◆馬翔 沈曙 丁旭東

“數(shù)智傳媒”融媒云的網(wǎng)絡(luò)安全規(guī)劃

◆馬翔 沈曙 丁旭東

（浙江省湖州市新聞傳媒中心 浙江 313000）

融媒體是時代發(fā)展的產(chǎn)物，其能夠?qū)⒓堎|(zhì)媒體與新媒體等媒體進(jìn)行全面整合，將各媒體的優(yōu)劣進(jìn)行整合處理，讓各類資源以及內(nèi)容能夠相互補充相互兼容。在當(dāng)下的社會環(huán)境中，融媒體相較于傳統(tǒng)的媒體形式更具影響力，傳播范圍也更廣。在當(dāng)下融媒體的發(fā)展趨勢下，融媒云成了媒體宣傳的重要一環(huán)，而其網(wǎng)絡(luò)安全，就成了該種媒體形式發(fā)展的前提條件。本文以當(dāng)下的融媒體背景下“數(shù)智傳媒”融媒云的網(wǎng)絡(luò)安全規(guī)劃進(jìn)行深入探討，供相關(guān)讀者參考。

“數(shù)智傳媒”；融媒云；網(wǎng)絡(luò)安全規(guī)劃

湖州市新聞傳媒中心為認(rèn)真貫徹落實中央關(guān)于加快推進(jìn)媒體深度融合發(fā)展的部署要求，積極探索以數(shù)字化改革賦能市級主流媒體融合創(chuàng)新模式，打造全省領(lǐng)先、全國有影響力的區(qū)域龍頭新型主流媒體，經(jīng)過兩年持續(xù)發(fā)展目前業(yè)務(wù)架構(gòu)逐步成型，已建設(shè)了以私有云為基礎(chǔ)、阿里云、天翼云為輔助的混合云架構(gòu)，業(yè)務(wù)涵蓋報紙、雜志、廣播、電視、網(wǎng)站、手機(jī)移動端、政務(wù)服務(wù)，初步建成“新聞+新政務(wù)、新服務(wù)、新商務(wù)”為核心新型傳播平臺。而網(wǎng)絡(luò)安全工作是信息化建設(shè)中最重要的一環(huán)，在此以“數(shù)智傳媒”的安全規(guī)劃為例做簡要介紹。

1 “數(shù)智傳媒”融媒云進(jìn)行安全域的劃分

“數(shù)智傳媒”融媒云結(jié)合私有云、阿里云和電信天翼云，采用主流混合云技術(shù)架構(gòu)，為實現(xiàn)聚焦“突出4個升級、打造4個平臺、構(gòu)建4個體系”、建設(shè)高效的一體化內(nèi)容生產(chǎn)體系和全媒體傳播體系的目標(biāo)，采取“移動優(yōu)先、用戶優(yōu)先、數(shù)據(jù)優(yōu)先”的理念來打造具有流程智能化、媒資管理數(shù)字化的新聞生產(chǎn)傳播平臺，推動中心數(shù)字化改革建設(shè)工作的同時實現(xiàn)與各部門協(xié)同、流程再造的模式。目前已承載了中心南太湖號新聞APP、南太湖智能采編系統(tǒng)、中心OA流程系統(tǒng)、財務(wù)流程系統(tǒng)、96345服務(wù)平臺、指尖飯卡、手機(jī)商城等業(yè)務(wù)系統(tǒng)，匯聚了中心紙媒、廣播電視、網(wǎng)站、新聞客戶端等綜合應(yīng)用數(shù)據(jù)。

在“數(shù)智傳媒”融媒云中多個不同的業(yè)務(wù)系統(tǒng)運行于不同的虛擬化環(huán)境[1]。在融媒云中不按私有云或公有云機(jī)房環(huán)境區(qū)分，而是按業(yè)務(wù)邏輯的不同劃分不同的安全域，不同安全域設(shè)置不同訪問控制策略，限制非法的訪問，控制信息流向。在融媒云的網(wǎng)絡(luò)層還規(guī)劃了南北向和東西向流量安全模型，云平臺與互聯(lián)網(wǎng)之間部署南北向邊界防火墻和應(yīng)用防火墻（WAF）、入侵檢測/入侵防御設(shè)備，發(fā)現(xiàn)和防護(hù)從外部而來的各種攻擊。不同安全域之間則以東西向防火墻精細(xì)控制內(nèi)部信息與數(shù)據(jù)的流向，邏輯隔離不同業(yè)務(wù)區(qū)域和不同租戶之間的數(shù)據(jù)，最大程度減小安全事故發(fā)生時的危害范圍。以該種形式，進(jìn)一步加強對用戶信息的保護(hù)，降低個人私人信息泄露的可能，為人們提供一個更為安全的瀏覽環(huán)境以及網(wǎng)絡(luò)環(huán)境。并且經(jīng)由該種形式，也能夠更為清晰地劃分所有形式的訪問行為，減少安全事故所引發(fā)的信息泄露問題。

