基于云計(jì)算的廣播電視監(jiān)管系統(tǒng)安全機(jī)制構(gòu)建

文/李強(qiáng)

在廣播電視工作體系之下，監(jiān)管的責(zé)任之艱巨，意義之重大不容忽視。一個(gè)相對(duì)完整的廣播電視監(jiān)管工作體系，首先需要面向廣播電視節(jié)目的播出和傳輸展開質(zhì)量的監(jiān)管，并且對(duì)其內(nèi)容同樣進(jìn)行關(guān)注，除此以外，還需要對(duì)廣播電視頻段無線電波的秩序進(jìn)行監(jiān)管，在這一方面，一些新興媒體渠道同樣應(yīng)當(dāng)包括在內(nèi)。如此重要的監(jiān)管工作，在面對(duì)當(dāng)前云技術(shù)環(huán)境的時(shí)候，其工作效率可以說得到了一個(gè)質(zhì)的飛躍，但是與此同時(shí)，更多的安全問題也隨之出現(xiàn)。

1 廣播電視領(lǐng)域中私有云安全需求要點(diǎn)

在廣播電視領(lǐng)域中，云技術(shù)推動(dòng)了分布式的資源利用，將現(xiàn)有網(wǎng)絡(luò)環(huán)境中的眾多資源歸入一個(gè)統(tǒng)一的邏輯資源池中，并且進(jìn)行優(yōu)化利用。此種工作方式在廣電領(lǐng)域中有著極高的應(yīng)用價(jià)值，但是也隨之帶來諸多安全問題。與云技術(shù)保持同步的安全問題包括業(yè)務(wù)可用性、數(shù)據(jù)機(jī)密性和完整性、權(quán)限劃分、物理安全、惡意攻擊防范等諸多方面，可以說，云安全已經(jīng)成為當(dāng)前廣電業(yè)務(wù)能夠有效利用云技術(shù)展開工作的關(guān)鍵環(huán)節(jié)。

對(duì)于廣電監(jiān)管工作而言，私有云是較為常見的云部署方式。所謂私有云（Private Clouds），是為一個(gè)客戶單獨(dú)使用而構(gòu)建的，其基礎(chǔ)也是對(duì)應(yīng)客戶組織內(nèi)部的局域網(wǎng)，因此相對(duì)而言，安全性比較可以得到保證。但是對(duì)于廣電行業(yè)而言，其本身開放的媒體特征，導(dǎo)致私有云的安全性受到了挑戰(zhàn)。在此種背景之下，私有云的安全部署，成為關(guān)鍵所在，同時(shí)虛擬化安全和云安全合規(guī)性，進(jìn)一步成為關(guān)鍵之中的核心。

對(duì)于虛擬化而言，作為私有云交付虛擬桌面的一項(xiàng)關(guān)鍵技術(shù)，其優(yōu)點(diǎn)在廣電領(lǐng)域中被廣泛認(rèn)同，其在多租戶的實(shí)現(xiàn)、更優(yōu)的服務(wù)器利用率以及云計(jì)算資源整合方面表現(xiàn)良好。但是以客居方式運(yùn)行操作系統(tǒng)的安全問題比較突出。除此以外，諸如虛擬機(jī)之間的攻擊，以及安全盲點(diǎn)，或者安全功能對(duì)于計(jì)算資源的過度消耗等，同樣也不容忽視。而對(duì)于云安全本身的合規(guī)性方面而言，這要求云環(huán)境之下的傳輸、存儲(chǔ)以及對(duì)于信息和數(shù)據(jù)的處理等工作，都需要滿足當(dāng)前已經(jīng)頒布的《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）。這一規(guī)定固然為相關(guān)安全問題以及操作提供了框架，但是對(duì)應(yīng)的，因?yàn)閷?duì)于環(huán)境的虛擬化，以及分布式處理所帶來的邊界防護(hù)等問題，就會(huì)難以有效解決。除此以外，對(duì)于將哪些業(yè)務(wù)放在云環(huán)境內(nèi)部，并且采取何種安全防護(hù)策略級(jí)別，同樣是值得深入思考的問題。

