內(nèi)蒙古廣播電視臺(tái)騰格里網(wǎng)信息安全等級(jí)保護(hù)設(shè)計(jì)與整改

王素然 田 芳

1.2.內(nèi)蒙古廣播電視臺(tái) 內(nèi)蒙古 呼和浩特市 010050

引 言

隨著計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)的發(fā)展，手機(jī)端4G、5G網(wǎng)絡(luò)帶寬的不斷增長，傳統(tǒng)以文字、圖片新聞為主的媒體門戶網(wǎng)站也發(fā)展成以高清流媒體點(diǎn)播、直播為主的門戶網(wǎng)站，網(wǎng)絡(luò)安全就變的尤為重要，已經(jīng)成為電視臺(tái)在信息化建設(shè)和改造中的重要組成部分。為了進(jìn)一步促進(jìn)和落實(shí)內(nèi)蒙古廣播電視臺(tái)信息安全等級(jí)保護(hù)工作，內(nèi)蒙古廣播電視臺(tái)以國家信息安全等級(jí)保護(hù)相關(guān)管理規(guī)定為指導(dǎo)，將內(nèi)蒙古廣播電視臺(tái)騰格里網(wǎng)（以下簡稱騰格里網(wǎng)）定為等級(jí)保護(hù)三級(jí)，結(jié)合實(shí)際業(yè)務(wù)系統(tǒng)，在對(duì)騰格里網(wǎng)進(jìn)行充分調(diào)研及詳細(xì)分析的基礎(chǔ)上開展了信息系統(tǒng)安全等級(jí)測評(píng)及安全設(shè)備整改工作。本文論述了騰格里網(wǎng)網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)的整改與實(shí)現(xiàn)。

1 騰格里網(wǎng)架構(gòu)簡介

騰格里網(wǎng)由融合平臺(tái)及多個(gè)子應(yīng)用系統(tǒng)組成，整改前網(wǎng)絡(luò)拓?fù)鋱D如圖1所示，核心交換S7506用于各子應(yīng)用系統(tǒng)之間的互聯(lián)互通，支持各業(yè)務(wù)子系統(tǒng)的接入，各子系統(tǒng)匯聚交換機(jī)與核心交換機(jī)互聯(lián)。

本次騰格里網(wǎng)等級(jí)保護(hù)三級(jí)安全建設(shè)主要包含網(wǎng)絡(luò)邊界安全防護(hù)、網(wǎng)絡(luò)安全數(shù)據(jù)防護(hù)、系統(tǒng)安全防護(hù)和網(wǎng)絡(luò)應(yīng)用安全數(shù)據(jù)防護(hù)等。網(wǎng)絡(luò)邊界安全防護(hù)重點(diǎn)關(guān)注網(wǎng)絡(luò)數(shù)據(jù)流如何有效通過檢測安全控制用戶進(jìn)出邊界，對(duì)流經(jīng)或進(jìn)入邊界的信息數(shù)據(jù)內(nèi)容進(jìn)行過濾，有效安全控制措施主要包括：用戶網(wǎng)絡(luò)安全訪問、入侵安全保護(hù)及遠(yuǎn)程控制用戶網(wǎng)絡(luò)訪問使用權(quán)限等。

2 騰格里網(wǎng)安全防護(hù)總體設(shè)計(jì)

騰格里網(wǎng)網(wǎng)絡(luò)安全的總體設(shè)計(jì)結(jié)合了目前騰格里網(wǎng)的實(shí)際情況，從安全運(yùn)行環(huán)境、區(qū)域邊界、安全數(shù)據(jù)網(wǎng)絡(luò)和安全管理中心四個(gè)方面，構(gòu)建一套安全設(shè)計(jì)方案，將現(xiàn)有的網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)系統(tǒng)緊密結(jié)合起來，盡量不改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，在不影響業(yè)務(wù)的情況下，滿足等級(jí)保護(hù)相關(guān)要求。

圖1 騰格里網(wǎng)整改前網(wǎng)絡(luò)拓?fù)鋱D

2.1 設(shè)計(jì)思路與原則

根據(jù)內(nèi)蒙古廣播電視臺(tái)的實(shí)際需求和國家等級(jí)保護(hù)相關(guān)法規(guī)的要求，從技術(shù)先進(jìn)、高效管理、操作維護(hù)方便，以及充分體現(xiàn)標(biāo)準(zhǔn)化、規(guī)范化等方面對(duì)工程總體建設(shè)和實(shí)施進(jìn)行了初步設(shè)計(jì)，從多個(gè)環(huán)節(jié)上進(jìn)行安全防控。采用國內(nèi)安全產(chǎn)品制造商先進(jìn)且實(shí)用的安全技術(shù)和安全產(chǎn)品，不僅可以確保現(xiàn)有系統(tǒng)的安全性和可靠性，還可以在5年內(nèi)滿足系統(tǒng)升級(jí)、維護(hù)和擴(kuò)展的需要。