2 “數(shù)智傳媒”融媒云采用了多級防御的安全體系

“數(shù)智傳媒”融媒云面臨的安全狀況與傳統(tǒng)云平臺不同。中心通過一體化內(nèi)容生產(chǎn)體系打通中心內(nèi)部各部門、各媒體間稿庫數(shù)據(jù)，利用AI能力與大數(shù)據(jù)分析實現(xiàn)智慧創(chuàng)作，在各業(yè)務(wù)系統(tǒng)平臺之間逐步實現(xiàn)統(tǒng)一身份認(rèn)證和單點登錄能力，實現(xiàn)內(nèi)部稿件的完全流轉(zhuǎn)，成品數(shù)據(jù)的自動入庫[2]?！皵?shù)智傳媒”融媒云平臺還接入了新的智慧業(yè)務(wù)運營場景：如南太湖號APP中打通用戶數(shù)據(jù)接入了指類飯卡應(yīng)用（在線消費類）、手機(jī)商城系統(tǒng)、老北街直播秀場、少兒短視頻大賽等新玩法，新建了MCN生產(chǎn)系統(tǒng)，集自助注冊、身份認(rèn)證、投稿報料、取用追蹤、數(shù)據(jù)統(tǒng)計等于一體，助力構(gòu)建多渠道網(wǎng)絡(luò)的UGC/PGC內(nèi)容生態(tài)，為內(nèi)容生態(tài)圈品牌沉淀和后續(xù)管理運營打好前置基礎(chǔ)。

由于在新應(yīng)用場景的部署與使用過程中往往優(yōu)先注重于應(yīng)用所提供的服務(wù)內(nèi)容、服務(wù)質(zhì)量，而容易忽略應(yīng)用本身的安全性。針對融媒云業(yè)務(wù)數(shù)據(jù)橫向打通的現(xiàn)狀內(nèi)部建設(shè)了多級安全防御體系：第一級防御系統(tǒng)是基于主機(jī)對于網(wǎng)絡(luò)環(huán)境的檢測，通過對信息內(nèi)容來判斷數(shù)據(jù)的來源和安全性，將檢測到的信息進(jìn)行分類，以此來提高用戶的信息安全性；第二級防御系統(tǒng)則針對融媒中執(zhí)行未知文件的分析與檢測，通過部署的輕殺毒代理來對環(huán)境中用戶的操作進(jìn)行安全防御，以免未知文件中藏有病毒或者其他程序，破壞用戶信息數(shù)據(jù)；第三級防御系統(tǒng)則是指云端程序動態(tài)分析系統(tǒng)，通過對各類用戶行為的AI分析提供安全阻斷的防御功能，有效地保障用戶的信息安全，確保融媒云的穩(wěn)定與可靠。通過該種方式，來分析所有的用戶行為，一方面能夠保障用戶在自身權(quán)限范圍內(nèi)完成信息提取活動，另一方面，能夠減少惡意訪問行為，杜絕各類惡意訪問行為進(jìn)入到整個系統(tǒng)當(dāng)中。以該種形式，來進(jìn)一步保障信息的安全性。并通過多級安全防御體系的方式，層層遞進(jìn)的提高信息安全性，減少信息數(shù)據(jù)泄露的可能，并做好對各類惡意攻擊的有效防護(hù)。

