前言：想要寫出一篇引人入勝的文章？我們特意為您整理了云計算下的報業(yè)網(wǎng)絡安全一體化平臺范文，希望能給你帶來靈感和參考，敬請閱讀。

近年來，大眾報業(yè)集團推進以新媒體為重點的深度融合發(fā)展，構(gòu)建全媒網(wǎng)絡一體化運行體系成為不可或缺的一環(huán)，同時，信息系統(tǒng)的網(wǎng)絡硬件架構(gòu)有了質(zhì)的變化，面臨著復雜的網(wǎng)絡安全風險。為適應網(wǎng)絡安全新形勢的需要，2019年國家標準化管理委員會了新修訂的《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》，這標志著等級保護2.0時代真正來臨。新標準更加注重全方位主動防御、動態(tài)防御、整體防控和精準防護，實現(xiàn)了對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和移動互聯(lián)系統(tǒng)等保護對象全覆蓋。

報業(yè)集團網(wǎng)絡的現(xiàn)狀和問題

目前大眾報業(yè)集團存在四個相對獨立的數(shù)據(jù)中心，分別由大眾日報、山東省互聯(lián)網(wǎng)傳媒集團（簡稱“網(wǎng)媒集團”）、齊魯傳媒、半島傳媒管理，這些數(shù)據(jù)中心均配備相關(guān)的網(wǎng)絡、計算、存儲等設施和資源，也各自具有獨立的網(wǎng)絡安全系統(tǒng)。其中在濟南總部大眾傳媒大廈機房有分別由大眾日報、網(wǎng)媒集團、齊魯傳媒管理的三個數(shù)據(jù)中心，各自接入互聯(lián)網(wǎng)專線，配備不同型號的網(wǎng)絡及網(wǎng)絡安全設備，承載運行不同的應用系統(tǒng)。大眾報業(yè)集團各數(shù)據(jù)中心內(nèi)部已通過VmvareESXi技術(shù)實現(xiàn)服務器虛擬化，解決了各數(shù)據(jù)中心內(nèi)部所謂“煙囪式”的配置模式，即每個業(yè)務部門、每種業(yè)務應用都配置專門的硬件設備，而非一整套管理信息系統(tǒng)解決方案。ESXi體系在結(jié)構(gòu)上去除了基于Linux的服務控制臺，在安全、部署和配置以及日常管理等虛擬化管理方面進行了改進。ESXi可直接在服務器上安裝，不需要其他操作系統(tǒng)支持，能夠充分發(fā)揮硬件性能，同時虛擬機也不會受到操作系統(tǒng)的影響①。

1.項目重復建設問題

大眾報業(yè)集團建有四個相對獨立的數(shù)據(jù)中心，導致集團每年在專線費、設備新購和運維、信息系統(tǒng)研發(fā)中存在大量的重復建設，造成了人財物的資源浪費，使得資金分散，資本集中度較低，難以實現(xiàn)規(guī)?；哿图s化建設。

2.設備和數(shù)據(jù)資源共享困難

因歷史原因，條線式業(yè)務系統(tǒng)在建設過程中，技術(shù)路線不統(tǒng)一，各業(yè)務應用、數(shù)據(jù)分散式存儲在各部門、單位，因網(wǎng)絡系統(tǒng)本身的天然隔絕導致技術(shù)層面很難進行高效整合，集團部分數(shù)據(jù)中心計算、存儲資源緊張，部分數(shù)據(jù)中心計算、存儲資源有富裕，但無法進行調(diào)配使用，設備和數(shù)據(jù)資源相互之間不能完全共享。

3.工作難以協(xié)同

網(wǎng)絡結(jié)構(gòu)體系獨立、分散，各單位的技術(shù)部門各自為戰(zhàn)，導致業(yè)務系統(tǒng)和項目小型化、分散化。同時因各自應用的互聯(lián)網(wǎng)技術(shù)、開發(fā)平臺和工具不統(tǒng)一，工作難以協(xié)同，人力的集約效應、工作效能不能充分發(fā)揮。同時，大眾報業(yè)集團各數(shù)據(jù)中心的部分網(wǎng)絡安全設備進入老化期，需要進行更新?lián)Q代，整體網(wǎng)絡安全設施配備不全，需要購買補充。按照等保2.0標準，滿足三級等保要求，必須增購配置日志審計、數(shù)據(jù)庫審計、堡壘機、漏洞掃描等設備。因此，以更新網(wǎng)絡安全設備為契機，實施集團網(wǎng)絡安全一體化平臺建設，可以對集團網(wǎng)絡信息資源有計劃、分步驟地進行有效整合。

報業(yè)網(wǎng)絡安全一體化平臺設計與實現(xiàn)

