摘要:雲端計算是當前業界最受關注的技術和業務理念,特別是針對處於風口浪尖的新聞傳媒行業來說,雲端計算的出現給傳媒業帶來了新的希望和曙光。以廣西日報傳媒集團資訊保安建設為例,從雲端計算理念和規範入手,突破傳統的技術約束,以一種全新的技術架構來完成新聞傳媒行業的資訊保安建設,使其更具有時代競爭力。
關鍵詞:雲端計算;傳媒;資訊保安
隨著知識經濟以不可逆轉的力量推動著時代的車輪飛速前進,人類社會也正經歷這前所未有的快速變革,自從聯合國教科文組織提出知識經濟的概念20年以來,人類創造的知識成果超過近5000年文明創造的總和;在新世紀剛過去的10年,經合組織GDP50%以上是依賴於知識經濟;科技進步對經濟增長的貢獻率甚至超過了80%。
正是在這樣的知識經濟蓬勃發展大環境下,廣西日報傳媒集團(以下簡稱“廣西日報”)順應時代,抓住機遇,整合出版資源,做大做強經營性文化產業。努力開創和發展包括平面媒體、網路媒體、移動媒體等全方位覆蓋的全媒體傳播和多元化產業發展的新格局。資訊科技作為知識經濟的核心驅動技術,成為引領傳媒業邁向新時代的關鍵因素。
1 資訊化建設的需求分析
自從2009年底轉製為集團企業後,隨著業務的快速增長和技術日新月異,廣西日報在資訊化工作深入應用時也遇到了一些挑戰,主要體現在以下幾個方面:
第一、業務層面。隨著廣西日報業務的不斷豐富和擴充套件,業務模式正在開始逐步的轉型,主要是“傳播者本位”向“受眾本位”的轉型、從“組織媒介”向“大眾媒介”的轉型、從“巨集觀內容”向“微觀內容”的轉型。業務模式轉變對資訊系統支撐並適應業務轉型的要求提出了新的要求。
第二、管理層面。企業化管理體制對業績和效率要求更為明確,同時對投入和成本的控制也較事業單位時期更為嚴格,資訊科技工作量化管理本身就是個業界難題,如何有效地治理資訊系統,規範管理,降低成本,也是資訊化工作面臨的重要挑戰。
第三、技術層面。WEB2.0時代,新一代網際網路發生了翻天覆地的變化,如P2P、RSS、部落格、微博、WiKi、播客等資訊傳播技術如雨後春筍般湧現出來,並將迅速成為推動傳媒領域技術革命的關鍵因素,資訊科技工作不僅要將如此眾多的新興技術學習、消化、吸收,更要將技術和實際業務工作結合,無疑為資訊科技工作增加了工作壓力和難度。
綜上所述,如果仍然延續傳統的資訊科技工作模式,將不能適應集團業務轉型和發展的要求。為了從根本上解決資訊科技工作存在的問題,確保資訊系統可持續發展,廣西日報決定整合IT核心系統,規範相關業務流程,打造先進、靈活、安全的IT系統,具體需求如下:
第一,採用創新的雲端計算模式取代傳統C/S或B/S計算模式,整合現有業務系統至統一執行平臺,並採用鬆耦合思路進行協同整合,突破各IT系統的區域和邊界限制,為業務系統轉型提供技術支撐。
第二,引入成熟先進的IT管理體系和規範標準,結合業務實際情況制定包括系統生命週期、技術服務管理、資訊保安管理等自身IT管控體系,為資訊科技工作配套管理體系打下良好基礎。
第三,建設嚴密、協同、靈活的資訊保安體系,切實有效保障業務連續性,為業務健康可持續發展保駕護航;同時,提升資源利用率,優化系統性能價格比,降低系統總擁有成本,真正實現少花錢,多辦事。
2 資訊保安建設總體思路及安全實踐
2.1 資訊保安建設總體思路
根據總體規劃、分步實施的總體思路,廣西日報的資訊保安建設分為兩個階段,第一期專案以建設私有云為主要內容,第二期則是在一期的基礎上,建設私有云和社群雲的混合云為主要內容。總體建設思路如圖1所示。