2 私有云安全的實(shí)現(xiàn)框架

目前在廣電領(lǐng)域之中，一個(gè)比較典型的私有云部署方式參見圖1。

從圖1中看到，在廣電監(jiān)管工作領(lǐng)域中，是將多個(gè)業(yè)務(wù)分別部署為對(duì)應(yīng)的子云，并且每一個(gè)業(yè)務(wù)子云中都含有一個(gè)專屬于該子云的安全虛擬機(jī)。多個(gè)業(yè)務(wù)對(duì)應(yīng)的多個(gè)安全虛擬機(jī)，并且形成一個(gè)虛擬機(jī)簇，即為整個(gè)私有云的安全代理。同時(shí)，多個(gè)業(yè)務(wù)子云之間還存在必要的安全隔離體系，確保不同的子云之間保持相對(duì)的獨(dú)立。而網(wǎng)絡(luò)中在安全部署方面，則通過安全資源池來實(shí)現(xiàn)，這同樣是云技術(shù)的一種體現(xiàn)。對(duì)于安全資源池而言，物理安全設(shè)備、防火墻、一體化網(wǎng)關(guān)以及入侵檢測(cè)系統(tǒng)、WAP等諸多安全手段串行安置，共同負(fù)擔(dān)起整個(gè)私有云環(huán)境中的安全職責(zé)。這些串行的安全資源池將對(duì)業(yè)務(wù)子云和其他區(qū)域的數(shù)據(jù)流量進(jìn)行檢測(cè)和防護(hù)。但同時(shí)也會(huì)存在一個(gè)旁路安全系統(tǒng)，對(duì)安全代理的工作狀態(tài)展開重點(diǎn)監(jiān)測(cè)和審計(jì)，這一類旁路安全資源池并未在圖中標(biāo)出，其安全手段主要包括物理安全設(shè)備、入侵檢測(cè)系統(tǒng)以及網(wǎng)絡(luò)安全審計(jì)等。

這種安全策略，在實(shí)際的應(yīng)用過程中具有一些顯著優(yōu)勢(shì)。其一在于實(shí)現(xiàn)了業(yè)務(wù)子云的安全隔離，這種將一個(gè)整體云環(huán)境隔離成為多個(gè)子云的格局，等于在不同的云之間設(shè)定了邊界網(wǎng)關(guān)，便于安全措施的落實(shí)，諸如對(duì)流量的檢測(cè)等，也可以更好的實(shí)現(xiàn)。并且此種安全域的實(shí)現(xiàn)方式，可以屏蔽虛擬化和物理網(wǎng)絡(luò)的細(xì)節(jié)，對(duì)應(yīng)的安全工作以及計(jì)算力有了重點(diǎn)，因此安全水平得以提升。其次，虛擬化安全代理相對(duì)而言可以實(shí)現(xiàn)對(duì)業(yè)務(wù)子云更為深入的了解，因此在對(duì)數(shù)據(jù)的監(jiān)測(cè)和識(shí)別方面效用更勝一籌。對(duì)于不同業(yè)務(wù)子云而言，其所涉及到的數(shù)據(jù)必然具有更強(qiáng)的特征，因此安全虛擬機(jī)就可以展開更有針對(duì)性的工作。安全代理的核心模塊包括數(shù)據(jù)流轉(zhuǎn)發(fā)模塊、控制模塊和通信模塊三個(gè)，共同來監(jiān)督數(shù)據(jù)獲取和轉(zhuǎn)發(fā)過程中端口的工作狀態(tài)，并且確定安全隱患。最后，在合規(guī)性方面，此種安全布局方案可以依據(jù)廣電領(lǐng)域業(yè)務(wù)的需求來確定對(duì)應(yīng)的安全組件，并且虛擬化的安全代理本身也對(duì)資源要求并不高，且與云技術(shù)環(huán)境耦合度低，在適應(yīng)性方面呈現(xiàn)良好特征。可以說，此種方案對(duì)物理安全產(chǎn)品進(jìn)行了充分的考慮，在安全資源池的建設(shè)方面，更是支持多個(gè)安全級(jí)別的設(shè)置，使用靈活。

圖1：廣電內(nèi)容監(jiān)管云平臺(tái)部署方案示意圖

3 結(jié)論

在廣電領(lǐng)域之中，私有云是當(dāng)前云技術(shù)實(shí)現(xiàn)的一種主要方式，對(duì)應(yīng)的安全問題，也需要在其廣泛應(yīng)用的背景之下有所關(guān)注。本文中提出的方案能夠較好的解決私有云合規(guī)性問題，在安全資源池的實(shí)現(xiàn)方面思路清晰，因此不失為一個(gè)良好的開端，未來還需要不斷深入優(yōu)化，使其面向廣電，與多種安全技術(shù)融合，才能獲取良好效果。