朱穎

摘要：隨著網(wǎng)絡(luò)媒體廣泛應(yīng)用，新聞媒體網(wǎng)絡(luò)系統(tǒng)面對(duì)的網(wǎng)絡(luò)風(fēng)險(xiǎn)日益增大，網(wǎng)絡(luò)安全問(wèn)題越來(lái)越嚴(yán)重。本文從提升系統(tǒng)整體安全性的角度，提出了體系防護(hù)的概念，對(duì)原有分區(qū)防護(hù)、邊界防護(hù)的系統(tǒng)進(jìn)行安全加固，將之建設(shè)成為系統(tǒng)安全的網(wǎng)絡(luò)體系。

關(guān)鍵詞：網(wǎng)絡(luò)安全 體系防護(hù)

一、原有網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)思路

面對(duì)互聯(lián)網(wǎng)的迅速發(fā)展，新聞媒體面臨的日常工作對(duì)象從簡(jiǎn)單的文字、圖片，拓展到立足于互聯(lián)網(wǎng)的移動(dòng)采編、稿件發(fā)布管理、全文檢索等業(yè)務(wù)，應(yīng)用系統(tǒng)的拓展帶來(lái)了海量數(shù)據(jù)，也使得系統(tǒng)必須面對(duì)來(lái)自互聯(lián)網(wǎng)的非法入侵、病毒攻擊，系統(tǒng)安全遭到極大威脅，因此，網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)問(wèn)題是建設(shè)的重點(diǎn)。

網(wǎng)絡(luò)安全的主要特點(diǎn)包括系統(tǒng)性、可控性、動(dòng)態(tài)性等，我們根據(jù)業(yè)務(wù)需求，在原有系統(tǒng)網(wǎng)絡(luò)建設(shè)中，結(jié)合網(wǎng)絡(luò)安全特點(diǎn)，采用多種防護(hù)技術(shù)，設(shè)計(jì)了分區(qū)、分層的網(wǎng)絡(luò)安全架構(gòu)，原網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如下所示。

原網(wǎng)絡(luò)系統(tǒng)采取了分區(qū)、分層的設(shè)計(jì)思路，系統(tǒng)采取冗余架構(gòu)，將系統(tǒng)分為核心區(qū)、發(fā)布區(qū)、接入?yún)^(qū)、應(yīng)用服務(wù)區(qū)、數(shù)據(jù)服務(wù)區(qū)、數(shù)據(jù)存儲(chǔ)（備份）區(qū)，各個(gè)分區(qū)用交換機(jī)互聯(lián)內(nèi)部，用VLAN隔離，由防火墻進(jìn)行邏輯控制。網(wǎng)絡(luò)系統(tǒng)內(nèi)部重點(diǎn)防護(hù)越權(quán)訪問(wèn)和無(wú)意攻擊，加強(qiáng)內(nèi)部的安全防御審計(jì)與監(jiān)控，進(jìn)行邊界防護(hù)；與外部用戶之間的信息交互，則采取身份認(rèn)證和多種對(duì)外防護(hù)措施，從而確保數(shù)據(jù)安全高效流轉(zhuǎn)。

核心區(qū)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的中心，兩臺(tái)核心交換機(jī)互為熱備，同時(shí)配備冗余引擎和冗余電源，每臺(tái)核心交換機(jī)都連接了應(yīng)用服務(wù)區(qū)、數(shù)據(jù)存儲(chǔ)（備份）區(qū)，核心交換機(jī)之間用心跳線捆綁互聯(lián)，極大的提升了該區(qū)域的安全可靠性。

發(fā)布區(qū)包括兩臺(tái)負(fù)載均衡設(shè)備、VPN設(shè)備、接入交換機(jī)，分別連接兩臺(tái)核心交換機(jī)，實(shí)現(xiàn)了數(shù)據(jù)傳輸?shù)呢?fù)載均衡。

