李大扣 安徽廣播電視臺

廣播電臺辦公網(wǎng)多業(yè)務(wù)系統(tǒng)的安全策略

李大扣 安徽廣播電視臺

電臺辦公網(wǎng)與日常的節(jié)目生產(chǎn)和業(yè)務(wù)運(yùn)行密切相關(guān)，其安全等級日益提高。本文介紹了在《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級指南》文件精神的指導(dǎo)下，針對不同的業(yè)務(wù)制定不同的安全保障策略，大大提高了整個辦公網(wǎng)系統(tǒng)的穩(wěn)定性和安全性。

辦公網(wǎng) 安全 異構(gòu)防火墻 Vlan

一、引言

隨著信息化的發(fā)展，廣播電臺辦公網(wǎng)的職能也隨之逐步擴(kuò)展。目前安徽廣播電視臺廣播電臺辦公網(wǎng)承擔(dān)的任務(wù)包括全臺員工上網(wǎng)、辦公自動化、網(wǎng)站平臺、直播間互動平臺、廣告管理、多媒體系統(tǒng)等。辦公網(wǎng)的正常運(yùn)行直接影響到日常工作的開展，這就要求辦公網(wǎng)有非常靈活的構(gòu)架，可以根據(jù)業(yè)務(wù)需要擴(kuò)展服務(wù)，同時(shí)針對不同的業(yè)務(wù)提供不同的安全保障。

二、多業(yè)務(wù)的安全措施

2.1 從系統(tǒng)構(gòu)架設(shè)計(jì)提高安全性辦公網(wǎng)最基礎(chǔ)的業(yè)務(wù)是提供全體員工上網(wǎng)服務(wù)，作為內(nèi)部局域網(wǎng)和互聯(lián)網(wǎng)之間的大門，其安全性要求非常高。接入的安全性主要通過防火墻來實(shí)現(xiàn)，采用異構(gòu)防火墻的模式可以更好的提供安全保障。我臺廣播辦公網(wǎng)采用了思科的ASA-5500-X防火墻和啟明星辰的天清漢馬USG作為異構(gòu)的兩臺設(shè)備。由于ASA-5500-X防火墻不支持多條路由，讓它工作在透明模式即可。它啟用了三進(jìn)三出總共六個接口（可用十個接口），為防火墻配置3個網(wǎng)段的IP地址，主要作用是包過濾和ACL。而天清漢馬USG的功能相對強(qiáng)大，使其工作在路由模式，在起到包過濾和ACL的同時(shí)還對進(jìn)線的三條光纖和辦公網(wǎng)業(yè)務(wù)做路由分配和外網(wǎng)映射工作。為了保證充分利用三條光纖鏈路的帶寬，我們對需要連接互聯(lián)網(wǎng)的各個子業(yè)務(wù)劃分了多個Vlan。異構(gòu)防火墻是符合《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級指南》要求的較為安全的方式，其主要目的是采用不同廠家的設(shè)備同時(shí)防護(hù)，相互彌補(bǔ)部分漏洞，比單防火墻或者主備同構(gòu)防火墻的安全級別更高。

圖1 接入和異構(gòu)防火墻系統(tǒng)

辦公網(wǎng)真正的核心是核心交換機(jī)，為了保證安全性，我們使用了兩臺同樣配置的思科S4507R+E交換機(jī)，雙機(jī)做HSRP，也就是雙機(jī)熱備。其中一臺作為主用交換機(jī)，當(dāng)主用交換機(jī)出現(xiàn)故障，所有鏈路自動切換到備份交換機(jī)。HSRP是思科特有的路由冗余技術(shù)，對于整個網(wǎng)絡(luò)來說，兩臺核心交換機(jī)實(shí)際上是一個虛擬交換機(jī)，所有的數(shù)據(jù)流都在這個虛擬交換機(jī)上通過，而具體是哪個真實(shí)的交換機(jī)在起作用取決于HSRP的分配，一般只有一臺主交換在起作用，而只有故障出現(xiàn)才會切換到備交換，用戶對此確毫不知情。做到了既安全又易用。

