李相如，馮 梅

（重慶廣播電視集團（總臺）信息技術中心，重慶 400039）

2016年下半年，按照集團“廣播電視一盤棋”“統(tǒng)籌構建技術支撐體系”的融合發(fā)展戰(zhàn)略和總體思路，我們技術團隊堅持以先進技術為支撐、內容建設為根本，遵循融合、開放、發(fā)展、安全的構建原則，充分發(fā)揮自主規(guī)劃設計的創(chuàng)造力，啟動融合媒體工程規(guī)劃和建設，構筑統(tǒng)一云架構下的支撐全新內容生產與傳播形態(tài)，打造下一代技術體系，為推動內容、渠道、平臺等方面的深度融合、發(fā)揮融合媒體競爭優(yōu)勢夯實技術基石。從嚴謹?shù)脑O計到2017-04正式上線搭建，我中心技術人員全面參與了基礎云平臺設備上架，及其后一系列系統(tǒng)調試工作，及后續(xù)工程部署。我也重點參與到信息安全等級保護的評測工作中。從2017-11開始，我們與負責項目實施的相關單位密切合作，針對融合媒體系統(tǒng)的安全需求查找了問題，著重于網絡服務的硬件和軟件兩方面對現(xiàn)有融合媒體網絡環(huán)境下的安全問題進行了梳理，制訂了網絡安全加固建設方案。

1 系統(tǒng)安全方面目標調研及問題梳理

1.1 融合新聞系統(tǒng)現(xiàn)狀及安全目標

重慶廣播電視集團（總臺）融合新聞系統(tǒng)由提供服務的硬件和軟件兩大要素構成。系統(tǒng)網絡核心采用雙核心交換機，保障了設備的冗余，避免了重要設備的單點故障。融合新聞系統(tǒng)邊界采用了USB擺渡系統(tǒng)和下一代防火墻系統(tǒng)，實現(xiàn)了端口級的訪問控制、媒體文件擺渡、入侵防護及病毒查殺等功能。計劃建立安全管理中心包含入侵檢測系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、日志審計系統(tǒng)、運維審計系統(tǒng)、防病毒終端管理系統(tǒng)、漏洞掃描系統(tǒng)、數(shù)字證書及身份認證系統(tǒng)等功能，可實現(xiàn)系統(tǒng)的雙因素認證及日志審計等功能。

網絡系統(tǒng)劃分了多個區(qū)域，系統(tǒng)內部網絡分為安全管理區(qū)、新聞生產區(qū)、虛擬化應用區(qū)、APP區(qū)等多個區(qū)域。其中，每一個區(qū)域為一個網段，網段之間的訪問均由防火墻進行控制。系統(tǒng)網絡與外部辦公區(qū)和公有云間通過防火墻、USB擺渡設備進行安全隔離。

1.2 對照目標

主要在網絡設備、安全設備、服務器/存儲設備及各終端和業(yè)務應用軟件等系統(tǒng)中進行了問題查找。

1.2.1 網絡設備

核心交換機、葉層交換機、服務器接入交換機。

1.2.2 安全設備

邊界防火墻、入侵防御、堡壘機、日志審計系統(tǒng)。

1.2.3 服務器/存儲設備

第1眼應用服務器、新聞生產應用服務器、數(shù)據(jù)庫服務器、融合新聞系統(tǒng)數(shù)據(jù)庫服務器。

1.3 問題梳理

安全管理方面，應具備完善的安全責任制，崗位設置合理，人員分工明確，基本形成了全面的信息安全管理制度體系，具有規(guī)范的人員安全管理制度、流程和記錄等。但還存在部分制度不健全、記錄不完善、管理不到位等問題，根據(jù)等級保護3級要求，在加固過程中擬定進行安全管理、完善安全管理制度和安全管理記錄等方案。

