中国新闻社网络安全系统设计与实现

朱颖 殷圣忠

（中国新闻社）

摘要：面对日益泛滥的网络攻击，做好网络安全防护已成为互联网应用所必须考虑的问题。本文面向中国新闻社网络应用，从构建“分区隔离、分层防护”的网络安全架构出发，阐述了中国新闻社网络安全系统的设计思路与建设方案。关键词：网络安全

1引言

随着新媒体时代的到来，中国新闻社的业务也从传统的文字采编、图片采编，扩展至依托互联网的移动采编、公共稿库管理和成品稿件发布、稿件统计、全文检索、监控预警等网络应用业务，这些应用带来了数据量的海量增长；但同时，来自于互联网的非法入侵、病毒攻击也给新闻采编系统安全带来极大的威胁，因此，构建一个安全高效的网络安全体系变得格外重要。

2设计思路

网络安全是指保护计算机网络系统中的硬件、软件及其数据不因偶然或者恶意原因而遭到破坏、更改、泄露，从而保障系统能连续正常运行，网络服务不中断。网络安全具备系统性、层次性和动态性的特点，需要在整体的安全分析和安全综合策略指导下，根据系统的安全需求，综合运用多种安全防护技术，分层实现对信息的机密性、完整性、不可否认性、可用性、可控性保护。一个良好完整的安全体系，一方面要求从物理、网络、系统、应用和管理等方面进行多层次的防护；另一方面，通过建立相应的入侵检测、漏洞扫描、防病毒、日志与审计等实时监测机制，及时发现安全问题进行实时报警，并在安全策略指导下对异常情况做出快速正确的反应，实现系统的瞬时复原，并通过现场恢复及攻击行为的再现，供研究和取证。中国新闻社原有主要业务为新闻采编发，又拓展出面向互联网的数据检索、成品稿库管理和发布、内容管理与流媒体业务、手机应用和web应用等业务。这就要求在网络安全体系设计方面，不仅要在网络层上重点做好互联网与内部采编系统的良好分离，避免“牵一发而全身”，还要在应用层方面配置网络管理、安全管理、桌面管理、杀毒软件等安全措施，以应对可能出现的网络安全问题。根据分域的设计原则，整个中国新闻社北京中心站点网络系统采用分区、分层设计思路，采用千兆以太网技术构建整个网络结构，整个网络系统采用冗余架构，冗余设备，把整个网络分为核心区、发布区、互联网接入区、发布专线接入区、局域网接入区、应用服务区、数据服务区、管理服务区、数据存储备份区，其中应用服务区、数据服务区、管理服务区本次直接连到核心设备上，采用VLAN进行隔离，通过防火墙进行逻辑控制，从网络层到应用层，能够实现互联网接入可靠，数据流转安全高效，同时具有访问控制和恶意代码防控功能，实现防病毒、身份认证管理、桌面管理等有效管理监控手段，共同保证了网络系统结构安全。中国新闻社网络安全系统中心站点的网络拓扑图如图所示：

