宿遷市廣播電視總臺網(wǎng)絡(luò)安全加固設(shè)計(jì)與實(shí)踐

◎姜 辛

(宿遷市廣播電視總臺技術(shù)中心，江蘇 宿遷 223800)

宿遷市廣播電視總臺網(wǎng)絡(luò)安全架構(gòu)體系遵從網(wǎng)絡(luò)安全等級保護(hù)2.0 制度“一個中心、三重防護(hù)”原則[1]，針對廣播電視各類播出系統(tǒng)、管理平臺開展了網(wǎng)絡(luò)安全等級保護(hù)建設(shè)和評測工作?！耙粋€中心”是指在網(wǎng)絡(luò)安全加固中，必須建立一個集中的安全管理中心，負(fù)責(zé)整個網(wǎng)絡(luò)的安全管理和監(jiān)控?！叭胤雷o(hù)”是指在網(wǎng)絡(luò)安全加固中，必須采取物理安全、網(wǎng)絡(luò)安全和應(yīng)用程序安全三方面的防護(hù)措施。

一、概述

根據(jù)相關(guān)的網(wǎng)絡(luò)安全等級保護(hù)要求以及廣播電視管理規(guī)定，結(jié)合宿遷市廣播電視總臺的自身實(shí)際情況，在構(gòu)建網(wǎng)絡(luò)安全運(yùn)行體系及網(wǎng)絡(luò)安全管理中心中，實(shí)行動態(tài)與靜態(tài)相結(jié)合的形式，最終形成了完整的等級保護(hù)方案，對業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)進(jìn)行相關(guān)規(guī)劃和部署，建立信息系統(tǒng)綜合防護(hù)體系，落實(shí)安全保護(hù)技術(shù)措施。動態(tài)包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)安全策略等。在網(wǎng)絡(luò)安全加固中，必須采取一系列措施來保證網(wǎng)絡(luò)的安全性，如防火墻、入侵檢測系統(tǒng)、安全掃描器、輸入驗(yàn)證、輸出過濾、加密等。靜態(tài)包括包括設(shè)備安全和物理環(huán)境安全。設(shè)備安全包括設(shè)備的防火、防盜、防靜電等措施；物理環(huán)境安全包括機(jī)房的安全、溫度和濕度的控制等。

二、總體設(shè)計(jì)

按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》標(biāo)準(zhǔn)，宿遷市廣播電視總臺的網(wǎng)絡(luò)信息系統(tǒng)安全等級為三級?？偱_以廣電大廈搬遷、系統(tǒng)新建為發(fā)展契機(jī)，完善相應(yīng)的網(wǎng)絡(luò)安全法律法規(guī)，實(shí)行規(guī)劃、建設(shè)、使用同步原則，在全臺業(yè)務(wù)網(wǎng)技術(shù)方案制定初期，就對網(wǎng)絡(luò)等級保護(hù)項(xiàng)目同步規(guī)劃、跟進(jìn)。

根據(jù)等級保護(hù)要求，總臺網(wǎng)絡(luò)等級保護(hù)項(xiàng)目對服務(wù)器區(qū)進(jìn)行安全加固，同時對終端進(jìn)行惡意代碼防護(hù)和終端準(zhǔn)入監(jiān)測，按照審計(jì)、管理的等級保護(hù)要求，部署內(nèi)網(wǎng)審計(jì)設(shè)備、安全感知設(shè)備、安全管控、內(nèi)網(wǎng)準(zhǔn)入等設(shè)備。通過安全建設(shè)，保證宿遷市廣播電視總臺網(wǎng)絡(luò)信息系統(tǒng)的安全性、穩(wěn)定性，確保達(dá)到等級保護(hù)三級的要求。

廣播電視總臺網(wǎng)絡(luò)安全加固體系設(shè)計(jì)目標(biāo)是確?？偱_信息系統(tǒng)的安全性，防止信息泄露、篡改和破壞。具體目標(biāo)如下：

一是加強(qiáng)安全系統(tǒng)建設(shè)，實(shí)現(xiàn)按需防御。為實(shí)現(xiàn)按需防御，需要建立完善的安全系統(tǒng)，包括入侵檢測、防火墻、加密通信等安全設(shè)備和系統(tǒng)。這些設(shè)備和系統(tǒng)應(yīng)該根據(jù)總臺信息系統(tǒng)的實(shí)際情況進(jìn)行選擇和配置，確保安全性和可用性。同時，需要建立安全策略和安全管理制度，明確各項(xiàng)安全規(guī)定和流程，確保所有工作人員都了解和遵守安全規(guī)定。

