上海代写论文网专业提供代写毕业论文、代写本科论文服务
广电新媒体平台网络安全体系构建分析
发布时间:2020-07-29

  摘    要: 近年来,随着互联网的发展,各级广播电视台、融媒体中心陆续开发了自己的新媒体平台,但其普遍存在网络安全防护不足的问题。针对目前主流广电新媒体平台的混合云架构,本文设计了一种适用于广电新媒体平台的网络安全技术方案,基于“等保2.0”相关标准,从安全物理环境、安全通信网络、安全区域边界以及安全计算环境四个方面进行安全规划设计。

  关键词: 新媒体平台; 网络安全; 等保2.0;

  1 、引言

  随着网络强国建设的全面推进,全国各级广播电视台纷纷建立了自己的新媒体平台,许多市县的融媒体中心也如雨后春笋般涌现。新媒体平台具有传播快、范围广等技术优势,然而各种网络安全攻击和隐形威胁也如影随形。2019年5月,国家市场监督管理总局和中国国家标准化管理委员会发布了《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019),开启了我国网络安全“等保2.0”时代,针对新的安全形势提出了新的要求。

  2、 新媒体平台网络安全风险分析

  目前广电主流媒体新媒体平台技术架构大多由客户端前台CMS(Content Management System,内容管理系统)、用户内容汇聚中台以及为上述两个平台提供支持的公共服务组成。

  广电主流媒体新媒体平台面临的安全风险有以下几类:云平台风险,比如内部横向移动;网络风险,比如DDoS风险、链路窃听;应用风险,比如篡改、越权、Web Server漏洞、系统库风险、开源组件漏洞(框架层、语言层、第三方库);DNS(域名解析服务)风险,比如DNS劫持、DNS放大攻击、DNS漏洞、DNS管理系统越权;CDN(内容分发网络)风险,比如CDN劫持、CDN篡改、CDN漏洞;供应链风险,比如稿件与内容供应,及平台软硬件、网络、应急设备设施供应等;账号风险,比如身份盗用;系统和数据库运维风险,比如恶意篡改、恶意删除;人员风险,比如恶意篡改与发布、越权篡改与发布等。

  3、 新媒体平台网络安全技术方案架构

  新媒体平台安全网络架构如图1所示。根据业务流程和安全需求,可划分出四个安全域,分别是互联网、公有云、私有云及安全管理中心。“用户内容汇聚中台系统”“客户端前台公有云系统”部署在公有云,“客户端前台私有云系统”部署在私有云,二者共用安全管理中心。根据云平台与应用系统须分别定级,且云平台的安全保护等级不能低于所承载信息系统的安全保护等级的原则,选用的云平台的安全保护等级为三级。公有云与私有云通过专线连接,私有云与平台系统通过专线连接,互联网出口统一汇总到公有云,所有边界通过防火墙进行隔离和边界管控。
 

广电新媒体平台网络安全体系构建分析
 

  从互联网进入公有云的流量通过公有云入口直接进入安全产品组件。安全组件包括流量监控、防DDoS攻击、WAF(Web应用防火墙)、堡垒机、数据库审计和态势感知等。其中流量监控和防DDoS攻击可以及时发现异常流量并进行清洗;WAF可以防范针对Web的网络攻击;加密机的数据加密、签名验签可以防止网站篡改;堡垒机和数据库审计可以对用户的异常行为进行审计;态势感知可以对公有云的资产进行管理,对安全基线进行检查,对安全事件进行报警。

  在公有云内运行的各个业务系统的物理主机上安装基于物理主机的主机防护系统,在虚拟机上安装基于虚拟机的主机防护系统。在公有云机房部署两台基于SSL(Security Socket Layer,安全套层协议)的VPN,通过双活模式部署,用于运维登录准入。用户认证采用账号密码和证书双因素认证,同时采用全隧道模式,通过访问控制禁止访问互联网。

  从边界防火墙进入私有云的数据首先通过在私有云入口处部署的分光器和分流器镜像至安全产品组件。私有云的安全组件包括流量监控、安全组件隔离、漏洞扫描、数据库审计、WAF和态势感知。其中安全组件隔离可以通过安全组设置不同的安全策略和权限;WAF可防范针对Web的网络攻击;堡垒机和数据库审计可以对操作人员及运维人员行为进行审计;态势感知可以对私有云的资产进行管理,对安全基线进行检查,对安全事件进行报警。私有云的运维通过专线与工作区相连,对私有云进行技术运维、安全运维和内容审核。

