新聞媒體網絡安全改造項目建設與研究

朱穎

摘要：隨著網絡媒體廣泛應用，新聞媒體網絡系統面對的網絡風險日益增大，網絡安全問題越來越嚴重。本文從提升系統整體安全性的角度，提出了體系防護的概念，對原有分區防護、邊界防護的系統進行安全加固，將之建設成為系統安全的網絡體系。

關鍵詞：網絡安全 體系防護

一、原有網絡系統設計思路

面對互聯網的迅速發展，新聞媒體面臨的日常工作對象從簡單的文字、圖片，拓展到立足于互聯網的移動采編、稿件發布管理、全文檢索等業務，應用系統的拓展帶來了海量數據，也使得系統必須面對來自互聯網的非法入侵、病毒攻擊，系統安全遭到極大威脅，因此，網絡系統的安全防護問題是建設的重點。

網絡安全的主要特點包括系統性、可控性、動態性等，我們根據業務需求，在原有系統網絡建設中，結合網絡安全特點，采用多種防護技術，設計了分區、分層的網絡安全架構，原網絡結構拓撲圖如下所示。

原網絡系統采取了分區、分層的設計思路，系統采取冗余架構，將系統分為核心區、發布區、接入區、應用服務區、數據服務區、數據存儲（備份）區，各個分區用交換機互聯內部，用VLAN隔離，由防火墻進行邏輯控制。網絡系統內部重點防護越權訪問和無意攻擊，加強內部的安全防御審計與監控，進行邊界防護；與外部用戶之間的信息交互，則采取身份認證和多種對外防護措施，從而確保數據安全高效流轉。

核心區是整個網絡系統的中心，兩臺核心交換機互為熱備，同時配備冗余引擎和冗余電源，每臺核心交換機都連接了應用服務區、數據存儲（備份）區，核心交換機之間用心跳線捆綁互聯，極大的提升了該區域的安全可靠性。

發布區包括兩臺負載均衡設備、VPN設備、接入交換機，分別連接兩臺核心交換機，實現了數據傳輸的負載均衡。

接入區包括互聯網接入區和局域網接入區。互聯網接入區有兩條專線通過鏈路負載均衡互為備份，同時配置了出口防火墻進行區域隔離；局域網接入區由雙千兆鏈路連接到核心交換機，為內網用戶提供了高效冗余的網絡環境。

數據存儲（備份）區包括了數據存儲系統及備份系統，數據存儲系統采用關系數據庫和全文檢索數據庫，滿足了海量數據的存儲和全文檢索功能；數據備份系統用磁盤陣列實現了數據備份功能，提高了整個系統的容災能力。

原系統建設投入以來，基本實現了結構安全、負載均衡、高效冗余等設計目標，同時采取防火墻、VPN、防病毒系統、上網行為管理系統等軟硬件設備，進一步體現了內外分離、邊界隔離、層層防護的設計思路，為員工搭建了一個高效、安全、可擴展、冗余的網絡平臺。

二、原系統使用中發現的問題

隨著新聞業務的不斷拓展，尤其是網絡媒體的迅猛發展，原有系統已經漸漸出現不滿足當前需求的情況。

1.防火墻模塊功能偏弱，新型的網絡攻擊層出不窮，有可能危及整個系統的穩定可靠運行，邊界防護的設計理念使得網絡系統缺乏系統、主動的防護，原有的基于接口、邊界層面的防護急需加強。

2.隨著Web應用日益廣泛，很多基于Web的應用都可以深入底層，有可能威脅到密碼安全、用戶管理安全、數據安全等，發布區暴露過多，安全壓力也越來越大，發布區安全防護亟待加強。

3.數據庫集群通過千兆光纖直連核心交換機，缺乏有效防護，面對外部攻擊和危險行為缺乏及時有效的阻斷手段。數據層面要求實現高效率、防篡改的安全防護目標。

4.數據增速超過先期規劃，存儲系統有效容量過低，急需提高數據的高可靠性。

5.面對日益嚴重的種種安全問題，原系統缺乏嚴格有效的整體運維管理和安全管理，無法及時有效的進行主動防御，不能快速彌補安全隱患。

三、改造思路及方案實施

原有系統作為適應互聯網思維的新一代媒體網絡系統，能夠較好的實現分區隔離、有效可控、易于擴展等設計目標，為使用者構建了一個交互良好的高效業務平臺，因此，我們立足于原系統，對全系統進行整體安全加固，將原有的邊界防護升級為更加全面的系統防護，不改變原有部署的模式下對原系統進行優化改造。

