劉 新

保障廣播電視信息系統(tǒng)的網(wǎng)絡(luò)信息安全，就是要做好廣播電視業(yè)務(wù)平臺信息系統(tǒng)的網(wǎng)絡(luò)規(guī)劃，發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患和漏洞，有效提升網(wǎng)絡(luò)安全防護能力，運用網(wǎng)絡(luò)安全策略對廣播電視業(yè)務(wù)平臺網(wǎng)絡(luò)信息系統(tǒng)進行合理建設(shè)、運行和維護，提高廣播電視信息系統(tǒng)整體安全防護能力。

1 廣播電臺信息系統(tǒng)網(wǎng)絡(luò)安全等級保護基本要求及相關(guān)制度

廣播電視行業(yè)相關(guān)信息系統(tǒng)的安全防護主要依據(jù)《廣播電視相關(guān)信息系統(tǒng)安全等級保護基本要求》、《廣播電視相關(guān)信息系統(tǒng)安全等級保護定級指南》作為廣電行業(yè)的網(wǎng)絡(luò)信息安全標(biāo)準，以物理安全、網(wǎng)絡(luò)安全、邊界安全、數(shù)據(jù)安全、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)、運維管理等多方面多層次提出管理和技術(shù)要求，吉林人民廣播電臺業(yè)務(wù)支撐平臺信息系統(tǒng)依照以上管理和技術(shù)要求，成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，建立健全各類網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案和網(wǎng)絡(luò)安全管理制度，修訂并補充網(wǎng)絡(luò)安全事件上報機制，對相關(guān)信息系統(tǒng)進行系統(tǒng)定級，確定保護等級。本文以定級備案的吉林人民廣播電臺業(yè)務(wù)支撐平臺信息系統(tǒng)（第二級廣播電視信息系統(tǒng)）為例，對其進行網(wǎng)絡(luò)信息安全策略分析和研究。

2 廣播電臺網(wǎng)絡(luò)信息基礎(chǔ)網(wǎng)絡(luò)安全的網(wǎng)絡(luò)構(gòu)架與安全審計

2.1 網(wǎng)絡(luò)構(gòu)架

1）空間和設(shè)備冗余：首先為滿足廣播電臺業(yè)務(wù)高峰期的需求，要確保網(wǎng)絡(luò)鏈路負載均衡、入侵防御、防火墻、上網(wǎng)行為管理及流量控制、核心交換機、匯聚交換機等關(guān)鍵網(wǎng)絡(luò)設(shè)備的主要技術(shù)性能具有寬裕的處理空間，整體網(wǎng)絡(luò)帶寬上也應(yīng)具備冗余空間，同時應(yīng)為互聯(lián)網(wǎng)業(yè)務(wù)接入業(yè)務(wù)、涉及播控中心播出業(yè)務(wù)、綜合辦公業(yè)務(wù)等直接相關(guān)系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)安全設(shè)備配置冗余。

2）層次化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計和網(wǎng)絡(luò)安全域劃分：在系統(tǒng)建設(shè)開始階段，應(yīng)考慮網(wǎng)絡(luò)縱深防護，將播控中心系統(tǒng)中與播出直接相關(guān)信息系統(tǒng)構(gòu)建于縱深網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)部，禁止該信息系統(tǒng)內(nèi)部無線組網(wǎng)；合理劃分網(wǎng)絡(luò)安全域，依照網(wǎng)絡(luò)關(guān)鍵設(shè)備安全性，信息系統(tǒng)功能、業(yè)務(wù)流程重要性等劃分不同級別的安全保護區(qū)域。

3）子網(wǎng)劃分與隔離：在同一安全域中的信息系統(tǒng)的子網(wǎng)劃分依照重要的業(yè)務(wù)類型、樓層的物理位置、同一樓層不同部門等因素來劃分子網(wǎng)；同一安全域劃分出子網(wǎng)的重要網(wǎng)段與其他網(wǎng)段之間隔離手段可采用接入防火墻過濾或網(wǎng)絡(luò)訪問控制列表方式進行。

