护1.0(《GB/T22239-2008》),对云计算、物联网、移动互联网、工业控制、大数据新技术提出新的安全扩展要求。主要变化如下:
等级保护对象由原来的信息系统调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。
将原来各级别的安全要求分为安全通用要求和安全扩展要求,安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出的特殊要求称为安全扩展要求。
安全控制的框架结构由原有的十个层面变成八个层面,分别是安全技术涉及的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全,如下图1所示:
2. 天津广播电视台综合节目制作云平台的技术架构
天津广播电视台综合节目制作云平台包含按照广电总局《电视台融合媒体平台建设技术白皮书》的要求,设计采用IaaS、PaaS、SaaS三层云平台结构,构建基于全媒体融合生产的节目生产、管理体系。系统包含综合制作业务、全台收录业务以及全台媒资(内容库)业务,全方位为业务发展提供技术支撑,提供多种内容产品形态的生产工具。该平台对数据中心资源进行高效集中统一管理,充分利用云平台的灵活性、动态性保证内容的安全、可靠、稳定。云平台由高密度刀片服务器+VMware虚拟化平台+云平台管理系统组成,实现计算资源、存储资源、网络资源的统一调度和管理,满足业务弹性、敏捷的需求。(见图2)
3.私有云平台分层面保护思路
私有云平台与传统信息系统的保护对象既有相同的部分,又有基于云计算演化而来的部分,增加了虚拟化技术,并且云平台具有资源池化、按需划分、弹性调配、高可靠性特点,因此面临传统安全威胁的同时在云计算环境下一些安全风险逐步暴露。下面以天津广播电视台综合节目制作云平台为切入点,讨论等保2.0体系下云平台的技术安全防护。云平台及租户业务系统保护对象与传统信息系统保护对象对比如图3所示。
3.1 物理和环境安全
包括IT机房硬件设备及风、暖、水、电等环境设施,机房门禁设施,防火、防水、防雷、防潮、防静电等设施。还要考虑机房的电力供应问题,配备UPS的情况。涉及物理和环境安全防护主要是机房和环境的人工巡检监控,设备的供电及机房的温湿度自动监控,一旦湿度和温度出现异常,通过报警方式呈现。
3.2 网络和通信安全
虚拟化平台通过定义安全域,配置VMware防火墙(vDFW)实现租户边界和VM边界的访问控制。部署入侵防御设备检测记录并阻断租户的网络攻击,对有害信息进行实时监测和报警。综合节目制作云平台采用旁路检测方案处理网络的攻击行为,对虚拟化流量进行IDS检测。根据责任划分收集审计数据,提供接口实现集中审计。配置专用的主机用于存储审计数据,严格的访问控制策略来完成对审计数据的真实性和完整性保护。配置syslog日志采集服务器,数据存储于单独的存储,保证180天日志存储时间。
3.3 设备和计算安全
包括网络设备、安全设备、虚拟网络设备、虚拟安全设备、物理机、宿主机、虚拟机、虚拟机监视器、云管平台、数据库管理系统、终端、存储等。等保体系在身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、镜像和快照保护方面有特殊的安全要求。要求管理终端和云平台边界设备之间、网络策略控制器和网络设备之间建立双向身份验证机制。在管理资源的配置上实现云管平台统一调度,我台采用h3c云管平台实现网络资源的安全管理。
3.4 应用和数据安全
应用系统运行状况的监控除了PaaS层集成的云平台监控工具集,使用开源的端口监控软件监控重要应用服务端口状况,Zabbix监控资源占用异常情况。VMware的vMotion通过多步传输保证数據迁移过程中的瞬时状态同步,MD5校验保证数据完整性。对于定制系统配置文件以及软件配置信息的备份也十分重要,不仅要根据数据备份计划定期备份数据,还要定期对备份数据进行完整性、可用性验证。
4. 结束语
通过等保2.0对于云计算扩展要求技术部分的梳理,希望能够给规划建设融合媒体云平台的决策者有一定启示。网络安全保护体系的建立应该早规划、早建设,媒体融合生产云平台的安全不仅依托于技术体系的保障,更应注重管理的部分。俗话说三分技术、七分管理,如何将已有技术防御的部分和管理方法有机统一,将影响整个防御体系的安全。所以依靠健全、严格的安全技术保障体系和安全管理保障体系才能保证广电云平台的安全建设和运行。
参考文献:
[1]李婉红.天津广播电视台综合云平台的设计构思与建设[J].天津科技,2018(6):72-75.
[2]张振峰,张志文,王睿超.网络安全等级保护2.0云计算安全合规能力模型[J].信息网络安全,2019,19(11):1-7.
作者简介:蒙和龙,天津,职称:中级工程师,研究方向:广播电视技术、网络安全、融合媒体新技术.