◆趙利廣

電臺(tái)業(yè)務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)安全體系構(gòu)建

◆趙利廣

（國(guó)家廣播電視總局九五一臺(tái) 河北 050407）

電臺(tái)業(yè)務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)安全是保障電臺(tái)安全播出的重要一環(huán)。本文就電臺(tái)業(yè)務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)安全體系的構(gòu)建在網(wǎng)絡(luò)安全、終端安全、完全管理三個(gè)方面進(jìn)行了詳細(xì)的闡述。電臺(tái)業(yè)務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)安全體系的構(gòu)建有效保障了電臺(tái)網(wǎng)絡(luò)安全和播出安全。

電臺(tái)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全體系

電臺(tái)業(yè)務(wù)內(nèi)網(wǎng)承載著我臺(tái)安全播出業(yè)務(wù)及事業(yè)管理，隨著信息化水平的不斷發(fā)展，我臺(tái)在安全播出設(shè)備系統(tǒng)自動(dòng)化運(yùn)用、無(wú)紙化辦公等方面對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的應(yīng)用也達(dá)到很高的程度，電臺(tái)網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，結(jié)構(gòu)日趨復(fù)雜。

網(wǎng)絡(luò)安全與否直接關(guān)系到安全播出和事業(yè)管理能否正常進(jìn)行，為加強(qiáng)電臺(tái)安全播出系統(tǒng)和辦公系統(tǒng)的安全運(yùn)行及防護(hù)，避免電臺(tái)安全播出系統(tǒng)和辦公系統(tǒng)遭受到病毒、木馬、惡意攻擊等網(wǎng)絡(luò)安全威脅，防止網(wǎng)絡(luò)安全事件（系統(tǒng)中斷、數(shù)據(jù)丟失、信息泄密）的發(fā)生，根據(jù)我臺(tái)實(shí)際情況逐漸形成了現(xiàn)有的適合我臺(tái)工作特色的網(wǎng)絡(luò)安全體系。

1 簡(jiǎn)介

電臺(tái)業(yè)務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)安全體系構(gòu)建包括網(wǎng)絡(luò)安全、終端安全、安全管理。網(wǎng)絡(luò)安全是網(wǎng)絡(luò)安全體系構(gòu)建的根基，通過(guò)技術(shù)手段來(lái)構(gòu)建基礎(chǔ)網(wǎng)絡(luò)，使網(wǎng)絡(luò)穩(wěn)定可靠運(yùn)行。終端安全是網(wǎng)絡(luò)安全體系構(gòu)建的重點(diǎn)，通過(guò)采用一些網(wǎng)絡(luò)安全措施比如：準(zhǔn)入控制、安全管理來(lái)保證終端的安全運(yùn)行。安全管理指建立完善的安全管理體系，包括組織機(jī)構(gòu)的建設(shè)、管理制度的制定等。

2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全，是指通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

在網(wǎng)絡(luò)的安全方面，主要考慮兩個(gè)大的層次，一是整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)的安全，主要是優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，二是整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。

2.1 網(wǎng)絡(luò)結(jié)構(gòu)

網(wǎng)絡(luò)結(jié)構(gòu)的安全是安全系統(tǒng)成功建立的基礎(chǔ)，在考慮電臺(tái)環(huán)境、設(shè)備配置、業(yè)務(wù)定位、網(wǎng)絡(luò)應(yīng)用、通信量估算及維護(hù)管理等因素下，基于安全播出和日常辦公，不斷優(yōu)化形成如圖1的網(wǎng)絡(luò)體系結(jié)構(gòu)。

（1）網(wǎng)絡(luò)劃分

我臺(tái)業(yè)務(wù)內(nèi)網(wǎng)是通過(guò)租用運(yùn)營(yíng)商專(zhuān)線(xiàn)與局端局域網(wǎng)進(jìn)行通信的局域網(wǎng)，局臺(tái)兩級(jí)通過(guò)部署防火墻進(jìn)行安全防護(hù)。根據(jù)業(yè)務(wù)需求在主網(wǎng)絡(luò)部署防火墻分出兩個(gè)子網(wǎng)絡(luò)，組成三個(gè)網(wǎng)絡(luò)分別為辦公網(wǎng)、技術(shù)網(wǎng)和財(cái)務(wù)網(wǎng)。

