江苏监测台 广播电视全媒体综合监测监管平台 项目 通过科技创新鉴定

李显辉

[摘 要]本文主要针对当下互联网技术迅速发展的现状，结合广播电视行业监管的实际需要，采用虚拟化技术完成监管工作，从而达到覆盖面积大、故障率低等特性。

[关键词]广播电视；虚拟化；内容监管；

中图分类号：TN948.7 文献标识码：A 文章编号：1009-914X（2017）25-0378-01

1 引言

随着移动互联网的发展，手机APP、OTT、微博、迅速成为大众的日常信息获取平台。对于移动互联网的爆发式发展，传统的广播电视监管技术已经无法满足实际的监管需求，须采用新技术——虚拟化技术来完成监管工作。下面简单介绍一下虚拟化技术的优势及核心功能。

2 虚拟化技术的优势

虚拟化资源池系统是一款针对于云数据中心的虚拟化安全防护系统，通过定制研发的虚拟化技术，转变传统的防护模式，可实现对虚拟资源池中的安全设备进行统一的安全防护与集中管理，通过虚拟化资源池系统中的安全设备进行增加、删除、修改、镜像管理、双机热备管理等，实现快速、敏捷部署。通过云安全管理平台，下发安全防护策略，在云环境中实现按需实现南北向和东西向安全防护，通过云安全管理平台的流量导流策略，监控和审计云内虚拟机之间的访问流量。

2.1 虚拟安全设备管理

依靠强大的研发能力，在虚拟化领域的技术积累，自主开发出了虚拟化设备管理程序、能够创建、关闭、删除、销毁各类虚拟化安全设备，可以轻松为各类虚拟化安全设备分配CPU、内存、硬盘等各类资源，支持对虚拟化安全设备的快照、克隆、迁移，支持资源池之间的冗余备份及主备切换，实现虚拟安全设备的快速部署，动态迁移、以及可视化安全分析。

2.2 大的数据处理能力

一直一来NFV技术存在着性能吞吐不高的通信瓶颈，制约着虚拟化安全产品的应用，虚拟化资源池采用基于OVS+DPDK的底层技术，系统与其他虚拟化产品项目，性能方面有了极大的提高，每核CPU可达10Gbps吞吐，单台10核双CPU服务器组建的安全资源池最高可达220Gbps吞吐性能。

2.3 按需提供安全防护

虚拟化资源池系统可通过与云安全管理平台进行联动，实现业务虚拟资源的按需防护功能。由云安全管理中心定义防护策略并下发SDN流表，通过调用虚拟化资源池系统，对于不同的虚拟业务制定针对性的安全防护策略。比如只对互联网网络访问应用下发防火墙访问控制，只对WEB应用下发WEB防护应用，而其他内部通信下发IDS的入侵检测策略（通过安全虚拟机导流方式），实现了根据不同的业务需求制定不同安全防护策略。

2.4 多种安全防护手段

虚拟化资源池系统按防护方式分为串行资源池系统和旁路资源池系统。将串行安全设备和旁路安全设备分别部署在不同的安全资源池中，串行安全设备包括虚拟化防火墙、虚拟化WAF、虚拟化负载均衡等南北向防护设备，旁路安全设备包括虚拟化入侵检测、虚拟化审计等，串行和旁路的流量互不干扰宿主机防护，形成了立体的云环境安全防护体系。

2.5 安全的虚拟化系统

虚拟化系统底层采用自主研发的虚拟化管理系统，提供安全的虚拟化服务的Hypervisor层，保证了虚拟化资源池中部署安全产品的自身安全，为虚拟化环境提供了自上而下，由内而外的整体安全防护。

3 虚拟资源池功能

3.1 云安全管理平台功能

3.1.1 资产发现

资产发现通过调用网内SDN Controller的API接口，对云内虚拟业务系统、虚拟网络设备信息进行获取。

SDN Controller将全网设备信息发送给云安全管理平台，云安全管理平台即可绘制出网络拓扑图，描绘出业务虚拟机与物理服务器的对应关系。

通过在云安全管理平台上注册云内安全设备，可以读取安全设备的相关信息，包括安全设备的端口信息与策略信息。

3.1.2 资产导入

对于暂未支持的物理设备，可以通过excel、txt、xml的格式将网络资产、服务器資产导入到云安全管理平台中，在云安全管理平台的统一监控视图上，可以对资产所属的安全域以及安全域与相关资产的调用关系进行实时监控.

3.1.4 安全监控

安全域内性能监控除了监测虚拟机之外，还能监控相关联的交换机端口、中间件、数据库等重要资产； 该安全域内任一资产出现性能告警或不可用时，对该安全域内产生告警。 同时根据这些安全防护措施，能够对安全域进行安全评定以及状态显示。

3.1.5 虚拟机管理

在云安全管理平台中，虚拟镜像管理节点作为一个组件，需要在每台被监控和管理的物理主机上部署一台。通过每一行操作列下的两个图标，用户可以对所选择的物理进行安全虚拟机的注册和对已安装的安全虚拟机的操作。需要输入安全虚拟机的名称、安全虚拟机的管理IP、安全虚拟机所在主机的管理IP和用户标识安全虚拟机的安全虚拟机描述信息，对安全虚拟机进行注册，注册后，安全虚拟机将被自动部署到对应的物理主机上。

3.1.6 告警

当系统产生告警时，责任人通常无法实时知悉，通过告警动作可以在告警之后自动执行响应动作通知责任人，目前支持的动作包括：系统弹出框与邮件通知。可以对告警动作添加命名、描述。弹出框配置需选择系统中的用户，邮件通知则可以选择系统用户（系统用户须配置邮件地址）以及自定义邮件地址。

3.2 虚拟安全资源池功能

3.2.1 虚拟安全设备管理

能够创建、关闭、删除、销毁各类虚拟化安全设备，可以轻松为各类虚拟化安全设备分配CPU、内存、硬盘等各类资源，支持对虚拟化安全设备的快照、克隆、迁移，支持资源池之间的冗余备份及主备切换，实现虚拟安全设备的快速部署，动态迁移、以及可视化安全分析。

3.2.2 与云安全管理平台联动实现按需提供安全防护

虚拟化资源池系统可通过与云安全管理平台进行联动，实现业务虚拟资源的按需防护功能。由云安全管理中心定义防护策略并下发SDN流表，通过调用虚拟化资源池系统，对于不同的虚拟业务制定针对性的安全防护策略。比如只对互联网网络访问应用下发防火墙访问控制，只对WEB应用下发WEB防护应用，而其他内部通信下发IDS的入侵检测策略（通过安全虚拟机导流方式），实现了根据不同的业务需求制定不同安全防护策略。

3.2.3 提供串行、旁路多种安全防护手段

虚拟化资源池系统按防护方式分为串行资源池系统和旁路资源池系统。将串行安全设备和旁路安全设备分别部署在不同的安全资源池中。串行安全设备包括虚拟化防火墙、虚拟化WAF、虚拟化负载均衡等南北向防护设备，旁路安全设备包括虚拟化入侵检测、虚拟化审计等，串行和旁路的流量互不干扰宿主机防护，形成了立体的云环境安全防护体系。

3.2.4 安全的虚拟化系统

虚拟化系统底层采用自主研发的虚拟化管理系统，提供安全的虚拟化服务的Hypervisor层，保证了虚拟化资源池中部署安全产品的自身安全，为虚拟化环境提供了自上而下，由内而外的整体安全防护。

4 结束语

通过以上的分析，我们可以看出虚拟化技术在媒体传播变化多端具备较强的优势，广电监管部门应紧跟时代潮流，将新技术转化为监控新手段。