王懌清

【摘要】當前時代，云計算技術實現(xiàn)了更普及的應用，其中私有云計算平臺建設在推進各行各業(yè)信息化建設方面的作用突出，故而已成其發(fā)展自身的關鍵方向之一。廣電私有云計算平臺建設，會影響自身整個信息系統(tǒng)架構，而私有云計算平臺安全防護體系建設也因此轉化為關鍵性問題。本文在闡述私有云計算平臺基本概念的基礎上，剖析了廣電私有云平臺安全防護體系建設重要性、安全風險，并從安全區(qū)域邊界、安全管理中心、安全計算環(huán)境、安全通信網(wǎng)絡及安全物理環(huán)境五個方面探索了安全防護體系的構建，以供參考與借鑒。

【關鍵詞】私有云計算平臺;安全防護體系;建設

中圖分類號：TN92? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ?DOI：10.12246/j.issn.1673-0348.2021.16.028

廣電業(yè)務由于具備政治屬性的緣故，兼具國家輿論宣傳職責，社會影響力大且關注度高，所以也更為嚴格的要求了安全防護。私有云計算平臺憑借自身安全系數(shù)高、風險低的優(yōu)勢，也得到了廣電行業(yè)的高度重視。但是，在應用私有云計算平臺的過程中，也暴露出虛擬環(huán)境威脅、網(wǎng)絡攻擊、邊界模糊等一系列全新的安全隱患。當前的網(wǎng)絡安全形勢日益嚴峻，廣電需要做好防護私有云計算平臺的工作，通過安全防護體系的建設，全面抵制各類風險及安全隱患，保障自身得以實現(xiàn)健康、穩(wěn)定的發(fā)展。

1. 私有云計算平臺簡介

該平臺通常表示單位通過自主建設運用的方式進行云基礎設施的構建，通過將相關業(yè)務及應用系統(tǒng)部署在私有云平臺上，此時能幫助單位提高云基礎架構掌握程度，不僅能達成傳統(tǒng)數(shù)據(jù)中心可靠、可信、可控及安全等特性，能在業(yè)務系統(tǒng)內組織管理業(yè)務應用及內容安全，同時也擁有公有云服務彈性應用、高性能和高質量等特點，支持隨時進行安全與彈性的調整和改善。

全媒體融合背景下，廣電行業(yè)也逐漸普及了私有云計算平臺的應用，根據(jù)現(xiàn)有的平臺構成來看，主要由物力資源層、管理中間件層、資源池層和面向服務構造層四層組成。其中，物力資源層包含計算機、數(shù)據(jù)庫、網(wǎng)絡設施和存儲等，管理中間件層負責云計算資源的管理、多個應用任務的調度、保障資源能為應用提供安全高效地服務，資源池層負責整合管理物力資源、轉化大量類型相同的資源為同構的計算資源池等資源庫，而面向服務構造層則是將接口和訪問提供給服務對象。

2. 廣電私有云計算平臺安全防護重要性

當前時代背景下，廣電在發(fā)展過程中有必要深入認識信息化程度的必要性，并以此為基礎逐步推進私有云計算平臺安全防護體系建設進程。通過不斷整合系統(tǒng)與架構，在加大成本控制力度的同時，有效提升平臺中心數(shù)據(jù)資源的利用率。廣電現(xiàn)代化發(fā)展進程中，私有云計算平臺安全防護建設、計算機桌面虛擬化及服務器虛擬化等已成為必然面對的關鍵選擇，而相關人員在這一過程中也逐漸對私有云平臺的作用及其在提高資源利用效率方面的作用形成了深刻認知，且明確了安全防護在保障資源安全、消除安全隱患及威脅方面的意義與價值。同時，通過安全防護的建設，還能促進業(yè)務創(chuàng)新可能性的增加、實現(xiàn)業(yè)務的靈活性。因此，落實私有云計算平臺安全防護體系建設十分重要。

3. 私有云計算平臺安全風險

3.1 傳統(tǒng)安全風險

傳統(tǒng)安全風險包含僵尸、蠕蟲、木馬及病毒等，是威脅私有云計算平臺的主要對象，且滲透至平臺內部之后會在短時間內傳播至極大的范圍，構成巨大風險。同時，私有云計算平臺也面臨了拒絕服務攻擊這一重要風險，云內至云外或云外至云內的攻擊行為，都會嚴重影響私有云計算平臺的安全性。私有云計算平臺內承載了主機、系統(tǒng)軟件、網(wǎng)絡設備、中間件層及數(shù)據(jù)庫等軟硬件設備及其他業(yè)務系統(tǒng)，此類系統(tǒng)也時刻面臨著暴力破解、SQL注入攻擊、安全漏洞風險或跨站點請求偽造等傳統(tǒng)安全風險。