根據預期規劃，對互聯網出口、發布區、管理服、數據存儲、校對系統及桌面安全進行安全部署及加固。增加對發布區web應用的防護、核心oracle數據庫的審計、安全策略的阻斷，重新部署互聯網出口防火墻以增加性能，為設備管理、桌面安全、數據存儲提供整體化的安全建設。部署運維堡壘機進行運維管理，將分散的運維管理整合為具有身份認證、行為審計、安全監控的整體運維系統。

主要改造措施包括：

1.網絡出口安全加固。在核心區部署兩臺新的互聯網防火墻，配置為HA雙機集群模式，連接了負載均衡、核心交換機以及DMZ區，在新防火墻上配置了三條路由，分別指向負載均衡、核心交換機以及發布區匯聚交換機。 出口防火墻將整個網絡劃分為untrust、trust和DMZ區，根據應用訪問特征，針對性的在防火墻內配置訪問控制策略，實現基于協議、源（目的）IP地址、端口的訪問控制，控制各個區域間的互訪，從而達到邏輯隔離的目的。例如從untrust和trust訪問DMZ區域時，只開放需要的端口號，其余行為與端口號可以全部封掉，限制或者禁止不必要的訪問。

應用Web防護。發布區不僅要保證應用服務器的接入安全，更要保障Web應用的安全，原有應用發布區沒有對應用Web進行有效防護，大大增加了風險。本次改造在應用發布區部署一臺Web應用防火墻，全方位的保護用戶Web數據，通過對Web流量的深度檢測，實現了實時有效的入侵防護功能。Web應用防火墻可以杜絕蠕蟲攻擊、網絡釣魚等基本攻擊，同時對SOL注入攻擊、XSS攻擊等進行快捷有效的防護。

在出口防火墻和DMZ交換機之間部署一臺Web應用防火墻，根據現有網絡狀況，將Web設置為透明橋接模式，配置兩個透明橋，通過兩條光纖上連至互聯網出口防火墻，通過兩條光纖下連至發布區匯聚交換機。其中橋1為主出口防火墻至主DMZ交換機，橋2為備出口防火墻至備DMZ交換機，默認流量從橋1經過，出現問題時自行切換至橋2。endprint

Web應用防火墻前期開啟自學習策略，學習完成后開啟阻斷。開啟阻斷后，對非學習到的行為或是異常和攻擊等行為進行阻斷，保證web應用的安全。運維人員可通過設備內的日志查看阻斷日志，對誤報或新增行為可在設備內將其添加為信任，從而保證業務正常運行。

3.數據庫服務器安全防護部署。原系統的數據庫服務器通過千兆光纖直接上連到核心交換機，下連至光纖交換機。鏈路中并無安全設備對數據庫集群進行有效的保護，缺乏安全審計、危險行為阻斷等安全措施。

我們在數據庫服務器與核心交換機之間部署數據庫防火墻。數據庫防火墻包含內置的漏洞攻擊特征策略以及自定義策略，可以實時對數據庫的請求進行精準判斷，一旦識別到訪問請求屬于違規或者攻擊行為，就會實時告警阻斷，數據威脅將被迅速發現和解除。

數據庫服務器雙上連至交換機，因此本次配置兩個透明橋。橋1連接數據庫服務器和核心交換機。橋2連接另一路數據庫服務器與核心交換機。數據庫防火墻前期開啟自學習策略，學習完成后開啟阻斷。開啟阻斷后，對非學習到的行為或是異常和攻擊等行為將進行阻斷，從而保證了數據庫服務器的安全。

4.存儲系統升級。原網絡系統中配置了NAS和SAN兩種存儲方式，NAS主要用于存儲文本、圖片等數據文件；SAN主要用于存儲數據庫文本文件，在本系統中主要采用的是FCSAN，所有數據依據不同備份策略用磁帶庫進行備份。因實際業務增長迅速，數據量大幅增長，舊有存儲系統逐漸不能應對海量數據增長所需要的性能。

