淺析基于等保2.0下廣播發(fā)射臺遠程監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)

周 宇

內(nèi)蒙古自治區(qū)廣播電視傳輸發(fā)射中心烏海廣播發(fā)射中心臺 內(nèi)蒙古 烏海市 016000

烏海廣播發(fā)射中心臺運用大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等新一代高新技術(shù)，建設(shè)了監(jiān)測10個發(fā)射臺站、126套節(jié)目、131部發(fā)射機的智慧化遠程監(jiān)測系統(tǒng)，實現(xiàn)對所有臺站的指揮調(diào)度、實時監(jiān)測、數(shù)據(jù)共享、感知預(yù)警，大大提高了臺站智慧化運維、精細化管理水平，然而隨著遠程監(jiān)測系統(tǒng)的運用，網(wǎng)絡(luò)安全重要性日漸凸顯出來，網(wǎng)絡(luò)安全等級保護建設(shè)迫在眉睫，按照網(wǎng)絡(luò)安全等級保護2.0“一個中心、三重防護”的整體思路，本文對如何搭建遠程監(jiān)測系統(tǒng)網(wǎng)絡(luò)安全防御體系，進一步提高播出安全、信息安全能力進行分析。

1 遠程監(jiān)測系統(tǒng)網(wǎng)絡(luò)布局

烏海廣播發(fā)射中心臺網(wǎng)絡(luò)主要由專網(wǎng)和互聯(lián)網(wǎng)組成，其中7個中波發(fā)射臺通過電信專線到達監(jiān)控室，傳輸?shù)胶诵慕粨Q機中；3個調(diào)頻發(fā)射臺由虛擬專網(wǎng)VPN傳輸至監(jiān)控室，傳輸至核心交換機中，所有信號統(tǒng)一集中到核心交換機，從中提取音頻、視頻監(jiān)控、發(fā)射機指標(biāo)等信號，按照《廣播電視網(wǎng)絡(luò)安全等級保護定級指南》，無線發(fā)射臺站遠程監(jiān)控平臺涉及的調(diào)度控制系統(tǒng)、管理支撐系統(tǒng)均屬于第二級保護，如圖1所示。

圖1 遠程監(jiān)控系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D

2 網(wǎng)絡(luò)安全等級保護防范措施

網(wǎng)絡(luò)安全防護按照《廣播電視網(wǎng)絡(luò)安全等級保護基本要求》，分別從物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境、管理中心五個方面分析研究如何加強網(wǎng)絡(luò)安全建設(shè)，如圖2所示。

圖2 網(wǎng)絡(luò)安全保護架構(gòu)

2.1 物理環(huán)境安全防護

物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ)。所有發(fā)射臺站機房出入口均安裝有門禁系統(tǒng)，通過指紋、人臉識別等方式嚴(yán)格控制和記錄進入人員信息；進入機房的外來人員必須獲得機房主任、臺領(lǐng)導(dǎo)的報備批復(fù)方可進入，并根據(jù)工作需要限制其活動范圍。

遠程監(jiān)控系統(tǒng)在值機室安裝機房溫濕度、煙霧水浸等報警系統(tǒng)，安裝供配電電壓、電流實時顯示裝置，同時值班人員定時對機房物理環(huán)境進行安全巡檢記錄，包括機房溫度、機房濕度、防火防盜安全措施等，對機房所有位置進行24小時實時錄像監(jiān)控，保存90天以上，對監(jiān)控室內(nèi)U盤、硬盤等介質(zhì)進行嚴(yán)格管控。

2.2 通信網(wǎng)絡(luò)安全防護

通信網(wǎng)絡(luò)的安全主要包括網(wǎng)絡(luò)結(jié)構(gòu)、通信傳輸?shù)?，網(wǎng)絡(luò)結(jié)構(gòu)需劃分不同的網(wǎng)絡(luò)區(qū)域，并合理的劃分網(wǎng)段、VLAN和IP地址。重要網(wǎng)絡(luò)安全區(qū)域邊界和其他區(qū)域采取相應(yīng)的技術(shù)隔離手段，烏海廣播發(fā)射中心臺結(jié)合業(yè)務(wù)系統(tǒng)需要和網(wǎng)絡(luò)通訊安全，確保業(yè)務(wù)高峰期網(wǎng)絡(luò)流量安全?？紤]業(yè)務(wù)之間的性能重要性和所涉及信息的重要程度等因素，通過華為S57200交換機劃分出Vlan10、Vlan20、Vlan30三個網(wǎng)段，分別對應(yīng)著音頻節(jié)目監(jiān)測、監(jiān)控攝像頭、大數(shù)據(jù)信息，同時通過下一代防火墻進行網(wǎng)絡(luò)隔離，確保網(wǎng)絡(luò)結(jié)構(gòu)安全。3個調(diào)頻發(fā)射臺通過互聯(lián)網(wǎng)采用GRE over IPSec vpn方式連接，實現(xiàn)對網(wǎng)絡(luò)傳輸數(shù)據(jù)完整性校驗，如圖3所示。