1.報業(yè)網(wǎng)絡安全一體化平臺規(guī)劃和設計

大眾報業(yè)集團四個數(shù)據(jù)中心為500多個信息業(yè)務系統(tǒng)提供技術(shù)支撐環(huán)境，其中包括集團融媒體“中央廚房”、大眾日報客戶端、大眾網(wǎng)及海報新聞客戶端、齊魯晚報網(wǎng)及齊魯壹點客戶端、半島網(wǎng)及半島新聞客戶端等集團關(guān)鍵新媒體業(yè)務系統(tǒng)。這些關(guān)鍵新媒體業(yè)務系統(tǒng)經(jīng)過等保測評，定級為三級等保系統(tǒng)。集團進行網(wǎng)絡安全一體化平臺整合建設時，不能中斷這些關(guān)鍵業(yè)務系統(tǒng)。以業(yè)務系統(tǒng)數(shù)量最多、關(guān)鍵信息基礎設施較為完善的網(wǎng)媒集團數(shù)據(jù)中心為基礎，替換掉老化的防火墻設備和VPN設備，增購配置日志審計、數(shù)據(jù)庫審計、堡壘機、漏洞掃描等設備，建成滿足等保2.0標準三級防護水平的數(shù)據(jù)中心。重復利用大眾日報和齊魯傳媒數(shù)據(jù)中心的計算和存儲資源，利用服務器接入交換機，連接到網(wǎng)媒集團數(shù)據(jù)中心，建成大眾報業(yè)集團網(wǎng)絡安全一體化平臺。

2.報業(yè)網(wǎng)絡安全一體化平臺實施方案

(1)核心交換機CSS技術(shù)配置。CSS稱為集群交換機系統(tǒng)，是華為公司開發(fā)的堆疊技術(shù)，應用于網(wǎng)絡交換機中，虛擬化實現(xiàn)方式為在兩臺交換機主控板位置插入堆疊卡，按一定規(guī)則順序連接堆疊卡；啟動堆疊競爭規(guī)則系統(tǒng)，其中一臺為堆疊主設備，另一臺為堆疊備設備，堆疊主設備主用控制板稱為CSS的系統(tǒng)主，堆疊備設備的主用主控板稱為CSS的系統(tǒng)備，在系統(tǒng)主和系統(tǒng)備之間進行主從備份處理，堆疊主和堆疊備的備用主控板則作為CSS候選系統(tǒng)備②③。在中心機房部署2臺華為CE12812核心交換機，采用CSS技術(shù)（集群）將2臺CE12812交換機虛擬成一臺邏輯設備，CE12812物理系統(tǒng)承載網(wǎng)絡安全一體化平臺業(yè)務系統(tǒng)。服務器接入交換機使用S5700堆疊配置，通過萬兆多模光纖雙線上聯(lián)到2臺核心交換機，并做鏈路聚合，等同于兩萬兆帶寬上聯(lián)至核心交換機。將設備堆疊組中不同設備中的物理接口聚合到一個邏輯接口中。當堆疊設備中某臺設備發(fā)生故障，或加入鏈路聚合接口中的物理成員接口故障，可通過堆疊設備間線纜跨設備傳輸數(shù)據(jù)流量，從而保證數(shù)據(jù)流量的可靠傳輸，同時也實現(xiàn)了數(shù)據(jù)流量在不同鏈路上的負載分擔。接入交換機為二層部署，所有網(wǎng)關(guān)全部終結(jié)在核心交換機（CE12812）上。(2)服務器配置多網(wǎng)卡架構(gòu)。大眾日報和齊魯傳媒數(shù)據(jù)中心的每臺物理主機均配置4塊以上千兆網(wǎng)卡，網(wǎng)卡全部配置為全雙工模式，綁定物理網(wǎng)卡1端口和2端口，用于大眾日報或齊魯傳媒數(shù)據(jù)中心的生產(chǎn)網(wǎng)絡，每臺物理主機光纖網(wǎng)卡接入光纖交換機，和存儲設備連接起來，原結(jié)構(gòu)軟硬件不用做任何調(diào)整，綁定空閑的物理主機網(wǎng)卡3和4端口，通過服務器接入交換機連入網(wǎng)媒集團數(shù)據(jù)中心，物理主機網(wǎng)卡1和2端口屬于大眾日報或齊魯傳媒數(shù)據(jù)中心網(wǎng)絡區(qū)域，物理主機網(wǎng)卡3和端口屬于網(wǎng)媒集團數(shù)據(jù)中心網(wǎng)絡區(qū)域；通過雙網(wǎng)卡的綁定，可實現(xiàn)一組網(wǎng)卡之間的相互冗余備份，并提高虛擬機網(wǎng)卡吞吐量以及網(wǎng)絡訪問的穩(wěn)定性。通過此網(wǎng)絡架構(gòu)改造，打通了大眾日報、齊魯傳媒和網(wǎng)媒集團三個數(shù)據(jù)中心，為大眾日報和齊魯傳媒數(shù)據(jù)中心的應用系統(tǒng)平滑遷移到網(wǎng)媒集團數(shù)據(jù)中心打下基礎。復制大眾日報和齊魯傳媒數(shù)據(jù)中心業(yè)務系統(tǒng)虛擬機，此虛擬機關(guān)聯(lián)到物理主機網(wǎng)卡3和4端口，加入網(wǎng)媒集團數(shù)據(jù)中心網(wǎng)絡區(qū)域。

