广电云计算平台安全技术论文

1需求分析

广电传媒作为党和政府的重要舆论宣传阵地，肩负着保障国家信息和文化安全的重要职责，安全播出是广播电视的生命线。作为广电工作的重要组成部分，监测监管工作在保障广电安全播出、确保节目可管可控可信中起到重要作用。过去十几年中，我台陆续建设了广播监测、有线电视监测、卫星监测、互联网视音频节目监管等一系列监测系统，为广播电视的安全播出提供了有力的保障。然而，随着近年来三网融合和新媒体大数据监测业务的拓展，我台监测系统遇到了严峻的发展瓶颈：系统按业务独立监测的传统监测监管模式，孤岛效应明显，无法实现数据交互和信息共享，更无法满足对全媒体大数据多元业务形态的融合监测监管需求；系统间孤立异构的传统资源存储模式，部署速度慢、弹性扩展难，无法满足几何级数增长的全媒体大数据的采集和存储需求；系统针对结构化数据的传统数据处理模式，无法满足对非结构化全媒体大数据的流处理或批处理需求，更无法实现对信息量大、价值密度低的大数据的多维高效挖掘利用。突增的海量媒体数据、飞涨的弹性存储需求、全新的数据处理模式等，这一切都是大数据时代亟待解决的重要问题。云计算具有大规模、虚拟化、动态伸缩、按需服务、成本低廉等特性，因而能够为大数据提供基础平台和技术支撑，其通过将分布在不同区域的资源（包括网络、服务器、存储、程序、服务）构建为一个可动态配置的共享计算资源池，通过虚拟化技术动态地、按需地为系统提供服务，使各种应用系统能够合理、高效、便捷地使用计算能力、存储空间以及各种软件服务，应对海量、多元数据的快速处理和分析的需求。然而，云计算平台自身的技术问题，使得云计算平台存在安全威胁。可伸缩性、按需服务这些新特性使得传统的安全技术无法完全保证云计算平台的安全。为此，建立一个高安全性、高可靠性、高扩展性的全媒体综合监测监管平台，提升我台在三网融合和全媒体大数据环境下的监测监管能力，实现各业务系统的无缝连接切换，是目前我台数字化、网络化建设工作的重中之重。

2全媒体综合监测监管平台总体架构

随着三网融合和全媒体大数据时代的到来，CMMB、DTMB、互联网视听节目及IPTV等新媒体不断涌现，传统的广播电视监测监管工作无法满足对新媒体的监测监管需求。全媒体综合监测监管平台建设需在兼顾我台原有传统监测监管系统的基础上，将其与IPTV、卫星电视监测系统、视听内容分析系统、CMMB以及DTMB监测系统、互联网监测系统等新媒体监测监管系统进行交互式集中监测监管，通过优化原有业务流程，逐步形成集质量监测、内容监管、安全调度、信息于一体的，具有高效、高可用性、高安全性的集中分析计算中心。全媒体监测监管云计算平台是整个监测业务运行的核心支撑，未来将成为我台安全播出监测的“神经中枢”，对我台本身业务拓展具有划时代意义。全媒体综合监测监管平台是一个利用虚拟化、云计算及云存储等技术手段搭建的基于x86的云计算平台，通过虚拟化技术全面整合刀片及机架式服务器等资源，为监控平台和各个子系统提供云计算资源，并对所有的计算资源进行统一的管理与自动分配，确保整个计算资源的合理利用。平台服务层次模型（图1），分为云基础设施IaaS层、云平台PaaS层、云业务应用层、运维管理层四部分。其中，云基础设施IaaS层位于服务层次模型的底层，是云计算平台的基础，由云计算中心操作系统通过基础软硬件管理、分布式文件系统和虚拟计算中心来实现；云平台PaaS层通过业务与资源调度中心来实现，利用云平台高性能的海量数据存储处理能力实现对监测台数据的深度挖掘和综合利用，并为云业务应用层提供必需的业务开发和运行环境；云业务应用层，通过优化业务流程整合监测监管业务资源，为内容监测处理部门、信号和设备运营部门、局相关领导以及其他机构提供核心技术支撑；运维管理层主要负责业务应用监测、系统实时性能监测、安全管理、网络管理、节能管理等工作，对监测台所有监测系统、服务进行集中监控管理，对核心网络设备、服务器、中间件、数据库进行实时监管及告警，确保网络安全互联、互通，确保共享数据和信息安全完整，有效实现平台的绿色、低碳运维。