3 在“數(shù)智傳媒”融媒云中逐步貫徹“零信任”+邊界信任的安全模型

近年來傳統(tǒng)的病毒、木馬等以惡意代碼為主的攻擊方式正在逐步被APT、協(xié)同攻擊等基于行為的攻擊方式所取代[3]。雖然“數(shù)智傳媒”融媒云目前已經(jīng)構(gòu)建了以邊界防御為主、兼顧縱深防護(hù)的云安全防護(hù)體系，但在新應(yīng)用快速上線，攻擊手段日新的現(xiàn)狀下，逐步增加“零信任”安全模式作為邊界信任安全模式的補充勢在必行。只有做好對各類攻擊模式的應(yīng)對措施，方能進(jìn)一步減少被惡意攻擊的可能性，進(jìn)一步提高網(wǎng)絡(luò)信息的安全性。零信任安全網(wǎng)絡(luò)架構(gòu)在一個簡單的以及眾所周知的前提之上，也就是在相關(guān)系統(tǒng)以及防火墻運行的過程中，對任何網(wǎng)絡(luò)內(nèi)部以及外部的訪問行為、設(shè)備命令以及系統(tǒng)命令等持以不信任的態(tài)度，同時也包括了對傳統(tǒng)網(wǎng)絡(luò)邊界保護(hù)的不信任。零信任并非是一種對安全系統(tǒng)的全面顛覆，其主要理念以及原則是自網(wǎng)絡(luò)安全領(lǐng)域誕生以來就已經(jīng)存在已久的公認(rèn)原則。其分別為最小特權(quán)原則、需要指導(dǎo)原則以及深層防御原則。根據(jù)以上原則，零信任網(wǎng)絡(luò)安全構(gòu)架能夠確保所有資源處于安全狀態(tài)下，能夠被安全訪問，并且其訪問活動的局限性更低；在訪問的過程中，能夠?qū)崟r記錄與檢查其訪問流程所占用的流量；并在整個訪問活動中，強制執(zhí)行最小特權(quán)原則，用戶只能在自己的權(quán)限范圍內(nèi)完成相關(guān)信息的讀取以及存儲。

對于運行于“數(shù)智傳媒”融媒云中的應(yīng)用來說，傳統(tǒng)的網(wǎng)絡(luò)安全邊界已日漸模糊，單純在網(wǎng)絡(luò)邊界上進(jìn)行隔離，對于網(wǎng)絡(luò)內(nèi)部運行的資產(chǎn)、用戶無條件信任已不符合安全要求。當(dāng)前“數(shù)智傳媒”融媒云已開始建立統(tǒng)一身份認(rèn)證體系，針對新對接進(jìn)入融媒云的應(yīng)用不再以信息系統(tǒng)所在工作區(qū)域、網(wǎng)絡(luò)位置做為判別是否可信的決定因素，以SDP架構(gòu)進(jìn)行安全設(shè)計，假設(shè)應(yīng)用系統(tǒng)一直工作在非信任的網(wǎng)絡(luò)環(huán)境，只有通過了統(tǒng)一身份系統(tǒng)的認(rèn)證和授權(quán)才能最終獲取合法運行權(quán)限。當(dāng)然在“數(shù)智傳媒”的融媒云平臺中“零信任”的運用還只是剛剛起步，但相信隨著智媒云平臺中新應(yīng)用的越來越多，“零信任”+邊界信任的模式將會成融媒云安全模型中的主流。通過零信任安全系統(tǒng)構(gòu)架，能夠進(jìn)一步減少供給面，并且保護(hù)擁有相關(guān)權(quán)限的用戶正常訪問相關(guān)信息，減少相關(guān)數(shù)據(jù)在訪問的過程中，出現(xiàn)數(shù)據(jù)泄露以及丟失等惡劣事件，并且能夠拒絕各類未授權(quán)的訪問活動，在數(shù)據(jù)安全方面，具備較高的應(yīng)用價值。零信任可以通過云服務(wù)的方式交互，同時，也可以通過獨立方案的方式，交付給相應(yīng)的用戶。

4 “數(shù)智傳媒”融媒云平臺中強化數(shù)據(jù)安全的保護(hù)

“數(shù)智傳媒”融媒云平臺中數(shù)據(jù)安全非常重要[4]。傳統(tǒng)新聞單位以往的工作模式下各個部門都是以單獨部門、系統(tǒng)為單位進(jìn)行工作，業(yè)務(wù)相互之間隔斷、資源獨立，無法有效資源共享。在“數(shù)智傳媒”中改變了傳統(tǒng)縱向融合的方式，采用橫向打通，數(shù)據(jù)由點匯聚成面，實現(xiàn)全域融合。但也正是因為各平臺融合更加徹底，形成了個人、部門、系統(tǒng)、業(yè)務(wù)甚至跨業(yè)務(wù)的全形態(tài)數(shù)字資產(chǎn)管理，在項目二期建設(shè)中還規(guī)劃了通過數(shù)據(jù)中臺標(biāo)準(zhǔn)化協(xié)議開放了其基礎(chǔ)設(shè)施層、能力層、數(shù)據(jù)層在內(nèi)的全部數(shù)據(jù)及服務(wù)能力，今后海量的數(shù)據(jù)信息將會逐步匯聚于“數(shù)智傳媒”融媒云，一旦發(fā)生數(shù)據(jù)泄露，安全威脅非常大。

