經(jīng)國(guó)煒
(揚(yáng)州廣播電視臺(tái),江蘇 揚(yáng)州 225000)
為加快廣電內(nèi)容生產(chǎn)傳播與新一代信息技術(shù)、互聯(lián)網(wǎng)技術(shù)的深度融合,將融合理念貫穿并體現(xiàn)在內(nèi)容生產(chǎn)的全過程、各環(huán)節(jié),努力實(shí)現(xiàn)新聞的快速反應(yīng)、高效采集、多元分發(fā),揚(yáng)州廣播電視臺(tái)引入中臺(tái)概念,打造了基于云架構(gòu)的融合媒體生產(chǎn)平臺(tái)。作為平臺(tái)賦能的窗口,以瀏覽器/服務(wù)器(Browser/Server,B/S)形式打造的融合工作平臺(tái)應(yīng)運(yùn)而生。這是一個(gè)可以提供多種應(yīng)用工具、數(shù)據(jù)資源以及互聯(lián)網(wǎng)信息顯示等內(nèi)容的工具集合,可以跨安全域,在業(yè)務(wù)內(nèi)網(wǎng)、辦公網(wǎng)及互聯(lián)網(wǎng)提供幾乎相同的服務(wù)和工具。然而,開放、便捷、高效就意味著安全性的降低,物理邊界的模糊以及減弱了對(duì)安全的控制,使得整個(gè)云平臺(tái)都面臨愈發(fā)嚴(yán)峻的風(fēng)險(xiǎn)。對(duì)此,本文以安全模型基礎(chǔ),以現(xiàn)有平臺(tái)為例,從體系設(shè)計(jì)關(guān)聯(lián)平臺(tái)架構(gòu),盡可能構(gòu)建出一套具有自身特色的、防護(hù)有效的融合工作平臺(tái)。
安全管理模型是對(duì)安全管理的一種抽象化的描述。創(chuàng)建一個(gè)有效的安全管理模型,對(duì)于實(shí)現(xiàn)安全目標(biāo)至關(guān)重要。安全管理模型的發(fā)展從靜態(tài)防護(hù)思想到動(dòng)態(tài)防御理念轉(zhuǎn)變,持續(xù)加強(qiáng)了監(jiān)測(cè)在安全防護(hù)中的重要作用[1]。
揚(yáng)州廣播電視臺(tái)的融合工作平臺(tái)雖然只是一個(gè)能力的集合、一項(xiàng)賦能的窗口,但是由于依托云平臺(tái),相較于傳統(tǒng)的制播平臺(tái),具有更加開放的網(wǎng)絡(luò)環(huán)境、更加廣泛的業(yè)務(wù)連接、更加多樣的內(nèi)容呈現(xiàn)、更加靈活及復(fù)雜的業(yè)務(wù)流程等特點(diǎn),網(wǎng)絡(luò)安全與內(nèi)容安全風(fēng)險(xiǎn)也相較傳統(tǒng)平臺(tái)大了很多。在前期設(shè)計(jì)上,技術(shù)人員結(jié)合兄弟臺(tái)項(xiàng)目實(shí)例以及等保合規(guī)白皮書的相關(guān)要求,遵循事前防御、事中監(jiān)測(cè)、事后響應(yīng)的原則,設(shè)計(jì)打造一個(gè)相對(duì)安全的生產(chǎn)平臺(tái)。
防護(hù)體系是提升安全壁壘最直接有效的手段。防護(hù)體系主要包括架構(gòu)安全、應(yīng)用安全、通道保護(hù)、邊界防護(hù)、用戶鑒別及權(quán)限管理。
融合工作平臺(tái)的底層支撐系統(tǒng)采用了分布式技術(shù),利用HAProxy+Keepalived 實(shí)現(xiàn)了服務(wù)的高可用和負(fù)載均衡,使用Zookeeper對(duì)服務(wù)集群進(jìn)行管理。Zookeeper 實(shí)現(xiàn)了一種服務(wù)注冊(cè)與感知機(jī)制,能夠?qū)崿F(xiàn)服務(wù)注冊(cè)、服務(wù)監(jiān)管、服務(wù)加載和服務(wù)通信等4 個(gè)重要組件[2],對(duì)于多個(gè)業(yè)務(wù)平臺(tái)能力的調(diào)用管理、流程管理更加安全、高效。借助Docker 技術(shù)將各類服務(wù)容器化,多項(xiàng)開源技術(shù)的引入,充分保證了系統(tǒng)架構(gòu)的去中心化、開放化,使得系統(tǒng)兼顧安全性的同時(shí),也具備充分的伸縮性和擴(kuò)展性。
