宿遷市廣播電視總臺網絡安全加固設計與實踐

◎姜 辛

(宿遷市廣播電視總臺技術中心，江蘇 宿遷 223800)

宿遷市廣播電視總臺網絡安全架構體系遵從網絡安全等級保護2.0 制度“一個中心、三重防護”原則[1]，針對廣播電視各類播出系統、管理平臺開展了網絡安全等級保護建設和評測工作。“一個中心”是指在網絡安全加固中，必須建立一個集中的安全管理中心，負責整個網絡的安全管理和監控。“三重防護”是指在網絡安全加固中，必須采取物理安全、網絡安全和應用程序安全三方面的防護措施。

一、概述

根據相關的網絡安全等級保護要求以及廣播電視管理規定，結合宿遷市廣播電視總臺的自身實際情況，在構建網絡安全運行體系及網絡安全管理中心中，實行動態與靜態相結合的形式，最終形成了完整的等級保護方案，對業務系統及網絡進行相關規劃和部署，建立信息系統綜合防護體系，落實安全保護技術措施。動態包括網絡拓撲結構、網絡安全設備、網絡安全策略等。在網絡安全加固中，必須采取一系列措施來保證網絡的安全性，如防火墻、入侵檢測系統、安全掃描器、輸入驗證、輸出過濾、加密等。靜態包括包括設備安全和物理環境安全。設備安全包括設備的防火、防盜、防靜電等措施；物理環境安全包括機房的安全、溫度和濕度的控制等。

二、總體設計

按照《信息安全技術網絡安全等級保護基本要求》標準，宿遷市廣播電視總臺的網絡信息系統安全等級為三級。總臺以廣電大廈搬遷、系統新建為發展契機，完善相應的網絡安全法律法規，實行規劃、建設、使用同步原則，在全臺業務網技術方案制定初期，就對網絡等級保護項目同步規劃、跟進。

根據等級保護要求，總臺網絡等級保護項目對服務器區進行安全加固，同時對終端進行惡意代碼防護和終端準入監測，按照審計、管理的等級保護要求，部署內網審計設備、安全感知設備、安全管控、內網準入等設備。通過安全建設，保證宿遷市廣播電視總臺網絡信息系統的安全性、穩定性，確保達到等級保護三級的要求。

廣播電視總臺網絡安全加固體系設計目標是確保總臺信息系統的安全性，防止信息泄露、篡改和破壞。具體目標如下：

一是加強安全系統建設，實現按需防御。為實現按需防御，需要建立完善的安全系統，包括入侵檢測、防火墻、加密通信等安全設備和系統。這些設備和系統應該根據總臺信息系統的實際情況進行選擇和配置，確保安全性和可用性。同時，需要建立安全策略和安全管理制度，明確各項安全規定和流程，確保所有工作人員都了解和遵守安全規定。

二是建設安全運維體系。安全運維體系建設是確保總臺信息系統持續安全的重要保障。需要建立完善的安全運維體系，包括安全監控、安全審計、應急響應等安全運維流程和制度[2]。同時，需要建立專業的安全運維團隊，負責實施和管理安全運維工作，確保所有系統和數據都得到及時、有效的保護。

三是科學規劃，提升總臺信息系統安全防護能力。需要建立科學的安全評估體系，對總臺信息系統的安全風險進行全面評估和分析，及時發現和解決潛在的安全問題。同時，需要加強安全技術研究和開發，引入最新的安全技術和方法，提升總臺信息系統的安全性和防護能力。

三、詳細設計方案

宿遷市廣播電視總臺網絡安全架構整體設計遵從《網絡安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)，通過構建“一個中心支撐下的三重防護體系”的縱深防御體系，來保障總臺網絡的安全。“一個中心”即安全管理中心，“三重防護”即安全計算環境、安全區域邊界、安全通信網絡三方面防護。

(一)安全區域劃分

對總臺整體網絡進行安全區劃分，構建分區、分等級的安全防護體系，是提升網絡整體防護能力的重要一環。

針對總臺網絡覆蓋范圍廣、業務服務種類繁、用戶對象多等特點，采用基于安全區的安全設計辦法是非常有效的，將總臺根據業務訪問關系劃分為多個安全區域，然后根據各個安全區域的特點，分別有針對性地設計保護措施和安全策略，將大大提升防護的有效性，同時也體現出重點資產重點防范的建設原則。