（2）數(shù)據(jù)加密傳輸

由于局臺(tái)兩級(jí)數(shù)據(jù)通信是租用的運(yùn)營(yíng)商的專(zhuān)線(xiàn)，安全播出和事業(yè)管理業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中存在被竊取、篡改等風(fēng)險(xiǎn)。為保證數(shù)據(jù)在傳輸中的安全性和保密性，遂在局臺(tái)兩級(jí)安裝具有IPSec VPN功能的防火墻實(shí)現(xiàn)數(shù)據(jù)的加密傳輸。

（3）冗余設(shè)計(jì)

主干網(wǎng)絡(luò)采用冗余設(shè)計(jì)，杜絕單點(diǎn)故障，縮短網(wǎng)絡(luò)恢復(fù)時(shí)間，提高鏈路可靠性，確保業(yè)務(wù)連續(xù)。

在鏈路冗余方面，非機(jī)密通道和加密通道互為備份，以加密隧道為主鏈路，一旦主鏈路設(shè)備發(fā)生故障，可以自動(dòng)切換回非加密鏈路，確保業(yè)務(wù)連續(xù)性。

在設(shè)備冗余方面，采用主干網(wǎng)絡(luò)設(shè)備通過(guò)冷備方式實(shí)現(xiàn)冗余。

圖1 網(wǎng)絡(luò)體系結(jié)構(gòu)圖

2.2 網(wǎng)絡(luò)系統(tǒng)

（1）訪(fǎng)問(wèn)控制

部署在辦公網(wǎng)、技術(shù)網(wǎng)和財(cái)務(wù)網(wǎng)中的防火墻成為網(wǎng)絡(luò)間信息的唯一出入口，且其本身具有較強(qiáng)的抗攻擊能力。在防火墻根據(jù)業(yè)務(wù)需求和安全政策，制定安全策略來(lái)控制（允許、拒絕、監(jiān)控）網(wǎng)絡(luò)內(nèi)外的信息流。例如：在技術(shù)網(wǎng)和財(cái)務(wù)網(wǎng)防火墻配置安全策略，使辦公網(wǎng)及局局域網(wǎng)內(nèi)指定IP才可以訪(fǎng)問(wèn)這兩個(gè)網(wǎng)絡(luò)。同時(shí)在防火墻核心交換機(jī)配置安全策略關(guān)閉139、445等風(fēng)險(xiǎn)端口?！?/p>

（2）安全防護(hù)

部署在辦公網(wǎng)、技術(shù)網(wǎng)和財(cái)務(wù)網(wǎng)的防火墻，集病毒防護(hù)和入侵防御于一體，對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，全面抵御漏洞入侵、病毒、惡意代碼、木馬程序、間諜軟件、惡意網(wǎng)址等網(wǎng)絡(luò)威脅，以避免在目標(biāo)計(jì)算機(jī)上執(zhí)行。

（3）監(jiān)控審計(jì)

如果網(wǎng)絡(luò)中所有的訪(fǎng)問(wèn)都通過(guò)防火墻，防火墻就可以記錄這些訪(fǎng)問(wèn)，并對(duì)這些訪(fǎng)問(wèn)進(jìn)行安全審計(jì)。

