融媒體信息系統(tǒng)之便捷訪問與安全防控

摘? 要：《中華人民共和國網(wǎng)絡(luò)安全法》的實施，對網(wǎng)絡(luò)安全提出了更加規(guī)范嚴(yán)格的要求。目前，在新聞出版領(lǐng)域，采編生產(chǎn)的移動化已成為業(yè)務(wù)部門的常態(tài)化需求。傳統(tǒng)的軟件客戶端形式雖然能解決一部分便捷性問題，但數(shù)據(jù)暴露在外網(wǎng)，帶來了較大的安全隱患。在符合等保要求和安全規(guī)范的基礎(chǔ)上，既做到集中、統(tǒng)一、安全地管理，又能讓使用者能簡單便捷地訪問業(yè)務(wù)系統(tǒng)、各類應(yīng)用和資源，以較低成本實現(xiàn)采編業(yè)務(wù)的移動化，成為新聞技術(shù)工作者面臨的現(xiàn)實問題。

關(guān)鍵詞：網(wǎng)絡(luò)安全;融媒體行業(yè)信息系統(tǒng)系統(tǒng)安全;便捷訪問

中圖分類號：G210.7? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標(biāo)識碼：A

本文著錄格式：鄧雄才.融媒體信息系統(tǒng)之便捷訪問與安全防控[J].中國傳媒科技，2020，01（01）：10-13.

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，越來越多的業(yè)務(wù)被搬到線上平臺，利用這些平臺人們可以隨時隨地處理業(yè)務(wù)、加速業(yè)務(wù)流程;人們從外部網(wǎng)絡(luò)能夠安全、便捷地訪問這些業(yè)務(wù)系統(tǒng)的要求變得更加迫切。

1.網(wǎng)絡(luò)安全背景

1.1 國家信息化建設(shè)的逐步深入

隨著我國信息化建設(shè)的逐步深入，工作對信息系統(tǒng)依賴的程度越來越高;信息化建設(shè)中大量的信息資源，成為業(yè)務(wù)展示和應(yīng)用平臺，在未來的信息化規(guī)劃中占有非常重要的地位。從安全性上分析，業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，外部攻擊、內(nèi)部資源濫用、木馬和病毒等不安全因素越來越顯著，信息化安全是業(yè)務(wù)應(yīng)用發(fā)展需要關(guān)注的核心和重點。

互聯(lián)網(wǎng)是關(guān)系國民經(jīng)濟和社會發(fā)展的重要基礎(chǔ)設(shè)施，深刻影響著全球經(jīng)濟格局、利益格局和安全格局。我國是世界上較早開展IPv6試驗和應(yīng)用的國家，在技術(shù)研發(fā)、網(wǎng)絡(luò)建設(shè)、應(yīng)用創(chuàng)新方面取得了重要階段性成果，已具備大規(guī)模部署的基礎(chǔ)和條件。

2017年我國印發(fā)了《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，計劃指出要用5到10年時間，形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)，實現(xiàn)下一代互聯(lián)網(wǎng)在經(jīng)濟社會各領(lǐng)域深度融合應(yīng)用，成為全球下一代互聯(lián)網(wǎng)發(fā)展的重要主導(dǎo)力量。

工業(yè)和信息化部、教育部等部委分別下發(fā)貫徹落實《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》的通知，通知要求主要互聯(lián)網(wǎng)、基礎(chǔ)設(shè)施、云計算運營商等加快設(shè)施IPv6改造，政府網(wǎng)站和部屬各單位、部屬各高校及各省、自治區(qū)、直轄市通信管理局在2020年之前完成門戶網(wǎng)站IPv6改造。

為貫徹落實國家信息安全等級保護制度，規(guī)范和指導(dǎo)全國教育信息安全等級保護工作，教育部教育管理信息中心發(fā)布《教育信息系統(tǒng)安全等級保護工作方案》（征求意見稿）;教育部辦公廳《印發(fā)關(guān)于開展教育系統(tǒng)信息安全等級保護工作專項檢查的通知》（教辦廳函〔2010〕80號）。