為了確保中心“數(shù)智傳媒”融媒云的信息數(shù)據(jù)的安全性、可用性和可控性，增強媒體云抵御數(shù)據(jù)安全風(fēng)險的能力，針對“數(shù)智傳媒”融媒云可能發(fā)生的數(shù)據(jù)泄露風(fēng)險、隔離失效的風(fēng)險，融媒云以數(shù)據(jù)泄露風(fēng)險為基準(zhǔn)全面進(jìn)行數(shù)據(jù)風(fēng)險管控，部署入侵防護(hù)/網(wǎng)絡(luò)探針系統(tǒng)，初步具備發(fā)現(xiàn)可疑/非法網(wǎng)絡(luò)行為、自動報警、攔截防護(hù)、提供云端技術(shù)指導(dǎo)等AI安全能力，為整個平臺提供敏感數(shù)據(jù)泄露的安全防護(hù)能力。同時融媒云數(shù)據(jù)在傳輸過程中經(jīng)過了完整數(shù)據(jù)加密，網(wǎng)絡(luò)設(shè)計了架構(gòu)冗余，數(shù)據(jù)可以多份備份，確保云平臺上的各種用戶數(shù)據(jù)的隱私不被泄露，業(yè)務(wù)信息系統(tǒng)的數(shù)據(jù)安全不丟失。

5 “數(shù)智傳媒”融媒云的安全管理

安全管理是整個中心融媒云安全體系中非常重要的部分，在當(dāng)前大數(shù)據(jù)云計算背景之下，安全管理形勢愈發(fā)復(fù)雜[5]。湖州市新聞傳媒中心在成立了“數(shù)智傳媒”建設(shè)工作領(lǐng)導(dǎo)小組，由中心領(lǐng)導(dǎo)負(fù)責(zé)安全建設(shè)的日常統(tǒng)籌協(xié)調(diào)工作。同時成立工作專班組發(fā)揮牽頭作用，明確責(zé)任、統(tǒng)一指揮、設(shè)立制度、細(xì)化管理，統(tǒng)籌落實相關(guān)安全工作責(zé)任，強化工作協(xié)作推進(jìn)，切實形成工作合力。其次成立專職的安全技術(shù)部門具體負(fù)責(zé)日常安全運維工作，設(shè)立具備專業(yè)安全資質(zhì)的安全技術(shù)崗協(xié)調(diào)各安全廠家工作。最后通過大數(shù)據(jù)的手段讓“數(shù)智傳媒”融媒云中諸多網(wǎng)絡(luò)、安全設(shè)備、云安全產(chǎn)品接入到U-Center系統(tǒng)，從而讓過去的單一性安全事件具有了整體性和關(guān)聯(lián)性。

網(wǎng)絡(luò)安全工作是融媒云建設(shè)工作的重要一環(huán)，“數(shù)智傳媒”融媒云以等保三級相關(guān)標(biāo)準(zhǔn)為依據(jù)構(gòu)建整體安全方案，設(shè)計了立體化、縱深化的網(wǎng)絡(luò)安全防御體系，確保了承載湖州市新聞傳媒中心一體化內(nèi)容生產(chǎn)體系、全媒體傳播體系、大數(shù)據(jù)運用體系和全方位的服務(wù)體系的安全能力，為實現(xiàn)湖州市新聞傳媒中心全流程智能協(xié)同、全業(yè)務(wù)智慧運營、全領(lǐng)域智庫服務(wù)，為大數(shù)據(jù)時代下的媒體數(shù)字化轉(zhuǎn)型保駕護(hù)航。

[1]姚育翠，胡寶勝.縣級融媒體中心信息安全體系建設(shè)實踐[J].廣播電視信息，2020（04）：61-63.

[2]張春劍，劉艷.市級融媒體中心建設(shè)的路徑探析——以廊坊廣播電視臺為例[J].廣播電視信息，2020（04）：25-27+35.