3.2 云平臺風險

虛擬化新技術風險，也是威脅私有云計算平臺的一種主要風險。私有云計算平臺通過虛擬化技術和云計算技術的應用，池化服務器、網(wǎng)絡及存儲等物理資源后，會有高度自由的資源形成，并完成虛擬機的動態(tài)創(chuàng)建及遷移。而因虛擬機之間是很難監(jiān)控東西向流量通信的緣故，因此或許會發(fā)生惡意代碼感染并蔓延至虛擬機間或虛擬機彼此攻擊的情況，亦或是通過虛擬機漏洞的運用對宿主主機展開攻擊。同時，虛擬機在硬件資源共享或重新分配的過程中，也有發(fā)生信息泄漏情況的可能。此外，由于虛擬化會模糊資源邊界，導致傳統(tǒng)物理隔離被打破，此時平臺或許會出現(xiàn)管理復雜或安全邊界界限不清等情況。

4. 廣電私有云計算平臺安全防護體系建設

4.1 安全區(qū)域邊界

在保障私有云計算平臺區(qū)域邊界安全方面，在建設安全防護體系的過程中可進行WEB防火墻及云出口防火墻等安全產(chǎn)品的部署。防火墻以業(yè)務系統(tǒng)應用數(shù)據(jù)流向為根據(jù)，通過源地址、目的地址、協(xié)議細顆粒度、端口的配置，從而完成控制訪問的目標，在防火墻入侵防御功能的運用下，能將外部對內部發(fā)起的網(wǎng)絡攻擊行為及時阻斷，并在防火墻防病毒功能的作用下完成惡意代碼的檢測和清除，具備高效性、及時性。而將WEB防火墻配置在核心交換區(qū)域旁，能將應用層攻擊融合媒體業(yè)務Web站點及應用的情況有效規(guī)避。云內虛擬環(huán)境中，在完成虛擬防火墻的構建后，能為云內租戶區(qū)域邊界提供安全保障。

4.2 安全管理中心

廣電私有云計算平臺中，通過融合媒體安全云平臺的部署，結合安全資源池的構建，并在現(xiàn)有私有云平臺的運用下，能面向租戶提供入侵防御、VPN、防病毒、防火墻、漏洞掃描、負載均衡、數(shù)據(jù)庫審計、WEB應用安全防護、運維設計等諸多安全服務目錄。同時，廣電私有云計算平臺中，通過漏洞掃描系統(tǒng)的部署，能夠定期掃描業(yè)務系統(tǒng)和網(wǎng)絡設備，保障安全性。此外，通過日志審計系統(tǒng)的部署，能夠收集匯總各個設備上分散儲存的審計數(shù)據(jù)并展開集中分析。而通過數(shù)據(jù)庫審計系統(tǒng)的部署，能夠面向數(shù)據(jù)庫訪問行為展開全面實時的監(jiān)控，為數(shù)據(jù)庫運行的穩(wěn)定性提供保障，消除核心數(shù)據(jù)資產(chǎn)受損的可能性。在落實了運維審計系統(tǒng)的部署后，以運維人員為對象，細粒度授權其訪問過程，記錄并控制全過程操作、審計全方位操作，通過統(tǒng)一管理用戶和資源，有利于運維管理水平的提高，最終賦予平臺更可靠的安全性保障。

