【 摘要】

本文以河南廣播電視臺(tái)融合媒體項(xiàng)目建設(shè)為例，對(duì)云平臺(tái)進(jìn)行安全等保定級(jí)，安全邊界的界定，提出混合云+文件多分布的建設(shè)思路。通過虛擬化非編和云非編對(duì)素材訪問方式的不同構(gòu)建符合非編工具的安全體系，構(gòu)建符合云服務(wù)對(duì)外提供Web訪問的安全模式，以及文件安全傳輸和多分布的方式。通過虛擬化安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和媒體存儲(chǔ)安全等設(shè)計(jì)，構(gòu)建適合融合媒體應(yīng)用的云平臺(tái)安全體系。

【關(guān)鍵詞】融合

混合云，安全域，安全等保，高安全區(qū)，文件安全傳輸?

---

?0 概述?

在全臺(tái)網(wǎng)1.0時(shí)期，《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》規(guī)定了各級(jí)電視臺(tái)信息系統(tǒng)的安全級(jí)別，如表1所示。

融合媒體時(shí)期電視臺(tái)網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接更緊密，因此安全比之前更重要、更復(fù)雜，這樣在遵循現(xiàn)有等保要求的同時(shí)，我們還要滿足融合媒體業(yè)務(wù)發(fā)展的需要。針對(duì)這種情況，河南臺(tái)在融合媒體云平臺(tái)建設(shè)時(shí)，提出了混合云+素材多分布的總體設(shè)計(jì)思路。在這樣的思路下我們考慮整個(gè)融合媒體云平臺(tái)的安全。

1? 融合媒體云平臺(tái)的安全

1.1混合云?

混合云是臺(tái)內(nèi)業(yè)務(wù)趨于安全的考慮必須建在私有云上，同時(shí)還希望使用公有云的資源和服務(wù)，因此就出現(xiàn)了混合云的模式。

從圖1可以看出私有云、專屬云和公有云組成混合云，公有云是最終的目標(biāo)。電視臺(tái)的融合媒體云平臺(tái)依據(jù)業(yè)務(wù)特點(diǎn)和安全要求進(jìn)行劃分，每個(gè)區(qū)域都按照IaaS、PaaS、SaaS三層云架構(gòu)建設(shè)，同時(shí)在安全域內(nèi)部署相應(yīng)業(yè)務(wù)系統(tǒng)、能力服務(wù)和多種編輯工具。

有了混合云的定位，我們就要考慮融合媒體云平臺(tái)整體建設(shè)，同時(shí)根據(jù)業(yè)務(wù)考慮安全設(shè)計(jì)。

1.2安全域的劃分?

在混合云模式下建設(shè)融合媒體云平臺(tái)，依然要根據(jù)總局的等保要求進(jìn)行建設(shè)，根據(jù)業(yè)務(wù)類型和安全要求進(jìn)行安全域的劃分，我們要充分考慮業(yè)務(wù)未來(lái)發(fā)展的情況，將新媒體業(yè)務(wù)系統(tǒng)盡量部署在公有云或?qū)僭粕希渲袑僭粕系臉I(yè)務(wù)系統(tǒng)為二級(jí)等保系統(tǒng)，將傳統(tǒng)的電視生產(chǎn)系統(tǒng)部署在私有云上，根據(jù)私有云上建設(shè)的業(yè)務(wù)系統(tǒng)進(jìn)行等保定級(jí)，同時(shí)私有云還要與現(xiàn)有的臺(tái)內(nèi)制播網(wǎng)絡(luò)進(jìn)行交互，所以要對(duì)融合媒體云平進(jìn)行安全邊界的劃分：

1. 互聯(lián)網(wǎng)與專屬云之間應(yīng)有個(gè)安全邊界，主要保護(hù)專屬云的安全；

2. 專屬云與私有云之間應(yīng)有個(gè)安全邊界，主要保護(hù)私有云的安全；

3. 私有云與播出系統(tǒng)之間有個(gè)安全邊界，主要保護(hù)播出系統(tǒng)的安全。

1.3邊界安全?