接入?yún)^(qū)包括互聯(lián)網(wǎng)接入?yún)^(qū)和局域網(wǎng)接入?yún)^(qū)?；ヂ?lián)網(wǎng)接入?yún)^(qū)有兩條專線通過(guò)鏈路負(fù)載均衡互為備份，同時(shí)配置了出口防火墻進(jìn)行區(qū)域隔離；局域網(wǎng)接入?yún)^(qū)由雙千兆鏈路連接到核心交換機(jī)，為內(nèi)網(wǎng)用戶提供了高效冗余的網(wǎng)絡(luò)環(huán)境。

數(shù)據(jù)存儲(chǔ)（備份）區(qū)包括了數(shù)據(jù)存儲(chǔ)系統(tǒng)及備份系統(tǒng)，數(shù)據(jù)存儲(chǔ)系統(tǒng)采用關(guān)系數(shù)據(jù)庫(kù)和全文檢索數(shù)據(jù)庫(kù)，滿足了海量數(shù)據(jù)的存儲(chǔ)和全文檢索功能；數(shù)據(jù)備份系統(tǒng)用磁盤(pán)陣列實(shí)現(xiàn)了數(shù)據(jù)備份功能，提高了整個(gè)系統(tǒng)的容災(zāi)能力。

原系統(tǒng)建設(shè)投入以來(lái)，基本實(shí)現(xiàn)了結(jié)構(gòu)安全、負(fù)載均衡、高效冗余等設(shè)計(jì)目標(biāo)，同時(shí)采取防火墻、VPN、防病毒系統(tǒng)、上網(wǎng)行為管理系統(tǒng)等軟硬件設(shè)備，進(jìn)一步體現(xiàn)了內(nèi)外分離、邊界隔離、層層防護(hù)的設(shè)計(jì)思路，為員工搭建了一個(gè)高效、安全、可擴(kuò)展、冗余的網(wǎng)絡(luò)平臺(tái)。

二、原系統(tǒng)使用中發(fā)現(xiàn)的問(wèn)題

隨著新聞業(yè)務(wù)的不斷拓展，尤其是網(wǎng)絡(luò)媒體的迅猛發(fā)展，原有系統(tǒng)已經(jīng)漸漸出現(xiàn)不滿足當(dāng)前需求的情況。

1.防火墻模塊功能偏弱，新型的網(wǎng)絡(luò)攻擊層出不窮，有可能危及整個(gè)系統(tǒng)的穩(wěn)定可靠運(yùn)行，邊界防護(hù)的設(shè)計(jì)理念使得網(wǎng)絡(luò)系統(tǒng)缺乏系統(tǒng)、主動(dòng)的防護(hù)，原有的基于接口、邊界層面的防護(hù)急需加強(qiáng)。

2.隨著Web應(yīng)用日益廣泛，很多基于Web的應(yīng)用都可以深入底層，有可能威脅到密碼安全、用戶管理安全、數(shù)據(jù)安全等，發(fā)布區(qū)暴露過(guò)多，安全壓力也越來(lái)越大，發(fā)布區(qū)安全防護(hù)亟待加強(qiáng)。

3.數(shù)據(jù)庫(kù)集群通過(guò)千兆光纖直連核心交換機(jī)，缺乏有效防護(hù)，面對(duì)外部攻擊和危險(xiǎn)行為缺乏及時(shí)有效的阻斷手段。數(shù)據(jù)層面要求實(shí)現(xiàn)高效率、防篡改的安全防護(hù)目標(biāo)。

4.數(shù)據(jù)增速超過(guò)先期規(guī)劃，存儲(chǔ)系統(tǒng)有效容量過(guò)低，急需提高數(shù)據(jù)的高可靠性。

5.面對(duì)日益嚴(yán)重的種種安全問(wèn)題，原系統(tǒng)缺乏嚴(yán)格有效的整體運(yùn)維管理和安全管理，無(wú)法及時(shí)有效的進(jìn)行主動(dòng)防御，不能快速?gòu)浹a(bǔ)安全隱患。

