廣播電臺(tái)網(wǎng)絡(luò)信息安全策略研究與實(shí)踐應(yīng)用

劉 新

保障廣播電視信息系統(tǒng)的網(wǎng)絡(luò)信息安全，就是要做好廣播電視業(yè)務(wù)平臺(tái)信息系統(tǒng)的網(wǎng)絡(luò)規(guī)劃，發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患和漏洞，有效提升網(wǎng)絡(luò)安全防護(hù)能力，運(yùn)用網(wǎng)絡(luò)安全策略對(duì)廣播電視業(yè)務(wù)平臺(tái)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行合理建設(shè)、運(yùn)行和維護(hù)，提高廣播電視信息系統(tǒng)整體安全防護(hù)能力。

1 廣播電臺(tái)信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求及相關(guān)制度

廣播電視行業(yè)相關(guān)信息系統(tǒng)的安全防護(hù)主要依據(jù)《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》作為廣電行業(yè)的網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)，以物理安全、網(wǎng)絡(luò)安全、邊界安全、數(shù)據(jù)安全、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)、運(yùn)維管理等多方面多層次提出管理和技術(shù)要求，吉林人民廣播電臺(tái)業(yè)務(wù)支撐平臺(tái)信息系統(tǒng)依照以上管理和技術(shù)要求，成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，建立健全各類網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案和網(wǎng)絡(luò)安全管理制度，修訂并補(bǔ)充網(wǎng)絡(luò)安全事件上報(bào)機(jī)制，對(duì)相關(guān)信息系統(tǒng)進(jìn)行系統(tǒng)定級(jí)，確定保護(hù)等級(jí)。本文以定級(jí)備案的吉林人民廣播電臺(tái)業(yè)務(wù)支撐平臺(tái)信息系統(tǒng)（第二級(jí)廣播電視信息系統(tǒng)）為例，對(duì)其進(jìn)行網(wǎng)絡(luò)信息安全策略分析和研究。

2 廣播電臺(tái)網(wǎng)絡(luò)信息基礎(chǔ)網(wǎng)絡(luò)安全的網(wǎng)絡(luò)構(gòu)架與安全審計(jì)

2.1 網(wǎng)絡(luò)構(gòu)架

1）空間和設(shè)備冗余：首先為滿足廣播電臺(tái)業(yè)務(wù)高峰期的需求，要確保網(wǎng)絡(luò)鏈路負(fù)載均衡、入侵防御、防火墻、上網(wǎng)行為管理及流量控制、核心交換機(jī)、匯聚交換機(jī)等關(guān)鍵網(wǎng)絡(luò)設(shè)備的主要技術(shù)性能具有寬裕的處理空間，整體網(wǎng)絡(luò)帶寬上也應(yīng)具備冗余空間，同時(shí)應(yīng)為互聯(lián)網(wǎng)業(yè)務(wù)接入業(yè)務(wù)、涉及播控中心播出業(yè)務(wù)、綜合辦公業(yè)務(wù)等直接相關(guān)系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)安全設(shè)備配置冗余。

2）層次化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全域劃分：在系統(tǒng)建設(shè)開(kāi)始階段，應(yīng)考慮網(wǎng)絡(luò)縱深防護(hù)，將播控中心系統(tǒng)中與播出直接相關(guān)信息系統(tǒng)構(gòu)建于縱深網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)部，禁止該信息系統(tǒng)內(nèi)部無(wú)線組網(wǎng)；合理劃分網(wǎng)絡(luò)安全域，依照網(wǎng)絡(luò)關(guān)鍵設(shè)備安全性，信息系統(tǒng)功能、業(yè)務(wù)流程重要性等劃分不同級(jí)別的安全保護(hù)區(qū)域。

3）子網(wǎng)劃分與隔離：在同一安全域中的信息系統(tǒng)的子網(wǎng)劃分依照重要的業(yè)務(wù)類型、樓層的物理位置、同一樓層不同部門(mén)等因素來(lái)劃分子網(wǎng)；同一安全域劃分出子網(wǎng)的重要網(wǎng)段與其他網(wǎng)段之間隔離手段可采用接入防火墻過(guò)濾或網(wǎng)絡(luò)訪問(wèn)控制列表方式進(jìn)行。

吉林人民廣播電臺(tái)業(yè)務(wù)支撐信息平臺(tái)網(wǎng)絡(luò)構(gòu)架拓?fù)鋱D如圖1所示。

圖1 網(wǎng)絡(luò)構(gòu)架拓鋪圖

2.2 安全審計(jì)