要保護(hù)融合媒體云平臺(tái)的安全，網(wǎng)絡(luò)安全邊界是第一道防線。邊界安全的防護(hù)，一般都在邊界安裝部署相關(guān)的安全設(shè)備，對(duì)外部的訪問進(jìn)行過濾和控制，對(duì)內(nèi)部向外傳輸?shù)臄?shù)據(jù)信息進(jìn)行安全檢查。

網(wǎng)絡(luò)邊界除了上述內(nèi)容還有文件安全傳輸設(shè)備，也就是通過廣電行業(yè)專有設(shè)備傳輸視音圖文素材，傳輸設(shè)備可以對(duì)素材進(jìn)行殺毒、白名單過濾、文件深度檢測(cè)和文件完整性校驗(yàn)，保證從低安全等級(jí)向高安全等級(jí)傳輸?shù)陌踩?/p>

1.4云平臺(tái)安全?

云平臺(tái)主要部署了虛擬化資源池、服務(wù)平臺(tái)、應(yīng)用軟件，都基于虛擬化技術(shù)實(shí)現(xiàn)，因此其安全防護(hù)應(yīng)考慮虛擬化安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等內(nèi)容。

1. 虛擬化安全

主要涉及虛擬化組件及其管理的安全，包括了物理設(shè)備、虛擬化計(jì)算、虛擬化網(wǎng)絡(luò)、虛擬存儲(chǔ)和安全管理的安全。

2. 網(wǎng)絡(luò)安全?

網(wǎng)絡(luò)安全主要涉及、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵防范、惡意代碼防范、安全審計(jì)等內(nèi)容。

3. 主機(jī)安全?

通過部署殺毒系統(tǒng)，并在各虛擬終端上安裝輕代理客戶端，實(shí)現(xiàn)對(duì)虛擬化環(huán)境的防病毒管理。

4. 應(yīng)用安全?

云平臺(tái)一般都采用Web的方式來(lái)對(duì)外提供各類服務(wù)。WAF通過深入分析和解析HTTP的有效性、提供安全模型只允許已知流量通過、應(yīng)用層規(guī)則、基于會(huì)話的保護(hù)，可檢測(cè)應(yīng)用程序異常情況和敏感數(shù)據(jù)是否被竊取，并阻斷攻擊或隱藏敏感數(shù)據(jù)，保護(hù)云計(jì)算平臺(tái)的Web服務(wù)器，確保云平臺(tái)Web應(yīng)用和服務(wù)免受侵害。

5. 數(shù)據(jù)安全?

對(duì)于數(shù)據(jù)安全，需要涉及數(shù)據(jù)的產(chǎn)生、傳輸、存儲(chǔ)、使用、遷移、銷毀以及備份和恢復(fù)的全生命周期，并在數(shù)據(jù)的不同生周期階段采用數(shù)據(jù)分類分級(jí)、標(biāo)識(shí)、加密、審計(jì)、擦除等手段。

1.5媒體存儲(chǔ)安全

媒體存儲(chǔ)本身安全的高可用和高安全性，對(duì)整個(gè)融合媒體云平臺(tái)的穩(wěn)定運(yùn)行相當(dāng)重要，同時(shí)存儲(chǔ)還要有數(shù)據(jù)保護(hù)機(jī)制和訪問控制機(jī)制，通過這些手段保護(hù)數(shù)據(jù)的安全。

1.6文件傳輸安全?

