博物馆信息化建设实践：简单、实用、高效的安全建设分享

hwyzw

    介绍

    本文整理自某博物馆总工程师在2017年深信服亚太巡展北京站分享的内容。希望这些具有参考意义的实践经验能给大家带来一些IT建设的启发。

    大家好！今天我要跟大家分享的主题是“简单、实用、高效的安全施工”。

    当大多数人听到博物馆这个词时，他们可能首先想到许多古物。展厅里有很多非常有价值的藏品。事实上，现代博物馆在文物管理、研究、修复、数字化展示等方面越来越依赖信息技术。

    由于音视频技术的发展，博物馆现在和未来呈现历史和现实世界的方式可能越来越依赖音视频资源作为实物证据。我们每年都会新增几十甚至上百TB的音视频资源，因此信息化建设已经被提到了非常重要的位置。

    信息化建设的重点主要分为三个层面：

    一是业务层面保障重要系统安全稳定高效运行；

    其次，办公层面必须提供流畅、便捷、安全的互联网环境；

    三是在社会服务层面打造先进开放的文化展示平台。

    在博物馆信息化建设方面，我们博物馆起步较晚，可以概括为四个阶段：

    2011年之前，我馆的信息化建设可以说为零。办公主机只有几台，一台财务ERP运行在单独的主机上，网络由物业管理管理。

    从2011年开始，由于网站建设的需要，我们第一次购买了服务器，租用了IDC机房。

   

    2012年至2014年，我们进入快速发展期。我们购买了大量的服务器，建立了自己的机房，购买了我们的第一台防火墙。我记得当时博物馆钱少，人少，所以我们主要的选择标准就是简单、实用、便宜。当时我们购买了深信服的产品，但是深信服非常好的服务给我们留下了深刻的印象。

    2013年至2014年建立了馆藏管理系统、CNKI系统和阅览管理系统，存储了大量数据。这些资源的价值可以说和博物馆藏品的价值是一致的，所以我们越来越重视信息安全。

    2014年，博物馆遭遇内网攻击。我们意识到最近的防火墙还不够，所以我们添加了深信服防火墙来隔离用户和服务器。

    2015年推出音视频管理系统。由于无线网络数量庞大，用户的网络访问变得尤为重要，因此增加了无线上网行为管理系统。同时，因为我们的仓库搬离了办公区，博物馆的藏品管理业务需要远程连接到办公网络，所以我们开始使用VPN。

    2016年，由于大量服务器和业务的匹配非常困难，管理也非常复杂，我们开始使用深信服的超融合解决方案，大大节省了我们的管理成本。

    我们对信息安全的主要需求是应用安全、数据安全、传输安全、互联网安全、身份安全。我们期望提供全面、精简、高效、及时的服务。

    这是我们博物馆的拓扑图：

    我们现在使用的深信服产品的功能价值就是下一代防火墙，保护内外部网络的安全。二是上网行为管理。我们所有连接网络的用户和设备都是通过Mac地址绑定的，所以非常灵活。

    三是VPN极大提高了移动办公和外网访问的效率。使用超融合产品后，当我们的一项业务启动时，我们只需要把配置好的模板扔掉，配置一个IP地址，就一切任务完成了。其余的由相应的业务部门完成，从而实现企业与业务的协调。完全隔离。

    经过多年使用深信服产品，我们有以下感受：

    一是深信服产品界面简洁、报表全面、安全管理效率高；

   

    其次，细粒度的控制和审计记录可以定位安全问题；我们曾经发生过一次内部网络安全事件，短时间内大量计算机被黑客攻击，引发DDos攻击。我们很快就找到了这些通过防火墙产生DDos的主机。 ，迅速找到这些用户，通知这些用户，及时解决问题。

    三是运维管理可远程访问，提高管理的灵活性；我们运维人员很少，经常出差。现在我们的管理方式就是带一台笔记本电脑和4G网络，无论是在云南还是上海，管理员有什么问题都可以打电话，并且可以随时访问内网进行操作，非常方便。

    第四，超融合平台提供业务系统的统一管理和调度，减少运维工作量。我们现在的系统可以实时查看各个业务系统的资源使用情况。如果使用率比较高，CPU、内存、网络流量都会相应调整，实现资源优化的应用。

    这是防火墙的直观截图。可以看到这个界面非常直观。这是一个月内从官网截取的数据报告。安全情况表明，我们的网站仍然存在很多安全漏洞需要解决，但幸运的是，大部分都被防火墙拦截了。我们可以知道漏洞的原因和位置，以及漏洞出现的频率和危险程度，非常高效。我们把这些情况交给网站公司来处理。

    安全建设计划的下一步是构建网络设备和存储的双链路，使任何设备的故障不影响业务系统的安全和正常使用。再一个是实行分级保护。我们可以判断业务系统中数据流的流向以及是否安全。

    今天的安全主要体现在受到攻击后的防护，但我们要更加主动。一旦出现攻击，我们能够及时判断、应对，及时应对。

    多年来我使用深信服产品的经历有三点：

    首先，深信服产品的界面非常友好。我从事博物馆行业，也做展览，所以感触特别深。在一次展览中，面对大量的历史文物和资料，如何在一个有效的展厅中展示最有效的知识是最困难的事情。深信服的界面给我的感觉是其背后的功能技术非常复杂，但是一级界面用最好的方式呈现你最关心的信息，使用简单，体验良好。

    第二点是深信服的服务非常周到。即使是我们自己造成的故障，只需拨打电话，我们就能在24小时内及时解决。这非常方便。

    第三点让我感觉深信服做产品是真正的、踏实的。不会说一个产品就完成了一半，而是将一个产品做到了极致。下一代产品将与上一代产品兼容。使产品可持续发展让我们安心。我们不会说买了一个产品几年后公司就消失了，没有运维了。这是让我非常确信的一点。