导读
本文整理自某博物馆总工程师,在2017年某公司亚太区巡展北京站进行的分享,希望这些具有借鉴意义的实践经验能够带给大家一些IT建设启发。
大家好!今天与大家分享的主题是“简单、实用、高效的安全建设”。
一听到博物馆,大多数人可能会首先联想到很多古物,在展厅里有很多非常贵重的藏品。其实现代的博物馆,在文物管理、研究、修复以及数字化的展示等方面,越来越依赖于信息化的建设。
由于音视频技术的发展,现在以及未来的博物馆对于历史和现实世界的呈现方式可能越来越依靠于音视频资源作为物证。我们每年会增加几十甚至上百T的音视频资源,所以信息化建设就提到了一个非常重要的位置。
信息化建设重点,主要分三个层面:
首先业务层面保证重要系统的安全、稳定、高效的运行;
二是办公层面要提供流畅、便捷安全的上网环境;
三是社会服务层面建设先进开放的文化展示平台。
在博物馆的信息化建设方面,我们馆的起步是有些晚的,可以概括为四个阶段:
在2011年之前,可以说我们博物馆信息化建设为零。就几台办公的主机,有一台财务的ERP运行在一个单独的主机上,网络是由物业管理。
从2011年开始由于网站建设的需要我们第一次采购了服务器,租用了IDC机房。
2012-2014年进入快速发展期,大量采购很多服务器,建立自己的机房,同时购买了第一台防火墙。我记得在当时,博物馆的钱少人更少,所以我们主要的选择标准是简单实用便宜。当时采购的是某公司的产品,但是非常好的服务让我们印象很深刻。
2013-2014年建立了藏品管理系统、知网系统以及读书管理系统,有大量数据进行存储。这些资源的价值可以说跟博物馆藏品的价值是一致的,所以我们对信息安全越来越重视。
到2014年时,博物馆曾经遭遇过一次内网的攻击。我们意识到近有一台防火墙是不行的,所以又增加了一台某公司的防火墙在用户和服务器之间进行了隔离。
2015年有了影音管理系统,由于上了大量的无线网络,对于用户网络接入变的尤为重要,所以增加了无线的上网行为管理系统。同时因为我们的库房搬离了办公区,所以说博物馆的藏品管理业务需要通过远程接入到办公网络,于是我们开始使用VPN。
2016年因为大量的服务器、业务之间互相匹配非常困难、管理起来非常复杂,所以开始用某公司的超融合方案,大大的节省了我们的管理成本。
我们对于信息安全主要的需求就是应用安全、数据安全、传输安全、上网安全、身份安全。我们期望是得到一个全面精简高效及时的服务。
这是我们馆的一个拓扑图:
我们现在使用的某公司的产品功能价值,第一个是下一代防火墙,对于内网外网安全的防护。其次是上网行为管理,我们所有接入网络的用户和设备都是通过Mac地址绑定的,所以非常灵活。
第三是VPN大大提高移动办公、外网接入的效率。使用了超融合产品后,我们的一个业务在开启时,只要将已经配置好的模板甩出去,配置一个IP地址,所有任务就完成,其他的由响应的业务部门完成,做到业务与业务之间完全的隔离。
我们在常年使用某公司的产品后有以下一些感受:
一是某公司的产品界面简单、报表全面,安全管理效率高;
二是细粒度的控制和审计记录可以定位安全问题所在;我们曾经发生过内网的安全,有大量的计算机短时间之内挂马,造成DDos攻击,我们通过防火墙迅速查到了这些产生DDos的主机,很快的找到了这些用户,并且通知了这些用户,及时把问题解决了。
三是运维管理可以远程接入操作,提高管理的灵活性;我们运维人员非常少,经常出差,现在我们的管理方式就是只要带着一个笔记本,只要有4G网络,无论是在云南还是上海,管理员有问题就打电话,可以随时接入内网,进行操作,非常方便。
第四是超融合平台提供业务系统的统一管理和调度,减少运维工作量。我们现在的系统可以实时的查看各业务系统使用资源情况,如果他使用的比较高,就相应的调整CPU、内存,网络流量,做到资源最优化的应用。
这是防火墙直观的截图,大家可以看这个界面是非常可视化的。这是截取了官方网站一个月之内的数据报表,安全态势,可以看到我们的网站还是有很多的安全漏洞需要解决,但是还好基本都是被防火墙所拦截的。我们可以知道漏洞的原因、位置以及它的频次和危险程度,非常高效,我们把这些情况交给网站公司让他们去处理。
下一步安全建设方案主要是要建设网络设备和存储的双链路,能够达到任何一台设备故障不影响业务系统安全和正常的使用。还有一个就是进行等级保护,我们能够判断在业务系统里面数据流的流向和它是否安全。
现在的安全还主要体现在受到攻击之后的防护,但是我们想更主动一些,一旦有了攻击可以及时判断和做出应对,及时响应。
多年来使用某公司的产品我有三点体会:
一是某公司产品的界面是非常友好的。我是做博物馆行业的,也做展览,所以我的感触特别深。一个展览,在大量的历史文物、资料面前,怎么在一个有效的展厅里面展示最有效的知识,做减法是最难的。某公司的界面给我的感觉是,他背后的功能技术非常复杂,但是在一级界面用最好的方式呈现出你最关注的信息,使用简单,体验很好。
第二点是某公司的服务非常周到,哪怕是我们自己造成的故障,只要打电话,24小时之内都能够及时解决,这个是非常方便的。
第三点是让我感觉到某公司是真真正正、踏踏实实在做产品,不会说一个产品做到一半不管了,他会把一个产品做到最极致,下一代产品会兼容上一代产品,做到产品可持续,这就让我们很放心,不会说买了一个产品过几年之后公司消失了,没有运维了。这是让我非常信服某公司的一点。
我的分享就到这里,谢谢大家!
发表于 2017-4-19 11:02
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2017-4-19 11:05
不错啊
技术员1级 
