CBG融合新聞系統在信息安全等保建設過程中的加固建設

李相如，馮 梅

（重慶廣播電視集團（總臺）信息技術中心，重慶 400039）

2016年下半年，按照集團“廣播電視一盤棋”“統籌構建技術支撐體系”的融合發展戰略和總體思路，我們技術團隊堅持以先進技術為支撐、內容建設為根本，遵循融合、開放、發展、安全的構建原則，充分發揮自主規劃設計的創造力，啟動融合媒體工程規劃和建設，構筑統一云架構下的支撐全新內容生產與傳播形態，打造下一代技術體系，為推動內容、渠道、平臺等方面的深度融合、發揮融合媒體競爭優勢夯實技術基石。從嚴謹的設計到2017-04正式上線搭建，我中心技術人員全面參與了基礎云平臺設備上架，及其后一系列系統調試工作，及后續工程部署。我也重點參與到信息安全等級保護的評測工作中。從2017-11開始，我們與負責項目實施的相關單位密切合作，針對融合媒體系統的安全需求查找了問題，著重于網絡服務的硬件和軟件兩方面對現有融合媒體網絡環境下的安全問題進行了梳理，制訂了網絡安全加固建設方案。

1 系統安全方面目標調研及問題梳理

1.1 融合新聞系統現狀及安全目標

重慶廣播電視集團（總臺）融合新聞系統由提供服務的硬件和軟件兩大要素構成。系統網絡核心采用雙核心交換機，保障了設備的冗余，避免了重要設備的單點故障。融合新聞系統邊界采用了USB擺渡系統和下一代防火墻系統，實現了端口級的訪問控制、媒體文件擺渡、入侵防護及病毒查殺等功能。計劃建立安全管理中心包含入侵檢測系統、數據庫審計系統、日志審計系統、運維審計系統、防病毒終端管理系統、漏洞掃描系統、數字證書及身份認證系統等功能，可實現系統的雙因素認證及日志審計等功能。

網絡系統劃分了多個區域，系統內部網絡分為安全管理區、新聞生產區、虛擬化應用區、APP區等多個區域。其中，每一個區域為一個網段，網段之間的訪問均由防火墻進行控制。系統網絡與外部辦公區和公有云間通過防火墻、USB擺渡設備進行安全隔離。

1.2 對照目標

主要在網絡設備、安全設備、服務器/存儲設備及各終端和業務應用軟件等系統中進行了問題查找。

1.2.1 網絡設備

核心交換機、葉層交換機、服務器接入交換機。

1.2.2 安全設備

邊界防火墻、入侵防御、堡壘機、日志審計系統。

1.2.3 服務器/存儲設備

第1眼應用服務器、新聞生產應用服務器、數據庫服務器、融合新聞系統數據庫服務器。

1.3 問題梳理

安全管理方面，應具備完善的安全責任制，崗位設置合理，人員分工明確，基本形成了全面的信息安全管理制度體系，具有規范的人員安全管理制度、流程和記錄等。但還存在部分制度不健全、記錄不完善、管理不到位等問題，根據等級保護3級要求，在加固過程中擬定進行安全管理、完善安全管理制度和安全管理記錄等方案。

該系統在技術安全的各層面雖然分別采取了相應的安全措施，但也存在不同程度的安全問題。其具有的安全措施和存在安全問題如下：①物理安全層面。機房管理方面能夠依照法律、行政法規的規定，制定機房安全管理制度，采取防火、防雷和短期電力供應等必要措施，保障機房設備安全、穩定運行，積極應對物理安全事件。②網絡安全層面。該骨干網絡的基礎設施完善，主要網絡和安全設備都采用雙機熱備，主要網絡設備處理能力滿足業務高峰期需要。網絡采用分區分域的策略，根據業務情況和功能不同，將網絡劃分成了多個不同的區域，且區域間部署了帶有IPS和防病毒模塊的防火墻和三層交換機實施訪問控制。③主機安全層面。大部分系統具有較好的安全防護能力。在自查中發現，主機層面還存在以下問題，即工作站和管理終端未采取雙因子方式進行身份鑒別；部分Windows服務器未重命名administrator賬戶；工作站不能自動生成審計報表；工作站和管理終端補丁未及時更新，也不能對系統服務水平的降低進行監控和報警，因此，還存在一定的安全隱患。④數據庫安全方面。數據庫在身份鑒別、訪問控制、資源控制、數據備份與恢復等方面均采取了一定的數據庫安全保護措施。⑤應用安全層面。系統在滿足業務需求的基礎上提供了較嚴格的安全控制措施，但仍然存在少量安全配置不合理、缺少安全功能的情況。

2 加固方案及實施

針對信息安全等級保護的目標及自查中找到的問題，我們制訂了一系列的安全加固方案，并予以實施，期望在不影響系統正常運行的基礎上達到安全等級保護的需求。

2.1 軟件加固

增加部署了中心節點的入侵檢測設備，能根據需要對數據進行分析，發現攻擊行為和惡意代碼。系統中部署了堡壘機，配合設備配置，保護網絡設備和安全設備；部署了日志審計系統，對網絡設備和安全設備日志進行收集和保護。

對部分工作站和管理終端增加了采取雙因子方式進行身份鑒別；部分Windows服務器重命名了administrator賬戶；增加了自動生成審計報表功能；安裝了最新必要的安全補??；分配了用戶最小使用權限；禁止遠程訪問（無必要的主機）；梳理添加了遺漏的可信IP地址訪問控制等。

對數據庫系統管理員劃分合理的最小權限進行制約，提供剩余信息保護措施和應用服務水平監測功能等。

2.2 硬件加固

在設備方面，復核了所有關鍵的網絡設備和安全設備以及數據庫和服務器主機，增加了部分未有的數據處理系統的硬件冗余。對部分未達標的網絡交換設備在增加賬號口令復雜度；禁用telnet、啟用SSH；關閉非必要端口、啟用端口安全；開啟TCP攻擊防御等方面進行了操作。

2.3 安全管理文檔及制度

增加人員安全管理及運維安全管理方面的具體措施，包括落實了管理類文檔、記錄類文檔和其他文檔。

3 經驗小結

融合新聞系統是基于云計算的融合新聞中心技術平臺，完成新聞全媒體融合生產、渠道多元化融合發布和融合互動業務。新的結構形式有新的安全需求，在整個項目安全加固過程中，我們累積了很多經驗，比如對項目中會使用到的系統鏡像或軟件模板的補丁或者殺毒軟件進行預置；禁用掉虛擬機系統無需使用的所有重要端口；對關鍵設備做好冗余備份；在項目建設階段提前配置堡壘機，在云環境的虛擬設備上均通過堡壘機來訪問操作；對安全管理制度及早制訂等。

4 結束語

經過認真的加固建設，于2017-12中旬，集團融合新聞系統順利通過了國家信息系統安全三級等保測評，既為我臺融合新聞系統的全面驗收打好了基礎，也標志著集團信息網絡安全保障進入了新時期。