4.3 安全計算環(huán)境

廣電私有云計算平臺安全防護體系建設中，通過安全計算環(huán)境的構建，能夠有效提升運行效率及服務質量，保障平臺運行穩(wěn)定性。具體而言，可從下述幾方面進行構建：一是統(tǒng)一管理。私有云計算平臺安全防護體系建設中，需要保證管理工作的系統(tǒng)性和一致性，通過統(tǒng)一管理該體系操作端和服務器，為系統(tǒng)運行穩(wěn)定性提供保障。在管理業(yè)務終端時，可引入安全代理方式，依托安全管控器的運用高效管理服務器，并在具體管理中結合安全管控器安裝的方式，有效監(jiān)控管理終端及服務器。二是安全審計?；谟嬎悱h(huán)境安全保障角度，在信息安全審計工作開展中，需要引入針對性的措施，如增加日志功能的方式，而該功能不僅能在數(shù)據(jù)庫層面實現(xiàn)，同時也能在信息系統(tǒng)層面實現(xiàn)。具體實現(xiàn)過程中，需入手于安全管理中心，通過設置日志審計體系，依托該審計系統(tǒng)的運用對系統(tǒng)日志展開廣泛收集，在集中收集的信息資源后開展審計工作并完成審計報表的繪制。三是應用安全。在構建安全防護體系的過程中，需要謹記保障核心業(yè)務順利開展的目標?；谛畔踩Ｕ系慕嵌龋ㄟ^針對性維護措施的應用，有效鑒別用戶身份，并做好訪問控制及安全審計工作。同時，需立足于不同層面對系統(tǒng)聯(lián)動措施展開探索，圍繞系統(tǒng)核心業(yè)務推進安全防護工作的開展。四是基礎設施。廣電私有云計算平臺安全防護體系建設中，全面建設網(wǎng)絡基礎設施也是一大重點，如安全設施和實現(xiàn)平臺健康運行的支撐設施等。在建立與完善網(wǎng)絡基礎設施的基礎上，也要注重硬件支撐作用的發(fā)揮，可將平臺系統(tǒng)運行中產(chǎn)生問題的可能性規(guī)避，能為基礎設施提供全面性及實用性保障。值得一提的是，也要注重基礎安全設施的健全與優(yōu)化，將門禁系統(tǒng)引入機房中，全面監(jiān)控機房，消除安全隱患及風險產(chǎn)生的可能性。

4.4 安全通信網(wǎng)絡

廣電在構建私有云計算平臺安全防護體系的過程中，也需要從安全通信網(wǎng)絡入手，保障跨越訪問的安全性。由于平臺中資源池服務器等關鍵計算設備及核心交換機、通信線路等關鍵網(wǎng)絡設備中，皆已實現(xiàn)硬件冗余的緣故，具備了能將業(yè)務高峰期需要滿足的業(yè)務處理能力，且系統(tǒng)可用性極高，同時網(wǎng)絡安全也得到有效保障。針對平臺系統(tǒng)中的外來訪問，通過安全通信網(wǎng)絡的建立與健全，能為信息提供保密性及完整性保證。同時，能將平臺系統(tǒng)受外部環(huán)境干擾的情況規(guī)避，使信息傳輸?shù)恼麄€過程獲得安全性與保密性保障，消除不良信息對平臺系統(tǒng)侵害的可能。

4.5 安全物理環(huán)境

安全物理環(huán)境指的是在地理位置適宜的地區(qū)構建機房，控制機房方位，并面向防水防潮、防火、防雷擊、防破壞、防盜竊、電磁防護、溫濕度控制、防靜電等方面實施對應的防護措施，為持續(xù)供應電力提供保障。為了達成這一目標，廣電私有云平臺安全防護體系建設中，就需要將電子門禁系統(tǒng)、漏水檢測系統(tǒng)、自動消防系統(tǒng)、防盜報警系統(tǒng)、不間斷電源等產(chǎn)品引入機房建設中，賦予物理環(huán)境安全性保障。

5. 結語

綜上所述，持續(xù)推進的媒體融合背景下，廣電行業(yè)中也進一步普及了私有云計算平臺的應用。然而，由于網(wǎng)絡安全形式日益嚴峻的緣故，廣電也應當對平臺的安全防護予以更高的重視，從安全區(qū)域邊界、安全管理中心、安全計算環(huán)境、安全通信網(wǎng)絡及安全物理環(huán)境五個層面入手，面向私有云計算平臺構建安全防護體系，全面消除可能出現(xiàn)的威脅及隱患，為平臺的正常運轉提供保障，進而夯實廣電健康穩(wěn)定發(fā)展的基礎。

參考文獻：

[1]鞏耀曉.廣電私有云計算平臺的安全防護體系建設[J].現(xiàn)代電視技術，2020，（6）：117-119.

[2]高曉俊.廣電私有云平臺的建設思路[J].世界廣播電視，2017，031（004）：26-28.

[3]吳迪.電力私有云安全防護體系建設分析[J].通訊世界，2017，20（327）：35-36.

[4]陸蘊超.廣電私有云平臺云監(jiān)控的設計與應用[J].信息系統(tǒng)工程，2018，296（08）：37-37.

[5]蔡宏伍，趙雅嬌.廣電融媒體云平臺安全體系建設方案探析與實踐[J].廣播電視信息，2018，318（10）：106-110.