工業(yè)和信息化部“關(guān)于開展2019年IPv6網(wǎng)絡(luò)就緒專項行動的通知”（工信部通信函〔2019〕95號）IPv6網(wǎng)絡(luò)安全保障進一步加強等六項重點任務(wù)，進一步完善網(wǎng)絡(luò)安全管理制度體系，涵蓋IPv6安全防護和管理相關(guān)要求。

1.2網(wǎng)絡(luò)安全現(xiàn)狀分析

面對復(fù)雜的網(wǎng)絡(luò)安全環(huán)境，為防范網(wǎng)絡(luò)攻擊，提高信息系統(tǒng)生存力，多數(shù)信息系統(tǒng)和網(wǎng)絡(luò)資源網(wǎng)站限制為內(nèi)網(wǎng)IP訪問，外網(wǎng)無法直接訪問，在一定程度上保持了信息系統(tǒng)的安全穩(wěn)定。但是將信息系統(tǒng)完全限制在內(nèi)網(wǎng)IP訪問的同時也限制了信息系統(tǒng)作用最大程度發(fā)揮，不利于工作和學(xué)習(xí)，信息系統(tǒng)的價值也大打折扣。為了方便外網(wǎng)訪問內(nèi)網(wǎng)應(yīng)用，實現(xiàn)終端客戶機用戶在任何時間、任何地點、使用任何設(shè)備、采用任何網(wǎng)絡(luò)連接，都能夠高效、快捷、安全、方便地訪問已經(jīng)集中部署在校內(nèi)的業(yè)務(wù)系統(tǒng)。在對外應(yīng)用交付的同時要完成IPv6的改造，所有的應(yīng)用平臺必須符合國家信息安全等級保護，要保證網(wǎng)絡(luò)安全以及信息數(shù)據(jù)安全，訪問行為的審計和對日志的分析和監(jiān)控。

2.當(dāng)前遠(yuǎn)程訪問面臨的挑戰(zhàn)

2.1遠(yuǎn)程訪問面臨的挑戰(zhàn)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，越來越多的業(yè)務(wù)被搬到了線上平臺。利用這些平臺人們可以隨時隨地處理業(yè)務(wù)，加速業(yè)務(wù)流程。并且人們從外部網(wǎng)絡(luò)訪問這些業(yè)務(wù)系統(tǒng)的需求變的十分迫切。

與此同時，網(wǎng)絡(luò)也承受著前所未有的威脅：越來越多的關(guān)鍵信息被保存在信息系統(tǒng)中，一旦這些信息泄漏將會造成難以估量的后果。為了保證這些系統(tǒng)的安全，這些系統(tǒng)被限制在只允許園區(qū)網(wǎng)絡(luò)內(nèi)部訪問。然而這與快速發(fā)展的技術(shù)與用戶需求相悖。

于是提供一種既安全又方便的遠(yuǎn)程訪問服務(wù)成了擺在網(wǎng)絡(luò)維護與管理人員面前的重要問題。

2.2傳統(tǒng)遠(yuǎn)程訪問技術(shù)的現(xiàn)狀

2.3媒體行業(yè)的特殊性

目前，在新聞出版領(lǐng)域，采編生產(chǎn)的移動化已成為業(yè)務(wù)部門的常態(tài)化需求。在符合等保要求和安全規(guī)范的基礎(chǔ)上，既做到集中、統(tǒng)一、安全地管理，又能讓使用者能簡單便捷地訪問業(yè)務(wù)系統(tǒng)、各類應(yīng)用和資源，以較低成本地實現(xiàn)采編業(yè)務(wù)的移動化，成為新聞技術(shù)工作者面臨的現(xiàn)實問題。

針對媒體行業(yè)信息的多樣性和行業(yè)的特殊性特點，目前理想的解決方案是進行內(nèi)外網(wǎng)有效地全新管理，把常規(guī)的業(yè)務(wù)系統(tǒng)訪問邊界限制在報社內(nèi)，在外訪問可通過便捷訪問控制系統(tǒng)來解決。

3.訪問控制系統(tǒng)WebVPN的特色功能介紹

3.1無需專用客戶端或瀏覽器插件

傳統(tǒng)的VPN系統(tǒng)需要安裝客戶端或者瀏覽器插件。這些客戶端或瀏覽器插件往往對系統(tǒng)的兼容性差、無法支持移動設(shè)備（iOS、Android等）、未來出現(xiàn)新系統(tǒng)要進行軟件更新等問題。