安全建設(shè)是本次等級(jí)保護(hù)項(xiàng)目的重點(diǎn)建設(shè)內(nèi)容之一，應(yīng)嚴(yán)格遵循等級(jí)保護(hù)以及相關(guān)政策、標(biāo)準(zhǔn)和規(guī)范的要求，使騰格里網(wǎng)能夠在多角度、多層面上獲得強(qiáng)有力且全方位的安全保障，如網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)信息。

項(xiàng)目在初步設(shè)計(jì)過程中應(yīng)充分考慮現(xiàn)有資源，有效利用舊設(shè)備，提高系統(tǒng)建設(shè)的成本效益和投資效益，避免浪費(fèi)。

2.2 信息安全保障體系設(shè)計(jì)

信息安全等級(jí)保護(hù)是本次騰格里網(wǎng)整改設(shè)計(jì)的核心指導(dǎo)思想，整改方案的技術(shù)及管理設(shè)計(jì)都是圍繞并符合等級(jí)保護(hù)設(shè)計(jì)思想和要求展開的，構(gòu)建了一個(gè)集防護(hù)、檢測、響應(yīng)、恢復(fù)于一體的綜合安全系統(tǒng)。全面貫徹落實(shí)等級(jí)保護(hù)制度，在內(nèi)蒙古廣播電視臺(tái)建立信息安全保障體系，從安全管理體系、安全技術(shù)體系、安全運(yùn)行與監(jiān)控體系三個(gè)方面構(gòu)建綜合安全體系。其中，安全管理體系包括成立安全組織機(jī)構(gòu)，編訂安全策略、管理制度、管理范圍、管理流程等。安全技術(shù)體系主要從通信網(wǎng)絡(luò)、區(qū)域邊界、環(huán)境安全等方面有效保證信息安全。

圖2 內(nèi)蒙古廣播電視臺(tái)信息安全保障體系圖

圖3 安全技術(shù)體系圖

2.3 信息安全技術(shù)體系設(shè)計(jì)

信息安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì)的基本內(nèi)容主要是一個(gè)中心、三重防護(hù)，即安全管理中心、安全網(wǎng)絡(luò)計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)。網(wǎng)絡(luò)層面要注意邊界的訪問控制、安全審計(jì)、各項(xiàng)協(xié)議過濾等；應(yīng)用和數(shù)據(jù)層面要注意入侵動(dòng)作的實(shí)時(shí)監(jiān)測與阻斷，結(jié)合網(wǎng)頁防篡改等手段盡可能保護(hù)重要數(shù)據(jù)信息。

（1）安全管理中心：構(gòu)建先進(jìn)且高效的安全管理中心，實(shí)現(xiàn)針對(duì)系統(tǒng)安全、安全管理、審計(jì)安全、操作流程等方面的統(tǒng)一管理；

（2）環(huán)境安全：為騰格里網(wǎng)創(chuàng)建一個(gè)可靠、安全的計(jì)算環(huán)境。從系統(tǒng)應(yīng)用級(jí)別的協(xié)議過濾、端口控制、身份識(shí)別、終端防護(hù)、程序運(yùn)行保護(hù)、系統(tǒng)安全檢查、數(shù)據(jù)機(jī)密和完整保護(hù)等方面，通過訪問控制設(shè)備（防火墻、WAF的訪問控制列表）全面提高騰格里網(wǎng)系統(tǒng)和應(yīng)用的級(jí)別安全；

（3）邊界安全：加強(qiáng)對(duì)網(wǎng)絡(luò)邊界的訪問控制，及時(shí)阻斷未授權(quán)的內(nèi)部計(jì)算機(jī)私自非法外聯(lián)行為，配置Web應(yīng)用防火墻以防范網(wǎng)絡(luò)邊界處的惡意代碼、SQL注入及跨站腳本等攻擊，進(jìn)行網(wǎng)絡(luò)邊界行為檢查，保護(hù)互聯(lián)網(wǎng)邊界的完整性，提高網(wǎng)絡(luò)邊界的可控制性；

（4）通信網(wǎng)絡(luò)安全：確保網(wǎng)絡(luò)間數(shù)據(jù)的安全傳輸、網(wǎng)絡(luò)行為的安全審計(jì)，以保障網(wǎng)絡(luò)通信安全。

2.4 邊界訪問控制與安全審計(jì)

網(wǎng)絡(luò)邊界通常是整個(gè)系統(tǒng)最容易受到攻擊的地方，許多來自外界的攻擊通過邊界的薄弱環(huán)節(jié)攻擊到網(wǎng)絡(luò)內(nèi)部。系統(tǒng)中的每個(gè)子應(yīng)用邊界也同樣需要進(jìn)行安全防御，以確保各子應(yīng)用的信息安全。因此，網(wǎng)絡(luò)和子應(yīng)用在邊界設(shè)計(jì)中需要重點(diǎn)考慮安全防御。