吉林人民廣播電臺業(yè)務(wù)支撐信息平臺網(wǎng)絡(luò)構(gòu)架拓撲圖如圖1所示。

圖1 網(wǎng)絡(luò)構(gòu)架拓鋪圖

2.2 安全審計

首先要求對鏈路負載均衡、入侵防御、防火墻、上網(wǎng)行為管理及流量控制、核心交換機、匯聚交換機等關(guān)鍵網(wǎng)絡(luò)設(shè)備及重要服務(wù)器、終端、數(shù)據(jù)庫、主要應(yīng)用軟件中包含每個設(shè)備和軟件的運行日志以供查詢，同時網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)設(shè)備操作的行為記錄都應(yīng)保存。其次關(guān)鍵網(wǎng)絡(luò)設(shè)備審計日志庫中記錄保存項目應(yīng)該詳盡，對網(wǎng)絡(luò)安全事件的日期、時間、IP地址、事件類型以及操作人員都應(yīng)詳細記載，審計記錄至少保存6個月以上。最后定期對審計設(shè)備的數(shù)據(jù)庫及網(wǎng)絡(luò)關(guān)鍵設(shè)備日志進行分析，以便及時發(fā)現(xiàn)是否有非正常操作人員行為及設(shè)備告警等狀況，并形成分析報告。

3 網(wǎng)絡(luò)信息安全邊界防護和病毒防護

吉林廣播電視臺業(yè)務(wù)支撐平臺信息系統(tǒng)網(wǎng)絡(luò)信息安全邊界防護包括外部互聯(lián)網(wǎng)接入系統(tǒng)、播控中心的融媒體播出系統(tǒng)、應(yīng)用安全系統(tǒng)、個人存儲空間系統(tǒng)和安全監(jiān)控系統(tǒng)等組成。重要的關(guān)鍵信息系統(tǒng)安全邊界均部署入侵防御、防火墻、統(tǒng)一安全網(wǎng)關(guān)等安全防護設(shè)備，對網(wǎng)絡(luò)安全邊界防護設(shè)備安全策略配置按照訪問控制、安全數(shù)據(jù)交換、入侵防范、惡意代碼防范、邊界完整性等規(guī)則設(shè)計實施，根據(jù)我臺網(wǎng)絡(luò)邊界防護的實際業(yè)務(wù)情況，對鏈路負載均衡、入侵防御、防火墻、上網(wǎng)行為流量管理等網(wǎng)絡(luò)安全設(shè)備及病毒防護的安全策略應(yīng)用如下：

1）在互聯(lián)網(wǎng)出口部署兩臺連接不同ISP供應(yīng)商的鏈路負載均衡設(shè)備，配置浮動IP地址、NAT地址轉(zhuǎn)換、端口復(fù)用、優(yōu)化路由算法等網(wǎng)絡(luò)安全技術(shù)，加速信息系統(tǒng)互聯(lián)網(wǎng)安全應(yīng)用。

2）部署入侵防御（IPS）系統(tǒng)，針對端口掃描、木馬后門、緩沖區(qū)溢出、IP 碎片和網(wǎng)絡(luò)蠕蟲等攻擊特征，配置網(wǎng)絡(luò)動作語義阻止攻擊行為，拒絕木馬等特征流量等動作，實現(xiàn)邊緣網(wǎng)絡(luò)的安全。

3）開啟防火墻的訪問控制拒絕強力掃描、惡意代碼防護、拒絕服務(wù)攻擊（DDoS）防護、VPN、HA等安全防護功能，實時對信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)的服務(wù)器終端設(shè)備的漏洞，病毒，URL和內(nèi)容等應(yīng)用進行不同層次深度掃描監(jiān)控，實行用戶/應(yīng)用行為的精細化訪問控制策略。采用VPN等安全認證方式登錄網(wǎng)絡(luò)信息系統(tǒng)進行設(shè)備管理。