融合媒體下與互聯(lián)網(wǎng)和移動(dòng)設(shè)備交互將非常緊密，這樣對(duì)文件安全傳輸設(shè)備需求更迫切，同時(shí)在功能和系統(tǒng)交互上要更方便快捷，所以我們對(duì)文件安全傳輸設(shè)備要求如下：

1. 可以直接將匯聚和通聯(lián)來(lái)的素材通過文件安全傳輸系統(tǒng)自動(dòng)的擺渡到私有云的相關(guān)系統(tǒng)下；

2. 可以將互聯(lián)網(wǎng)和辦公網(wǎng)的視音圖文素材通過文件安全傳輸系統(tǒng)自動(dòng)殺毒、深度檢測(cè)等擺渡到私有云的相關(guān)系統(tǒng)下，提高系統(tǒng)安全性和生產(chǎn)效率。同樣從私有云相關(guān)系統(tǒng)出到專屬云的素材也通過文件安全傳輸系統(tǒng)擺渡出來(lái)，以便在新媒體、兩微一端和手機(jī)APP等平臺(tái)進(jìn)行發(fā)布。

1.7非編訪問安全

1. 云非編?

在云時(shí)代要滿足編輯在辦公網(wǎng)或互聯(lián)網(wǎng)環(huán)境下使用，通過映射和掛載共享存儲(chǔ)的方式，無(wú)法解決存儲(chǔ)訪問安全和網(wǎng)絡(luò)鏈路安全問題，必須選擇適應(yīng)云平臺(tái)安全訪問的云非編工具。

2. GPU虛擬化非編?

根據(jù)編輯的需要，云平臺(tái)需要提供不同種編輯工具，這些編輯工具同樣需要讓編輯可以在辦公網(wǎng)或互聯(lián)網(wǎng)端使用，即在專屬云中或辦公網(wǎng)上可以安全訪問私有云GPU虛擬化非編。

2??融合媒體云平臺(tái)安全設(shè)計(jì)

2.1混合云總體框架

項(xiàng)目目標(biāo)確定以混合云模式進(jìn)行融合媒體云平臺(tái)建設(shè)，圖2為混合云的總體框架。

從圖2可以看出混合云由私有云、專屬云和公有云組成，同時(shí)根據(jù)安全域的劃分有三個(gè)安全邊界：

1. 公有云與專屬云，專屬云為二級(jí)等保；

2. 專屬云與私有云，私有云為二級(jí)等保；

3. 私有云與播出系統(tǒng)，播出系統(tǒng)是三級(jí)等保。

專屬云主要負(fù)責(zé)：電視臺(tái)新媒體業(yè)務(wù)，主要是與互聯(lián)網(wǎng)進(jìn)行對(duì)接，然后將互聯(lián)網(wǎng)的內(nèi)容進(jìn)行整理最終將有價(jià)值的內(nèi)容通過高安全區(qū)傳輸?shù)剿接性啤?/p>

私有云主要負(fù)責(zé)：電視臺(tái)傳統(tǒng)生產(chǎn)工作包括：電視文稿、上載、制作、包裝、共享等，同時(shí)還為專屬云提供相應(yīng)的內(nèi)容，供專屬云多渠道發(fā)布。

公有云主要負(fù)責(zé)：互聯(lián)網(wǎng)匯聚、粉絲互動(dòng)、新媒體運(yùn)營(yíng)等適合公有云的業(yè)務(wù)。

通過統(tǒng)一的PaaS對(duì)私有云、專屬云和公有云的資源進(jìn)行統(tǒng)一的調(diào)度和管理，從而打造電視臺(tái)自己的混合云體系。

為了網(wǎng)絡(luò)安全私有云、專屬云和公有云使用獨(dú)立的IaaS資源，任何一套出現(xiàn)問題都不會(huì)影響其它云的運(yùn)行，當(dāng)專屬云受到攻擊時(shí)私有云不受到影響，這樣專屬云還起到了“堡壘機(jī)”的作用。

2.2云平臺(tái)總體設(shè)計(jì)?

