淺談廣播電視網(wǎng)絡(luò)安全的建設(shè)

【摘要】 為推動我國信息安全等級保護工作的開展，近十年來，全國信息安全標準化技術(shù)委員會和公安部信息系統(tǒng)安全標準化技術(shù)委員會組織制訂了信息安全等級保護工作需要的一系列標準，形成了比較完整的信息安全等級保護標準體系，為開展信息安全等級保護工作奠定了基礎(chǔ)。本文主要從四方面對廣電網(wǎng)絡(luò)安全建設(shè)方案進行了簡單闡述，為下一步網(wǎng)絡(luò)安全的建設(shè)提供了參考。

【關(guān)鍵詞】 信息安全 等級保護 安全方案 安全防護

為貫徹落實國家信息安全等級保護制度，規(guī)范和指導(dǎo)全國廣電行業(yè)信息安全等級保護工作，按照公安部《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》（公信安〔2009〕1429號）要求，廣電總局科技司于2011年向發(fā)布了《廣播電視相關(guān)信息系統(tǒng)安全等級保護定級指南》的通知。根據(jù)通知要求，有線電視網(wǎng)絡(luò)作為廣電集團最重要的承載網(wǎng)絡(luò)，有線電視網(wǎng)絡(luò)應(yīng)該按照三級等級保護建設(shè)。

一、安全方案建設(shè)原則

1.1先進性原則：安全設(shè)備必須采用專用的硬件平臺和安全專業(yè)的軟件平臺保證設(shè)備本身的安全，符合業(yè)界技術(shù)的發(fā)展趨勢，既體現(xiàn)先進性又比較成熟，并且是各個領(lǐng)域公認的領(lǐng)先產(chǎn)品。

1.2成熟性原則：網(wǎng)絡(luò)安全是廣電信息化的基礎(chǔ)，網(wǎng)絡(luò)的穩(wěn)定性至關(guān)重要。安全設(shè)備由于部署在關(guān)鍵節(jié)點，成為網(wǎng)絡(luò)穩(wěn)定性的重要因素，整個設(shè)計必須考慮到高可靠性因素。

1.3 責(zé)任明確與安全最小授權(quán)原則：安全策略管理必須遵從最小授權(quán)原則，即不同安全區(qū)域內(nèi)的主機只能訪問屬于相應(yīng)區(qū)域資源；建設(shè)方案從技術(shù)流程上設(shè)計明確的技術(shù)分界面，保證網(wǎng)絡(luò)管理運營中的各責(zé)任實體責(zé)權(quán)分明。

1.4 可擴展性原則：要求網(wǎng)絡(luò)安全解決方案可以隨同網(wǎng)絡(luò)的擴展具有靈活的可擴展性，特別是對業(yè)務(wù)復(fù)雜性的增加具有良好的支持。

1.5 開放兼容性：符合當(dāng)前安全產(chǎn)品設(shè)計規(guī)范、技術(shù)指標符合國際和工業(yè)標準，支持多廠家產(chǎn)品，本著有效性原則，有效的保護投資。

二、網(wǎng)絡(luò)及主機安全建設(shè)方法

2.1 威脅分析

隨著近些年廣電業(yè)務(wù)及技術(shù)的不斷發(fā)展，廣電網(wǎng)絡(luò)走向全業(yè)務(wù)運營是必然趨勢。業(yè)務(wù)的多樣化，讓廣電網(wǎng)絡(luò)由封閉走向開放，使得網(wǎng)絡(luò)安全問題從小到大，越來越受到挑戰(zhàn)。而常見的威脅主要表現(xiàn)在：敏感信息篡改、廣告頁面被黑客篡改、視頻內(nèi)容被黑客篡改。

從整體上看，廣電網(wǎng)絡(luò)的安全防護分成網(wǎng)絡(luò)邊界安全防護、入侵防御、遠程接入安全、業(yè)務(wù)應(yīng)用防護、Web應(yīng)用防護、統(tǒng)一安全運維、安全事件管理等幾個層面，在互聯(lián)網(wǎng)接入，網(wǎng)絡(luò)傳輸，終端接入等方面存在如下安全威脅和挑戰(zhàn)：

1） 互聯(lián)網(wǎng)出口DDoS攻擊威脅：一旦出現(xiàn)DoS/DDoS攻擊，數(shù)據(jù)中心網(wǎng)絡(luò)出口被堵塞，內(nèi)部用戶無法通過校內(nèi)網(wǎng)絡(luò)訪問internet，外部用戶也無法正常訪問服務(wù)器；

2） 互聯(lián)網(wǎng)出口安全隔離：防止非法訪問，對不同的用戶，各種服務(wù)器，管理區(qū)進行安全隔離，只有通過授權(quán)的用戶才能正常訪問；滿足數(shù)據(jù)中心出口增長的帶寬的需要，減少鏈路選擇維護工作量；區(qū)別各種攻擊流量和正常流量，并能采取相應(yīng)的措施保護內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，保證內(nèi)部網(wǎng)絡(luò)及系統(tǒng)的正常運行；