  4 、新媒体平台网络安全技术方案设计

  4.1、 安全物理环境

  私有云平台机房建议形成同城异地互备的双活机房,同时建立数据备份机房,形成两地三中心的灾备架构。其余防火、防静电等应按照“等保2.0”标准中的要求实现。

  4.2、 安全通信网络

  (1)网络架构

  公有云与私有云之间通过防火墙进行隔离,私有云可划分为不同的网络区域,并根据方便管理和控制的原则为各网络区域分配地址。客户端前台私有云系统使用独立VPC(Virtual Private Cloud,虚拟私有云),VPC内部通过云防火墙策略进行逻辑隔离。每个VPC内的服务器IP地址不应与其他VPC内的IP地址重复,以便通过IP直接定位服务器。每个应用系统的服务器资源应部署在同一安全组内,系统内的不同模块应当用不同安全组分隔,仅允许业务间固定端口和IP互访。

  图1 新媒体平台安全网络架构示意图
图1 新媒体平台安全网络架构示意图

  (2)通信传输

  通信链路传输均采用了加密通信协议,确保通信双方通信过程数据的保密性和完整性。部署于私有云上的客户端前台私有云系统以及各系统内部子系统之间通信链路均采用HTTPS进行通信,各应用系统采用HTTPS或TLS(Transport Layer Security,安全传输层协议)对中间件、数据库进行调用,系统与CDN的链路采用HTTPS协议。APP基于SSL/TLS协议。

  4.3 、安全区域边界

  (1)边界防护

  私有云和公有云之间采用防火墙实现端口隔离,同时通过防火墙的ACL(访问控制列表)、产品白名单对访问公有云的应用进行访问控制;部署Web应用防火墙,通过内置的多种防护策略,实现对SQL(结构化查询语言)注入、XSS(跨站脚本)跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击等的安全防护,通过域名DNS牵引流量,不暴露服务器地址、避免绕过Web应用防火墙直接攻击;在公有云的运维区交换机上绑定运维设备的MAC地址;根据业务流向及服务开放范围,通过VPC内部云服务器安全组策略对IP、端口、服务等进行受控通信;通过安全网关和虚拟交换机的策略对非授权用户连接外部网络的行为进行限制;禁用无线网络。

  私有云安全域的边界防护包括:私有云通过防火墙与公有云进行隔离;通过安全网关和虚拟交换机的策略对非授权用户连接外部网络的行为进行限制;禁用无线网络;采用IP源防护的策略在交换机(接入层交换机、综合接入交换机)上对接入设备的MAC地址进行绑定,确保非授权设备不能访问网络。

  (2)访问控制

  私有云在访问控制方面实行统一策略,按照白名单机制开启端口;采用云服务器的安全组和负载均衡的白名单实现对IP、端口和协议的限制,保证访问控制规则数量最小化。

  (3)入侵防范

  在公有云机房的网络出入口、数据库、存储等关键节点部署态势感知和WAF产品,检测、防止或限制攻击行为,同时基于威胁情报和本地行为分析,对未知的APT(Advanced Persistent Threat,高级可持续威胁攻击)进行分析[1],对发现的攻击入侵行为进行报警。

  (4)恶意代码

  公有云应用系统安全域部署防病毒软件,对恶意代码进行检测和清除。

  私有云应用系统安全域在物理主机上部署基于主机的入侵检测系统,在云服务器上部署防病毒产品,对恶意代码进行检测和清除;同时部署态势感知系统,一旦发生异常行为,由运维人员进行人工处置。

  (5)安全审计

  在网络边界和重要网络节点进行安全审计,收集和存储互联网与公有云边界、公有云与私有云边界、公有云、私有云内的堡垒机、入侵检测系统、WAF等产品设备的日志信息和用户登录的日志信息,审计日志存储和备份在大数据计算服务,存储时间不少于180天。数据库审计包括两种,一是SQL审计,二是数据库产品审计。

  4.4 、安全计算环境

  (1)身份鉴别

  等保三级应用系统平台侧建议使用“用户口令+USB Key”身份鉴别方案。移动端建议使用“生物识别+TEE(Trusted Execution Environment,可信执行环境)”身份鉴别方案。

  私有云的虚拟服务器、网络(VPC、安全组)、数据库实例等统一通过软件堡垒机登录,无其他访问路径;软件堡垒机使用“口令+动态令牌”实现身份鉴别,登录链接使用HTTPS或SSH(Secure Shell,安全外壳协议)。

  私有云物理主机、物理网络设备、安全网关、加密机等统一通过物理堡垒机登录,无其他访问路径;物理堡垒机登录调用USB Key控件对用户ID+随机因子+时间因子进行签名运算,登录链接使用HTTPS或SSH。数字证书采用国密算法。

  (2)访问控制

  公有云的访问控制在云资源账号管理的基础上,对云上应用系统用户权限进行划分。所有应用系统用户每人一个账户,并删除所有默认账户和共享账户;根据业务需要,按角色分配每个人的权限,如一般人员、管理员等,用户权限分离,确保权限最小化。