4）上網(wǎng)行為流量管理禁止個人訪問互聯(lián)網(wǎng)非法內(nèi)容，阻斷非法網(wǎng)站訪問，限制無關(guān)業(yè)務(wù)網(wǎng)站的大量訪問連接流量、次數(shù)等應(yīng)用，禁止通過互聯(lián)網(wǎng)進行遠程管理和內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為；依據(jù)業(yè)務(wù)需要、部門及個人需求對網(wǎng)絡(luò)流量加以分類，對網(wǎng)絡(luò)流量進行過濾或者減少非業(yè)務(wù)數(shù)據(jù)流，如P2P下載、海量下載等行為。

5）針對廣播電臺重要信息系統(tǒng)播控中心接入?yún)^(qū)域（播出系統(tǒng)）與其他各信息系統(tǒng)在安全網(wǎng)絡(luò)區(qū)域內(nèi)進行數(shù)據(jù)文件交換時，使用專用安全數(shù)據(jù)交換設(shè)備網(wǎng)閘對網(wǎng)絡(luò)間傳輸?shù)奈募袷竭M行過濾、限定，對其文件結(jié)構(gòu)、文件內(nèi)容、大小、后綴進行鑒別，阻斷非法文件交換。

6）在應(yīng)用安全系統(tǒng)內(nèi)布置企業(yè)級殺毒服務(wù)中心服務(wù)器，對其他信息系統(tǒng)的服務(wù)器和客戶終端安裝了防病毒軟件，同步更新軟件版本和病毒庫，及時更新服務(wù)器和終端操作系統(tǒng)補丁，即時查殺國內(nèi)外最新的病毒程序文件。

4 網(wǎng)絡(luò)信息安全身份認證和數(shù)據(jù)安全

4.1 身份認證

對于廣播電臺業(yè)務(wù)支撐平臺信息系統(tǒng)中網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用系統(tǒng)采用本地管理和采用安全的手段（如HTTPS、SSH、加密的遠程桌面連接等）遠程管理兩種方式進行管理；對用戶登錄網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用系統(tǒng)，使用用戶名和口令進行鑒別，口令有復(fù)雜度要求（8位以上，至少含大寫、小寫字母、數(shù)字、特殊字符等其中三種的組合），而且口令密碼定期更換；網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫、應(yīng)用軟件啟用登錄失敗處理功能，如登錄者嘗試一定次數(shù)（如5次）的登錄操作不成功，系統(tǒng)自動鎖定該終端IP的請求，一定時間后予以解除；對登錄服務(wù)器、數(shù)據(jù)庫的終端限定了接入方式、對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制，僅允許指定IP地址或IP段訪問。

4.2 數(shù)據(jù)安全

廣播電臺業(yè)務(wù)支撐平臺信息系統(tǒng)采用了加密方式實現(xiàn)用戶身份鑒別信息的存儲保密性，例如口令的加密傳輸和保存；業(yè)務(wù)應(yīng)用軟件的用戶分角色管理，全網(wǎng)中不同設(shè)備的權(quán)限配置和功能提供用戶分級管理的功能；對信息系統(tǒng)的重要業(yè)務(wù)信息進行備份，并且對重要業(yè)務(wù)信息備份數(shù)據(jù)進行恢復(fù)試驗。

5 結(jié)束語

網(wǎng)絡(luò)信息安全防護是廣電科技創(chuàng)新時代下廣播電視行業(yè)一項重要工作和新要求，隨著廣電新媒體業(yè)務(wù)、融媒體建設(shè)不斷推進，建設(shè)廣播電臺信息網(wǎng)絡(luò)安全工作需要更加全面的改進和完善，我們只有不斷健全并嚴格執(zhí)行網(wǎng)絡(luò)安全管理制度，強化網(wǎng)絡(luò)安全防護的技術(shù)手段，規(guī)范網(wǎng)絡(luò)安全測評需求和問題整改，才能切實保障廣播電視網(wǎng)絡(luò)安全工作正常性、有效性、安全性，更好地開展新聞輿論宣傳工作。