3） VPN移動接入：移動辦公，出差用戶接入提供SSL VPN接入功能，實現(xiàn)用戶安全接入；

4） NAT轉(zhuǎn)換：由于公網(wǎng)地址非常有限，廣電網(wǎng)絡(luò)出口需要采用大容量NAT設(shè)備來做NAT轉(zhuǎn)換，記錄NAT轉(zhuǎn)換，QQ/MSN等IM的上下線日志，便于后續(xù)審計；

5） 上網(wǎng)行為管理與審計：滿足相關(guān)要求，進行URL過濾、應(yīng)用行為控制、流量管理、數(shù)據(jù)防泄漏、惡意軟件防護、互聯(lián)網(wǎng)行為記錄，提升工作效率、營造安全辦公環(huán)境、以及滿足法規(guī)遵從；

6） 服務(wù)器入侵檢測與防護：防止對HTTP、FTP、DNS、Mail等服務(wù)器的各種攻擊，包括蠕蟲，木馬，間諜軟件，廣告軟件，僵尸網(wǎng)絡(luò)，數(shù)據(jù)庫注入攻擊，跨站腳本，緩沖區(qū)溢出，系統(tǒng)或服務(wù)漏洞攻擊，暴力破解等；

7） 網(wǎng)絡(luò)病毒防護：服務(wù)器病毒防護，防止病毒通過HTTP、SMTP、POP3、FTP等網(wǎng)絡(luò)協(xié)議進行傳播；

8） WEB防護：解決目前所面臨的各類網(wǎng)站安全問題，如：網(wǎng)頁防篡改，Web應(yīng)用加速，惡意編碼，網(wǎng)頁木馬，緩沖區(qū)溢出，信息泄露等；

9） 運維審計：對數(shù)據(jù)中心核心業(yè)務(wù)系統(tǒng)、主機、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等各種IT資源的帳號、認證、授權(quán)和審計的集中管理和控制，解決IT運維管理問題，滿足相關(guān)法規(guī)、標準要求，完善IT管理體系，實現(xiàn)IT核心資源的統(tǒng)一接入管理和運維審計。

綜上，廣電網(wǎng)絡(luò)作為宣傳重要窗口，一旦安全性受到挑戰(zhàn)，帶來的影響將會非常惡劣。所以，廣電網(wǎng)絡(luò)對安全需求的要求更高。

2.2安全功能構(gòu)架圖

廣電網(wǎng)絡(luò)要以滿足廣電行業(yè)相關(guān)安全標準、ISO27001、等級保護二級和三級等相關(guān)行業(yè)規(guī)定、法律法規(guī)要求為前提條件，提出相應(yīng)的安全框架，從分層、縱深防御思想出發(fā)，根據(jù)層次分為物理設(shè)施安全、網(wǎng)絡(luò)安全、主機安全、虛擬化安全、應(yīng)用安全、數(shù)據(jù)保護、用戶管理、安全管理等幾個層面，用來指導(dǎo)廣電網(wǎng)絡(luò)安全解決方案的設(shè)計。

根據(jù)廣電的網(wǎng)絡(luò)特點及所承載的互動電視業(yè)務(wù)，網(wǎng)上營業(yè)廳業(yè)務(wù)、寬帶業(yè)務(wù)等需求，按照上述的安全架構(gòu)，建議對廣電網(wǎng)絡(luò)劃分不同的安全域來保障信息系統(tǒng)在網(wǎng)絡(luò)上的安全要求。這些區(qū)域按照其功能可劃分為直播系統(tǒng)區(qū)域、VOD互動電視區(qū)、BOSS系統(tǒng)區(qū)域、網(wǎng)上營業(yè)廳區(qū)域、互聯(lián)網(wǎng)接入?yún)^(qū)域、分前端區(qū)域和管理區(qū)等七個區(qū)域。由于不同區(qū)域承載的業(yè)務(wù)不同，因此會采用不同的安全防范措施。下面著重從直播系統(tǒng)區(qū)域、VOD互動電視區(qū)、BOSS系統(tǒng)區(qū)域、網(wǎng)上營業(yè)廳區(qū)域四方面進行安全設(shè)計。

三、安全方案設(shè)計

3.1 直播系統(tǒng)區(qū)域安全設(shè)計

直播系統(tǒng)作為廣電的核心業(yè)務(wù)系統(tǒng)，直播系統(tǒng)的安全播出是全網(wǎng)安全方案設(shè)計的重點。

如圖所示，在EPG和中間件等服務(wù)器到匯聚交換機之間部署防火墻設(shè)備；部署第三方系統(tǒng)引流接入交換機，該交換機采用組播協(xié)議和直播的核心交換機連接；當(dāng)其他接入交換機到直播網(wǎng)絡(luò)時，采用防火墻將業(yè)務(wù)系統(tǒng)和直播網(wǎng)絡(luò)進行隔離。

3.2 VOD區(qū)

互動電視區(qū)域為廣電的重要組成部分，該區(qū)主要由VOD媒體服務(wù)器、VOD信令服務(wù)器、中間件系統(tǒng)以及第三方系統(tǒng)接口等組成。