融合工作平臺(tái)作為一個(gè)中臺(tái)能力的主要輸出窗口,各類應(yīng)用都可以接入進(jìn)來。但由于各種應(yīng)用工具的使用場(chǎng)景、使用方式不同,在側(cè)重便捷和高效時(shí),卻減弱了對(duì)安全的重視。如何通過技術(shù)手段進(jìn)行完善和提升,是技術(shù)工作者一直要努力的課題。
以內(nèi)容庫(kù)(云盤)模塊舉例。內(nèi)容庫(kù)業(yè)務(wù)模塊是基于B/S 架構(gòu)的一個(gè)資源共享庫(kù),是全臺(tái)實(shí)現(xiàn)融合生產(chǎn)、敏捷化生產(chǎn)的核心,可以提供素材的存放、獲取、交互、語(yǔ)音轉(zhuǎn)寫、人工智能(Artificial Intelligence,AI)識(shí)別及送播等能力。用戶通過Web 方式即可將視頻、圖文進(jìn)行上傳并遷移至各個(gè)目標(biāo)系統(tǒng)。起初,在設(shè)計(jì)上,技術(shù)人員并沒有對(duì)入庫(kù)的素材文件進(jìn)行病毒查殺,或者在上傳前先進(jìn)行物理網(wǎng)閘的擺渡,因?yàn)槊刻烊雰?nèi)容庫(kù)的素材相當(dāng)之多,如此設(shè)計(jì)會(huì)嚴(yán)重影響資源流轉(zhuǎn)的速度,且增加了故障點(diǎn)。因此,在安全硬件無法滿足需求后,技術(shù)人員通過提升軟性安全來實(shí)現(xiàn)一定的防護(hù)。首先限定上傳文件的格式類型。對(duì)于偽裝后綴的文件,利用內(nèi)容庫(kù)自帶的抽幀功能,以是否可以獲取抽幀畫面和圖文的預(yù)覽為依據(jù),對(duì)文件進(jìn)行明顯標(biāo)記,以提示用戶文件異常,且此文件無法進(jìn)行遷移下載。修改后的素材入庫(kù)流程如圖1 所示。軟性功能上的簡(jiǎn)單修改,在保證素材高效流轉(zhuǎn)的同時(shí),也強(qiáng)化了安全。
圖1 修改后的素材入庫(kù)流程圖
網(wǎng)絡(luò)通道好比一條條馬路,沒有紅綠燈以及規(guī)則的管理和保護(hù),就會(huì)造成不可估量的阻塞和事故。針對(duì)目前揚(yáng)州廣播電視臺(tái)對(duì)融合工作平臺(tái)和云桌面非編的重度使用,技術(shù)部門提出服務(wù)端、終端雙保護(hù)原則,即服務(wù)端通過多重反向代理,使得工作平臺(tái)在業(yè)務(wù)內(nèi)網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)無差別化使用;用戶終端通過超文本傳輸安全協(xié)議(Hypertext Transfer Protocol Secure,HTTPS)加密協(xié)議對(duì)平臺(tái)以及云桌面進(jìn)行安全訪問,中間未過多地增加硬件防護(hù)設(shè)備,提升了安全性的同時(shí),對(duì)網(wǎng)絡(luò)帶寬、響應(yīng)延遲都做到了很好的平衡。
反向代理是一種軟性安全防護(hù),可以對(duì)服務(wù)器進(jìn)行隱匿,也可以攔截傳入請(qǐng)求,對(duì)高峰期的大流量負(fù)載均衡,給后端服務(wù)帶來更高層次的保護(hù)。Nginx 是一款優(yōu)秀的反向代理工具,具有高可靠性、低宕機(jī)率、低內(nèi)存消耗,還支持熱部署[3]。針對(duì)融合工作平臺(tái)這樣的Web 服務(wù)形式,技術(shù)人員通過搭建兩臺(tái)Nginx 服務(wù)器,充分將后端服務(wù)器匿名,分別為內(nèi)網(wǎng)用戶、辦公網(wǎng)用戶以及公網(wǎng)用戶提供各不相同的服務(wù)地址,以提升訪問安全。對(duì)公網(wǎng)用戶的訪問請(qǐng)求,也提供HTTPS 服務(wù),安全接入。在代理服務(wù)器添加相應(yīng)監(jiān)測(cè)模塊,定位IP,即可阻止可疑流量。
除了軟件性的防護(hù)外,硬件防護(hù)設(shè)備也是必不可少的。融合工作平臺(tái)作為中臺(tái)能力的輸出窗口,必然會(huì)串聯(lián)起相關(guān)的內(nèi)外網(wǎng)業(yè)務(wù)。對(duì)透出公網(wǎng)的Web 服務(wù),通過架設(shè)Web 應(yīng)用防火墻(Web Application Firewall,WAF)來提升安全性;安全域之間,通過防火墻根據(jù)實(shí)際業(yè)務(wù)進(jìn)行訪問控制權(quán)限設(shè)定;高安全域如播出域,則增加物理網(wǎng)閘設(shè)備進(jìn)行安全隔離。邊界防護(hù)架構(gòu)如圖2 所示。