根據(jù)河南臺(tái)融合媒體云平臺(tái)業(yè)務(wù)需求的考慮，設(shè)計(jì)出符合河南臺(tái)自身特點(diǎn)的網(wǎng)絡(luò)安全框架，如圖3。

依據(jù)廣電總局的等保要求，省級(jí)臺(tái)的播出和新聞是三級(jí)等保，其它的生產(chǎn)系統(tǒng)都為二級(jí)等保，這樣融合媒體云平臺(tái)上的系統(tǒng)按照二級(jí)等保進(jìn)行設(shè)計(jì)。

2.3云平臺(tái)網(wǎng)絡(luò)拓?fù)?

根據(jù)系統(tǒng)建設(shè)的需求，以及安全域劃分、等保要求，制定出融合媒體云平臺(tái)的拓?fù)鋱D（圖4）。

從圖4看整個(gè)網(wǎng)絡(luò)分互聯(lián)網(wǎng)、互聯(lián)網(wǎng)接入?yún)^(qū)、融合媒體云平臺(tái)、對(duì)內(nèi)安全邊界、現(xiàn)有制播網(wǎng)，其中融合媒體由專屬云、高安全區(qū)和私有云構(gòu)成。

1. 互聯(lián)網(wǎng)接入?yún)^(qū)（即是對(duì)外安全邊界）與專屬云為一個(gè)安全域，也就是說互聯(lián)網(wǎng)接入?yún)^(qū)保護(hù)的是專屬云的安全，這個(gè)域主要的工作是與互聯(lián)網(wǎng)進(jìn)行互聯(lián)互通,也是對(duì)外安全邊界；

2. 高安全區(qū)與私有云為一個(gè)安全域，即高安全區(qū)是專屬云與私有云的安全邊界，在高安全區(qū)內(nèi)有協(xié)議網(wǎng)關(guān)、安全網(wǎng)關(guān)、DMZ區(qū)和文件安全傳輸?shù)仍O(shè)備進(jìn)行安全防護(hù)；

3. 私有云為二級(jí)等保系統(tǒng)而播出網(wǎng)為三級(jí)等保系統(tǒng)，私有云與播出系統(tǒng)之間通過防火墻和入侵防御設(shè)備進(jìn)行防護(hù)。

2.4邊界安全設(shè)計(jì)

在云平臺(tái)總體設(shè)計(jì)上我們?cè)O(shè)計(jì)了兩個(gè)安全邊界，即對(duì)外的安全邊界和對(duì)內(nèi)的安全邊界，但基于對(duì)現(xiàn)有制播網(wǎng)安全的考慮，以及后續(xù)項(xiàng)目上云的規(guī)劃，我們?cè)趯僭坪退接性崎g設(shè)計(jì)了一個(gè)高安全區(qū)。

?1. 互聯(lián)網(wǎng)接入?yún)^(qū)設(shè)計(jì)（對(duì)外安全邊界設(shè)計(jì)）?

我們?cè)诨ヂ?lián)網(wǎng)邊界采用雙出口，選擇兩個(gè)運(yùn)營(yíng)商保證鏈路的冗余，兩臺(tái)路由器設(shè)備，兩臺(tái)鏈路負(fù)載均衡設(shè)備，用于鏈路之間進(jìn)行負(fù)載均衡。出口部署兩臺(tái)防火墻，配置網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能。部署兩臺(tái)入侵防御設(shè)備防護(hù)外來(lái)的攻擊。部署兩臺(tái)上網(wǎng)行為管理，用于對(duì)用戶的上網(wǎng)行為進(jìn)行審計(jì)和流量控制。所有安全設(shè)備采用主備模式部署，通過心跳線實(shí)時(shí)同步會(huì)話信息，保證網(wǎng)絡(luò)鏈路切換時(shí)業(yè)務(wù)不中斷。

2. 高安全區(qū)設(shè)計(jì)?