二是建設(shè)安全運(yùn)維體系。安全運(yùn)維體系建設(shè)是確?？偱_信息系統(tǒng)持續(xù)安全的重要保障。需要建立完善的安全運(yùn)維體系，包括安全監(jiān)控、安全審計(jì)、應(yīng)急響應(yīng)等安全運(yùn)維流程和制度[2]。同時，需要建立專業(yè)的安全運(yùn)維團(tuán)隊(duì)，負(fù)責(zé)實(shí)施和管理安全運(yùn)維工作，確保所有系統(tǒng)和數(shù)據(jù)都得到及時、有效的保護(hù)。

三是科學(xué)規(guī)劃，提升總臺信息系統(tǒng)安全防護(hù)能力。需要建立科學(xué)的安全評估體系，對總臺信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行全面評估和分析，及時發(fā)現(xiàn)和解決潛在的安全問題。同時，需要加強(qiáng)安全技術(shù)研究和開發(fā)，引入最新的安全技術(shù)和方法，提升總臺信息系統(tǒng)的安全性和防護(hù)能力。

三、詳細(xì)設(shè)計(jì)方案

宿遷市廣播電視總臺網(wǎng)絡(luò)安全架構(gòu)整體設(shè)計(jì)遵從《網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)，通過構(gòu)建“一個中心支撐下的三重防護(hù)體系”的縱深防御體系，來保障總臺網(wǎng)絡(luò)的安全?！耙粋€中心”即安全管理中心，“三重防護(hù)”即安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)三方面防護(hù)。

(一)安全區(qū)域劃分

對總臺整體網(wǎng)絡(luò)進(jìn)行安全區(qū)劃分，構(gòu)建分區(qū)、分等級的安全防護(hù)體系，是提升網(wǎng)絡(luò)整體防護(hù)能力的重要一環(huán)。

針對總臺網(wǎng)絡(luò)覆蓋范圍廣、業(yè)務(wù)服務(wù)種類繁、用戶對象多等特點(diǎn)，采用基于安全區(qū)的安全設(shè)計(jì)辦法是非常有效的，將總臺根據(jù)業(yè)務(wù)訪問關(guān)系劃分為多個安全區(qū)域，然后根據(jù)各個安全區(qū)域的特點(diǎn)，分別有針對性地設(shè)計(jì)保護(hù)措施和安全策略，將大大提升防護(hù)的有效性，同時也體現(xiàn)出重點(diǎn)資產(chǎn)重點(diǎn)防范的建設(shè)原則。

根據(jù)安全區(qū)劃分原則，重點(diǎn)考慮業(yè)務(wù)訪問關(guān)系，可將總臺網(wǎng)絡(luò)劃分為互聯(lián)網(wǎng)邊界接入?yún)^(qū)、公共區(qū)、安全管理區(qū)、電視制作播出系統(tǒng)區(qū)、廣播制作播出系統(tǒng)區(qū)、媒資網(wǎng)、融媒體網(wǎng)等?？偱_整體網(wǎng)絡(luò)拓?fù)淙缦聢D1 所示：

圖1 宿遷市廣播電視總臺安全防護(hù)網(wǎng)絡(luò)拓?fù)?/p>

(二)通信網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)

通信網(wǎng)絡(luò)安全防護(hù)是廣播電視總臺內(nèi)部和外部的網(wǎng)絡(luò)通信中安全防護(hù)的重要一環(huán)，需要采取一系列的措施來保證通信的安全性。在實(shí)際的設(shè)計(jì)中，可采用加密技術(shù)來保證通信的機(jī)密性，使用數(shù)字簽名技術(shù)來保證通信的完整性，利用防火墻技術(shù)來限制外部網(wǎng)絡(luò)訪問，再使用入侵檢測技術(shù)來實(shí)時監(jiān)測網(wǎng)絡(luò)的安全狀況。此外，需要對設(shè)備訪問使用冗余備份機(jī)制，防止出現(xiàn)單點(diǎn)故障[3]。

(三)區(qū)域邊界安全防護(hù)設(shè)計(jì)

安全區(qū)域邊界是對內(nèi)部應(yīng)用系統(tǒng)計(jì)算環(huán)境進(jìn)行安全防護(hù)和防止敏感信息泄露的必經(jīng)渠道。在設(shè)計(jì)中，邊界訪問控制、網(wǎng)絡(luò)行為審計(jì)和邊界完整性防護(hù)是三個關(guān)鍵的方面。

