【IT168 案例】网御神州全台网安全运行管理平台解决方案是网御神州提出的针对广电行业全台网建设过程中安全保障体系建设的重要解决方案。该方案紧扣国家广电总局的《电视台数字化网络化建设白皮书(2007)》中安全保障的要求,提出了一套将电视台网中各个层次的安全防护要素进行整合,实现一体化安全运行监控、审计与管理的思想和方法,并推出了一个安全运行管理平台软件系统,将电视台网的安全保障体系真正落地。
一,全台网安全保障建设背景
随着IT和网络技术的不断渗透,电视台网络化系统平台的建设规模日趋庞大,逐步形成了很多“信息孤岛”、“应用孤岛”。为了规范电视台网络化建设,国家广播电影电视总局科技司组织成立了“电视台数字化网络化工作组”,深入调查研究,编制并发布了《电视台数字化网络化建设白皮书(2006)》,为台内各业务板块协同运行、互联互通、资源共享等工作的开展提供了重要的设计依据,促进了电视台网建设的规范化、标准化,推动了系统互联互通和业务整合。
在《电视台数字化网络化建设白皮书(2006)》中,电视台网被定义为:以现代信息技术和数字电视技术为基础,以计算机网络为核心,实现电视节目的采集、编辑、存储、播出交换以及相关管理等辅助功能的网络化系统。电视台网络化建设的根本目标是要促使台内的资源整合发展、生产方式转型、业务流程再造,促进广播电视从单一传统业务模式向多种业态和多元媒体的良性发展。
《电视台数字化网络化建设白皮书(2006)》发布后,电视台网络化建设进入到了全台网建设的新阶段。全台网系统提供了一种“整体应用”的方案,它关注的是全面的调控,更有利于对电视台整体制播业务的各种资源进行充分整合。全台网让这些被分隔开来的资源和系统重新处于统一管理和调配之下,使电视台的生产力环境从过去几年的“局部优化”提升到“整体优化”阶段。
为了持续推动、指导电视台数字化网络化工作,“电视台数字化网络化工作组”继而在2008年初发布了《电视台数字化网络化建设白皮书(2007)》。在新版白皮书中,重点关注全台网运行的可管可控,将安全保障列为四大研究主题之一,并根据广电行业的特殊要求,提出了要从技术、管理、运维等多个方面来保证台内网的高可用性和节目制作播出的安全性。
新版白皮书提出了STMME安全保障体系的模型,从指导策略、构成要素、动态实现过程三个层次来论述整个模型的实现机制。其中,对于安全技术这个构成要素,将安全防护划分为了基础环境层、网络交换层、系统平台层、媒体资源层和业务应用层,并针对各个分层提出了安全防护的设计要求。
二、网御神州全台网安全运行管理平台解决方案
网御神州根据自身在信息安全保障领域多年的深厚积累,并根据IT网络安全发展的最新主流趋势,在分层、分等级进行全网安全防护的基础上,早在2006年就提出了一套面向全网IT资源的一体化安全管理的理念。一体化安全管理理念的核心就是要打破传统信息安全建设过程中的“安全孤岛”,为用户构建一幅面向全网所有IT资源的整体安全视图,通过对各个层次的安全防护的总集成,实现网络与信息安全保障的平台化、流程化和例行化。
网御神州将一体化安全管理理念与电视台数字化网络化安全保障体系建设思路相结合,提出了“全台网安全运行管理平台解决方案”。该方案能够有效地实现STMME模型的落地,将不同层次的安全技术防护系统整合到一个统一的安全运行管理平台之上,实现对各类安全设备和相关系统的集中监控,统一收集各类安全日志和告警事件,借助网御神州业界领先的归一化、关联分析和可视化技术实现对全网安全状况的态势感知。网御神州的安全运行管理平台具有高性能日志采集技术和海量日志实时处理技术,能够很好地适应大型电视台网巨大的安全日志处理量。
同时,安全运行管理平台还为台内网的安全管理、安全运维提供了一套平台化、流程化的技术支撑,使得台内网安全管理小组和安全响应小组能够各司其职,借助这个平台实现统一的风险与运维管理。安全运行管理平台是一个风险管理平台,能够实现安全风险的实时、动态评估与量化;安全运行管理平台也是一个运维管理平台,能够实现安全运维过程中的巡检、检测、变更、应急等关键过程域。总之,借助安全运行管理平台,能够有效的将STMME模型中的安全技术、安全管理和安全运维三个构成要素紧密结合起来,将STMME模型真正落地,又不至于产生新的“安全孤岛”。
三、网御神州一体化安全管理理念
网御神州凭借对安全管理的深刻理解和在安全领域的丰富经验,提出了集网络管理、安全管理、运维管理三位于一体的一体化安全管理管理理念:首先,通过对客户IT资源中包括网络设备、安全设备、主机和应用在内的节点进行统一监控,保障IT资源的整体运行安全,及时发现网络和系统主机的故障和性能瓶颈;其次,通过实时获取IT资源中的各类安全信息,进行关联分析,实现IT资源的安全态势感知,对内部违规和外部入侵行为进行审计;然后,将IT资源的所有资产和威胁信息汇集到一起,通过决策分析获得可测量的安全风险,并借助标准化的运维流程支撑平台对IT资源实施有效的安全策略调整。最后,整个监控、审计和决策过程都统一在一体化管理平台之下,构建起面向整体IT资源的全面可控安全管理体系。
这里,IT资源环境是指包括机房物理环境设备、网络和安全基础设施、主机、服务器、支撑服务和应用中间件,以及业务运营系统在内的企业和组织所有IT设施的总和,它既有硬件,也有软件。在一体化安全管理中,IT资源环境就是被保护对象,可以划分为三个层次:基础设施层、应用层和业务层,这与STMME安全技术构成要素的层次划分思路是一致的。