圖2 網(wǎng)絡(luò)安全邊界防護(hù)示意圖
工作平臺(tái)作為全臺(tái)的業(yè)務(wù)匯聚點(diǎn),除去行政、財(cái)會(huì)部門,幾乎所有與內(nèi)容生產(chǎn)相關(guān)的人員都會(huì)注冊(cè)使用。對(duì)于工作平臺(tái),參照組織架構(gòu),對(duì)個(gè)人、工作組、公共維度進(jìn)行業(yè)務(wù)及資源的分域管理,依據(jù)需求進(jìn)行訪問權(quán)限組的設(shè)置,保障資源訪問使用的安全性。
對(duì)多業(yè)務(wù)板塊用戶管理進(jìn)行整合,基于Token的認(rèn)證模式,用戶在工作平臺(tái)中可以使用個(gè)人工號(hào)進(jìn)行多個(gè)業(yè)務(wù)系統(tǒng)的統(tǒng)一登陸。
監(jiān)測(cè)是安全生產(chǎn)中不可或缺的一個(gè)手段。監(jiān)測(cè)體系的建立,是技術(shù)保障的重要任務(wù)。強(qiáng)化監(jiān)測(cè)先行、監(jiān)測(cè)準(zhǔn)確、監(jiān)測(cè)回溯,使被動(dòng)防御變?yōu)橹鲃?dòng)出擊,可以將技術(shù)故障提前消除。監(jiān)測(cè)體系主要包括數(shù)據(jù)監(jiān)測(cè)、業(yè)務(wù)監(jiān)測(cè)及智能分析等功能模塊。
數(shù)據(jù)監(jiān)測(cè)的范圍包括硬件資源和虛擬化資源。其中,硬件資源監(jiān)測(cè)的對(duì)象包括中央處理器(Central Processing Unit,CPU)、內(nèi)存、磁盤及網(wǎng)卡等,虛擬化資源監(jiān)測(cè)對(duì)象除了虛擬的硬件外,還有虛擬化的底層系統(tǒng)以及支撐業(yè)務(wù)的網(wǎng)絡(luò)相關(guān)設(shè)備。
平臺(tái)底層使用了微服務(wù)架構(gòu),將以往龐大混雜的業(yè)務(wù)功能分解為各個(gè)離散的服務(wù),再利用Docker技術(shù)對(duì)服務(wù)進(jìn)行虛擬化封裝,部署在各類業(yè)務(wù)系統(tǒng)中。通過簡(jiǎn)單的監(jiān)測(cè)指令,即可獲取所有服務(wù)的實(shí)時(shí)狀態(tài),并通過網(wǎng)頁(yè)進(jìn)行滾動(dòng)展示,如圖3 所示。
前臺(tái)業(yè)務(wù)流程的監(jiān)控是日常使用最頻繁的模塊。該監(jiān)控組件會(huì)對(duì)問題任務(wù)進(jìn)行多方式報(bào)警,根據(jù)設(shè)定的重要程度選擇告警級(jí)別。比如送播任務(wù)失敗,屬于緊急告警級(jí)別,則會(huì)通過短信方式告知相關(guān)人員。
監(jiān)測(cè)只是一個(gè)被動(dòng)手段,控制才是解決問題的根本。運(yùn)維人員可以通過監(jiān)控頁(yè)面對(duì)問題任務(wù)進(jìn)行重定向,及時(shí)介入、及時(shí)解決,將問題無感知處理。
智能分析是通過監(jiān)測(cè)數(shù)據(jù)的收集,使用類ChatGPT 模型對(duì)數(shù)據(jù)進(jìn)行分析處理,生成趨勢(shì)分析報(bào)表,對(duì)平臺(tái)安全風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè),通過大數(shù)據(jù)的持續(xù)導(dǎo)入、分析,使預(yù)測(cè)指標(biāo)接近于實(shí)際。
目前,揚(yáng)州廣播電視臺(tái)技術(shù)部門正在嘗試使用GPT-2 模型進(jìn)行相關(guān)訓(xùn)練,已經(jīng)開始導(dǎo)入歷史運(yùn)維數(shù)據(jù)。前期會(huì)進(jìn)行檢索類問答的測(cè)試,待大量數(shù)據(jù)導(dǎo)入后,再對(duì)其分析能力進(jìn)行提升。