接入層交換機(jī)采用了雙鏈路，每個接入層交換機(jī)都通過兩根光纖分別接在主備兩臺核心交換上，用以保證無論是哪一臺核心交換機(jī)在工作都能讓用戶在不知情的情況下連接互聯(lián)網(wǎng)并且進(jìn)行正常的業(yè)務(wù)工作。

2.2 添加安全設(shè)備提高安全性

添加網(wǎng)絡(luò)安全設(shè)備是提高辦公網(wǎng)安全級別最直觀的方法。為此我們也添加了部分設(shè)備，包括鏈路設(shè)備和旁路設(shè)備。鏈路設(shè)備的好處在于能夠切實(shí)提高安全級別所有的數(shù)據(jù)流都會經(jīng)過該設(shè)備進(jìn)行掃描和探測，以便發(fā)現(xiàn)問題。但是它的缺點(diǎn)也是顯而易見的，鏈路設(shè)備發(fā)生故障很有可能造成整個網(wǎng)絡(luò)的癱瘓，所以一般采用有bypass功能的鏈路設(shè)備，一旦出現(xiàn)故障即可自動切換到直通狀態(tài)。旁路設(shè)備的好處在于不會對網(wǎng)絡(luò)造成傷害，工作在旁路只是監(jiān)測和統(tǒng)計(jì)網(wǎng)絡(luò)中的數(shù)據(jù)流情況，無法真正介入過濾和防護(hù)。一般來說最好的安全防護(hù)是旁路設(shè)備和鏈路設(shè)備結(jié)合，比如防火墻和IDS聯(lián)動，IDS可以幫助監(jiān)測網(wǎng)絡(luò)中的危險(xiǎn)代碼和數(shù)據(jù)流，當(dāng)它監(jiān)測到以后通知防火墻進(jìn)行阻隔，這樣工作在鏈路中的防火墻不用每個數(shù)據(jù)包都嚴(yán)密監(jiān)視掃描，造成網(wǎng)絡(luò)效率下降。而工作在旁路的IDS設(shè)備掃描的是交換機(jī)的鏡像端口，不會對網(wǎng)絡(luò)造成任何干擾，這樣就能在不影響網(wǎng)絡(luò)暢通的情況下最大限度的提高安全性。在辦公網(wǎng)里我們使用了一些鏈路設(shè)備來過濾數(shù)據(jù)包和監(jiān)測網(wǎng)絡(luò)流量，比如上網(wǎng)行為管理設(shè)備，和網(wǎng)絡(luò)防毒墻。這里的上網(wǎng)行為管理AC可以幫助我們發(fā)現(xiàn)異常的流量情況以及每個IP地址在網(wǎng)絡(luò)上跑了什么樣的數(shù)據(jù)包，還為我們提供了對于用戶的帶寬限制。流控是個很有用的功能，能夠控制每個終端用戶的最大帶寬，保證在網(wǎng)的每個用戶都能達(dá)到一定的上網(wǎng)速度。在沒有這個設(shè)備之前常常發(fā)生某個用戶大量使用帶寬，擠走了其他的用戶。網(wǎng)絡(luò)防毒墻是殺毒軟件的硬件版本，防毒墻只有放在鏈路上才能起到防毒殺毒的作用。

圖2 鏈路安全設(shè)備及系統(tǒng)架構(gòu)