本次改造在存儲區域使用全固態存儲，連接方式與方法均依照現有存儲，首先將新存儲設備進行預配置，將新存儲設備接入SAN網絡和NAS網絡中，其中NAS數據通過核心交換機進行流量數據交互，FCSAN數據通過光纖交換機進行流量數據交互。

（1）NAS存儲數據。舊存儲NAS配置多個物理卷，分別映射給前端多臺應用服務器，為保證存儲割接平穩、安全，我們對這些卷逐個進行遷移和割接。

在新舊存儲的數據遷移中，部署一臺數據遷移服務器，使用系統內建的Rsync功能組件實現數據同步復制，在數據遷移服務器中建立多個文件夾，分別對應新舊存儲的不同卷，將新舊存儲的卷分別掛載到數據遷移服務器對應的文件夾中，通過Rsync組件，將舊存儲中的卷逐步復制到新存儲的卷中。通過數據遷移服務器進行完整平滑的數據遷移。

（2）FC SAN存儲數據。原SAN數據庫為ORACLE RAC集群，未安裝PSU或單個PATCH，運行于歸檔模式， ASM磁盤采用ASMLIB管理，數據文件已經使用超過50%，急需擴容。在新存儲上進行數據使用LUN劃分，劃分一塊和舊存儲空間大小一致的LUN，數據遷移之前，我們要對整個數據庫進行RMAN備份，在新存儲上再劃分一個大小和舊存儲空間一致的臨時空間，，用于存放RMAN備份文件，待遷移完成后對該磁盤空間進行回收。

在新存儲上劃分相應的LUN之后，需要在ORACLE RAC數據庫的生產服務器上進行相應設置以識別到新的LUN，之后multipath多路徑聚合軟件會自動聚合多路徑。

5.運維堡壘機的應用。原網絡系統的運維管理沒有統一明確的方式及制度，對網絡設備進行運維管理時，主要通過使用個人筆記本對設備進行直連的方式進行，有可能導致相關數據由個人筆記本泄漏，既無法對運維人員進行身份認證，也無法對運維人員的操作行為進行有效的控制和審計。

在互聯網出口防火墻的DMZ區部署一臺運維堡壘機，運維堡壘機與防火墻、IIS發布服務器及核心交換機協同配合工作，可以主動攔截非法訪問與惡意攻擊，及時發現非法命令并阻斷，主動過濾掉所有對目標設備的非法訪問行為。同時使用運維堡壘機所自帶的審計功能，對運維行為的接入提供完備的審計信息，通過賬號管理、身份認證等方式對接入者進行身份識別，身份識別后可以進行相應的資源授權，所有運維操作都可以在日志服務中記錄，進一步增強運維管理的安全性。

隨著運維堡壘機為主的運維系統全面應用，將原本的分散式、被動發現問題應對問題的個人運維，變為集中監控，及時感知網絡安全態勢的綜合運維，實現了一體化的運維監控，極大的提高了網管人員對網絡態勢的掌控能力。

6.桌面安全系統。引入360企業版桌面防病毒軟件，該企業版軟件的服務器端和控制臺部署在一臺單獨的服務器上，客戶端部署在接入網絡的終端PC上。系統采用了終端安全“一體化”的安全防護技術，將病毒防護監測、策略配置、報表查看等安全功能進行整合，對病毒防護和多種攻擊進行主動防御，從而達到更加完善的安全防病毒功能。

四、成果與展望

經過整體安全加固后，網絡系統的安全性、動態性得到明顯提升，提高了系統應對網絡攻擊的快速響應能力，使得網管人員對整個網絡的狀態能實時監控，能夠及時發現網絡攻擊和異常行為并快速應對，實現了系統的、可控的、動態的體系防護。

隨著后續云平臺、云架構、數據中心、智能化等新應用、新技術的不斷拓展，新聞媒體網絡系統的網絡安全問題會貫穿始終，我們也要用發展的、全局的眼光去考慮網絡系統安全，從而努力保持網絡體系的整體最優。

參考文獻：

[1]韓梅.網絡維護中故障點排除分析及處理措施.信息與電腦（理論版），2011（12）.endprint