響應(yīng)與恢復(fù)體系是在查找出或突然出現(xiàn)安全威脅后所采取的一系列措施,包括漏洞修復(fù)、應(yīng)急預(yù)案制定、備份系統(tǒng)搭建、容災(zāi)測(cè)試以及日常培訓(xùn)等。在應(yīng)急與恢復(fù)的同時(shí),可以動(dòng)態(tài)修補(bǔ)系統(tǒng)缺陷、調(diào)整防護(hù)措施,提高系統(tǒng)平臺(tái)的抵御能力,從而縮短將來應(yīng)對(duì)異常情況所耗費(fèi)的時(shí)間[4]。
基于融合工作平臺(tái)的重要程度,揚(yáng)州廣播電視臺(tái)建立了一套完整的應(yīng)急預(yù)案。平臺(tái)自身的業(yè)務(wù)服務(wù)都是三節(jié)點(diǎn)分布式的,任意兩節(jié)點(diǎn)宕機(jī),不會(huì)影響主業(yè)務(wù)。其他接入業(yè)務(wù)也都有自身的冗余策略,交換機(jī)及鏈路都是雙線且做虛擬化配置。除了對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行應(yīng)急策略外,技術(shù)人員針對(duì)不同情況下的響應(yīng)流程、人員分工制定了相對(duì)完備的預(yù)案。
當(dāng)前,核心業(yè)務(wù)系統(tǒng)均有應(yīng)急處理能力,以全臺(tái)媒資系統(tǒng)為例:當(dāng)在線存儲(chǔ)不能正常使用時(shí),管理員可在媒資系統(tǒng)中配置啟用臨時(shí)存儲(chǔ)區(qū),同時(shí)設(shè)置并啟用臨時(shí)存儲(chǔ)區(qū)和存儲(chǔ)路徑,將臨時(shí)存儲(chǔ)路徑掛起;提交下載申請(qǐng)時(shí),軟件支持自動(dòng)提醒用戶“系統(tǒng)存儲(chǔ)區(qū)存儲(chǔ)路徑暫時(shí)不可用。資源文件將被回遷到臨時(shí)存儲(chǔ)區(qū),回遷后請(qǐng)自行取用文件”;執(zhí)行下載時(shí),正常情況下,媒資系統(tǒng)直接將在線存儲(chǔ)上的資源文件傳輸?shù)侥繕?biāo)路徑(如制作系統(tǒng))即可,如果在線存儲(chǔ)區(qū)不可用,媒資系統(tǒng)支持將歸檔系統(tǒng)的資源文件回遷到臨時(shí)存儲(chǔ)區(qū),并結(jié)束下載流程,用戶自行到臨時(shí)存儲(chǔ)區(qū)查找所需文件,并導(dǎo)入到所需的業(yè)務(wù)系統(tǒng)中。
技術(shù)人員利用Hyper-V 等虛擬化軟件搭建了一套最小化應(yīng)急系統(tǒng),承載了維持基礎(chǔ)業(yè)務(wù)的相關(guān)服務(wù)模塊,自帶存儲(chǔ)及數(shù)據(jù)庫(kù),不依賴原系統(tǒng),在主系統(tǒng)故障無法短期恢復(fù)時(shí)切換使用。備份系統(tǒng)采用延時(shí)備份模式(可以切換為實(shí)時(shí)同步模式),雖然會(huì)損失10 min 左右的備份內(nèi)容,但是可以確保在主系統(tǒng)出現(xiàn)故障時(shí)應(yīng)急系統(tǒng)可以相對(duì)獨(dú)立,能夠規(guī)避一些軟性故障,真正發(fā)揮應(yīng)急作用[5]。
平臺(tái)響應(yīng)與恢復(fù)體系需定期進(jìn)行災(zāi)難恢復(fù)測(cè)試,以驗(yàn)證預(yù)案和備份系統(tǒng)的有效性。容災(zāi)測(cè)試內(nèi)容包括存儲(chǔ)及數(shù)據(jù)庫(kù)數(shù)據(jù)的實(shí)時(shí)性測(cè)試、業(yè)務(wù)恢復(fù)測(cè)試以及網(wǎng)絡(luò)恢復(fù)測(cè)試等。
融合工作平臺(tái)主要依托私有云及能力中臺(tái),相較于傳統(tǒng)的獨(dú)立制作網(wǎng),網(wǎng)絡(luò)上更加開放、邊界上趨于模糊、模式上偏向協(xié)作、業(yè)務(wù)上注重融合。因此,新業(yè)態(tài)對(duì)安全提出了更高的要求。本文只是揚(yáng)州廣播電視臺(tái)在融合媒體生產(chǎn)平臺(tái)建設(shè)及使用過程中不斷反思、不斷改進(jìn)的些許實(shí)踐和體會(huì),希望能為其他兄弟臺(tái)建立可管可控、可審可溯的安全環(huán)境起到一定的參考作用。