2.2 總體技術架構
在傳媒集團資訊保安建設中,雲端計算的最關鍵技術,就是如何整合計算處理、資料儲存和網路傳輸三大子系統。在傳統的C/S或B/S計算模式中,往往這三者是鬆耦合的,而在雲端計算環境中,這三者是緊耦合的——通過高速的寬頻網路虛擬化技術,將處理資源及儲存資源緊密有機地整合在一個完整的系統中。要實現真正意義上的雲端計算,必須使處理、儲存、網路三大子系統實現以下關鍵功能:
第一、處理資源虛擬化和網路化。處理資源主要包括CPU、記憶體及系統匯流排,通過虛擬化技術將CPU、記憶體抽象出來,作為虛擬資源池,再通過虛擬化網路將各資源池聯通,並通過管理系統進行統一資源排程,做到即可多個物理資源整合一個邏輯資源,又可將一個物理資源分割成多個邏輯資源,如現在流行的InfiniBand技術就是將傳統封閉的PCI/PCI-X/PCI-E匯流排網路化的例項。
第二、儲存資源虛擬化和網路化。儲存資源主要包括各種線上、近線甚至離線儲存資源,主流儲存產品均支援各種網路化解決方案,包括SAN、ISCSI、NAS等,可以非常便捷地用網路管理的思路來管理儲存系統。先進的儲存產品可以支援虛擬化或雲端計算環境中的資料無縫遷移、災備、資料消重等重要功能,如現在流行的FCOE技術就是將封閉式儲存資料傳輸遷移到高速乙太網的例項。
第三、網路傳輸寬頻化和標準化。和傳統計算環境相比,雲端計算環境中,網路傳遞的不僅是傳統的IP業務資料,更多的將是各種處理資源和儲存資源的資料,這些資料具有極強的實效性(奈秒級)、高可用性(99.999999%),並且要求網路具備極高的吞吐能力(萬兆級)。同樣重要的是,在傳統網路中,IP資料是無連線的,而云計算環境中,網路傳輸應保障端到端業務的可靠性,所以要求網路面向連線特性更為嚴格。這使雲端計算環境中核心網路和傳統的區域網、廣域網、園區網有本質的區別。如現在流行的零丟包非阻塞式網路就是雲端計算核心網路的例項。圖2為廣西日報私有云建設總體技術架構圖。
2.3 安全的雲端計算環境
在論述雲端計算環境的安全性時候,有必要明確的是“安全雲”還是“雲安全”的概念。“雲安全”是資訊保安領域最近炒得比較熱話題,但是,“雲安全“是各安全廠家借鑑了雲端計算的共享協作基本理念和思路,用在各自的資訊保安產品的更新和協作上。使其產品能夠更快速靈活的應對各種潛在和突發的安全威脅。因此,“雲安全”只是一種理念,在業界有相當一部分資深人士認為“雲安全”原理上甚至只是分佈拒絕式服務攻擊或殭屍網路攻擊的反其道而行之。而“安全雲”的概念和範圍則要比“雲安全”要廣得多,技術深度也不可同日而語。“安全雲”是完整的雲端計算環境中的資訊保安體系,不僅是理念,還包括了各種管理標準、技術架構。因此,在建設安全的雲端計算環境光考慮雲安全是遠遠不夠的,要結合管理、技術、業務,建設並完善整個雲端計算安全體系。圖3是廣西日報的安全雲體系架構。
2.3.1 雲端計算環境下面臨的安全威脅和風險
在廣西日報雲端計算環境中,主要存在以下的安全威脅和風險,如表1所示。
2.3.2 統一集中安全認證/授權/審記
雲端計算環境中使用者最大顧慮可能是雲端計算打破了傳統資訊保安的邊界概念,無邊無際,看不見摸不到,如採用傳統的基於邊界和各系統獨立的安全思路,可以設想下這樣的場景:雲端計算無邊界限制,入口眾多,各系統許可權分立,安全標準不統一,缺乏事後追溯和跟蹤審記,必將給雲端計算環境帶來巨大的安全隱患。因此,在私有云計算環境中,統一入口、統一認證、統一授權、統一審記(即AAA安全體系)是極為關鍵的。