图1 网络系统结构拓扑图

3分区隔离建设方案

3.1核心区核心区是中国新闻社数据转发中心，由两台核心交换机组成，配置了冗余电源和冗余引擎；每台核心交换机配置了光口模块用于连接应用服务区、数据服务区和管理服务区服务器以及接入交换机；配置电口模块用于连接负载设备，配置防火墙模块用于应用、数据、管理及接入区的逻辑控制；配置了两台负载均衡设备，用于稿库、CKM、编辑等应用负载分担。两台台核心交换机之间通过千兆链路捆绑互联；核心交换机与应用负载之间通过千兆链路捆绑互联；每台核心交换机向下与相应的接入交换机组通过千兆链路连接。3.2发布区发布区主要满足手机应用、WEB应用、流媒体WEB应用等应用服务器接入需要，配置两台接入交换机用于连接服务器，配置两台应用负载均衡设备实现WEB应用、流媒体WEB等业务负载分担；配置两台VPN设备，满足远程用户VPN接入。两台接入交换机之间通过千兆链路捆绑互联；接入交换机与应用负载之间通过千兆链路捆绑互联；接入交换机与VPN之间通过千兆链路互联。采编发系统服务器、手机应用服务器集群、web应用服务器集群、同步服务器集群等都部署在发布区。3.3互联网接入区联通、电信两条链路通过链路负载均衡设备实现互为备份、负载分担，实现与互联网连接；配置两台路由交换机实现互联网接入；配置两台防火墙实现边界防护及区域隔离。核心交换机与出口防火墙通过千兆链路互联，出口防火墙之间采用千兆链路捆绑互联；出口防火墙与上网行为管理通过千兆链路互联；上网行为管理与链路负载之间通过千兆链路互联；链路负载之间采用千兆链路捆绑互联；链路负载与出口交换机之间通过千兆链路互联。3.4发布专线接入区发布专线接入区主要实现与境外多媒体信息发布站点的网络连接，配备了防火墙和路由器设备，每台核心交换机通过一条千兆链路连接境外出口防火墙，防火墙两个接口配置为主备模式，实现链路的动态切换。3.5局域网接入区满足中国新闻社内网用户客户端的接入，各物理楼层配备千兆接入交换机，采用双千兆链路实现与核心交换机连接，避免一条链路中断导致接入网络中断。无线接入交换机也在这个区域，所有这些交换机共同为内网用户提供了冗余、快速的网络环境。3.6应用服务区、数据服务区、管理服务区应用服务区：为记者、总编等用户提供了一个投稿、编辑的平台，同时包含了业务信息统计、系统监控等功能，所有服务器采用双千兆直接连接到核心交换机，将来随着应用扩展可考虑单独设置两台交换机。该区域部署了编辑系统服务器集群、稿库应用服务器集群、CKM应用服务器集群、统一认证服务器集群、入库/gateway服务器集群等。数据服务区：承载着采编系统的数据统计和检索重任，包括TRS检索数据库、内容管理和流媒体数据库，满足用户对数据库服务器接入需要。管理服务区：主要对网络、服务器、操作系统、引用系统、数据库等资源实现统一管理，对引用程序、通讯程序、下载方式等方面进行完善的管理和控制，为网络系统提供了安全管理、网络管理和桌面管理。该区域部署了备份管理服务器、网络管理服务器、桌面管理服务器、安全管理服务器等。3.7数据存储备份区数据存储备份区部署数据存储系统及数据备份系统，主要用于存储及备份本系统结构化和非结构化数据。本方案采用了网络连接存储（NAS）和存储区域网络（SAN）连接的存储方式，NAS存储将主要用于存储业务应用中所产生的文本文件、图片文件等，而SAN存储将主要用于存储数据库文本文件，所有的数据根据不同的备份策略和备份路径备份到磁带库中。

4路由规划设计

考虑到应对网络平台的高可靠性需求，我们采用了静态路由技术作为对外连接的协议，中心站点内部局域网采用了VLAN三层网关，下面分别说明各部分的路由规划设计。4.1局域网接入区路由设计局域网有线用户连接到相应楼层交换机上，楼层交换机双上联核心交换机，通过STP协议保障链路的冗余性；用户网关指向核心交换机，通过VRRP协议实现网关的冗余。局域网接入交换机配置管理网段，网关指向核心交换机，配置管理网段的默认路由指向核心，完成对接入设备的管理。局域网无线用户连接到相应楼层无线交换机上，无线交换机通过单模光纤连接至核心机房无线控制器，无线控制器连接核心交换机；无线用户网关指向核心交换机，通过DHCP协议为各楼层无线用户提供访问地址。4.2应用服务器区、数据服务区、管理服务区路由设计服务器双上联核心交换机，通过VRRP协议实现网关的动态冗余，服务器网关部署在应用负载均衡设备上，该区域是网络系统内最需要高效、安全、可靠的数据流转的区域，数据走向如下图所示：

图2 数据走向示意图

4.3互联网接入区路由设计互联网出口区域采用主备模式，即正常情况下只有一侧主链路工作，如果主链路设备或者线路发生故障，则进行链路切换，链路负载也工作在主备模式；两台链路负载分别指向去往不同线路出口的默认路由，具体走哪条线路由负载均衡上配置的策略决定。