根據安全區劃分原則，重點考慮業務訪問關系，可將總臺網絡劃分為互聯網邊界接入區、公共區、安全管理區、電視制作播出系統區、廣播制作播出系統區、媒資網、融媒體網等。總臺整體網絡拓撲如下圖1 所示：

圖1 宿遷市廣播電視總臺安全防護網絡拓撲

(二)通信網絡安全防護設計

通信網絡安全防護是廣播電視總臺內部和外部的網絡通信中安全防護的重要一環，需要采取一系列的措施來保證通信的安全性。在實際的設計中，可采用加密技術來保證通信的機密性，使用數字簽名技術來保證通信的完整性，利用防火墻技術來限制外部網絡訪問，再使用入侵檢測技術來實時監測網絡的安全狀況。此外，需要對設備訪問使用冗余備份機制，防止出現單點故障[3]。

(三)區域邊界安全防護設計

安全區域邊界是對內部應用系統計算環境進行安全防護和防止敏感信息泄露的必經渠道。在設計中，邊界訪問控制、網絡行為審計和邊界完整性防護是三個關鍵的方面。

1.措施

在互聯網邊界部署防火墻設備，在總臺內網核心區部署防火墻設備，其中互聯網出口防火墻利用原先的設備，新購一臺與其做HA，同時在內網邊界區、電視制作播出系統區、廣播制作播出系統區部署網閘系統，分別實現總臺內外網的數據交換以及播出網與制作網之間的數據交換，網閘利用原先的設備。

2.網絡行為審計措施

在辦公區邊界部署上網行為管理系統，可以確保網絡中的用戶行為符合規定的要求。例如通過用戶行為審計，可以發現潛在的安全問題，如內部人員違規訪問外部網站或下載惡意軟件等；通過網絡流量審計可以發現網絡中的異常流量，如未經授權的外部IP 地址訪問內部網絡等；通過數據泄露審計，可以發現潛在的數據泄露風險，如敏感數據被非法傳輸到外部網絡等。

3.邊界完整性防護

根據網絡不同區域之間的安全等級和業務需求，制定相應的訪問控制策略，包括基于IP 地址、用戶身份、應用類型等的訪問控制策略。通過實施訪問控制策略，可以限制不同區域之間的非法訪問和數據傳輸。同時，在網絡邊界處設置入侵檢測和防御設備，對進入網絡的數據進行實時監測和分析，發現和處理潛在的攻擊和入侵行為。通過入侵檢測和防御，可以及時發現和處理外部攻擊，保障網絡的安全性和完整性。對終端的USB 進行統一管控，并限制連接其他外部網絡，有效保證總臺網絡邊界安全。

(四)計算環境安全設計

計算環境是總臺各類應用的運行環境，計算環境安全防護建設采用主機惡意代碼防范技術、Web 防火墻技術、數據審計等技術進行安全建設，增強總臺網絡計算環境的安全防護能力。

1.主機防病毒

在總臺網絡中所有在用的服務器(WINDOWS、LINUX)和客戶端(WINDOWS)計算機上部署相應平臺的網絡版防病毒軟件，有效查殺、威脅服務器和客戶端正常運行的病毒、惡意腳本、木馬、蠕蟲等惡意代碼。通過統一的防病毒系統管理服務器，確保全網具有一致的防病毒策略和最新的病毒查殺能力。

2.主機監控與審計

在總臺網絡中所有適用的客戶端(WINDOWS)計算機上部署監控客戶端，在運維管理區部署終端安全管理系統管理中心，采用統一策略下發并強制策略執行的機制，實現對網絡內部Windows 桌面終端系統的集中管理和維護，建立應用安裝、進程運行、端口使用，外設應用的黑/白名單，有效地保護用戶計算機系統安全和信息數據安全。

3.Web 應用防火墻

在DMZ 區部署Web 應用防火墻系統，通過Web 檢測引擎和安全策略，實時檢測互聯網流量數據，阻斷異常攻擊行為，實現檢測所有經過Web 應用防火墻進入廣播電視總臺的Web 流量。同時，Web 應用防火墻應該具有一系列的防護策略，包括阻止惡意代碼、防止異常流量、過濾非法請求等，其能夠記錄所有的訪問日志，以便進行審計和分析。此外，在安全管理區部署網頁防篡改，防止Web 網頁被篡改而造成惡劣的后果。