主要考慮私有云還要與制播網(wǎng)進(jìn)行節(jié)目送播和素材共享，為了保障現(xiàn)有制播網(wǎng)的安全，同時(shí)私有云是二級(jí)等保安全，所以私有云需要有安全邊界，即高安全區(qū)。我們?cè)谌诤厦襟w云平臺(tái)上使用了H3C SecPath M9006一體化安全網(wǎng)關(guān)設(shè)備，他集訪問控制、入侵防御、惡意代碼防范功能，根據(jù)業(yè)務(wù)訪問需求對(duì)安全網(wǎng)關(guān)統(tǒng)一配置即可實(shí)現(xiàn)防護(hù)作用。在安全數(shù)據(jù)交換上我們根據(jù)不同需求，采用不用的安全設(shè)備如：協(xié)議網(wǎng)關(guān)和文件安全傳輸設(shè)備，設(shè)備按主備或集群的部署方式保證高可用性。

3. 對(duì)內(nèi)安全邊界?

對(duì)內(nèi)安全邊界在融合媒體云平臺(tái)項(xiàng)目之前就已經(jīng)建成，在這不進(jìn)行描述。

2.5云平臺(tái)安全設(shè)計(jì)

云平臺(tái)是這次融合媒體云平臺(tái)建設(shè)的核心，包括虛擬化安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全設(shè)計(jì)。

?1. 虛擬化安全設(shè)計(jì)?

虛擬化安全包括了物理設(shè)備、虛擬化計(jì)算、虛擬化網(wǎng)絡(luò)、虛擬存儲(chǔ)及安全管理。

從物理設(shè)備安全有計(jì)算設(shè)備、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備都按冗余進(jìn)行設(shè)計(jì)，不管哪類物理設(shè)備出現(xiàn)一臺(tái)故障都不會(huì)影響整個(gè)虛擬化平臺(tái)的使用。如圖5。

在項(xiàng)目中我們使用兩臺(tái)SAN存儲(chǔ)、兩臺(tái)Vplex、兩臺(tái)SAN交換機(jī)，這樣三類設(shè)備組成虛擬化存儲(chǔ)資源。所有的虛擬化操作系統(tǒng)都通過Vplex存儲(chǔ)到兩套存儲(chǔ)中，這樣兩套存儲(chǔ)為鏡像設(shè)備，即使一個(gè)SAN存儲(chǔ)設(shè)備有故障另一臺(tái)同樣能提供服務(wù)。

2. 網(wǎng)絡(luò)安全設(shè)計(jì)?

網(wǎng)絡(luò)安全主要從入侵防御、惡意代碼防范和安全審計(jì)著手，具體設(shè)計(jì)如圖6。

在云平臺(tái)中的運(yùn)維區(qū)我們部署網(wǎng)神SecFox堡壘機(jī)和360虛擬化安全管理系統(tǒng)，運(yùn)維人員通過堡壘機(jī)對(duì)所有設(shè)備進(jìn)行訪問，其中有對(duì)計(jì)算、存儲(chǔ)、交換機(jī)等操作日志，以及通過堡壘機(jī)對(duì)虛擬化安全管理系統(tǒng)進(jìn)行訪問，同樣將各種日志記錄，從而審計(jì)系統(tǒng)進(jìn)行事故原因查詢、定位，為事故發(fā)生前的預(yù)測(cè)、報(bào)警以及事故發(fā)生之后的實(shí)時(shí)處理提供詳細(xì)、可靠的依據(jù)和支持，以備有違反系統(tǒng)安全規(guī)則的事件發(fā)生后能夠有效的追查事件發(fā)生的地點(diǎn)和過程以及責(zé)任人。

3. 主機(jī)安全設(shè)計(jì)?

在虛擬終端上安裝輕代理客戶端，從管理端通過安全策略下發(fā)到虛擬主機(jī)上，實(shí)現(xiàn)對(duì)虛擬化環(huán)境的防病毒管理。我們?cè)谶@個(gè)項(xiàng)目中使用360虛擬化安全管理系統(tǒng)實(shí)現(xiàn)。

?4. 應(yīng)用安全設(shè)計(jì)?