三、改造思路及方案實(shí)施

原有系統(tǒng)作為適應(yīng)互聯(lián)網(wǎng)思維的新一代媒體網(wǎng)絡(luò)系統(tǒng)，能夠較好的實(shí)現(xiàn)分區(qū)隔離、有效可控、易于擴(kuò)展等設(shè)計(jì)目標(biāo)，為使用者構(gòu)建了一個(gè)交互良好的高效業(yè)務(wù)平臺(tái)，因此，我們立足于原系統(tǒng)，對(duì)全系統(tǒng)進(jìn)行整體安全加固，將原有的邊界防護(hù)升級(jí)為更加全面的系統(tǒng)防護(hù)，不改變?cè)胁渴鸬哪Ｊ较聦?duì)原系統(tǒng)進(jìn)行優(yōu)化改造。

根據(jù)預(yù)期規(guī)劃，對(duì)互聯(lián)網(wǎng)出口、發(fā)布區(qū)、管理服、數(shù)據(jù)存儲(chǔ)、校對(duì)系統(tǒng)及桌面安全進(jìn)行安全部署及加固。增加對(duì)發(fā)布區(qū)web應(yīng)用的防護(hù)、核心oracle數(shù)據(jù)庫(kù)的審計(jì)、安全策略的阻斷，重新部署互聯(lián)網(wǎng)出口防火墻以增加性能，為設(shè)備管理、桌面安全、數(shù)據(jù)存儲(chǔ)提供整體化的安全建設(shè)。部署運(yùn)維堡壘機(jī)進(jìn)行運(yùn)維管理，將分散的運(yùn)維管理整合為具有身份認(rèn)證、行為審計(jì)、安全監(jiān)控的整體運(yùn)維系統(tǒng)。

主要改造措施包括：

1.網(wǎng)絡(luò)出口安全加固。在核心區(qū)部署兩臺(tái)新的互聯(lián)網(wǎng)防火墻，配置為HA雙機(jī)集群模式，連接了負(fù)載均衡、核心交換機(jī)以及DMZ區(qū)，在新防火墻上配置了三條路由，分別指向負(fù)載均衡、核心交換機(jī)以及發(fā)布區(qū)匯聚交換機(jī)。 出口防火墻將整個(gè)網(wǎng)絡(luò)劃分為untrust、trust和DMZ區(qū)，根據(jù)應(yīng)用訪問(wèn)特征，針對(duì)性的在防火墻內(nèi)配置訪問(wèn)控制策略，實(shí)現(xiàn)基于協(xié)議、源（目的）IP地址、端口的訪問(wèn)控制，控制各個(gè)區(qū)域間的互訪，從而達(dá)到邏輯隔離的目的。例如從untrust和trust訪問(wèn)DMZ區(qū)域時(shí)，只開(kāi)放需要的端口號(hào)，其余行為與端口號(hào)可以全部封掉，限制或者禁止不必要的訪問(wèn)。

應(yīng)用Web防護(hù)。發(fā)布區(qū)不僅要保證應(yīng)用服務(wù)器的接入安全，更要保障Web應(yīng)用的安全，原有應(yīng)用發(fā)布區(qū)沒(méi)有對(duì)應(yīng)用Web進(jìn)行有效防護(hù)，大大增加了風(fēng)險(xiǎn)。本次改造在應(yīng)用發(fā)布區(qū)部署一臺(tái)Web應(yīng)用防火墻，全方位的保護(hù)用戶Web數(shù)據(jù)，通過(guò)對(duì)Web流量的深度檢測(cè)，實(shí)現(xiàn)了實(shí)時(shí)有效的入侵防護(hù)功能。Web應(yīng)用防火墻可以杜絕蠕蟲(chóng)攻擊、網(wǎng)絡(luò)釣魚(yú)等基本攻擊，同時(shí)對(duì)SOL注入攻擊、XSS攻擊等進(jìn)行快捷有效的防護(hù)。