3全媒体综合监测监管平台安全架构

全媒体综合监测监管平台的系统安全设计是整个监测监管信息系统的重要组成部分，其在保障我台监测业务系统的物理、网络、主机、应用、数据安全，保障全省广播电视行政监测对象数据安全传输，保障监测监管业务的完整性、连续性和可扩展性等方面，具有十分重要的意义。我台参照《广播电视相关信息系统安全等级保护基本要求》的相关规定，在充分分析云平台面临安全风险的基础上，对云平台安全进行整体架构设计，力图构建一个较为完善的信息安全保障体系，全面提升我台信息安全防护能力。

3.1云平台安全风险分析

云计算对用户使用与访问信息和计算资源的模式进行了全方位的变革，作为一种全新的服务和计算模式，其按需服务、虚拟化、动态伸缩、资源共享和开放等特性，为海量多媒体大数据的存储处理提供了便利，但同时也为系统带来了诸多新的挑战。根据美国Gartner咨询公司的调查报告（图2），安全性仍然是目前云计算服务用户普遍关注的重要问题。对新兴的云计算技术而言，它所面临的安全风险问题包括两个方面：一方面，云计算本身并没有脱离传统信息安全概念的范畴，其为数据用户及其具体应用提供服务时依然面临着传统IT系统中存在的各种安全威胁，包括物理安全风险、基础网络安全风险、边界安全风险、终端安全风险、服务端安全风险、应用安全风险、数据安全风险等；另一方面，云计算服务自身存在安全隐患，由于云平台上的服务同底层硬件环境间是松耦合的，没有固定不变的安全边界，使得云计算同时也面临着很多新的安全风险，如虚拟化安全、共享虚拟化资源池的数据保护和自销毁、多用户隔离、云终端接入安全等问题。结合全媒体综合监测监管平台服务层次模型，我们可以得到图3所示的云平台服务安全风险分析结果。从图3中可以看出，底层的物理资源、的网络环境、虚拟的服务平台、相关的业务应用以及上层的云端接入等层次都存在着相应的安全问题，这些安全问题严重阻碍云平台服务的安全性，亟待解决。IaaS层安全风险。作为平台服务层次模型中的最底层，IaaS层负责为模型的上层应用提供全面的资源服务，IaaS层的安全是云计算服务系统的安全基础。IaaS层的安全风险除了传统的物理安全风险、主机安全风险、网络安全风险外，最主要的是虚拟化带来的安全风险。虚拟化是IaaS层广泛采用的关键核心技术，是云计算技术实现的基础。该技术能够为使用云计算服务的数据用户提供数据安全和隔离的保证，是云计算多用户环境下数据存储安全保护所必须具备的环节。然而虚拟化平台并不是完美的，仍然存在安全漏洞。在多用户的云基础设施中，一台物理服务器上面通过运行多台虚拟机来同时为多个用户进行服务。理论上来说这些虚拟机之间应该完全隔离并独立，但由于共用相同的物理设备，这些虚拟机并不是完全独立的。研究发现，针对虚拟机之间的物理依赖关系能够对其进行攻击。目前这些攻击主要包括基于共用物理机的旁通道攻击和基于共驻子网的拒绝服务攻击。另外，虚拟化镜像安全同样值得关注，因为每个虚拟机的镜像与特定数据用户应用相关联，在对镜像进行访向或共享时必须要有完整性和安全性要求，否则将造成数据信息的泄露或者非法访问等问题。PaaS层安全风险。PaaS层作为平台服务层次模型的中间层，既需要屏蔽底层系统复杂性、为上层云业务应用提供简单、可靠的分布式编程框架，又需要具备海量数据的存储、处理和分析能力。这种屏蔽使得云计算系统的内部组成架构和服务提供形式对数据用户完全透明，用户不再对运行环境和数据拥有完全的控制权。因此，用户无法确定其下达的计算任务是否被正确执行，系统运行的可靠性和云服务执行的可信性欠缺，存在中间件和API接口不安全等运行安全风险，无法在发生攻击时迅速判断出问题所在。另外，数据存储的完整性和可用性、数据交互共享时的机密性、数据抽象处理时的隐私性也无法得到有效保证，存在关键数据的篡改和隐私泄露问题，大大增加了数据安全与隐私保护的难度。云业务应用层安全风险。云业务应用层位于IaaS层和PaaS层之上，是平台与外界交互的通道，主要负责为我台提供监测监管、全媒体、资源展现、流媒体服务等应用业务。该层面临的安全风险有云应用软件未进行代码检测和安全加固存在安全脆弱性和漏洞风险，多用户共享的云服务器访问控制粒度不够严格存在非授权访问或越权访问的风险，应用系统未进行安全审计无法定位、追溯攻击源的风险等。云端接入安全风险。云端接入的安全风险主要包括终端安全风险，Web应用风险等。此外，还包括贯穿各层的通信安全风险、数据被篡改和隐私泄露的数据安全风险、用户身份窃取和假冒的身份识别风险、非授权或越权访问的访问控制风险等。