邊界安全防御目標(biāo)旨在防止邊界內(nèi)部的外來攻擊，同時(shí)還要防止內(nèi)部人員使用未經(jīng)授權(quán)的設(shè)備私自外聯(lián)，從邊界內(nèi)對(duì)外進(jìn)行攻擊，或者通過開放界面、隱匿信道進(jìn)入內(nèi)部網(wǎng)絡(luò)。由于內(nèi)部人員對(duì)內(nèi)蒙古廣播電視臺(tái)網(wǎng)絡(luò)結(jié)構(gòu)較為了解，因此，更應(yīng)嚴(yán)格約束內(nèi)部人員的上網(wǎng)行為。安全事件發(fā)生以后，可以通過分析日記、檢測設(shè)備查找攻擊意圖，進(jìn)行記錄、報(bào)警，還可以提供日志入侵記錄，進(jìn)行審計(jì)跟蹤。

內(nèi)網(wǎng)邊界主要通過部署防火墻、入侵防御系統(tǒng)、抗DDOS防護(hù)系統(tǒng)、漏洞檢測系統(tǒng)、防篡改系統(tǒng)、病毒防護(hù)網(wǎng)關(guān)等，搭配合理的安全策略以達(dá)到防護(hù)目的。

圖4 騰格里網(wǎng)整改后網(wǎng)絡(luò)拓?fù)鋱D

在選擇安全設(shè)備時(shí)，除了要考慮到產(chǎn)品本身的功能、性能等因素外，還要考慮系統(tǒng)異構(gòu)、可管理性等因素。異構(gòu)能提高系統(tǒng)整體抗攻擊能力，防止同一家廠商的產(chǎn)品存在的共性缺點(diǎn)，產(chǎn)生系統(tǒng)整體安全上的漏洞。

騰格里門戶網(wǎng)站審計(jì)范圍包含所有服務(wù)器、交換機(jī)、操作系統(tǒng)和數(shù)據(jù)庫；審計(jì)內(nèi)容為系統(tǒng)中重要的用戶行為、系統(tǒng)資源異常以及重要系統(tǒng)命令的使用等；審計(jì)記錄包含事件發(fā)生的日期、類型、主體標(biāo)志和結(jié)果等。

3 騰格里網(wǎng)網(wǎng)絡(luò)安全等級(jí)保護(hù)整改

3.1 安全設(shè)備整改項(xiàng)目分析

內(nèi)蒙古廣播電視臺(tái)在按照等級(jí)保護(hù)基本要求對(duì)騰格里網(wǎng)進(jìn)行充分調(diào)研及詳細(xì)分析的基礎(chǔ)上，決定對(duì)騰格里網(wǎng)網(wǎng)絡(luò)安全進(jìn)行整改，然后進(jìn)行測評(píng)。整體調(diào)研后發(fā)現(xiàn)缺少部分安全設(shè)備，主要為邊界安全設(shè)備、審計(jì)類設(shè)備與網(wǎng)頁防篡改系統(tǒng)。

3.2 整改后網(wǎng)絡(luò)架構(gòu)

按照等級(jí)保護(hù)基本要求整改后網(wǎng)絡(luò)拓?fù)鋱D如圖4所示。

在兩個(gè)出口與防火墻之間加裝一臺(tái)抗DDOS防護(hù)系統(tǒng)，可以及時(shí)對(duì)拒絕服務(wù)攻擊進(jìn)行防護(hù)處理。在防火墻與核心交換機(jī)之間增加一臺(tái)入侵防護(hù)系統(tǒng)，可以監(jiān)視各類攻擊行為，在發(fā)生嚴(yán)重入侵事件時(shí)進(jìn)行報(bào)警。為滿足等級(jí)測評(píng)要求，分別在旁路部署了運(yùn)維審計(jì)平臺(tái)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)和數(shù)據(jù)庫審計(jì)系統(tǒng)。在兩臺(tái)防火墻與核心交換機(jī)之間增加了Web應(yīng)用防火墻（WAF）。在騰格里網(wǎng)頁面發(fā)布服務(wù)器上部署了一套網(wǎng)頁防篡改系統(tǒng)，可以保護(hù)網(wǎng)站系統(tǒng)，防止SQL注入、跨站腳本等攻擊手段。

4 結(jié) 語

信息安全等級(jí)保護(hù)建設(shè)是國家對(duì)信息系統(tǒng)的強(qiáng)制性要求，經(jīng)過近一年的探索研究，按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》規(guī)定和整體安全建設(shè)思想，內(nèi)蒙古廣播電視臺(tái)采取了必要的安全技術(shù)措施，以滿足等級(jí)保護(hù)三級(jí)基本要求，整個(gè)架構(gòu)主要包括一個(gè)中心、三重防護(hù)，構(gòu)建集防護(hù)、檢測、響應(yīng)、恢復(fù)于一體的系統(tǒng)全面的安全保障體系，以業(yè)務(wù)應(yīng)用為重點(diǎn)、安全管理為支撐。通過上述網(wǎng)絡(luò)安全建設(shè)，騰格里網(wǎng)基本具備層層設(shè)防、重點(diǎn)突出、策略聯(lián)動(dòng)、管理為上的優(yōu)勢，順利通過了信息系統(tǒng)等級(jí)保護(hù)三級(jí)測評(píng)，取得了測評(píng)證書。