【摘要】 為推動我國信息安全等級保護工作的開展,近十年來,全國信息安全標準化技術委員會和公安部信息系統(tǒng)安全標準化技術委員會組織制訂了信息安全等級保護工作需要的一系列標準,形成了比較完整的信息安全等級保護標準體系,為開展信息安全等級保護工作奠定了基礎。本文主要從四方面對廣電網(wǎng)絡安全建設方案進行了簡單闡述,為下一步網(wǎng)絡安全的建設提供了參考。
【關鍵詞】 信息安全 等級保護 安全方案 安全防護
為貫徹落實國家信息安全等級保護制度,規(guī)范和指導全國廣電行業(yè)信息安全等級保護工作,按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安〔2009〕1429號)要求,廣電總局科技司于2011年向發(fā)布了《廣播電視相關信息系統(tǒng)安全等級保護定級指南》的通知。根據(jù)通知要求,有線電視網(wǎng)絡作為廣電集團最重要的承載網(wǎng)絡,有線電視網(wǎng)絡應該按照三級等級保護建設。
一、安全方案建設原則
1.1先進性原則:安全設備必須采用專用的硬件平臺和安全專業(yè)的軟件平臺保證設備本身的安全,符合業(yè)界技術的發(fā)展趨勢,既體現(xiàn)先進性又比較成熟,并且是各個領域公認的領先產(chǎn)品。
1.2成熟性原則:網(wǎng)絡安全是廣電信息化的基礎,網(wǎng)絡的穩(wěn)定性至關重要。安全設備由于部署在關鍵節(jié)點,成為網(wǎng)絡穩(wěn)定性的重要因素,整個設計必須考慮到高可靠性因素。
1.3 責任明確與安全最小授權原則:安全策略管理必須遵從最小授權原則,即不同安全區(qū)域內(nèi)的主機只能訪問屬于相應區(qū)域資源;建設方案從技術流程上設計明確的技術分界面,保證網(wǎng)絡管理運營中的各責任實體責權分明。
1.4 可擴展性原則:要求網(wǎng)絡安全解決方案可以隨同網(wǎng)絡的擴展具有靈活的可擴展性,特別是對業(yè)務復雜性的增加具有良好的支持。
1.5 開放兼容性:符合當前安全產(chǎn)品設計規(guī)范、技術指標符合國際和工業(yè)標準,支持多廠家產(chǎn)品,本著有效性原則,有效的保護投資。
二、網(wǎng)絡及主機安全建設方法
2.1 威脅分析
隨著近些年廣電業(yè)務及技術的不斷發(fā)展,廣電網(wǎng)絡走向全業(yè)務運營是必然趨勢。業(yè)務的多樣化,讓廣電網(wǎng)絡由封閉走向開放,使得網(wǎng)絡安全問題從小到大,越來越受到挑戰(zhàn)。而常見的威脅主要表現(xiàn)在:敏感信息篡改、廣告頁面被黑客篡改、視頻內(nèi)容被黑客篡改。
從整體上看,廣電網(wǎng)絡的安全防護分成網(wǎng)絡邊界安全防護、入侵防御、遠程接入安全、業(yè)務應用防護、Web應用防護、統(tǒng)一安全運維、安全事件管理等幾個層面,在互聯(lián)網(wǎng)接入,網(wǎng)絡傳輸,終端接入等方面存在如下安全威脅和挑戰(zhàn):
1) 互聯(lián)網(wǎng)出口DDoS攻擊威脅:一旦出現(xiàn)DoS/DDoS攻擊,數(shù)據(jù)中心網(wǎng)絡出口被堵塞,內(nèi)部用戶無法通過校內(nèi)網(wǎng)絡訪問internet,外部用戶也無法正常訪問服務器;
2) 互聯(lián)網(wǎng)出口安全隔離:防止非法訪問,對不同的用戶,各種服務器,管理區(qū)進行安全隔離,只有通過授權的用戶才能正常訪問;滿足數(shù)據(jù)中心出口增長的帶寬的需要,減少鏈路選擇維護工作量;區(qū)別各種攻擊流量和正常流量,并能采取相應的措施保護內(nèi)部網(wǎng)絡免受惡意攻擊,保證內(nèi)部網(wǎng)絡及系統(tǒng)的正常運行;
3) VPN移動接入:移動辦公,出差用戶接入提供SSL VPN接入功能,實現(xiàn)用戶安全接入;
4) NAT轉換:由于公網(wǎng)地址非常有限,廣電網(wǎng)絡出口需要采用大容量NAT設備來做NAT轉換,記錄NAT轉換,QQ/MSN等IM的上下線日志,便于后續(xù)審計;
5) 上網(wǎng)行為管理與審計:滿足相關要求,進行URL過濾、應用行為控制、流量管理、數(shù)據(jù)防泄漏、惡意軟件防護、互聯(lián)網(wǎng)行為記錄,提升工作效率、營造安全辦公環(huán)境、以及滿足法規(guī)遵從;
6) 服務器入侵檢測與防護:防止對HTTP、FTP、DNS、Mail等服務器的各種攻擊,包括蠕蟲,木馬,間諜軟件,廣告軟件,僵尸網(wǎng)絡,數(shù)據(jù)庫注入攻擊,跨站腳本,緩沖區(qū)溢出,系統(tǒng)或服務漏洞攻擊,暴力破解等;
7) 網(wǎng)絡病毒防護:服務器病毒防護,防止病毒通過HTTP、SMTP、POP3、FTP等網(wǎng)絡協(xié)議進行傳播;
8) WEB防護:解決目前所面臨的各類網(wǎng)站安全問題,如:網(wǎng)頁防篡改,Web應用加速,惡意編碼,網(wǎng)頁木馬,緩沖區(qū)溢出,信息泄露等;
9) 運維審計:對數(shù)據(jù)中心核心業(yè)務系統(tǒng)、主機、數(shù)據(jù)庫、網(wǎng)絡設備等各種IT資源的帳號、認證、授權和審計的集中管理和控制,解決IT運維管理問題,滿足相關法規(guī)、標準要求,完善IT管理體系,實現(xiàn)IT核心資源的統(tǒng)一接入管理和運維審計。
綜上,廣電網(wǎng)絡作為宣傳重要窗口,一旦安全性受到挑戰(zhàn),帶來的影響將會非常惡劣。所以,廣電網(wǎng)絡對安全需求的要求更高。
2.2安全功能構架圖
廣電網(wǎng)絡要以滿足廣電行業(yè)相關安全標準、ISO27001、等級保護二級和三級等相關行業(yè)規(guī)定、法律法規(guī)要求為前提條件,提出相應的安全框架,從分層、縱深防御思想出發(fā),根據(jù)層次分為物理設施安全、網(wǎng)絡安全、主機安全、虛擬化安全、應用安全、數(shù)據(jù)保護、用戶管理、安全管理等幾個層面,用來指導廣電網(wǎng)絡安全解決方案的設計。
根據(jù)廣電的網(wǎng)絡特點及所承載的互動電視業(yè)務,網(wǎng)上營業(yè)廳業(yè)務、寬帶業(yè)務等需求,按照上述的安全架構,建議對廣電網(wǎng)絡劃分不同的安全域來保障信息系統(tǒng)在網(wǎng)絡上的安全要求。這些區(qū)域按照其功能可劃分為直播系統(tǒng)區(qū)域、VOD互動電視區(qū)、BOSS系統(tǒng)區(qū)域、網(wǎng)上營業(yè)廳區(qū)域、互聯(lián)網(wǎng)接入?yún)^(qū)域、分前端區(qū)域和管理區(qū)等七個區(qū)域。由于不同區(qū)域承載的業(yè)務不同,因此會采用不同的安全防范措施。下面著重從直播系統(tǒng)區(qū)域、VOD互動電視區(qū)、BOSS系統(tǒng)區(qū)域、網(wǎng)上營業(yè)廳區(qū)域四方面進行安全設計。
三、安全方案設計
3.1 直播系統(tǒng)區(qū)域安全設計
直播系統(tǒng)作為廣電的核心業(yè)務系統(tǒng),直播系統(tǒng)的安全播出是全網(wǎng)安全方案設計的重點。
如圖所示,在EPG和中間件等服務器到匯聚交換機之間部署防火墻設備;部署第三方系統(tǒng)引流接入交換機,該交換機采用組播協(xié)議和直播的核心交換機連接;當其他接入交換機到直播網(wǎng)絡時,采用防火墻將業(yè)務系統(tǒng)和直播網(wǎng)絡進行隔離。
3.2 VOD區(qū)
互動電視區(qū)域為廣電的重要組成部分,該區(qū)主要由VOD媒體服務器、VOD信令服務器、中間件系統(tǒng)以及第三方系統(tǒng)接口等組成。
如圖所示,通過在各有業(yè)務服務器接入交換機和核心交換機之間部署防火墻,使用網(wǎng)絡層安全防護,同時部署防病毒網(wǎng)關,實現(xiàn)網(wǎng)絡病毒防護。通過部署專門的入侵防御系統(tǒng),提供入侵防護,進行虛擬補丁、Web應用防護、惡意軟件防御、網(wǎng)絡應用管控保護,對網(wǎng)絡基礎設施、網(wǎng)絡帶寬性能、服務器進行入侵防。
3.3 BOSS系統(tǒng)區(qū)域安全設計
BOSS系統(tǒng)作為廣電綜合業(yè)務運營需求的支撐系統(tǒng),為廣電完成業(yè)務轉型及拓展提供有力的支撐,幫助降低運營成本,提高運營收益;BOSS系統(tǒng)同時是一個高效的運營與管理平臺,將大幅度提高廣電行業(yè)的管理、運營、服務水平,為決策層提供強大的戰(zhàn)略分析和執(zhí)行工具,幫助廣電運營商由“粗放式經(jīng)營”轉向“精細化管理”,BOSS系統(tǒng)的安全與否關系重大。
通過部署防病毒網(wǎng)關,進行網(wǎng)絡病毒防護,防止病毒通過網(wǎng)絡進行傳播。
從網(wǎng)絡層到應用層進行全面掃描和查殺,對各種加殼、壓縮、加密病毒,以及木馬、蠕蟲、惡意軟件等網(wǎng)絡威脅均能夠快速、準確地徹底清除。
對 HTTP、POP3及SMTP協(xié)議傳輸?shù)臄?shù)據(jù)進行病毒掃描,當用戶通過網(wǎng)頁請求數(shù)據(jù)下載時,如果被檢測到下載文件中包含了病毒數(shù)據(jù),將向用戶推送病毒告警頁面;而對于郵件協(xié)議 POP3、SMTP 協(xié)議當檢測到郵件附件里是病毒文件則支持對附件的刪除操作,同時在郵件中打上標簽告知用戶相關信息。
通過部署專門的入侵防御系統(tǒng),提供入侵防護,進行虛擬補丁、Web應用防護、惡意軟件防御、網(wǎng)絡應用管控保護,對網(wǎng)絡基礎設施、網(wǎng)絡帶寬性能、服務器進行入侵防護。
入侵防御系統(tǒng)通過分析系統(tǒng)的漏洞或已有攻擊事件的字段特征制定特征規(guī)則,同時對應用層協(xié)議解析,關鍵信息提取,深度模式匹配等方法全面防范各種漏洞攻擊,針對操作系統(tǒng)的漏洞攻擊,針對數(shù)據(jù)庫服務器的溢出攻擊,針對文件服務器的漏洞攻擊或常用應用軟件如IE瀏覽器的漏洞攻擊等。通過深入到7層的分析與檢測,實時阻斷網(wǎng)絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網(wǎng)頁篡改等攻擊和惡意行為,實現(xiàn)對網(wǎng)絡應用、網(wǎng)絡基礎設施和網(wǎng)絡性能的全面保護。
同時,營業(yè)廳有大量的PC終端需要訪問BOSS的服務器,而這些PC機的安全性非常差,容易受到攻擊;因此,在BOSS區(qū)域部署接入準入系統(tǒng),提供統(tǒng)一的策略引擎,在整個組織內(nèi)實施統(tǒng)一訪問策略,實現(xiàn)基于用戶、設備類型、接入時間、接入地點、接入方式多維度的認證和授權,滿足山西廣電終端接入認證多層次、泛終端接入的需求。
3.4網(wǎng)上營業(yè)廳區(qū)域安全設計
網(wǎng)上營業(yè)廳鏈接互聯(lián)網(wǎng),面臨來自互聯(lián)網(wǎng)的各種攻擊,需要進行邊界安全防護,針對來自互聯(lián)網(wǎng)安全威脅,內(nèi)部各個區(qū)域之間訪問控制,部署防火墻,專業(yè)的DDoS異常流量清洗系統(tǒng),VPN安全網(wǎng)關,進行安全隔離,訪問控制,DDoS異常流量攻擊,同時為提供SSL VPN遠程安全訪問。
四、結束語
通過對幾個重要的業(yè)務系統(tǒng)安全方案的建設進行闡述,為整個網(wǎng)絡安全建設提供了一種思路。通過各系統(tǒng)的建設,提高了整個廣電網(wǎng)絡的安全性,進而達到等級保護的要求。
作者:崔芙云
單位:山西廣電信息網(wǎng)絡集團有限公司 山西省太原市
電話:13934666051
通信地址:山西省太原市長治路453號
郵編:030006