3.2云平台安全架构总体方案

云计算中的安全控制机制与传统IT环境中的安全控制机制没有本质的区别。传统的信息安全技术，特别是身份认证和访问控制技术、数据传输和存储加密技术、入侵检测技术和系统安全加固技术等仍在适用于云计算系统。然而，云计算独有的新特性使得这些适用是受限的，一方面云计算环境中巨大的数据量（通常都是TB甚至PB级）使得传统安全机制在可扩展性及性能方面难以有效满足需求；另一方面，现有的安全体系架构是建立在传统网络结构以及应用的基础上的，不能完全适用于云计算的新特点和面临的新威胁。显然，要推动云计算技术的全面发展，解决云计算环境中存在的诸多信息安全问题迫在眉睫。因而，本文给出了一个云平台安全架构总体方案（图4），在充分考虑相关传统安全问题的基础上，重点关注云计算平台特有的安全问题，为我台全媒体综合监测监管平台的安全建设提供有力的技术支撑。云平台安全架构总体方案由一系列云安全服务构成，是实现云平台服务安全目标的重要技术手段。在该方案中，我们主要关注物理资源安全、虚拟化资源安全、云平台的安全、云业务应用的安全、云端接入的安全、用户身份的识别和访问控制，以及用户数据的安全、隐私保护和灾备等问题。

3.2.1IaaS层的安全机制

在云基础设施IaaS层中，主要关注物理安全和虚拟化安全两个方面。其中，物理安全主要通过物理设施安全、网络安全、主机系统安全、网络协议栈安全、主机加固、恶意代码防范、漏洞扫描和入侵检测等传统安全技术来实现；虚拟化安全主要通过虚拟运行环境安全、服务器隔离、虚拟化存储隔离、网络隔离、虚拟机容错、虚拟机迁移等安全技术来实现。1.服务器隔离：主要针对重要应用，通过虚拟化解决方案的分区组件对所有虚拟计算机之间CPU、存储和网络资源进行隔离，这样进程、动态连接库及应用程序不会影响同一台服务器上其他虚拟服务器应用。2.虚拟化存储隔离：基于NetApp-FC存储服务器，采用FC光纤交换网络进行虚拟统一存储，通过划分LUN并设置LUN访问权限从逻辑层保护虚拟化镜像文件等数据的访问安全。3.网络隔离：主要通过划分VLAN来保证网络的安全性。4.虚拟机容错：借助云操作系统VMwarevSphere的FT策略、虚拟机克隆技术以及虚拟机snapshot，可以实现虚拟机发生硬件故障时即时在新辅助虚拟机进行故障切换的容错能力。5.虚拟机迁移：借助云操作系统VMwarevSphere的EVC策略，实现虚拟机之间的vMotion热迁移，保证应用的连续性。

3.2.2PaaS层的安全机制

我台全媒体监测监管平台包括7组HP刀片服务器组、4组CISCO刀片服务器组、VMware虚拟化软件以及NetApp存储虚拟化设备，通过云计算操作系统将114个刀片服务器组建成4个HA集群，面向全台业务系统提供计算资源和存储资源的服务。在云平台PaaS层中，主要关注媒体数据存储安全、API接口的安全、平台运行安全、云可信基础设施、云信誉管理等安全问题。1．媒体数据存储安全。基于NetApp-NAS存储服务器，采用双控制器冗余方式，当端口故障时只降低带宽不影响链路通断，当主控制器故障后自动切换至备份控制器，保障云业务应用系统媒体数据存储安全。2．API接口的安全。全媒体平台对外提供第三方访问节接口API，供第三方系统获取视音频文件访问和流媒体访问。为了确保API接口的安全，根据我台监管业务应用的需求，平台仅提供登录类、认证类、业务类和审计类共四类接口，各类接口采用XML格式进行信息传递。平台通过在接口层建立统一的前端接口协议标准库，全面适配所有信号类型的监测数据接收、管理配制数据下发、视音频节目数据请求等。3．平台运行安全。主要通过补丁管理、配置管理、安全监控等一系列措施来保证平台运行安全。4．可信云基础设施和云信誉管理。当前，我台构建的全媒体综合监测监管平台在部署模式上属于私有云。私有云的安全边界相对封闭，具有较高的安全性，较好地满足了我台日常的监测监管需求。然而，当面对一些全国性的突发安全事件时，封闭云平台的应急响应能力不足，不能快速地满足应急决策需求，未来“私有云平台+服务”的混合云模式将是大趋势。在这种模式中，一些业务性、隐私性较强的应用通过构建私有云实现，另一部分普通服务需求可租赁第三方公有云获取计算服务。然而，这种模式也会带来新的安全问题。云服务器将由许多不在同一信任域的云用户共享，云计算使用主体之间的信任不对等性是云计算环境安全面临的重要问题。云可信基础设施和云信誉管理是解决这一问题的两种新思路，不同之处在于：云可信基础设施是依靠一个可信平台模块TPM作为可信根，基于该可信根实现云计算的可信性；云信誉管理是将社交网络中的信任关系引入到云安全管理中，依靠可信任的第三方帮助云实体管理信任关系。可信云基础设施和云信誉管理是下一步我台重点考虑的混合云平台软安全措施。