應(yīng)用安全分為內(nèi)網(wǎng)和外網(wǎng)兩種，因私有云對(duì)外提供的都是Web形式的訪問，所以在私有云的安全邊界上進(jìn)行Web防護(hù)，這個(gè)功能由安全網(wǎng)關(guān)實(shí)現(xiàn)。而在外的Web訪問，我們?cè)诨ヂ?lián)網(wǎng)接入?yún)^(qū)域?qū)僭撇渴餡eb防火墻實(shí)現(xiàn)，從而保證Web訪問安全，以及防護(hù)網(wǎng)頁(yè)防篡改。

2.6媒體存儲(chǔ)安全?

在本項(xiàng)目中我們使用EMC的Islion集群NAS存儲(chǔ)，使用4臺(tái)X410分布式存儲(chǔ)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)由后端網(wǎng)絡(luò)和前端網(wǎng)絡(luò)組成，每個(gè)節(jié)點(diǎn)后端網(wǎng)絡(luò)通過IB卡與兩臺(tái)IB交換機(jī)連接保證冗余性，主要負(fù)責(zé)節(jié)點(diǎn)間數(shù)據(jù)交換；前端網(wǎng)絡(luò)通過萬(wàn)兆網(wǎng)卡與兩臺(tái)萬(wàn)兆交換機(jī)連接保證冗余性，主要負(fù)責(zé)與訪問主機(jī)進(jìn)行數(shù)據(jù)交換。

Islion數(shù)據(jù)保護(hù)是通過節(jié)點(diǎn)冗余實(shí)現(xiàn)，也就N+M的模式，N是數(shù)據(jù)位，M是校驗(yàn)位。在此次我們使用4個(gè)節(jié)點(diǎn)，也就是3+1的模式，當(dāng)一個(gè)節(jié)點(diǎn)故障存儲(chǔ)同樣正常使用，然后根據(jù)其它節(jié)點(diǎn)上的數(shù)據(jù)進(jìn)行恢復(fù)。

任何分布式存儲(chǔ)都有元數(shù)據(jù)文件，對(duì)于Islion元數(shù)據(jù)文件存儲(chǔ)在每個(gè)節(jié)點(diǎn)上，同時(shí)進(jìn)行數(shù)據(jù)的同步保證原數(shù)據(jù)一致，當(dāng)任一節(jié)點(diǎn)故障都會(huì)從其它節(jié)點(diǎn)進(jìn)行讀取，保證對(duì)外服務(wù)正常。

2.7 終端安全設(shè)計(jì)

網(wǎng)絡(luò)邊界安全和云平臺(tái)安全設(shè)計(jì)都完成了，只剩終端安全的設(shè)計(jì)，我們?cè)趯僭剖褂?60終端安全管理系統(tǒng)和網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)，這樣將輕量級(jí)的天擎客戶端軟件安裝在PC終端上，通過管理中心統(tǒng)一配置進(jìn)行。

3? 融合媒體云平臺(tái)安全應(yīng)用

融合媒體云臺(tái)在建設(shè)初就考慮到了應(yīng)用的創(chuàng)新和安全訪問的問題，主要從體在以下幾方面：應(yīng)用服務(wù)安全，文件傳輸安全、文件多分布、非編工具安全外延和云非編安全訪問。

3.1應(yīng)用服務(wù)安全?

