云平台数据安全融合媒体云平台安全设计与实践( 三 ) 安全

文章图片

2.2云平台总体设计
根据河南电视台融合媒体云平台的业务需求，设计了符合河南电视台自身特点的网络安全框架，如图3所示。
按照广电总局同等保障要求，省级台的播出和新闻为三级保障，其他制作系统为二级保障，因此综合媒体云平台上的系统是按照二级保障来设计的。

文章图片

2.3云平台网络拓扑
根据系统建设、安全域划分等安全需求，绘制融合媒体云平台拓扑图。
从图4看，整个网络分为互联网、互联网接入区、融合媒体云平台、内部安全边界和现有的制播网络，其中融合媒体由专属云、高安全性和私有云组成。
1.互联网接入区和专属云是一个安全域，这意味着互联网接入区保护专属云的安全。这个域的主要工作是与互联网互联，也是一个外部安全边界；
2.高安全区和私有云是一个安全域，即高安全区是专属云和私有云之间的安全边界，高安全区内有协议网关、安全网关、DMZ区域和文件安全传输设备进行安全防护；
3.私有云是二级安全系统，广播网络是三级安全系统。私有云和广播系统受到防火墙和入侵防御设备的保护。
2.4边界安全设计
在云平台的整体设计中，我们设计了两个安全边界，即外部安全边界和内部安全边界。但基于对现有制播网络安全的考虑和后续项目对云的规划，我们在私有云和私有云之间设计了高安全性。
1.互联网接入区的设计
我们在互联网边界使用双出口，选择两个运营商保证链路冗余，两个路由器设备和两个链路负载均衡设备进行链路间的负载均衡。在出口处部署了两个防火墙来配置网络地址转换功能。部署两个入侵防御设备来抵御外部攻击。部署了两个在线行为管理器来审计和控制用户的在线行为。所有安全设备都部署在主备模式下，会话信息通过心跳线实时同步，确保网络链路切换时服务不中断。
2.高安全设计
主要考虑的是，私有云还应该与制作和广播网络共享节目和资料。为了保证现有制播网络的安全，而私有云又是二级安全，那么私有云就需要有一个安全边界，也就是一个高安全区。我们在融合媒体云平台上使用H3C SecPath M9006集成安全网关设备，集成了访问控制、入侵防御和恶意代码防御功能，可以根据业务访问需求统一配置安全网关，实现防护功能。在安全数据交换中，我们根据不同的需求采用协议网关、文件安全传输设备等不同的安全设备，并根据主备或集群的部署方式保证高可用性。
3.内部安全边界
内部安全边界是在整合媒体云平台项目之前搭建的，这里不再赘述。
2.5云平台安全设计
云平台是这个融合媒体云平台建设的核心，包括虚拟化安全、网络安全、主机安全、应用安全和数据安全设计。
1.虚拟化安全设计
虚拟化安全包括物理设备、虚拟化计算、虚拟化网络、虚拟存储和安全管理。
从物理设备安全的角度来看，计算设备、网络设备和存储设备都是按照冗余设计的。无论什么样的物理设备出现故障，都不会影响整个虚拟化平台的使用。参见图5。