該系統(tǒng)在技術安全的各層面雖然分別采取了相應的安全措施，但也存在不同程度的安全問題。其具有的安全措施和存在安全問題如下：①物理安全層面。機房管理方面能夠依照法律、行政法規(guī)的規(guī)定，制定機房安全管理制度，采取防火、防雷和短期電力供應等必要措施，保障機房設備安全、穩(wěn)定運行，積極應對物理安全事件。②網絡安全層面。該骨干網絡的基礎設施完善，主要網絡和安全設備都采用雙機熱備，主要網絡設備處理能力滿足業(yè)務高峰期需要。網絡采用分區(qū)分域的策略，根據(jù)業(yè)務情況和功能不同，將網絡劃分成了多個不同的區(qū)域，且區(qū)域間部署了帶有IPS和防病毒模塊的防火墻和三層交換機實施訪問控制。③主機安全層面。大部分系統(tǒng)具有較好的安全防護能力。在自查中發(fā)現(xiàn)，主機層面還存在以下問題，即工作站和管理終端未采取雙因子方式進行身份鑒別；部分Windows服務器未重命名administrator賬戶；工作站不能自動生成審計報表；工作站和管理終端補丁未及時更新，也不能對系統(tǒng)服務水平的降低進行監(jiān)控和報警，因此，還存在一定的安全隱患。④數(shù)據(jù)庫安全方面。數(shù)據(jù)庫在身份鑒別、訪問控制、資源控制、數(shù)據(jù)備份與恢復等方面均采取了一定的數(shù)據(jù)庫安全保護措施。⑤應用安全層面。系統(tǒng)在滿足業(yè)務需求的基礎上提供了較嚴格的安全控制措施，但仍然存在少量安全配置不合理、缺少安全功能的情況。

2 加固方案及實施

針對信息安全等級保護的目標及自查中找到的問題，我們制訂了一系列的安全加固方案，并予以實施，期望在不影響系統(tǒng)正常運行的基礎上達到安全等級保護的需求。

2.1 軟件加固

增加部署了中心節(jié)點的入侵檢測設備，能根據(jù)需要對數(shù)據(jù)進行分析，發(fā)現(xiàn)攻擊行為和惡意代碼。系統(tǒng)中部署了堡壘機，配合設備配置，保護網絡設備和安全設備；部署了日志審計系統(tǒng)，對網絡設備和安全設備日志進行收集和保護。

對部分工作站和管理終端增加了采取雙因子方式進行身份鑒別；部分Windows服務器重命名了administrator賬戶；增加了自動生成審計報表功能；安裝了最新必要的安全補丁；分配了用戶最小使用權限；禁止遠程訪問（無必要的主機）；梳理添加了遺漏的可信IP地址訪問控制等。

對數(shù)據(jù)庫系統(tǒng)管理員劃分合理的最小權限進行制約，提供剩余信息保護措施和應用服務水平監(jiān)測功能等。

2.2 硬件加固

在設備方面，復核了所有關鍵的網絡設備和安全設備以及數(shù)據(jù)庫和服務器主機，增加了部分未有的數(shù)據(jù)處理系統(tǒng)的硬件冗余。對部分未達標的網絡交換設備在增加賬號口令復雜度；禁用telnet、啟用SSH；關閉非必要端口、啟用端口安全；開啟TCP攻擊防御等方面進行了操作。

2.3 安全管理文檔及制度

增加人員安全管理及運維安全管理方面的具體措施，包括落實了管理類文檔、記錄類文檔和其他文檔。

3 經驗小結

融合新聞系統(tǒng)是基于云計算的融合新聞中心技術平臺，完成新聞全媒體融合生產、渠道多元化融合發(fā)布和融合互動業(yè)務。新的結構形式有新的安全需求，在整個項目安全加固過程中，我們累積了很多經驗，比如對項目中會使用到的系統(tǒng)鏡像或軟件模板的補丁或者殺毒軟件進行預置；禁用掉虛擬機系統(tǒng)無需使用的所有重要端口；對關鍵設備做好冗余備份；在項目建設階段提前配置堡壘機，在云環(huán)境的虛擬設備上均通過堡壘機來訪問操作；對安全管理制度及早制訂等。

4 結束語

經過認真的加固建設，于2017-12中旬，集團融合新聞系統(tǒng)順利通過了國家信息系統(tǒng)安全三級等保測評，既為我臺融合新聞系統(tǒng)的全面驗收打好了基礎，也標志著集團信息網絡安全保障進入了新時期。