訪問控制系統(tǒng)WebVPN采用獨創(chuàng)的HTTP透傳技術(shù)無需客戶端，只需要像訪問普通HTTP網(wǎng)站訪問VPN的登錄頁，進行登陸后即可訪問內(nèi)網(wǎng)資源。HTTP透傳技術(shù)兼容所有標(biāo)準(zhǔn)HTTP客戶端。只需設(shè)備支持標(biāo)準(zhǔn)HTTP協(xié)議即可使用Web VPN系統(tǒng)訪問內(nèi)網(wǎng)資源。

3.2無需任何配置

相比傳統(tǒng)VPN配置的繁瑣，WebVPN用戶無需任何配置工作，只需要打開VPN頁面。進行登錄以后即可訪問內(nèi)部系統(tǒng)。

3.3無需在防火墻上開啟特殊端口，保證內(nèi)部安全

部署方式上WebVPN支持單機部署的方案，把所有的業(yè)務(wù)系統(tǒng)隱藏在防火墻的內(nèi)部，對外只開放此WebVPN設(shè)備，對于無需認(rèn)證的系統(tǒng)，可以直接訪問。對于業(yè)務(wù)系統(tǒng)，經(jīng)過認(rèn)證系統(tǒng)后授權(quán)訪問。

WebVPN也可采用獨創(chuàng)的雙機部署方案，一臺部署于DMZ區(qū)域，用于接受用戶連接（稱為Master）;一臺部署于內(nèi)網(wǎng)區(qū)域，用戶連接目標(biāo)服務(wù)器（稱為Tunnel Controller）。連接上Master被動接受Tunnel的連接，無需在防火墻上開啟特殊端口。

3.4高強度加密，保證通信安全

用戶與Master之間采用高強度SSL傳輸， Master與Tunnel采用RSA+AES混合加密體系保證傳輸安全。

3.5動態(tài)口令徹底解決弱口令問題

動態(tài)口令技術(shù)是一種強用戶身份認(rèn)證技術(shù)，動態(tài)口令驗證采用多種介質(zhì)進行驗證：短信動態(tài)口令、微信動態(tài)口令和動態(tài)令牌。

短信動態(tài)口令：短信動態(tài)口令把用戶與某個手機號進行綁定，當(dāng)用戶需要登錄時，系統(tǒng)會通過短信下發(fā)隨機口令到用戶手機，用戶輸入收到的口令即可登錄系統(tǒng)。

微信動態(tài)口令：動態(tài)口令用戶可以把賬戶于微信號掃描綁定，系統(tǒng)會通過微信下發(fā)隨機口令。

動態(tài)令牌驗證：動態(tài)令牌是一種偽隨機數(shù)生成器，會每分鐘自動生成一個動態(tài)口令，而且動態(tài)口令一分鐘內(nèi)有效。用戶需要登錄系統(tǒng)時，填寫用戶名與動態(tài)令牌顯示的口令即可登錄系統(tǒng)。

3.6簡單易用的用戶權(quán)限配置

傳統(tǒng)VPN當(dāng)中用戶一旦連入VPN網(wǎng)絡(luò)中，就可以沒有任何限制的訪問所有內(nèi)部系統(tǒng)。這無疑是一種潛在的安全隱患。

WebVPN使用用戶與用戶組關(guān)聯(lián)，用戶組再跟目標(biāo)站點關(guān)聯(lián)的方式限制用戶能訪問的站點。同時采用Web界面的方式提供了簡便的配置方式。

3.7內(nèi)置WAF防火墻

Web應(yīng)用防護系統(tǒng)（英文：Web Application Firewall，簡稱： WAF）是一種通過執(zhí)行一系列針對HTTP/HTTPS的安全測略來專門為Web應(yīng)用提供保護系統(tǒng)。

訪問控制系統(tǒng)WebVPN系統(tǒng)通過內(nèi)置WAF系統(tǒng)進一步保護業(yè)務(wù)系統(tǒng)免受別有用心的用戶攻擊。

3.8內(nèi)置內(nèi)容加速系統(tǒng)