1.措施

在互聯(lián)網(wǎng)邊界部署防火墻設(shè)備，在總臺內(nèi)網(wǎng)核心區(qū)部署防火墻設(shè)備，其中互聯(lián)網(wǎng)出口防火墻利用原先的設(shè)備，新購一臺與其做HA，同時在內(nèi)網(wǎng)邊界區(qū)、電視制作播出系統(tǒng)區(qū)、廣播制作播出系統(tǒng)區(qū)部署網(wǎng)閘系統(tǒng)，分別實(shí)現(xiàn)總臺內(nèi)外網(wǎng)的數(shù)據(jù)交換以及播出網(wǎng)與制作網(wǎng)之間的數(shù)據(jù)交換，網(wǎng)閘利用原先的設(shè)備。

2.網(wǎng)絡(luò)行為審計(jì)措施

在辦公區(qū)邊界部署上網(wǎng)行為管理系統(tǒng)，可以確保網(wǎng)絡(luò)中的用戶行為符合規(guī)定的要求。例如通過用戶行為審計(jì)，可以發(fā)現(xiàn)潛在的安全問題，如內(nèi)部人員違規(guī)訪問外部網(wǎng)站或下載惡意軟件等；通過網(wǎng)絡(luò)流量審計(jì)可以發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，如未經(jīng)授權(quán)的外部IP 地址訪問內(nèi)部網(wǎng)絡(luò)等；通過數(shù)據(jù)泄露審計(jì)，可以發(fā)現(xiàn)潛在的數(shù)據(jù)泄露風(fēng)險(xiǎn)，如敏感數(shù)據(jù)被非法傳輸?shù)酵獠烤W(wǎng)絡(luò)等。

3.邊界完整性防護(hù)

根據(jù)網(wǎng)絡(luò)不同區(qū)域之間的安全等級和業(yè)務(wù)需求，制定相應(yīng)的訪問控制策略，包括基于IP 地址、用戶身份、應(yīng)用類型等的訪問控制策略。通過實(shí)施訪問控制策略，可以限制不同區(qū)域之間的非法訪問和數(shù)據(jù)傳輸。同時，在網(wǎng)絡(luò)邊界處設(shè)置入侵檢測和防御設(shè)備，對進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行實(shí)時監(jiān)測和分析，發(fā)現(xiàn)和處理潛在的攻擊和入侵行為。通過入侵檢測和防御，可以及時發(fā)現(xiàn)和處理外部攻擊，保障網(wǎng)絡(luò)的安全性和完整性。對終端的USB 進(jìn)行統(tǒng)一管控，并限制連接其他外部網(wǎng)絡(luò)，有效保證總臺網(wǎng)絡(luò)邊界安全。

(四)計(jì)算環(huán)境安全設(shè)計(jì)

計(jì)算環(huán)境是總臺各類應(yīng)用的運(yùn)行環(huán)境，計(jì)算環(huán)境安全防護(hù)建設(shè)采用主機(jī)惡意代碼防范技術(shù)、Web 防火墻技術(shù)、數(shù)據(jù)審計(jì)等技術(shù)進(jìn)行安全建設(shè)，增強(qiáng)總臺網(wǎng)絡(luò)計(jì)算環(huán)境的安全防護(hù)能力。

1.主機(jī)防病毒

在總臺網(wǎng)絡(luò)中所有在用的服務(wù)器(WINDOWS、LINUX)和客戶端(WINDOWS)計(jì)算機(jī)上部署相應(yīng)平臺的網(wǎng)絡(luò)版防病毒軟件，有效查殺、威脅服務(wù)器和客戶端正常運(yùn)行的病毒、惡意腳本、木馬、蠕蟲等惡意代碼。通過統(tǒng)一的防病毒系統(tǒng)管理服務(wù)器，確保全網(wǎng)具有一致的防病毒策略和最新的病毒查殺能力。

2.主機(jī)監(jiān)控與審計(jì)