在出口防火墻和DMZ交換機(jī)之間部署一臺(tái)Web應(yīng)用防火墻，根據(jù)現(xiàn)有網(wǎng)絡(luò)狀況，將Web設(shè)置為透明橋接模式，配置兩個(gè)透明橋，通過(guò)兩條光纖上連至互聯(lián)網(wǎng)出口防火墻，通過(guò)兩條光纖下連至發(fā)布區(qū)匯聚交換機(jī)。其中橋1為主出口防火墻至主DMZ交換機(jī)，橋2為備出口防火墻至備DMZ交換機(jī)，默認(rèn)流量從橋1經(jīng)過(guò)，出現(xiàn)問(wèn)題時(shí)自行切換至橋2。endprint

Web應(yīng)用防火墻前期開(kāi)啟自學(xué)習(xí)策略，學(xué)習(xí)完成后開(kāi)啟阻斷。開(kāi)啟阻斷后，對(duì)非學(xué)習(xí)到的行為或是異常和攻擊等行為進(jìn)行阻斷，保證web應(yīng)用的安全。運(yùn)維人員可通過(guò)設(shè)備內(nèi)的日志查看阻斷日志，對(duì)誤報(bào)或新增行為可在設(shè)備內(nèi)將其添加為信任，從而保證業(yè)務(wù)正常運(yùn)行。

3.數(shù)據(jù)庫(kù)服務(wù)器安全防護(hù)部署。原系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器通過(guò)千兆光纖直接上連到核心交換機(jī)，下連至光纖交換機(jī)。鏈路中并無(wú)安全設(shè)備對(duì)數(shù)據(jù)庫(kù)集群進(jìn)行有效的保護(hù)，缺乏安全審計(jì)、危險(xiǎn)行為阻斷等安全措施。

我們?cè)跀?shù)據(jù)庫(kù)服務(wù)器與核心交換機(jī)之間部署數(shù)據(jù)庫(kù)防火墻。數(shù)據(jù)庫(kù)防火墻包含內(nèi)置的漏洞攻擊特征策略以及自定義策略，可以實(shí)時(shí)對(duì)數(shù)據(jù)庫(kù)的請(qǐng)求進(jìn)行精準(zhǔn)判斷，一旦識(shí)別到訪問(wèn)請(qǐng)求屬于違規(guī)或者攻擊行為，就會(huì)實(shí)時(shí)告警阻斷，數(shù)據(jù)威脅將被迅速發(fā)現(xiàn)和解除。

數(shù)據(jù)庫(kù)服務(wù)器雙上連至交換機(jī)，因此本次配置兩個(gè)透明橋。橋1連接數(shù)據(jù)庫(kù)服務(wù)器和核心交換機(jī)。橋2連接另一路數(shù)據(jù)庫(kù)服務(wù)器與核心交換機(jī)。數(shù)據(jù)庫(kù)防火墻前期開(kāi)啟自學(xué)習(xí)策略，學(xué)習(xí)完成后開(kāi)啟阻斷。開(kāi)啟阻斷后，對(duì)非學(xué)習(xí)到的行為或是異常和攻擊等行為將進(jìn)行阻斷，從而保證了數(shù)據(jù)庫(kù)服務(wù)器的安全。

4.存儲(chǔ)系統(tǒng)升級(jí)。原網(wǎng)絡(luò)系統(tǒng)中配置了NAS和SAN兩種存儲(chǔ)方式，NAS主要用于存儲(chǔ)文本、圖片等數(shù)據(jù)文件；SAN主要用于存儲(chǔ)數(shù)據(jù)庫(kù)文本文件，在本系統(tǒng)中主要采用的是FCSAN，所有數(shù)據(jù)依據(jù)不同備份策略用磁帶庫(kù)進(jìn)行備份。因?qū)嶋H業(yè)務(wù)增長(zhǎng)迅速，數(shù)據(jù)量大幅增長(zhǎng)，舊有存儲(chǔ)系統(tǒng)逐漸不能應(yīng)對(duì)海量數(shù)據(jù)增長(zhǎng)所需要的性能。