首先要求對(duì)鏈路負(fù)載均衡、入侵防御、防火墻、上網(wǎng)行為管理及流量控制、核心交換機(jī)、匯聚交換機(jī)等關(guān)鍵網(wǎng)絡(luò)設(shè)備及重要服務(wù)器、終端、數(shù)據(jù)庫(kù)、主要應(yīng)用軟件中包含每個(gè)設(shè)備和軟件的運(yùn)行日志以供查詢，同時(shí)網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)設(shè)備操作的行為記錄都應(yīng)保存。其次關(guān)鍵網(wǎng)絡(luò)設(shè)備審計(jì)日志庫(kù)中記錄保存項(xiàng)目應(yīng)該詳盡，對(duì)網(wǎng)絡(luò)安全事件的日期、時(shí)間、IP地址、事件類型以及操作人員都應(yīng)詳細(xì)記載，審計(jì)記錄至少保存6個(gè)月以上。最后定期對(duì)審計(jì)設(shè)備的數(shù)據(jù)庫(kù)及網(wǎng)絡(luò)關(guān)鍵設(shè)備日志進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)是否有非正常操作人員行為及設(shè)備告警等狀況，并形成分析報(bào)告。

3 網(wǎng)絡(luò)信息安全邊界防護(hù)和病毒防護(hù)

吉林廣播電視臺(tái)業(yè)務(wù)支撐平臺(tái)信息系統(tǒng)網(wǎng)絡(luò)信息安全邊界防護(hù)包括外部互聯(lián)網(wǎng)接入系統(tǒng)、播控中心的融媒體播出系統(tǒng)、應(yīng)用安全系統(tǒng)、個(gè)人存儲(chǔ)空間系統(tǒng)和安全監(jiān)控系統(tǒng)等組成。重要的關(guān)鍵信息系統(tǒng)安全邊界均部署入侵防御、防火墻、統(tǒng)一安全網(wǎng)關(guān)等安全防護(hù)設(shè)備，對(duì)網(wǎng)絡(luò)安全邊界防護(hù)設(shè)備安全策略配置按照訪問(wèn)控制、安全數(shù)據(jù)交換、入侵防范、惡意代碼防范、邊界完整性等規(guī)則設(shè)計(jì)實(shí)施，根據(jù)我臺(tái)網(wǎng)絡(luò)邊界防護(hù)的實(shí)際業(yè)務(wù)情況，對(duì)鏈路負(fù)載均衡、入侵防御、防火墻、上網(wǎng)行為流量管理等網(wǎng)絡(luò)安全設(shè)備及病毒防護(hù)的安全策略應(yīng)用如下：

1）在互聯(lián)網(wǎng)出口部署兩臺(tái)連接不同ISP供應(yīng)商的鏈路負(fù)載均衡設(shè)備，配置浮動(dòng)IP地址、NAT地址轉(zhuǎn)換、端口復(fù)用、優(yōu)化路由算法等網(wǎng)絡(luò)安全技術(shù)，加速信息系統(tǒng)互聯(lián)網(wǎng)安全應(yīng)用。

2）部署入侵防御（IPS）系統(tǒng)，針對(duì)端口掃描、木馬后門(mén)、緩沖區(qū)溢出、IP 碎片和網(wǎng)絡(luò)蠕蟲(chóng)等攻擊特征，配置網(wǎng)絡(luò)動(dòng)作語(yǔ)義阻止攻擊行為，拒絕木馬等特征流量等動(dòng)作，實(shí)現(xiàn)邊緣網(wǎng)絡(luò)的安全。

3）開(kāi)啟防火墻的訪問(wèn)控制拒絕強(qiáng)力掃描、惡意代碼防護(hù)、拒絕服務(wù)攻擊（DDoS）防護(hù)、VPN、HA等安全防護(hù)功能，實(shí)時(shí)對(duì)信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)的服務(wù)器終端設(shè)備的漏洞，病毒，URL和內(nèi)容等應(yīng)用進(jìn)行不同層次深度掃描監(jiān)控，實(shí)行用戶/應(yīng)用行為的精細(xì)化訪問(wèn)控制策略。采用VPN等安全認(rèn)證方式登錄網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行設(shè)備管理。

