网络安全一体化平台设计与实现

1.报业网络安全一体化平台规划设计

大众报业集团四个数据中心为500多个信息业务系统提供技术支持环境，包括集团金融媒体“中央厨房”、大众日报客户端、大众网络和海报新闻客户端、齐鲁晚报网络和齐鲁一点客户端、半岛网络和半岛新闻客户端等集团关键新媒体业务系统。这些关键的新媒体业务系统被评为三级保险系统。集团在整合网络安全一体化平台时，不能中断这些关键业务系统。在业务系统数量最多、关键信息基础设施相对完善的网络媒体集团数据中心的基础上，老化的防火墙设备和VPN设备、采购配置日志审计、数据库审计、堡垒机、漏洞扫描等设备，建设符合2.0标准三级保护水平的数据中心。重复利用《大众日报》和齐鲁媒体数据中心的计算和存储资源，使用服务器接入交换机，连接到网络媒体集团数据中心，建立大众报业集团网络安全一体化平台。

2.报业网络安全一体化平台实施方案

(1)核心交换机CSS技术配置。CSS称为集群交换机系统，是华为开发的堆叠技术，应用于网络交换机。虚拟化实现方法是将堆叠卡插入两台交换机的主控板位置，按一定规则顺序连接堆叠卡；启动堆叠竞争规则系统，一个是堆叠主设备，另一个是堆叠设备。堆叠主设备的主控制板称为CSS系统主，堆叠设备主控板称为CSS系统备份在系统主和系统备份之间进行，堆叠主和堆叠备用备用主控板作为备用主控板CSS候选系统备②③。在中心机房部署2台华为CE12812核心交换机，采用12812核心交换机，CSS两个技术(集群)CE12812交换机虚拟成逻辑设备，CE12812物理系统承载着网络安全一体化平台业务系统。服务器接入交换机使用S5700堆叠配置，通过万兆多模光纤双线连接到两台核心交换机，并进行链路聚合，相当于2万兆带宽连接到核心交换机。将设备堆叠组中不同设备中的物理界面聚合到逻辑界面中。当堆叠设备中的设备出现故障或加入链路聚合接口的物理成员接口出现故障时，数据流可以通过堆叠设备之间的电缆跨设备传输，从而保证数据流的可靠传输，实现不同链路上数据流的负载共享。接入交换机为二层部署，所有网关在核心交换机结束（CE12812）上。(2)服务器配备多网卡架构。《大众日报》和齐鲁媒体数据中心的每台物理主机都配备了4张以上的千兆网卡。所有网卡均配备全双工模式，绑定物理网卡1端口和2端口，用于《大众日报》或《齐鲁媒体数据中心》的生产网络。每台物理主机的光纤网卡都与光纤交换机和存储设备相连。原结构软硬件无需任何调整。绑定免费物理主机网卡3端口和4端口，通过服务器接入交换机连接到网络媒体集团数据中心。物理主机网卡1端口和2端口属于大众日报或齐鲁媒体数据中心网络区域，物理主机网卡3端口属于网络媒体集团数据中心网络区域；通过双网卡绑定，可以实现一组网卡之间的冗余备份，提高虚拟机网卡的吞吐量和网络访问的稳定性。通过网络结构的转变，开放了大众日报、齐鲁媒体和网络媒体集团三个数据中心，为大众日报和齐鲁媒体数据中心的应用系统顺利迁移奠定了基础。复制大众日报和齐鲁媒体数据中心业务系统虚拟机，将虚拟机连接到物理主机网卡3和4端口，加入网络媒体集团数据中心网络区域。

这样，在网络媒体集团数据中心，建立了大众日报和齐鲁媒体数据中心所有业务系统的备份系统，在适当的条件下切换备份系统。(3)堡垒机。报业网络安全一体化平台部署了重点业务系统、重要数据、服务器、网络设备、数据库、安全设备等。软硬件设施运维人员众多，分散在大众报业集团下的不同部门和单位，尤其是很多系统维护需要厂家工程师、系统建设集成商等各种角色的技术人员参与系统和支持。④。为了安全可靠地运行软硬件，降低人为安全风险，避免安全损失，在网络安全一体化平台上配备了堡垒机。堡垒机逻辑上位于主机和网络设备前面，采用协议的方式，接管终端计算机访问主机和网络设备，操作和维护安全审计堡垒机可以拦截非法访问和恶意攻击，非法命令阻断，过滤目标设备的所有非法访问行为，内部人员误操作和非法操作审计监控，以便事后责任跟踪。(4)数据库审计系统。数据库审计系统是对用户访问数据库操作行为进行详细粒度分析和审计的安全系统。它可以提供实时监控、非法响应、历史行为追溯等操作分析功能。它可以详细、完整地记录数据库的访问行为，识别越权等非法操作，并可以追踪追溯性，为数据库的安全管理和性能优化提供决策依据。数据库审计系统部署在核心交换机上。通过设置端口镜像，将数据库的流量镜像进入数据库审计系统，实现数据库系统的操作审计。(5)Web应用防火墙。Web防火墙应用专门保护Web免费使用应用通信流和所有相关应用资源Web攻击协议或应用漏洞。网络安全一体化平台配置Web应用防火墙，串联在防火墙与核心交换机之间，启用光纤旁路功能，即当Web防火墙硬件应用出现故障时，网络流量直接物理导通，不进入Web应用防火墙。(6)灾备系统方案。优化报业集团关键业务应用系统备份策略，实现“2+1”模式部署，即在本地私有云上部署两套应用系统，租用阿里巴巴云或华为云等公共云网络资源，部署一套应用系统，确保极端情况下关键业务应用系统的连续性和安全性。

网络安全等级保护2.0对等级保护1.0进行了开发和改进，为网络安全保护工作的实施提供了有效的指导。在网络安全一体化平台建设过程中，报业集团按照网络安全等级保护2.0标准，利用服务器多网卡架构、增购配置日志审计、数据库审计、堡垒机、漏洞扫描等网络安全设备，构建报业集团网络安全一体化平台，为媒体集团在深度整合背景下的多数据中心整合建设和网络安全保护能力建设提供了参考。