本次改造在存儲(chǔ)區(qū)域使用全固態(tài)存儲(chǔ)，連接方式與方法均依照現(xiàn)有存儲(chǔ)，首先將新存儲(chǔ)設(shè)備進(jìn)行預(yù)配置，將新存儲(chǔ)設(shè)備接入SAN網(wǎng)絡(luò)和NAS網(wǎng)絡(luò)中，其中NAS數(shù)據(jù)通過(guò)核心交換機(jī)進(jìn)行流量數(shù)據(jù)交互，F(xiàn)CSAN數(shù)據(jù)通過(guò)光纖交換機(jī)進(jìn)行流量數(shù)據(jù)交互。

（1）NAS存儲(chǔ)數(shù)據(jù)。舊存儲(chǔ)NAS配置多個(gè)物理卷，分別映射給前端多臺(tái)應(yīng)用服務(wù)器，為保證存儲(chǔ)割接平穩(wěn)、安全，我們對(duì)這些卷逐個(gè)進(jìn)行遷移和割接。

在新舊存儲(chǔ)的數(shù)據(jù)遷移中，部署一臺(tái)數(shù)據(jù)遷移服務(wù)器，使用系統(tǒng)內(nèi)建的Rsync功能組件實(shí)現(xiàn)數(shù)據(jù)同步復(fù)制，在數(shù)據(jù)遷移服務(wù)器中建立多個(gè)文件夾，分別對(duì)應(yīng)新舊存儲(chǔ)的不同卷，將新舊存儲(chǔ)的卷分別掛載到數(shù)據(jù)遷移服務(wù)器對(duì)應(yīng)的文件夾中，通過(guò)Rsync組件，將舊存儲(chǔ)中的卷逐步復(fù)制到新存儲(chǔ)的卷中。通過(guò)數(shù)據(jù)遷移服務(wù)器進(jìn)行完整平滑的數(shù)據(jù)遷移。

（2）FC SAN存儲(chǔ)數(shù)據(jù)。原SAN數(shù)據(jù)庫(kù)為ORACLE RAC集群，未安裝PSU或單個(gè)PATCH，運(yùn)行于歸檔模式， ASM磁盤(pán)采用ASMLIB管理，數(shù)據(jù)文件已經(jīng)使用超過(guò)50%，急需擴(kuò)容。在新存儲(chǔ)上進(jìn)行數(shù)據(jù)使用LUN劃分，劃分一塊和舊存儲(chǔ)空間大小一致的LUN，數(shù)據(jù)遷移之前，我們要對(duì)整個(gè)數(shù)據(jù)庫(kù)進(jìn)行RMAN備份，在新存儲(chǔ)上再劃分一個(gè)大小和舊存儲(chǔ)空間一致的臨時(shí)空間，，用于存放RMAN備份文件，待遷移完成后對(duì)該磁盤(pán)空間進(jìn)行回收。

在新存儲(chǔ)上劃分相應(yīng)的LUN之后，需要在ORACLE RAC數(shù)據(jù)庫(kù)的生產(chǎn)服務(wù)器上進(jìn)行相應(yīng)設(shè)置以識(shí)別到新的LUN，之后multipath多路徑聚合軟件會(huì)自動(dòng)聚合多路徑。

5.運(yùn)維堡壘機(jī)的應(yīng)用。原網(wǎng)絡(luò)系統(tǒng)的運(yùn)維管理沒(méi)有統(tǒng)一明確的方式及制度，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行運(yùn)維管理時(shí)，主要通過(guò)使用個(gè)人筆記本對(duì)設(shè)備進(jìn)行直連的方式進(jìn)行，有可能導(dǎo)致相關(guān)數(shù)據(jù)由個(gè)人筆記本泄漏，既無(wú)法對(duì)運(yùn)維人員進(jìn)行身份認(rèn)證，也無(wú)法對(duì)運(yùn)維人員的操作行為進(jìn)行有效的控制和審計(jì)。