融合媒體云的模式下所有的PaaS服務(wù)和SaaS服務(wù)都部署在統(tǒng)一的IaaS上，通過虛擬化安全的特性保證每臺(tái)虛擬機(jī)的安全運(yùn)行。在虛擬化的模式下對(duì)外服務(wù)主要用B/S訪問方式，這樣就要求我們的應(yīng)用服務(wù)都是B/S架構(gòu)。

出口安全網(wǎng)關(guān)是整個(gè)私有云的唯一出口，它將核心服務(wù)如PaaS服務(wù)、數(shù)據(jù)庫(kù)服務(wù)、檢索服務(wù)、調(diào)度服務(wù)、消息服務(wù)、緩存服務(wù)和應(yīng)用服務(wù)都保護(hù)在私有云內(nèi)部。專屬云和辦公網(wǎng)訪問應(yīng)用服務(wù)，應(yīng)用服務(wù)再訪問數(shù)據(jù)庫(kù)，同時(shí)在根據(jù)軟件訪問的需求在安全網(wǎng)關(guān)上進(jìn)行安全策略配置，防御通過應(yīng)用層非法的入侵。

3.2文件傳輸安全

在本項(xiàng)目中文件安全傳輸系統(tǒng)主要完成文件素材的安全入出系統(tǒng)，在辦公網(wǎng)通過B/S界面上傳到目標(biāo)系統(tǒng)，同時(shí)在相關(guān)系統(tǒng)進(jìn)行素材的登記，在融合媒體系統(tǒng)通過流程驅(qū)動(dòng)傳入目標(biāo)系統(tǒng)，并進(jìn)行素材的登記。同樣從私有云的目標(biāo)系統(tǒng)可以出到融合媒體系統(tǒng)和辦公網(wǎng)，供系統(tǒng)和用戶下載使用。

文件安全傳輸系統(tǒng)外部與辦公網(wǎng)和融合媒體系統(tǒng)進(jìn)行通過交換機(jī)進(jìn)行連接，內(nèi)部與私有云的制作系統(tǒng)進(jìn)行連接，同時(shí)部署兩套文件安全傳輸系統(tǒng)保證高可用、冗余和負(fù)載均衡。文件安全傳輸系統(tǒng)支持AD域用戶的導(dǎo)入、支持文件白名單過濾、支持文件深度檢測(cè)、支持文件MD5碼校驗(yàn)、支持大小文件快速的傳入傳出，支持與第三方系統(tǒng)進(jìn)行對(duì)接，從而實(shí)現(xiàn)系統(tǒng)級(jí)文件安全交互。

3.3文件多分布訪問?

在融合媒體云的建設(shè)下我們需要考慮在混合云下如何進(jìn)行素材的統(tǒng)一管理，但同時(shí)根據(jù)播出、發(fā)布渠道對(duì)視頻文件碼率進(jìn)行要求，也就是說在私有云中的制作系統(tǒng)使用100Mb素材，在專屬云中的新媒體中使用8Mb、2Mb或者更低的碼率，但對(duì)于一個(gè)素材它可能分布在私有云和專屬云都有，只不過是不同的碼率，這樣不管在私有云還是專屬云都能進(jìn)行檢索。還有根據(jù)素材的分布使用不同的編輯工具進(jìn)行編輯，如在專屬云可以進(jìn)行B/S編輯，然后快速的退給新媒體進(jìn)行發(fā)布，或給微博和微信進(jìn)行分享，而在私有云內(nèi)使用非編進(jìn)行電視節(jié)目精編給電視播出，這樣就可以對(duì)同一內(nèi)容在不同播出渠道進(jìn)行播出，實(shí)現(xiàn)了內(nèi)容協(xié)同報(bào)道。

從圖8可以看到兩個(gè)工作流：

1. 臺(tái)內(nèi)私有云源碼素材上載進(jìn)入集中存儲(chǔ)，經(jīng)過轉(zhuǎn)碼服務(wù)產(chǎn)生低碼率素材，通過DMZ區(qū)同步服務(wù)同步到專屬云的融合媒體系統(tǒng)，供融合媒體系統(tǒng)編輯和發(fā)布使用，以及供臺(tái)外通過互聯(lián)訪問的用戶進(jìn)行編輯和發(fā)布；

2. 臺(tái)外源碼上載到專屬云的融合媒體系統(tǒng)存儲(chǔ)中，經(jīng)過轉(zhuǎn)碼服務(wù)生成低碼率素材，然后將源碼通過同步服務(wù)同步到私有云的生產(chǎn)系統(tǒng)存儲(chǔ)中，供臺(tái)內(nèi)的編輯使用。

3.4非編工具安全外延?