在總臺網(wǎng)絡(luò)中所有適用的客戶端(WINDOWS)計(jì)算機(jī)上部署監(jiān)控客戶端，在運(yùn)維管理區(qū)部署終端安全管理系統(tǒng)管理中心，采用統(tǒng)一策略下發(fā)并強(qiáng)制策略執(zhí)行的機(jī)制，實(shí)現(xiàn)對網(wǎng)絡(luò)內(nèi)部Windows 桌面終端系統(tǒng)的集中管理和維護(hù)，建立應(yīng)用安裝、進(jìn)程運(yùn)行、端口使用，外設(shè)應(yīng)用的黑/白名單，有效地保護(hù)用戶計(jì)算機(jī)系統(tǒng)安全和信息數(shù)據(jù)安全。

3.Web 應(yīng)用防火墻

在DMZ 區(qū)部署Web 應(yīng)用防火墻系統(tǒng)，通過Web 檢測引擎和安全策略，實(shí)時檢測互聯(lián)網(wǎng)流量數(shù)據(jù)，阻斷異常攻擊行為，實(shí)現(xiàn)檢測所有經(jīng)過Web 應(yīng)用防火墻進(jìn)入廣播電視總臺的Web 流量。同時，Web 應(yīng)用防火墻應(yīng)該具有一系列的防護(hù)策略，包括阻止惡意代碼、防止異常流量、過濾非法請求等，其能夠記錄所有的訪問日志，以便進(jìn)行審計(jì)和分析。此外，在安全管理區(qū)部署網(wǎng)頁防篡改，防止Web 網(wǎng)頁被篡改而造成惡劣的后果。

4.數(shù)據(jù)庫審計(jì)

數(shù)據(jù)庫是廣播電視總臺的核心資產(chǎn)之一，必須采取一系列的措施來保證數(shù)據(jù)庫的安全性。在總臺融媒體、廣播、電視核心交換機(jī)上分別旁路部署1 臺數(shù)據(jù)庫審計(jì)系統(tǒng)，嚴(yán)格控制數(shù)據(jù)庫訪問，只有經(jīng)過授權(quán)的用戶才能夠訪問數(shù)據(jù)庫。同時，對于惡意的訪問會發(fā)出告警提示，還應(yīng)該定期備份數(shù)據(jù)庫，以防止數(shù)據(jù)丟失或損壞。數(shù)據(jù)庫具有日志記錄功能，會記錄所有的數(shù)據(jù)庫操作日志，以便審計(jì)和分析。

5.脆弱性掃描

在公共區(qū)部署1 臺漏洞掃描系統(tǒng)，以本地掃描或遠(yuǎn)程掃描的方式，對融媒體、電視、廣播、媒資、辦公等網(wǎng)絡(luò)設(shè)備及相關(guān)系統(tǒng)進(jìn)行脆弱性掃描。如果發(fā)現(xiàn)潛在的安全漏洞，需要及時修補(bǔ)。在脆弱性掃描中，應(yīng)該對每個設(shè)備和應(yīng)用程序進(jìn)行深度掃描，再定期進(jìn)行脆弱性掃描，以便及時發(fā)現(xiàn)和修復(fù)安全漏洞[4]。

6.入侵檢測

入侵檢測是一種主動防御技術(shù)，可以在攻擊發(fā)生之前或之初檢測到攻擊行為，并采取相應(yīng)的防御措施。在電視制作、播出及廣播制作、播出安全管理區(qū)以及辦公網(wǎng)核心分別部署1 臺入侵檢測設(shè)備，以流量鏡像形式將核心交換機(jī)進(jìn)出口流量鏡像給入侵檢測設(shè)備，能夠?qū)崟r檢測包括木馬、異常流量、惡意代碼、非法訪問等11 種網(wǎng)絡(luò)攻擊行為，并且可以與防火墻聯(lián)動，從而有效保護(hù)用戶網(wǎng)絡(luò)IT 服務(wù)資源，使其免受各種外部攻擊侵?jǐn)_。

7.身份準(zhǔn)入

針對外網(wǎng)，電視、廣播安全管理區(qū)分別部署1 臺身份準(zhǔn)入設(shè)備，對內(nèi)網(wǎng)所有終端進(jìn)行準(zhǔn)入控制，防止非法外聯(lián)終端接入內(nèi)網(wǎng)，通過身份準(zhǔn)入設(shè)備，方便管理員有效管控全網(wǎng)終端。

(五)安全管理中心設(shè)計(jì)

1.安全運(yùn)維管理與審計(jì)

在外網(wǎng)，電視、廣播安全管理區(qū)分別部署1 臺堡壘機(jī)，分別實(shí)現(xiàn)管理總臺外網(wǎng)及內(nèi)網(wǎng)所有設(shè)備，并通過堡壘機(jī)實(shí)現(xiàn)劃分運(yùn)維角色與權(quán)限，分為系統(tǒng)管理員、審計(jì)管理員、安全管理員等。