在辦公網(wǎng)里還使用了一些旁路設(shè)備來監(jiān)測網(wǎng)絡(luò)的運(yùn)行狀態(tài)及統(tǒng)計(jì)網(wǎng)絡(luò)設(shè)備的信息。一個就是IDS，在沒有和防火墻聯(lián)動的情況下，我們可以通過查找日志和報(bào)警信息發(fā)現(xiàn)網(wǎng)絡(luò)中的異常，手動在防火墻或者其他設(shè)備上設(shè)置對于某個IP或者某個數(shù)據(jù)包的阻斷，并可以順藤摸瓜查到攻擊的來源，做出相應(yīng)的應(yīng)對措施。另外是審計(jì)設(shè)備，數(shù)據(jù)庫審計(jì)和日志審計(jì)，在全網(wǎng)掃描對應(yīng)的數(shù)據(jù)包，提供給網(wǎng)絡(luò)管理相應(yīng)的數(shù)據(jù)，幫助維護(hù)網(wǎng)絡(luò)。加裝這些設(shè)備可提高網(wǎng)絡(luò)的安全性，使其符合《信息安全等級保護(hù)》的要求。

2.3 安全運(yùn)維與殺毒軟件

隨著網(wǎng)絡(luò)應(yīng)用的普及和網(wǎng)絡(luò)規(guī)模的擴(kuò)大，限制接入或者對接入端進(jìn)行必要的控制是現(xiàn)在廣泛采用的方式。選擇一款接入控制和終端控制的網(wǎng)管軟件是現(xiàn)在普遍的做法。安徽臺辦公網(wǎng)采用了一款C/S結(jié)構(gòu)的IT安全運(yùn)維管理系統(tǒng)，通過軟件控制交換機(jī)，采用軟硬結(jié)合的方式來控制接入。整個辦公網(wǎng)系統(tǒng)根據(jù)組織架構(gòu)設(shè)立多個Vlan，并使用Dot1x的方式動態(tài)分配交換機(jī)端口到相應(yīng)的Vlan，管理軟件會根據(jù)組織架構(gòu)表查找到該用戶的Vlan歸屬，并且將Vlan號發(fā)送給交換機(jī)，命令交換機(jī)分配相應(yīng)的Vlan到該用戶登錄的端口。由于分割了Vlan，即使有機(jī)器在網(wǎng)絡(luò)中進(jìn)行破壞，其破壞范圍也會大大縮小。另外通過軟件的資產(chǎn)管理系統(tǒng)能統(tǒng)計(jì)用戶的設(shè)備情況、軟件安裝情況，并能定位設(shè)備的物理位置，這對后期的維護(hù)、故障處理、排錯都能提供極大的便利。只要是PC系統(tǒng)，就離不開殺毒軟件。殺毒軟件的防護(hù)最重要的是病毒庫，病毒庫由防病毒服務(wù)器一次性從互聯(lián)網(wǎng)獲得最新病毒庫，終端用戶只需要連接局域網(wǎng)的防病毒服務(wù)器就能快速更新病毒庫。網(wǎng)絡(luò)殺毒軟件還能對局域網(wǎng)的設(shè)備進(jìn)行管理和分類，分類的基本信息包括是否安裝殺毒軟件，病毒庫是否最新，終端機(jī)器是否有漏洞等功能。殺軟也是提高網(wǎng)絡(luò)安全性的重要指標(biāo)。

圖3 旁路安全設(shè)備、控制軟件和殺毒軟件

2.4 子系統(tǒng)業(yè)務(wù)的安全措施

辦公網(wǎng)系統(tǒng)是一個容納了很多子業(yè)務(wù)的主干系統(tǒng)，在這個主干上還有很多其他業(yè)務(wù)。等級最高的業(yè)務(wù)大多是獨(dú)立成系統(tǒng)的，比如網(wǎng)站系統(tǒng)、多媒體系統(tǒng)、發(fā)射機(jī)監(jiān)控系統(tǒng)等。這些系統(tǒng)都有自己獨(dú)立的子網(wǎng)，由于這些業(yè)務(wù)和日常工作關(guān)系非常密切，要求的安全性自然就更高。