5分层防护建设方案

5.1 防火墙系统防火墙模块是有机地将交换机的VLAN交换技术和安全网络技术融合在一起实现的安全业务插卡。它不仅保留了交换机线速高容量转发的特点，还可以根据用户对于安全防护的考虑，将secureVLAN技术融入到VLAN技术中。本方案在核心交换机上部署了两块防火墙模块，实现内部应用服务区、数据服务区、管理服务区、局域网接入区之间的逻辑隔离，充分保证核心应用和数据的安全。它可以实现对中国新闻社内网应用服务区、数据服务区等多个区域的保护，同时两块防火墙工作在双机热备工作状态，可以保证当前业务不会因为防火墙模块单点故障而中断。在互联网接入区、发布专线接入区、与核心区之间部署了防火墙，用防火墙的隔离手段来实现两级网络访问控制，形成了发布专线接入区与中国新闻社局域网之间的安全边界。互联网接入区与核心区之间部署了两台防火墙，这两台防火墙之间互连，启用静态路由协议，以减轻维护量。5.2 虚拟专用网络（VPN）为满足分支机构、驻外记者或移动办公用户通过互联网远程访问，我们采用VPN技术来保障数据传输安全，解决通过公网进行远程应用交互时的数据完整性、保密性问题，以及远程接入用户身份鉴别和访问授权等问题。根据业务需要设计两种VPN技术，分别是SSL VPN和IPSec VPN。IPSec VPN基于Internet 安全协议实现，具备包括加密、认证和数据防篡改功能的完整安全机制，数据安全性好，但VPN网关及客户端的软件部署复杂，适用于不同网络之间的数据传输，主要满足境外站点分支机构安全接入。SSL VPN是以SSL HTTPS为基础的VPN，可通过Web浏览器实现无客户端的远程访问，适用于远程办公的移动用户，主要保证境内分支机构或移动办公用户在无法直接接入局域网的情况下，通过SSL VPN安全可靠地访问内部网络资源。5.3负载均衡设计在互联网接入区接入交换机和防火墙之间部署两台链路负载均衡设备，用于实现与两个对外连接的入向（Inbound）和出向（Outbound）访问负载均衡。在发布区和核心区各部署两台应用负载均衡设备，采用旁路部署方式，分别通过千兆光链路捆绑连接到两台核心交换机上，两台负载均衡交换机之间通过心跳线和状态同步线传递心跳信息以及同步状态信息，保证了在一台负载均衡出现故障时负载连接状态不会丢失。5.4防病毒系统根据“层层设防，集中控管”的思路，防病毒网管与防病毒系统相互结合，建立完整的防病毒体系，由网络防病毒服务器和杀毒客户端软件对系统中的关键服务器和客户端工作区进行病毒防护，在网络出口防火墙上启用防病毒功能。5.5上网行为管理系统在系统防火墙和核心交换机部署上网行为管理系统，针对有线终端入网进行认证管理和实时监控。

6系统实现

根据以上分区、分层的设计原则，建设的网络安全系统实现了以下的目标：结构安全：构建分区、冗余网络架构，配置冗余电源、冗余引擎、冗余核心设备，实现系统结构的可靠及安全。通信完整、保密性：采用VPN隧道技术实现站点连接，保证中心站点到分支机构数据传输的安全。应用负载分担：对发布区、应用服务区等区域的服务器运行的业务通过负载均衡设备实现负载分担，同时提高整个业务系统运行的可靠性和安全性。链路负载分担：采用链路负载均衡交换机实现负载分担，充分利用线路资源，同时提高互联网接入的可靠性。访问控制及恶意代码防护：本项目需与互联网交互连接，为保护web服务器等不受到来自互联网的攻击与侵犯，在互联网出口处部署防火墙等安全设备，同时为了防止安全事件跨区域蔓延，在中心内部不同的应用、数据库、管理服务器之间部署多功能的防火墙进行网络隔离，同时防火墙启用防病毒许可，实现恶意代码一级防护。防病毒：根据采用“层层设防，集中控管”的设计思路，本项目防病毒系统采用防病毒网关与防病毒服务器系统相互结合的方式，建立完整的防病毒体系。防病毒服务器系统主要实现对系统中的关键服务器和客户端工作区进行病毒防护，严防病毒感染关键服务器和客户端后造成业务系统中断。为了切断网络中蠕虫等病毒爆发对关键业务系统的影响，在网络出口防火墙启用了防病毒功能，防止蠕虫、病毒等的进入。系统管理：充分考虑IT资源的可管理性，通过安全管理软件、网络管理软件、桌面管理软件实现对网络安全设备、计算资源和桌面终端的统一监管。统一认证：建立统一认证系统来进行认证，加强认证的安全强度。中国新闻社的远程用户通过SSL VPN接入，保证远程用户接入和数据传输安全；无线用户只能访问INTERNET，如需访问内网应用，需通过VPN认证后方能访问；局域网接入用户（有线）IP和交换机端口绑定，对应工位号，便于系统维护和管理。

7结束语

本项目网络安全系统的建设主要实现了结构安全、负载均衡、防火墙、VPN、防病毒、系统管理、统一认证、数据安全等目标，本项目安全系统的建设遵照“依托现有、统一设计、分步实施”的原则，目前已经完成防火墙、VPN、防病毒等中国新闻社急需的安全系统建设，建立了高效的、易扩展的、可冗余的安全网络系统平台，实现了新闻采编、信息发布与管理、数据中心等高效集成的资源整合、信息共享和协同办公，较好的满足了中国新闻社现有阶段的业务发展，同时也为系统进一步扩展升级打下良好的基础。 编辑：中国新闻技术工作者联合会