4）上網(wǎng)行為流量管理禁止個(gè)人訪問(wèn)互聯(lián)網(wǎng)非法內(nèi)容，阻斷非法網(wǎng)站訪問(wèn)，限制無(wú)關(guān)業(yè)務(wù)網(wǎng)站的大量訪問(wèn)連接流量、次數(shù)等應(yīng)用，禁止通過(guò)互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程管理和內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為；依據(jù)業(yè)務(wù)需要、部門(mén)及個(gè)人需求對(duì)網(wǎng)絡(luò)流量加以分類，對(duì)網(wǎng)絡(luò)流量進(jìn)行過(guò)濾或者減少非業(yè)務(wù)數(shù)據(jù)流，如P2P下載、海量下載等行為。

5）針對(duì)廣播電臺(tái)重要信息系統(tǒng)播控中心接入?yún)^(qū)域（播出系統(tǒng)）與其他各信息系統(tǒng)在安全網(wǎng)絡(luò)區(qū)域內(nèi)進(jìn)行數(shù)據(jù)文件交換時(shí)，使用專用安全數(shù)據(jù)交換設(shè)備網(wǎng)閘對(duì)網(wǎng)絡(luò)間傳輸?shù)奈募袷竭M(jìn)行過(guò)濾、限定，對(duì)其文件結(jié)構(gòu)、文件內(nèi)容、大小、后綴進(jìn)行鑒別，阻斷非法文件交換。

6）在應(yīng)用安全系統(tǒng)內(nèi)布置企業(yè)級(jí)殺毒服務(wù)中心服務(wù)器，對(duì)其他信息系統(tǒng)的服務(wù)器和客戶終端安裝了防病毒軟件，同步更新軟件版本和病毒庫(kù)，及時(shí)更新服務(wù)器和終端操作系統(tǒng)補(bǔ)丁，即時(shí)查殺國(guó)內(nèi)外最新的病毒程序文件。

4 網(wǎng)絡(luò)信息安全身份認(rèn)證和數(shù)據(jù)安全

4.1 身份認(rèn)證

對(duì)于廣播電臺(tái)業(yè)務(wù)支撐平臺(tái)信息系統(tǒng)中網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用系統(tǒng)采用本地管理和采用安全的手段（如HTTPS、SSH、加密的遠(yuǎn)程桌面連接等）遠(yuǎn)程管理兩種方式進(jìn)行管理；對(duì)用戶登錄網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用系統(tǒng)，使用用戶名和口令進(jìn)行鑒別，口令有復(fù)雜度要求（8位以上，至少含大寫(xiě)、小寫(xiě)字母、數(shù)字、特殊字符等其中三種的組合），而且口令密碼定期更換；網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用軟件啟用登錄失敗處理功能，如登錄者嘗試一定次數(shù)（如5次）的登錄操作不成功，系統(tǒng)自動(dòng)鎖定該終端IP的請(qǐng)求，一定時(shí)間后予以解除；對(duì)登錄服務(wù)器、數(shù)據(jù)庫(kù)的終端限定了接入方式、對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制，僅允許指定IP地址或IP段訪問(wèn)。

4.2 數(shù)據(jù)安全

廣播電臺(tái)業(yè)務(wù)支撐平臺(tái)信息系統(tǒng)采用了加密方式實(shí)現(xiàn)用戶身份鑒別信息的存儲(chǔ)保密性，例如口令的加密傳輸和保存；業(yè)務(wù)應(yīng)用軟件的用戶分角色管理，全網(wǎng)中不同設(shè)備的權(quán)限配置和功能提供用戶分級(jí)管理的功能；對(duì)信息系統(tǒng)的重要業(yè)務(wù)信息進(jìn)行備份，并且對(duì)重要業(yè)務(wù)信息備份數(shù)據(jù)進(jìn)行恢復(fù)試驗(yàn)。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)信息安全防護(hù)是廣電科技創(chuàng)新時(shí)代下廣播電視行業(yè)一項(xiàng)重要工作和新要求，隨著廣電新媒體業(yè)務(wù)、融媒體建設(shè)不斷推進(jìn)，建設(shè)廣播電臺(tái)信息網(wǎng)絡(luò)安全工作需要更加全面的改進(jìn)和完善，我們只有不斷健全并嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全管理制度，強(qiáng)化網(wǎng)絡(luò)安全防護(hù)的技術(shù)手段，規(guī)范網(wǎng)絡(luò)安全測(cè)評(píng)需求和問(wèn)題整改，才能切實(shí)保障廣播電視網(wǎng)絡(luò)安全工作正常性、有效性、安全性，更好地開(kāi)展新聞?shì)浾撔麄鞴ぷ鳌?/p>