依托于瑞智康誠科技有限公司多年的內(nèi)容加速系統(tǒng)研發(fā)經(jīng)驗，WebVPN內(nèi)置了適合VPN環(huán)境使用的內(nèi)容加速系統(tǒng)。徹底解決傳統(tǒng)VPN在訪問業(yè)務(wù)系統(tǒng)時速度慢，效率低的問題。

4.訪問控制系統(tǒng)WebVPN的部署模式與用戶使用

4.1部署模式一

所有的業(yè)務(wù)系統(tǒng)部署在防火墻的內(nèi)部，并不對外開放任何IP和端口，只需要把訪問控制系統(tǒng)WebVPN做地址映射，允許外部訪問。

4.2部署方式二

訪問控制系統(tǒng)WebVPN系統(tǒng)采用雙機部署模式。Master設(shè)備放置于DMZ區(qū)域，接受用戶連接請求，Tunnel設(shè)備放置于內(nèi)網(wǎng)區(qū)域負(fù)責(zé)與目標(biāo)系統(tǒng)連接。

4.3用戶界面

系統(tǒng)登陸：

（1）手機驗證用戶。

（2）填寫用戶名。

（3）點擊獲取密碼。

（4）填寫手機接收到的動態(tài)密碼完成登陸。

4.4訪問業(yè)務(wù)系統(tǒng)

登錄完成后點擊需要訪問的目標(biāo)系統(tǒng)進行訪問。

結(jié)語

信息系統(tǒng)的安全保障涉及技術(shù)和管理兩個方面措施。作為技術(shù)管理部門，加強網(wǎng)絡(luò)防護和管理規(guī)范的同時，提高用戶體驗，給用戶帶來便捷性，從而激發(fā)新的應(yīng)用模式。北京瑞智康誠科技有限公司帶來的訪問控制系列解決方案是兼顧兩者的有效方案，自2016年推出市場以來，已經(jīng)為數(shù)百家大型用戶提供了成熟的解決方案。

[1]易文泉.計算機網(wǎng)絡(luò)安全教育與實用技術(shù)淺析——評《網(wǎng)絡(luò)安全實用技術(shù)》[J].中國教育學(xué)刊，2016（9）.

[2]趙朝輝.計算機網(wǎng)絡(luò)安全分析[J].智富時代，2016：196.

[3]張俊鵬.計算機網(wǎng)絡(luò)安全問題研究[J].大陸橋視野，2016（24）.

[4]魏威.計算機網(wǎng)絡(luò)安全與防御[J].科教導(dǎo)刊（電子版），2016（12）.

[5]丁樂.張艷艷.計算機網(wǎng)絡(luò)安全建設(shè)分析[J].同行，2016（13）.

[6]段淑敏.計算機網(wǎng)絡(luò)安全有效性分析[J].才智，2016（5）.

[7]劉藝涵.計算機網(wǎng)絡(luò)安全防范技術(shù)[J].知識文庫，2017（2）.

[8]宋宇佳.計算機網(wǎng)絡(luò)安全與對策思考[J].通訊世界，2017（3）.

[9]陳靜.拿什么保護未來網(wǎng)絡(luò)安全 [N].經(jīng)濟日報，2018.

[10]張英.數(shù)字化轉(zhuǎn)型時代網(wǎng)絡(luò)安全引發(fā)關(guān)注[N].人民郵電，2018.

[11]田大新.網(wǎng)絡(luò)安全中若干問題的研究[D].吉林大學(xué)，2007.

[12]張建鋒.網(wǎng)絡(luò)安全態(tài)勢評估若干關(guān)鍵技術(shù)研究[D].國防科技大學(xué)，2013.

[13]李洪偉.事業(yè)單位計算機網(wǎng)絡(luò)管理與維護探析[J].科技經(jīng)濟導(dǎo)刊，2016（16）.

[14][美]Mandy Andress著，楊濤等譯.計算機安全原理[M].北京：機械工業(yè)出版社，2002（1）.

[15]董玉格.網(wǎng)絡(luò)攻擊與防護——網(wǎng)絡(luò)安全與使用防護技術(shù)[M].北京：人民郵電出版社，2002（8）.

作者簡介：鄧雄才，男，漢族，北京瑞智康誠科技有限公司副總經(jīng)理，研究方向：商業(yè)經(jīng)濟/網(wǎng)絡(luò)安全。