如圖所示，通過在各有業(yè)務(wù)服務(wù)器接入交換機和核心交換機之間部署防火墻，使用網(wǎng)絡(luò)層安全防護，同時部署防病毒網(wǎng)關(guān)，實現(xiàn)網(wǎng)絡(luò)病毒防護。通過部署專門的入侵防御系統(tǒng)，提供入侵防護，進行虛擬補丁、Web應(yīng)用防護、惡意軟件防御、網(wǎng)絡(luò)應(yīng)用管控保護，對網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)帶寬性能、服務(wù)器進行入侵防。

3.3 BOSS系統(tǒng)區(qū)域安全設(shè)計

BOSS系統(tǒng)作為廣電綜合業(yè)務(wù)運營需求的支撐系統(tǒng)，為廣電完成業(yè)務(wù)轉(zhuǎn)型及拓展提供有力的支撐，幫助降低運營成本，提高運營收益；BOSS系統(tǒng)同時是一個高效的運營與管理平臺，將大幅度提高廣電行業(yè)的管理、運營、服務(wù)水平，為決策層提供強大的戰(zhàn)略分析和執(zhí)行工具，幫助廣電運營商由“粗放式經(jīng)營”轉(zhuǎn)向“精細化管理”，BOSS系統(tǒng)的安全與否關(guān)系重大。

通過部署防病毒網(wǎng)關(guān)，進行網(wǎng)絡(luò)病毒防護，防止病毒通過網(wǎng)絡(luò)進行傳播。

從網(wǎng)絡(luò)層到應(yīng)用層進行全面掃描和查殺，對各種加殼、壓縮、加密病毒，以及木馬、蠕蟲、惡意軟件等網(wǎng)絡(luò)威脅均能夠快速、準確地徹底清除。

對 HTTP、POP3及SMTP協(xié)議傳輸?shù)臄?shù)據(jù)進行病毒掃描，當(dāng)用戶通過網(wǎng)頁請求數(shù)據(jù)下載時，如果被檢測到下載文件中包含了病毒數(shù)據(jù)，將向用戶推送病毒告警頁面；而對于郵件協(xié)議 POP3、SMTP 協(xié)議當(dāng)檢測到郵件附件里是病毒文件則支持對附件的刪除操作，同時在郵件中打上標簽告知用戶相關(guān)信息。

通過部署專門的入侵防御系統(tǒng)，提供入侵防護，進行虛擬補丁、Web應(yīng)用防護、惡意軟件防御、網(wǎng)絡(luò)應(yīng)用管控保護，對網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)帶寬性能、服務(wù)器進行入侵防護。

入侵防御系統(tǒng)通過分析系統(tǒng)的漏洞或已有攻擊事件的字段特征制定特征規(guī)則，同時對應(yīng)用層協(xié)議解析，關(guān)鍵信息提取，深度模式匹配等方法全面防范各種漏洞攻擊，針對操作系統(tǒng)的漏洞攻擊，針對數(shù)據(jù)庫服務(wù)器的溢出攻擊，針對文件服務(wù)器的漏洞攻擊或常用應(yīng)用軟件如IE瀏覽器的漏洞攻擊等。通過深入到7層的分析與檢測，實時阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網(wǎng)頁篡改等攻擊和惡意行為，實現(xiàn)對網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)性能的全面保護。

同時，營業(yè)廳有大量的PC終端需要訪問BOSS的服務(wù)器，而這些PC機的安全性非常差，容易受到攻擊；因此，在BOSS區(qū)域部署接入準入系統(tǒng)，提供統(tǒng)一的策略引擎，在整個組織內(nèi)實施統(tǒng)一訪問策略，實現(xiàn)基于用戶、設(shè)備類型、接入時間、接入地點、接入方式多維度的認證和授權(quán)，滿足山西廣電終端接入認證多層次、泛終端接入的需求。

3.4網(wǎng)上營業(yè)廳區(qū)域安全設(shè)計

網(wǎng)上營業(yè)廳鏈接互聯(lián)網(wǎng)，面臨來自互聯(lián)網(wǎng)的各種攻擊，需要進行邊界安全防護，針對來自互聯(lián)網(wǎng)安全威脅，內(nèi)部各個區(qū)域之間訪問控制，部署防火墻，專業(yè)的DDoS異常流量清洗系統(tǒng)，VPN安全網(wǎng)關(guān)，進行安全隔離，訪問控制，DDoS異常流量攻擊，同時為提供SSL VPN遠程安全訪問。

四、結(jié)束語

通過對幾個重要的業(yè)務(wù)系統(tǒng)安全方案的建設(shè)進行闡述，為整個網(wǎng)絡(luò)安全建設(shè)提供了一種思路。通過各系統(tǒng)的建設(shè)，提高了整個廣電網(wǎng)絡(luò)的安全性，進而達到等級保護的要求。

作者：崔芙云

單位：山西廣電信息網(wǎng)絡(luò)集團有限公司 山西省太原市

電話：13934666051

通信地址：山西省太原市長治路453號

郵編：030006