在互聯(lián)網(wǎng)出口防火墻的DMZ區(qū)部署一臺(tái)運(yùn)維堡壘機(jī)，運(yùn)維堡壘機(jī)與防火墻、IIS發(fā)布服務(wù)器及核心交換機(jī)協(xié)同配合工作，可以主動(dòng)攔截非法訪問(wèn)與惡意攻擊，及時(shí)發(fā)現(xiàn)非法命令并阻斷，主動(dòng)過(guò)濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問(wèn)行為。同時(shí)使用運(yùn)維堡壘機(jī)所自帶的審計(jì)功能，對(duì)運(yùn)維行為的接入提供完備的審計(jì)信息，通過(guò)賬號(hào)管理、身份認(rèn)證等方式對(duì)接入者進(jìn)行身份識(shí)別，身份識(shí)別后可以進(jìn)行相應(yīng)的資源授權(quán)，所有運(yùn)維操作都可以在日志服務(wù)中記錄，進(jìn)一步增強(qiáng)運(yùn)維管理的安全性。

隨著運(yùn)維堡壘機(jī)為主的運(yùn)維系統(tǒng)全面應(yīng)用，將原本的分散式、被動(dòng)發(fā)現(xiàn)問(wèn)題應(yīng)對(duì)問(wèn)題的個(gè)人運(yùn)維，變?yōu)榧斜O(jiān)控，及時(shí)感知網(wǎng)絡(luò)安全態(tài)勢(shì)的綜合運(yùn)維，實(shí)現(xiàn)了一體化的運(yùn)維監(jiān)控，極大的提高了網(wǎng)管人員對(duì)網(wǎng)絡(luò)態(tài)勢(shì)的掌控能力。

6.桌面安全系統(tǒng)。引入360企業(yè)版桌面防病毒軟件，該企業(yè)版軟件的服務(wù)器端和控制臺(tái)部署在一臺(tái)單獨(dú)的服務(wù)器上，客戶端部署在接入網(wǎng)絡(luò)的終端PC上。系統(tǒng)采用了終端安全“一體化”的安全防護(hù)技術(shù)，將病毒防護(hù)監(jiān)測(cè)、策略配置、報(bào)表查看等安全功能進(jìn)行整合，對(duì)病毒防護(hù)和多種攻擊進(jìn)行主動(dòng)防御，從而達(dá)到更加完善的安全防病毒功能。

四、成果與展望

經(jīng)過(guò)整體安全加固后，網(wǎng)絡(luò)系統(tǒng)的安全性、動(dòng)態(tài)性得到明顯提升，提高了系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)攻擊的快速響應(yīng)能力，使得網(wǎng)管人員對(duì)整個(gè)網(wǎng)絡(luò)的狀態(tài)能實(shí)時(shí)監(jiān)控，能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和異常行為并快速應(yīng)對(duì)，實(shí)現(xiàn)了系統(tǒng)的、可控的、動(dòng)態(tài)的體系防護(hù)。

隨著后續(xù)云平臺(tái)、云架構(gòu)、數(shù)據(jù)中心、智能化等新應(yīng)用、新技術(shù)的不斷拓展，新聞媒體網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題會(huì)貫穿始終，我們也要用發(fā)展的、全局的眼光去考慮網(wǎng)絡(luò)系統(tǒng)安全，從而努力保持網(wǎng)絡(luò)體系的整體最優(yōu)。

參考文獻(xiàn)：

[1]韓梅.網(wǎng)絡(luò)維護(hù)中故障點(diǎn)排除分析及處理措施.信息與電腦（理論版），2011（12）.endprint