3.2.3云业务应用层的安全机制

在云业务应用层，我们主要通过应用软件安全、云应用容灾、用户隔离、云内容安全监控、用户行为监控、统一身份认证和授权机制、访问控制等技术保障云业务应用的安全。1.统一身份认证和授权机制。有效的认证与授权机制是避免服务劫持、防止服务滥用等安全威胁的基本手段之一，也是云计算开放环境中最为重要的安全防护手段之一。为此，我们建设了统一的身份认证系统，通过统一的Portal集中认证，在异构的IT系统中实现集中和便捷的身份认证、单点登录、身份管理、授权管理和集中行为审计，以满足用户对信息系统使用的方便性和安全管理的需求。2.访问控制。访问控制是根据用户的身份或属性对用户的权限，包括能否执行某些操作或能否访问某些资源进行控制的过程。云平台通过访问控制机制阻止非法用户入侵系统，允许合法用户按照其权限访问对应的资源和服务。当访问控制粒度不够严格时会存在非授权访问或越权访问的风险。目前，访问控制主要形式有：自主访问控制(DAC)、强制访问控制(MAC)以及基于角色的访问控制(RBAC)。RBAC可以避免DAC模式安全度较低、而MAC管理难度大的问题，但RBAC模型在角色分配时只验证了用户的身份真实性而没有考虑用户的行为可信性。信任管理的研究者提出将信任机制引入访问控制模型中以解决传统的访问控制机制无法对用户行为进行评估的缺陷，可以提供更加安全、灵活以及细粒度的动态访问授权机制，从而提高授权机制的安全性与可靠性。这也是未来我们设计访问控制机制的一个新思路。

3.2.4云端接入的安全机制

云端接入的安全主要通过应用级防火墙、防病毒软件、Web应用安全和Web浏览器安全来保障。为了保障云端接入的安全，在互联网接入域与监测业务域的边界上部署两个深信服万兆安全网关，基于心跳线连接形成主备机制，用于提供实时监测、包过滤与状态检测、应用访问控制策略、IPS入侵防护、服务器防护、网页篡改防护、病毒防护、Web安全防护、用户管理和网关管理等安全服务。当主安全网关故障时，通过心跳检测机制可以迅速切换到备份安全网关，保证安全服务的无缝对接。

3.2.5云运维审计、数据安全

1.云运维审计。为了保障云平台安全事件的可定位、可追溯，在平台上部署了两套运维审计服务器，通过运维审计系统（堡垒主机）以HTTPS或SSH方式，对进行设备远程管理和运维的人员进行身份认证、授权和审计。2.数据安全：数据安全主要通过数据加密、灾备、存储隔离和隐私保护等技术实现。

4结束语

三网融合、新媒体、物联网与云计算等新技术方兴未艾，为广电监测行业带来了新业态和新的监管需求。突增的海量媒体数据、飞涨的弹性存储需求以及数据处理模式的全新要求，成为摆在监测行业面前亟待解决的重要问题。江苏省广播电视监测台顺应新形势下的广电监测监管工作需求，利用云计算、云存储、云安全等先进的IT技术，基本建成了一个具有高可用性、高安全性的全媒体综合监测监管平台，提升了我台在三网融合和全媒体大数据环境下的监测监管能力，初步实现了跨越式发展的目标。

作者：杨莉 钱卫 周涛 单位：江苏省广播电视监测台