4.數據庫審計

數據庫是廣播電視總臺的核心資產之一，必須采取一系列的措施來保證數據庫的安全性。在總臺融媒體、廣播、電視核心交換機上分別旁路部署1 臺數據庫審計系統，嚴格控制數據庫訪問，只有經過授權的用戶才能夠訪問數據庫。同時，對于惡意的訪問會發出告警提示，還應該定期備份數據庫，以防止數據丟失或損壞。數據庫具有日志記錄功能，會記錄所有的數據庫操作日志，以便審計和分析。

5.脆弱性掃描

在公共區部署1 臺漏洞掃描系統，以本地掃描或遠程掃描的方式，對融媒體、電視、廣播、媒資、辦公等網絡設備及相關系統進行脆弱性掃描。如果發現潛在的安全漏洞，需要及時修補。在脆弱性掃描中，應該對每個設備和應用程序進行深度掃描，再定期進行脆弱性掃描，以便及時發現和修復安全漏洞[4]。

6.入侵檢測

入侵檢測是一種主動防御技術，可以在攻擊發生之前或之初檢測到攻擊行為，并采取相應的防御措施。在電視制作、播出及廣播制作、播出安全管理區以及辦公網核心分別部署1 臺入侵檢測設備，以流量鏡像形式將核心交換機進出口流量鏡像給入侵檢測設備，能夠實時檢測包括木馬、異常流量、惡意代碼、非法訪問等11 種網絡攻擊行為，并且可以與防火墻聯動，從而有效保護用戶網絡IT 服務資源，使其免受各種外部攻擊侵擾。

7.身份準入

針對外網，電視、廣播安全管理區分別部署1 臺身份準入設備，對內網所有終端進行準入控制，防止非法外聯終端接入內網，通過身份準入設備，方便管理員有效管控全網終端。

(五)安全管理中心設計

1.安全運維管理與審計

在外網，電視、廣播安全管理區分別部署1 臺堡壘機，分別實現管理總臺外網及內網所有設備，并通過堡壘機實現劃分運維角色與權限，分為系統管理員、審計管理員、安全管理員等。

2.日志集中收集與分析

在外網，電視、廣播安全管理區分別部署1 套集中的日志收集和分析系統，通過被動采集(SYSLOG、SNMPTRAP)或主動采集(ODBC/JDBC、文件讀取、安裝AGENT)的方式，收集和分析總臺網絡中所有設備的信息，并評估和分析網絡和系統的安全風險，及時發現和解決潛在的安全問題。此外，日志也可審計和監督網絡和系統的安全，確保網絡和數據的安全性。

3.安全集中管控

網絡安全管理中心是負責整個廣播電視總臺網絡安全管理和監控的核心部門，集中管理和監控整個廣播電視總臺的網絡安全，從而實現任何時間、任何地點、任何設備，安全快速地實現遠程IT 運維。

4.備份技術

在公共區部署1 臺數據備份一體機設備，及時、有效地備份總臺全網數據，同步存儲備份各業務系統的在線業務數據。一旦主存儲系統出現故障導致數據丟失，可迅速從備份一體機上恢復，可達到RPO 接近于0 的目標。

(六)安全管理體系設計

廣播電視總臺的安全管理體系應該是一個全面、系統、科學的體系，能夠全面保障廣播電視總臺的信息安全[5]。在體系設計中，應該包括以下五個方面：一是要制定和實施安全策略，明確安全目標和風險控制措施，確保所有系統和數據都遵循安全規范；二是建立完善的安全組織架構，明確各部門和人員的職責和權限，確保安全工作的有效實施和管理；三是制定和實施安全管理制度，明確各項安全管理的要求和流程，確保所有工作人員都了解和遵守安全規定，同時明確各部門和人員的職責和權限，建立完善的安全組織架構；四是建立完善的安全技術防護體系，包括防火墻、入侵檢測、數據加密等安全技術措施，確保網絡和數據的安全性；五是加強員工的安全意識和技能培訓，提高員工的安全意識和技能水平，確保員工能夠有效地防范和應對安全問題。

四、結語

宿遷市廣播電視總臺以新大廈搬遷、系統新建為契機，實現等級保護項目建設“三同步”，結合網絡現狀，從網絡和通信、設備和計算、應用和數據、物理和環境等多個層面，建立了統一安全技術保護體系，通過在網絡、主機、應用、數據、管理等各方面引入相應的安全措施，安全加固服務器區，同時對終端進行惡意代碼防護和終端準入監測，按照審計、管理的等級保護要求，部署內網審計設備、安全感知設備、安全管控、內網準入等設備達到等級保護的基本要求，建立健全安全管理體系和安全運維體系，通過有效結合安全管理和安全技術，達到良好的效果。