多媒體信息平臺系統(tǒng)包含多媒體文稿、多媒體資料庫、音視頻自動采集、電話錄音、個人空間等子系統(tǒng)，并且有和制播系統(tǒng)的交集。這樣的業(yè)務(wù)系統(tǒng)必定要提高安全級別，僅僅通過主干的安全防護(hù)措施已經(jīng)不能滿足該系統(tǒng)對安全性的要求。在這個系統(tǒng)與主干網(wǎng)的連接中必然要使用雙鏈路，并且獨(dú)立給予特定的Vlan，由于這個系統(tǒng)本身也有多個Vlan的要求，還要使得Vlan的劃分不能與辦公網(wǎng)主干沖突。多媒體信息平臺通過它自己的防火墻與辦公網(wǎng)連接，內(nèi)部還設(shè)立IPS和應(yīng)用層防火墻來保證安全；采用了主備交換機(jī)的冗余方案；有自己的DMZ區(qū)。

發(fā)射機(jī)監(jiān)控系統(tǒng)也是獨(dú)立的子系統(tǒng)，構(gòu)建的方式相對多媒體信息平臺要簡單一些，但是其重要性更高，直接與廣播播出相關(guān)，內(nèi)部使用自己的獨(dú)立網(wǎng)段。其與辦公網(wǎng)連接的部分也使用了防火墻，對于內(nèi)容監(jiān)視可以通過防火墻端口映射，而對于發(fā)射機(jī)控制部分采用了基于JAVA的VPN撥號接入,L2TP、PPTP的隧道協(xié)議。只有認(rèn)證的用戶才能實(shí)施對內(nèi)部服務(wù)器的操作。

日常業(yè)務(wù)是指在辦公網(wǎng)中為辦公服務(wù)的業(yè)務(wù)，這些業(yè)務(wù)相對比較小，一般來說一臺服務(wù)器就可以勝任，稍微重要一點(diǎn)的也就是主備服務(wù)器方案，這些業(yè)務(wù)都掛接在同一個Vlan中，安全性要求一般。比如FTP服務(wù)、OA服務(wù)。FTP服務(wù)基本功能是提供一個文件存放的平臺，供互聯(lián)網(wǎng)用戶和辦公網(wǎng)用戶進(jìn)行臨時(shí)的文件交換，可以長期存放，但是不建議用戶這樣做。當(dāng)前主要是提供臺際之間的節(jié)目交流等時(shí)效性的功能。OA服務(wù)器采用了主備服務(wù)器的方式，主要用于臺內(nèi)員工互相發(fā)布信息、通知和公告等功能。

2.5 災(zāi)備和冗余以及日常維護(hù)

任何網(wǎng)絡(luò)都要考慮的問題就是災(zāi)備和冗余。有些災(zāi)難不可預(yù)知，我們無法考慮，但是我們可以最大限度的提高安全性來抵抗災(zāi)難的來臨。

首先是電力問題，要求所有的關(guān)鍵設(shè)備都采用雙電源，并且接入非同源的兩路電源供電。

然后是單點(diǎn)故障問題，要求所有關(guān)鍵設(shè)備都有冗余，在辦公網(wǎng)里有些設(shè)備沒有做到冗余，比如鏈路上的安全設(shè)備，這時(shí)需要求該設(shè)備有bypass功能，或者手動跳過該設(shè)備系統(tǒng)依能夠正常運(yùn)作。

三、總結(jié)

安全離不開日常維護(hù)，只有認(rèn)真執(zhí)行日常維護(hù)工作，才能更好的保證系統(tǒng)的安全運(yùn)行。構(gòu)建一個完善的日常維護(hù)方案對于網(wǎng)絡(luò)管理來說尤為重要。日常巡機(jī)檢查軟件硬件運(yùn)行狀態(tài)，定期進(jìn)行設(shè)備維護(hù)工作必須要制度化。

綜上所述，我們考慮并實(shí)施了廣播電臺辦公網(wǎng)的安全措施。該系統(tǒng)已經(jīng)安全運(yùn)行了兩年左右的時(shí)間，這些安全措施是在這兩年里逐步完善起來的，未來辦公網(wǎng)必將不斷擴(kuò)大，需要根據(jù)具體情況制定更加合適的安全措施。