云平台数据安全融合媒体云平台安全设计与实践( 四 ) 安全

2.网络安全设计
网络安全主要从入侵防御、恶意代码防范和安全审计入手。具体设计如图6所示。

文章图片

在云平台运维领域，我们部署了网神SecFox Fort和360虚拟化安全管理系统。操作和维护人员通过堡垒和基础机器访问所有设备，包括计算、存储和交换机的操作日志，并通过堡垒和基础机器访问虚拟化安全管理系统。各种日志也有记录，以便审计系统查询和定位事故原因。为事故前预测报警和事故后实时处理提供详细可靠的依据和支持，有效追溯违反系统安全规则事件的发生地点、过程和责任人。
3.主机安全设计
轻代理客户端安装在虚拟终端上，通过安全策略从管理端分发到虚拟主机，实现虚拟化环境的防病毒管理。我们在这个项目中使用了360虚拟化安全管理系统。
4.应用安全设计
应用安全可分为内网和外网。由于私有云以Web的形式提供外部访问，因此在私有云的安全边界上进行Web防护，这一功能由安全网关实现。对于外部Web访问，我们在互联网访问区域的专属云端部署了Web防火墙，以保证Web访问的安全性，保护网页不被篡改。
2.6媒体存储安全性
在这个项目中，我们使用了EMC的Islion集群NAS存储和四个X410分布式存储节点，每个节点由一个后端网络和一个前端网络组成，每个节点的后端网络通过IB卡连接两个IB交换机，保证冗余，主要负责节点之间的数据交换；前端网络通过万兆网卡连接两台万兆交换机，保证冗余，主要负责与来访主机的数据交换。
隔离数据保护通过节点冗余实现，即N+M模式，其中N为数据位，M为奇偶校验位。这次我们用了4个节点，也就是3+1模式。当一个节点存储失败时，也正常使用，然后根据其他节点上的数据进行恢复。
任何分布式存储中都有元数据文件。对于Islion元数据文件，它们存储在每个节点上。同时进行数据同步，保证原始数据的一致性。当任何一个节点出现故障时，都会从其他节点读取，以保证正常的外部服务。
2.7码头安全设计
网络边界安全和云平台安全的设计已经完成，只剩下终端安全的设计。我们在专属云中使用360终端安全管理系统和网络安全接入系统，让轻量级的天晴客户端软件安装在PC终端上，由管理中心统一配置。

文章图片

3融合媒体云平台的安全应用
融合媒体云台在建设之初就考虑了应用创新和安全接入，主要从应用服务安全、文件传输安全、文件多分发、非编辑工具安全扩展和云非编辑安全接入等方面进行考虑。
3.1应用服务安全性
融合媒体云模式下，所有PaaS服务和SaaS服务都部署在统一的IaaS上，通过虚拟化安全的特性，保证了每台虚拟机的安全运行。在虚拟化模式下，外部服务主要采用B/S访问模式，这就要求我们的应用服务是B/S架构。
出口安全网关是整个私有云的唯一出口，保护私有云内的PaaS服务、数据库服务、检索服务、调度服务、消息服务、缓存服务、应用服务等核心服务。专用的云和办公网络访问应用服务，然后应用服务访问数据库。同时，根据软件访问的要求，在安全网关配置安全策略，防止通过应用层非法入侵。
3.2文件传输安全性
在本项目中，文件安全传输系统主要完成文件材料的安全进出系统，通过办公网络中的B/S接口上传到目标系统，在相关系统中注册，在融合媒体系统中通过进程驱动传输到目标系统，并进行注册。同样，从私有云的目标系统，可以导出到融合媒体系统和办公网络，供系统和用户下载使用。