圖3 遠程監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全拓?fù)鋱D

2.3 區(qū)域邊界安全防護

區(qū)域邊界主要是指遠程監(jiān)控系統(tǒng)內(nèi)部與外部網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)安全域之間的邊界，對流入、流出的數(shù)據(jù)流進行有效的控制和監(jiān)督。通過在網(wǎng)絡(luò)層部署下一代防火墻，按照嚴(yán)格的安全規(guī)則對所有進出安全區(qū)域邊界的數(shù)據(jù)信息進行過濾，屏蔽所有不安全或不符合安全規(guī)則的數(shù)據(jù)包，阻止非授權(quán)或越權(quán)訪問，防止各類非法攻擊行為。

各類網(wǎng)絡(luò)攻擊行為不僅來自于互聯(lián)網(wǎng)外部網(wǎng)絡(luò)，也來自內(nèi)部網(wǎng)絡(luò)，通過部署下一代防火墻，并及時更新邊界防護產(chǎn)品的事件庫和病毒庫，主動阻斷針對信息系統(tǒng)的各種攻擊。通過在網(wǎng)絡(luò)內(nèi)部核心交換機及其它重要網(wǎng)絡(luò)區(qū)域的交換機上部署網(wǎng)絡(luò)審計系統(tǒng)，對各類用戶的網(wǎng)絡(luò)訪問行為和網(wǎng)絡(luò)傳輸內(nèi)容進行記錄。

2.4 計算環(huán)境安全防護

邊界內(nèi)部稱為安全計算環(huán)境，包括應(yīng)用系統(tǒng)正常運行所必須的主機、應(yīng)用系統(tǒng)、數(shù)據(jù)、存儲與備份等，計算環(huán)境安全是應(yīng)用系統(tǒng)安全的根本。

統(tǒng)一身份鑒別。對登錄操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)的用戶進行集中的身份標(biāo)識和鑒別，確保只有認(rèn)證用戶才能訪問其授權(quán)范圍內(nèi)的系統(tǒng)和數(shù)據(jù)資源。采用數(shù)字證書與動態(tài)口令或生物技術(shù)組合的鑒別技術(shù)對用戶進行身份鑒別，確保用戶身份標(biāo)識具有唯一性。

運維訪問控制和安全審計。通過部署堡壘主機，實現(xiàn)對設(shè)備和服務(wù)器的統(tǒng)一用戶帳戶管理、登錄認(rèn)證、資源授權(quán)、訪問控制和操作審計，簡化用戶身份管理工作、加強對運維管理用戶登錄及操作行為的控制和審計。

數(shù)據(jù)庫訪問控制和安全審計。針對數(shù)據(jù)庫服務(wù)器，部署數(shù)據(jù)庫安全網(wǎng)關(guān)，實現(xiàn)細粒度的訪問控制，提供事前預(yù)防、事中控制、事后分析等全面的數(shù)據(jù)庫安全管控。

日志審計。對遠程監(jiān)測系統(tǒng)的所有服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)和新增的各種安全系統(tǒng)開啟完整的日志記錄功能，對重要的用戶行為和重要安全事件進行審計，并將審計記錄實時發(fā)送給日志服務(wù)器，便于長期存儲保護和分析使用。

2.5 管理中心安全防護

建立安全管理中心要求實現(xiàn)對網(wǎng)絡(luò)中多層面、多安全系統(tǒng)進行統(tǒng)一監(jiān)控監(jiān)管、統(tǒng)一配置管理、統(tǒng)一安全展示等安全目標(biāo)。根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中對系統(tǒng)管理、審計管理、安全管理和集中管理等幾個方面的要求，通過部署堡壘機、日志審計、數(shù)據(jù)庫審計或具備同等功能的產(chǎn)品，實現(xiàn)對遠程監(jiān)控系統(tǒng)內(nèi)所有網(wǎng)絡(luò)設(shè)備的集中管理和監(jiān)控。

結(jié)束語

烏海廣播發(fā)射中心臺遠程監(jiān)控系統(tǒng)包含互聯(lián)網(wǎng)、電信專網(wǎng)連接，目前只部署了一臺下一代防火墻，網(wǎng)絡(luò)安全防范措施不足、隱患較大，構(gòu)建符合國家和行業(yè)等級保護標(biāo)準(zhǔn)要求的信息系統(tǒng)十分重要，以保障遠程監(jiān)控系統(tǒng)業(yè)務(wù)安全、可靠、穩(wěn)定運行，防范系統(tǒng)免受外來網(wǎng)絡(luò)的攻擊，防止國家財產(chǎn)的損失和重要數(shù)據(jù)信息的泄露。