根據(jù)我臺(tái)業(yè)務(wù)內(nèi)網(wǎng)的架構(gòu)配置，局局域網(wǎng)、辦公網(wǎng)、技術(shù)網(wǎng)和財(cái)務(wù)網(wǎng)相互之間的通信流量和財(cái)務(wù)網(wǎng)內(nèi)部通信流量都受到防火墻的安全監(jiān)控，但辦公網(wǎng)和技術(shù)網(wǎng)兩個(gè)子網(wǎng)內(nèi)部通信流量因沒(méi)有經(jīng)過(guò)防火墻所以受不到防火墻的安全監(jiān)控。鑒于以上原因，為保證臺(tái)業(yè)務(wù)內(nèi)網(wǎng)內(nèi)所有通信流量的安全性，在辦公網(wǎng)和技術(shù)網(wǎng)兩個(gè)子網(wǎng)的核心交換機(jī)做端口鏡像，利用防火墻的旁路監(jiān)測(cè)功能進(jìn)行安全監(jiān)測(cè)。

通過(guò)以上配置，進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都已經(jīng)通過(guò)防火墻，防火墻就可以記錄這些訪(fǎng)問(wèn)并作出日志記錄，同時(shí)提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)信息。當(dāng)可疑行為發(fā)生時(shí)，防火墻可以發(fā)出適當(dāng)?shù)木瘓?bào)，并提供有關(guān)網(wǎng)絡(luò)是否受到攻擊的詳細(xì)信息。

（4）設(shè)備防護(hù)

在核心交換機(jī)做acl配置，限定具有權(quán)限的IP可以訪(fǎng)問(wèn)控制網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)設(shè)備配置登錄失敗處理功能，采取結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)、當(dāng)前登錄連接超時(shí)自動(dòng)退出等措施。定期更改網(wǎng)絡(luò)設(shè)備的登錄密碼。部署IT運(yùn)維管理系統(tǒng)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備的運(yùn)行情況。

（5）入網(wǎng)管控

部署終端接入準(zhǔn)入控制系統(tǒng)，有效管理終端的接入行為，對(duì)申請(qǐng)入網(wǎng)終端的用戶(hù)身份進(jìn)行驗(yàn)證和入網(wǎng)安全性檢查，判斷是否允許訪(fǎng)問(wèn)網(wǎng)絡(luò)以及獲得相應(yīng)的訪(fǎng)問(wèn)權(quán)限。保障終端入網(wǎng)的安全可信，使業(yè)務(wù)內(nèi)網(wǎng)接入變得安全、透明、可控，防止網(wǎng)絡(luò)被外部設(shè)備隨意介入，造成外部病毒入侵，避免網(wǎng)絡(luò)資源受到非法終端接入所引起的安全威脅。同時(shí)對(duì)布置在開(kāi)放區(qū)域的交換機(jī)做端口管控，閑置端口采用shutdown命令關(guān)閉端口。

3 終端安全

終端安全是網(wǎng)絡(luò)安全防護(hù)的重點(diǎn)，有權(quán)威機(jī)構(gòu)的調(diào)查表明90%以上的網(wǎng)絡(luò)安全問(wèn)題來(lái)自終端。加之業(yè)務(wù)內(nèi)網(wǎng)是運(yùn)行于局廣域網(wǎng)的局域網(wǎng)，與互聯(lián)網(wǎng)是完全隔離的。故業(yè)務(wù)內(nèi)網(wǎng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要來(lái)源于終端，對(duì)終端進(jìn)行安全管控是保障網(wǎng)絡(luò)安全的重要手段。

部署終端安全管理系統(tǒng)，在終端接入準(zhǔn)入控制系統(tǒng)設(shè)置安全策略，終端必須安裝終端安全管理系統(tǒng)客戶(hù)端才能經(jīng)過(guò)入網(wǎng)安全檢查接入網(wǎng)絡(luò)。終端安全管理系統(tǒng)對(duì)入網(wǎng)的終端進(jìn)行防病毒、漏洞修復(fù)、安全管控、審計(jì)、外設(shè)管控，實(shí)現(xiàn)終端安全立體防護(hù)。

終端運(yùn)行在局域網(wǎng)內(nèi)，終端安全風(fēng)險(xiǎn)就主要來(lái)源于移動(dòng)存儲(chǔ)介質(zhì)，移動(dòng)存儲(chǔ)介質(zhì)就成為終端安全防護(hù)的重點(diