廖 蕓（廣西廣播電視技術(shù)中心）

?

廣西整省（區(qū)）廣播電視無線發(fā)射臺站運行支撐管理系統(tǒng)信息安全規(guī)劃與實現(xiàn)

廖 蕓
（廣西廣播電視技術(shù)中心）

［摘 要］結(jié)合實例，討論廣西整省（區(qū)）廣播電視無線發(fā)射臺站運行支撐管理系統(tǒng)信息安全規(guī)劃的主要組成部分和實現(xiàn)功能，通過技術(shù)手段和管理手段，保障廣播電視遠(yuǎn)程監(jiān)控系統(tǒng)的信息安全。

［關(guān)鍵詞］廣播電視；遠(yuǎn)程監(jiān)控；信息安全

1　引言

廣西整省（區(qū)）廣播電視無線發(fā)射臺站運行支撐管理系統(tǒng)（以下簡稱遠(yuǎn)程監(jiān)控系統(tǒng)）承擔(dān)著全區(qū)300多個無線發(fā)射臺站的發(fā)射設(shè)備和播出情況以及周邊環(huán)境的實時監(jiān)控、告警管理、資產(chǎn)管理、工單維護等安全播出管理工作。隨著廣播電視事業(yè)的不斷發(fā)展壯大，廣播電視無線覆蓋率逐年提升，日后將承擔(dān)更多無線臺站的安全播出管理工作。該系統(tǒng)的業(yè)務(wù)信息覆蓋全區(qū)，社會影響力大，系統(tǒng)正常運行與否，直接關(guān)系到廣播電視安全播出這一生命線。若系統(tǒng)遭受非法入侵或破壞，可能直接造成安全播出事故，對社會秩序和公共利益造成不良影響。

2　信息安全規(guī)劃與實現(xiàn)

按照GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》中第三級的基本要求，我們將遠(yuǎn)程監(jiān)控系統(tǒng)劃分為內(nèi)網(wǎng)和外網(wǎng)兩大部分，內(nèi)外網(wǎng)之間通過網(wǎng)閘進(jìn)行隔離，每一部分再按照具體業(yè)務(wù)細(xì)分為多個安全區(qū)域，采取不同的防護手段，結(jié)合物理安全防護和統(tǒng)一安全管理，整個系統(tǒng)的信息安全防護體系如圖1所示。

圖2　網(wǎng)站防護部署示意圖

圖1　系統(tǒng)信息安全防護體系示意圖

2.1物理防護

遠(yuǎn)程監(jiān)控系統(tǒng)所在機房，除了防盜、防靜電、防水、防潮、溫濕度控制、電力保障等防破壞基本保護措施之外，我們重點加固了防雷、自動消防和視頻監(jiān)控建設(shè)。建筑物、機房內(nèi)的電源線、信號線、電子設(shè)備等均采取了必要的防雷措施。機房內(nèi)部采用防火材料裝修，設(shè)置感煙、感溫兩路報警，并配備了七氟丙烷氣體自動消防系統(tǒng)。機房出入口和內(nèi)部均安裝有紅外攝像機，做到對機房整體環(huán)境實時監(jiān)控。

2.2外網(wǎng)防護

遠(yuǎn)程監(jiān)控系統(tǒng)的業(yè)務(wù)網(wǎng)站，面向單位職工提供發(fā)射臺站實時狀態(tài)監(jiān)控服務(wù)。部分臺站通過VPN采集的數(shù)據(jù)也由此回傳。我們按照網(wǎng)站漏洞檢測結(jié)果，從網(wǎng)站代碼源頭入手，逐一修復(fù)漏洞，增強代碼的健壯性和安全性?；ヂ?lián)網(wǎng)接口處更換了性能更好的防火墻，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行路由控制和狀態(tài)檢測。同時，增加部署Web應(yīng)用防火墻和網(wǎng)站防篡改系統(tǒng)用以防御針對網(wǎng)站進(jìn)行的攻擊。網(wǎng)站防護部署如圖2所示。

網(wǎng)站區(qū)域中的Web服務(wù)器對外提供業(yè)務(wù)服務(wù)，其上安裝有監(jiān)控代理，用于監(jiān)控Web目錄文件，阻斷非法篡改，實時恢復(fù)正常文件。同時，應(yīng)用防護系統(tǒng)監(jiān)測并阻斷針對應(yīng)用層進(jìn)行的諸如XSS、SQL注入、遠(yuǎn)程命令執(zhí)行等各類攻擊。管理區(qū)域中的同步代理將備份更新后的目錄文件實時同步到Web服務(wù)器，并實時響應(yīng)監(jiān)控代理的告警，將被篡改的文件恢復(fù)正常。監(jiān)控中心則實時接收來自監(jiān)控代理和同步代理的告警信息，并將操作指令傳送至代理端執(zhí)行。

2.3內(nèi)網(wǎng)防護

遠(yuǎn)程監(jiān)控系統(tǒng)的內(nèi)網(wǎng)承載著全區(qū)廣

播電視無線臺站遠(yuǎn)程監(jiān)控智能管理核心業(yè)務(wù)。內(nèi)網(wǎng)與外網(wǎng)之間增加部署網(wǎng)閘進(jìn)行相互隔離。內(nèi)網(wǎng)中，我們重點部署了終端安全管理系統(tǒng)和入侵防御系統(tǒng)。

2.3.1終端安全管理系統(tǒng)

終端安全管理系統(tǒng)部署如圖3所示。我們對每臺請求接入遠(yuǎn)程監(jiān)控系統(tǒng)的終端采用USBkey令牌認(rèn)證，用戶首次訪問時，強制用戶到指定站點進(jìn)行認(rèn)證。不合法用戶將強制退出，禁止訪問。對于合法用戶將按照制定的安全策略進(jìn)行用戶主機和行為的安全評估，包括對主機登錄密碼設(shè)置、系統(tǒng)補丁安裝、防病毒軟件安裝、病毒庫升級、是否非法外聯(lián)、私自使用移動存儲介質(zhì)等情況進(jìn)行安全性檢查。檢測不合格的用戶將進(jìn)入隔離區(qū)修改配置、規(guī)范行為，直至符合安全策略的要求。只有符合安全策略的用戶方可允許進(jìn)入系統(tǒng)，按照用戶角色進(jìn)行權(quán)限分配，只允許進(jìn)行權(quán)限范圍內(nèi)的操作，對系統(tǒng)進(jìn)行受控訪問。

終端安全管理客戶端具有自我保護機制，能夠防止用戶隨意停止或卸載?？蛻舳撕头?wù)器相互通信采取雙向認(rèn)證機制，能夠防止同類或假冒客戶端非法進(jìn)入網(wǎng)絡(luò)。同時，依靠統(tǒng)一管理中心對所有終端進(jìn)行整體管理，包括終端資產(chǎn)、準(zhǔn)入控制、策略管理、文檔加密、接口聯(lián)動、行為審計、報表分析等多樣化功能，形成對終端的事前規(guī)劃、事中監(jiān)控和事后分析統(tǒng)計的立體化管理，有效保障整個遠(yuǎn)程監(jiān)控系統(tǒng)的終端接入安全。

2.3.2入侵防御系統(tǒng)

在內(nèi)網(wǎng)的核心節(jié)點處，部署入侵防御系統(tǒng)，導(dǎo)入豐富的異常行為特征庫，并定期更新特征庫。對于流經(jīng)內(nèi)部網(wǎng)絡(luò)的多種報文，采用基于指紋特征的檢測技術(shù)，首先根據(jù)報文的源地址、目的地址、端口、關(guān)鍵信息進(jìn)行分類，智能識別出協(xié)議類型、流量統(tǒng)計等信息，配合高效匹配算法將報文和攻擊行為特征庫、病毒特征庫進(jìn)行高速精確匹配，阻斷符合特征值的報文，與之相關(guān)的信息將自動更新，指示系統(tǒng)刪除關(guān)于該報文的所有數(shù)據(jù)信息。采用大規(guī)模并發(fā)過濾處理機制，不會因處理報文而對網(wǎng)絡(luò)數(shù)據(jù)率造成影響，過濾后剩下正常的報文方可進(jìn)入網(wǎng)絡(luò)。通過查看事件記錄，可追溯異常源頭，分析詳細(xì)情況，調(diào)整防護設(shè)置。

圖3　終端安全管理系統(tǒng)部署示意圖

2.4安全管理

為了方便管理遠(yuǎn)程監(jiān)控系統(tǒng)包含的眾多設(shè)備，我們整合了一套安全管理系統(tǒng)。依靠一個安全管理平臺，即可管理系統(tǒng)中所有的設(shè)備資產(chǎn)、策略配置、用戶權(quán)限等內(nèi)容，通過匯總所有設(shè)備上報的實時狀態(tài)和審計日志，并進(jìn)行分析和統(tǒng)計，讓系統(tǒng)整體運行情況一目了然。平臺對所有監(jiān)控指標(biāo)產(chǎn)生的告警進(jìn)行集中的響應(yīng)，支持聲、光、電等多種告警方式，并能夠通過手機短信、電子郵件等發(fā)出告警。同時，還制定了例如人員管理制度、資產(chǎn)管理制度、運維管理制度等一系列安全管理制度，以及安全事件處置和應(yīng)急響應(yīng)預(yù)案。平時嚴(yán)格規(guī)范各項制度，并定期進(jìn)行應(yīng)急演練。

3　小結(jié)

信息安全建設(shè)是一個動態(tài)的、長期發(fā)展的過程。隨著廣播電視事業(yè)的不斷壯大，遠(yuǎn)程監(jiān)控系統(tǒng)將不斷拓展功能，信息安全建設(shè)也將隨之升級換代。我們應(yīng)以長遠(yuǎn)的眼光看待問題，關(guān)注業(yè)界發(fā)展態(tài)勢，與時俱進(jìn)，加大信息安全建設(shè)力度，不斷完善遠(yuǎn)程監(jiān)控系統(tǒng)的信息安全防護體系。

參考文獻(xiàn)：

GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》