編輯希望在辦公網(wǎng)或互聯(lián)網(wǎng)進(jìn)行編輯，基于這個(gè)需求，以及我們對(duì)安全的考慮，最終通過GPU虛擬化的方式解決非編工具安全外延方式。

虛擬化非編在私有云的虛機(jī)上，在專屬云編輯工作區(qū)通過Citrix的協(xié)議網(wǎng)關(guān)訪問虛擬化非編，通過這個(gè)協(xié)議網(wǎng)關(guān)將虛擬工作站的屏幕信息、鍵盤和鼠標(biāo)信息傳輸?shù)綄僭频碾娔X上，專屬云電腦只能通過IE界面操作私有云內(nèi)的虛擬化非編，不能進(jìn)行其它工作如傳輸文件、插USB外設(shè)等存在安全隱患的操作，從而實(shí)現(xiàn)了非編工具的靈活選擇，編輯也不再局限于一種編輯工具，充分體現(xiàn)了虛擬化非編的優(yōu)勢(shì)。

3.5云非編安全訪問?

在項(xiàng)目建設(shè)之初我們就想選擇一款適合互聯(lián)網(wǎng)環(huán)境下使用的非編，同時(shí)融合媒體系統(tǒng)也需要這樣的工具。

通過調(diào)研我們選擇了新奧特的天鷹云非編，天鷹云非編是一款適合在互聯(lián)網(wǎng)下使用的非編，其工作原理如圖9。

從圖9我們可以看出天鷹云非編有兩條路徑訪問路徑，一條是元數(shù)據(jù)服務(wù)器進(jìn)行用戶登錄，任務(wù)的創(chuàng)建、打開和修改等操作。另一條是天鷹云非編進(jìn)行素材訪問的路徑，通過智能流引擎從云存儲(chǔ)（支持公有云對(duì)象存儲(chǔ)和私有云存儲(chǔ)）中讀取素材，同時(shí)將讀取的素材實(shí)時(shí)進(jìn)行H.264流推送，這樣就可以實(shí)現(xiàn)隨時(shí)隨地的創(chuàng)作。

云非編是同過智能流引擎服務(wù)器訪問專屬云存儲(chǔ)中的低碼率素材文件，互聯(lián)網(wǎng)編輯會(huì)根據(jù)帶寬自適應(yīng)播放的畫幅，使得用戶能夠得到流暢的編輯體驗(yàn)，同時(shí)云非編支持本地素材與云端素材的混合編輯，最終將打點(diǎn)素材傳到云端而不是整段素材，提高了傳輸?shù)男省?/p>

4? 結(jié)束語(yǔ)

本文詳細(xì)介紹了河南臺(tái)在融合媒體云平臺(tái)從安全設(shè)計(jì)到應(yīng)用安全的實(shí)踐過程。首先根據(jù)業(yè)務(wù)的發(fā)展確定了混合云的構(gòu)架，根據(jù)混合云構(gòu)架進(jìn)行邊界安全、云平臺(tái)安全和終端安全的設(shè)計(jì)，以及適配這些安全設(shè)計(jì)我們?cè)跇I(yè)務(wù)上的實(shí)踐如：應(yīng)用服務(wù)安全、文件傳輸安全、文件多分布訪問安全、非編工具安全外延和云非編安全訪問等逐一進(jìn)行了闡述。

希望通過河南臺(tái)的融合媒體云平臺(tái)建設(shè)經(jīng)驗(yàn)可以對(duì)廣電行業(yè)融合媒體平臺(tái)的建設(shè)有所借鑒和指導(dǎo)意義。