2.日志集中收集與分析

在外網(wǎng)，電視、廣播安全管理區(qū)分別部署1 套集中的日志收集和分析系統(tǒng)，通過被動采集(SYSLOG、SNMPTRAP)或主動采集(ODBC/JDBC、文件讀取、安裝AGENT)的方式，收集和分析總臺網(wǎng)絡(luò)中所有設(shè)備的信息，并評估和分析網(wǎng)絡(luò)和系統(tǒng)的安全風(fēng)險(xiǎn)，及時發(fā)現(xiàn)和解決潛在的安全問題。此外，日志也可審計(jì)和監(jiān)督網(wǎng)絡(luò)和系統(tǒng)的安全，確保網(wǎng)絡(luò)和數(shù)據(jù)的安全性。

3.安全集中管控

網(wǎng)絡(luò)安全管理中心是負(fù)責(zé)整個廣播電視總臺網(wǎng)絡(luò)安全管理和監(jiān)控的核心部門，集中管理和監(jiān)控整個廣播電視總臺的網(wǎng)絡(luò)安全，從而實(shí)現(xiàn)任何時間、任何地點(diǎn)、任何設(shè)備，安全快速地實(shí)現(xiàn)遠(yuǎn)程IT 運(yùn)維。

4.備份技術(shù)

在公共區(qū)部署1 臺數(shù)據(jù)備份一體機(jī)設(shè)備，及時、有效地備份總臺全網(wǎng)數(shù)據(jù)，同步存儲備份各業(yè)務(wù)系統(tǒng)的在線業(yè)務(wù)數(shù)據(jù)。一旦主存儲系統(tǒng)出現(xiàn)故障導(dǎo)致數(shù)據(jù)丟失，可迅速從備份一體機(jī)上恢復(fù)，可達(dá)到RPO 接近于0 的目標(biāo)。

(六)安全管理體系設(shè)計(jì)

廣播電視總臺的安全管理體系應(yīng)該是一個全面、系統(tǒng)、科學(xué)的體系，能夠全面保障廣播電視總臺的信息安全[5]。在體系設(shè)計(jì)中，應(yīng)該包括以下五個方面：一是要制定和實(shí)施安全策略，明確安全目標(biāo)和風(fēng)險(xiǎn)控制措施，確保所有系統(tǒng)和數(shù)據(jù)都遵循安全規(guī)范；二是建立完善的安全組織架構(gòu)，明確各部門和人員的職責(zé)和權(quán)限，確保安全工作的有效實(shí)施和管理；三是制定和實(shí)施安全管理制度，明確各項(xiàng)安全管理的要求和流程，確保所有工作人員都了解和遵守安全規(guī)定，同時明確各部門和人員的職責(zé)和權(quán)限，建立完善的安全組織架構(gòu)；四是建立完善的安全技術(shù)防護(hù)體系，包括防火墻、入侵檢測、數(shù)據(jù)加密等安全技術(shù)措施，確保網(wǎng)絡(luò)和數(shù)據(jù)的安全性；五是加強(qiáng)員工的安全意識和技能培訓(xùn)，提高員工的安全意識和技能水平，確保員工能夠有效地防范和應(yīng)對安全問題。

四、結(jié)語

宿遷市廣播電視總臺以新大廈搬遷、系統(tǒng)新建為契機(jī)，實(shí)現(xiàn)等級保護(hù)項(xiàng)目建設(shè)“三同步”，結(jié)合網(wǎng)絡(luò)現(xiàn)狀，從網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算、應(yīng)用和數(shù)據(jù)、物理和環(huán)境等多個層面，建立了統(tǒng)一安全技術(shù)保護(hù)體系，通過在網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、管理等各方面引入相應(yīng)的安全措施，安全加固服務(wù)器區(qū)，同時對終端進(jìn)行惡意代碼防護(hù)和終端準(zhǔn)入監(jiān)測，按照審計(jì)、管理的等級保護(hù)要求，部署內(nèi)網(wǎng)審計(jì)設(shè)備、安全感知設(shè)備、安全管控、內(nèi)網(wǎng)準(zhǔn)入等設(shè)備達(dá)到等級保護(hù)的基本要求，建立健全安全管理體系和安全運(yùn)維體系，通過有效結(jié)合安全管理和安全技術(shù)，達(dá)到良好的效果。