這樣，在網(wǎng)媒集團數(shù)據(jù)中心里，建立了大眾日報和齊魯傳媒數(shù)據(jù)中心所有業(yè)務系統(tǒng)的備份系統(tǒng)，在合適的條件下，切換備用系統(tǒng)為主生產(chǎn)系統(tǒng)。(3)堡壘機。報業(yè)網(wǎng)絡安全一體化平臺內(nèi)部署了關(guān)鍵業(yè)務系統(tǒng)、重要數(shù)據(jù)、服務器、網(wǎng)絡設備、數(shù)據(jù)庫、安全設備等，軟硬件設施運維人員眾多，而且分散在大眾報業(yè)集團下不同的部門和單位，特別是很多系統(tǒng)的維護還需要借助廠家工程師、系統(tǒng)建設集成商等多種角色的技術(shù)人員參與系統(tǒng)與支持④。為了軟硬件安全可靠運行，降低人為安全風險，避免安全損失，在網(wǎng)絡安全一體化平臺內(nèi)配置了一臺堡壘機。堡壘機邏輯上位于主機和網(wǎng)絡設備的前面，采用協(xié)議的方式，接管了終端計算機對主機和網(wǎng)絡設備的訪問，運維安全審計堡壘機能夠攔截非法訪問和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標設備的非法訪問行為，并對內(nèi)部人員誤操作和非法操作進行審計監(jiān)控，以便事后責任追蹤。(4)數(shù)據(jù)庫審計系統(tǒng)。數(shù)據(jù)庫審計系統(tǒng)是對用戶訪問數(shù)據(jù)庫操作行為進行細粒度分析和審計的安全系統(tǒng)，它可提供實時監(jiān)控、違規(guī)響應、歷史行為回溯等操作分析功能，可詳細完整記錄數(shù)據(jù)庫的訪問行為，識別越權(quán)等違規(guī)操作，并可追蹤溯源，為數(shù)據(jù)庫安全管理及性能優(yōu)化提供決策依據(jù)。數(shù)據(jù)庫審計系統(tǒng)部署在核心交換機上，通過設置端口鏡像，將數(shù)據(jù)庫的流量鏡像到數(shù)據(jù)庫審計系統(tǒng)，實現(xiàn)數(shù)據(jù)庫系統(tǒng)的操作審計。(5)Web應用防火墻。Web應用防火墻專門保護Web應用通信流和所有相關(guān)的應用資源免受利用Web協(xié)議或應用程序漏洞發(fā)動的攻擊。網(wǎng)絡安全一體化平臺配置安恒明御Web應用防火墻，串接在防火墻和核心交換機之間，啟用光纖旁路功能，即當Web應用防火墻硬件出現(xiàn)故障時，網(wǎng)絡流量直接物理導通，不進入Web應用防火墻。（6）災備系統(tǒng)方案。優(yōu)化報業(yè)集團關(guān)鍵業(yè)務應用系統(tǒng)的備份策略，實現(xiàn)“2+1”模式部署，即在本地私有云上部署2套應用系統(tǒng)，同時租用阿里云或華為云等公有云網(wǎng)絡資源，在其上再部署一套應用系統(tǒng)，確保極端情況下關(guān)鍵業(yè)務應用系統(tǒng)的連續(xù)性、安全性。

結(jié)語

網(wǎng)絡安全等級保護2.0對等級保護1.0進行了發(fā)展與完善，能夠為網(wǎng)絡安全防護工作的實施提供有效的指導。報業(yè)集團在網(wǎng)絡安全一體化平臺建設過程中，按照網(wǎng)絡安全等級保護2.0標準，利用服務器多網(wǎng)卡架構(gòu)，增購配置日志審計、數(shù)據(jù)庫審計、堡壘機、漏洞掃描等網(wǎng)絡安全設備，建成報業(yè)集團網(wǎng)絡安全一體化平臺，在深度融合背景下為傳媒集團在多數(shù)據(jù)中心整合建設、網(wǎng)絡安全防護能力建設方面提供了可以借鑒的思路。

作者：鞠傳森 向小平 單位：大眾報業(yè)集團