  (3)安全审计

  审计内容包括应用安全方案审计、系统及应用架构审计、网络边界防御审计、云产品安全配置审计、安全产品运行审计、反入侵检测机制运行审计、身份认证及权限审计、人员操作审计8个部分。例如系统与应用操作流程审计记录包括PC供稿、稿件、网站等相应操作,云安全产品审计中的主机安全审计包括进程启动、网络连接、登录流水、账号信息、端口监听信息、全量进程信息等。业务系统的操作审计有业务应用系统本身权限进行控制保护,账号审计和主机审计有相应的授权保护。

  (4)入侵防范

  在公有云物理主机部署基于主机的入侵检测产品,在云服务器部署基于云主机的入侵检测系统,能够对整个计算环境的入侵进行检测和报警。在堡垒机上通过网络ACL限制接入终端IP地址进行入侵防范。网站系统、客户端APP子系统通过部署反入侵检测系统,实现病毒检测告警、文件安全检测告警及进程信息采集、内部网络异常检测、账号登录安全检测、安全扫描等功能。通过收集告警和行为日志,经过大数据模型和算法进行数据分析、检测等。发现异常行为事件进行安全告警、快速响应、紧急补救与溯源。

  在私有云物理主机上部署了主机入侵检测系统,用来检测针对物理机的入侵检测,具体包括收集SQL日志,分析异常SQL行为,检测注入攻击等功能;在虚拟机上部署基于主机的安全防护系统,通过采集命令进程、网络通信、文件读取等操作,分析虚拟机是否被入侵;在三级区域平台侧,部署基于主机的入侵防护系统,通过收集物理机及虚拟机的日志,检测攻击者是否通过虚拟机逃逸或者其他云产品漏洞侵入物理机。

  私有云同时部署终端管理系统对区域内的服务器和终端非法接入和非法外联进行控制,集中配置并分发违规外联报警、流量采样及监控、文件输出审计、终端代理扫描等多种违规外联监控策略。

  私有云对交换机上的流量镜像进行攻击检测,对恶意文件进行检测和针对新型攻击的检测,通过在交换机开启802.1x协议,限制接入的终端IP地址,同时通过堡垒机进行网络管理,在网络设备上设置策略,限制用户登录。

  按照业务需求进行梳理,仅开放业务功能所需的服务和端口。

  (5)恶意代码防范

  公有云和私有云应用系统安全域的恶意代码防范通过入侵检测系统实现。

  (6)数据完整性

  数据完整性通过签名和验签防止审计和追溯的行为抵赖,同时通过签名和验签实现内容防篡改的功能。

  系统内容数字签名:各个应用系统之间的信息数据流采用硬件加密机实现签名验证,防止稿件内容篡改,数据签名采用国密算法。

  发布系统推送到CDN的内容验证:CDN针对资源每次命中都进行完整性校验,Web服务器调用加密机验证证书有效性和签名值有效性。

  私有云系统应用层面采用HTTPS传输,运维通过VPN和SSH进行,移动终端和平台API(应用程序接口)接口以及数据加密、客户端加解密过程中使用随机生成的密钥,并与设备绑定。

  (7)数据保密性

  公有云上的应用系统全链路通信采用HTTPS协议,保证传输过程中的保密性;系统使用的数据库密码、云数据库密码等通过密钥管理服务加密处理。

  (8)数据备份恢复

  技术平台公有云部分在本地形成主备中心,私有云除了双中心外,建议建设异地备份中心。中心之间通过光纤互联,实现数据复制和传输。

  (9)剩余信息保护

  本项目应用系统的鉴别信息包括口令、认证信息等,存储的信息包括稿件信息、人员信息等,将在应用系统开发时设定安全策略,保证鉴别信息和敏感信息所在的存储空间被释放。

  (10)个人信息保护

  根据平台系统的浏览、供稿、编审、发布、运维等不同业务场景,基于“最小够用”原则明确需采集的个人信息字段范围,对于群众、编审批工作人员、运维人员等不同角色,采集时明确向其告知采集个人信息所用的业务目的,并基于需求,对个人信息执行最小范围的使用和存储。上述信息均须在隐私政策中进行说明,在用户注册环节向用户展示隐私政策的内容,并获取用户的明示同意。

  5、 结语

  本文提出了一种适用于广电新媒体平台的网络安全技术方案,从安全物理环境、安全通信网络、安全区域边界以及安全计算环境四个方面作了具体的实施设计,可增强广电新媒体平台网络安全防护能力。

  参考文献

  [1]林龙成,陈波,郭向民.传统网络安全防御面临的新威胁:APT攻击[J].信息安全与技术,2013,4(3):20-25.

对应分类:
下一篇:没有了
版权所有:上海论文网专业权威的论文代写、论文发表的网站,秉承信誉至上、用户为首的服务理念,服务好每一位客户
本站部分论文收集于网络,如有不慎侵犯您的权益,请您及时致电或写信告知,我们将第一时间处理,邮箱:shlunwen@163.com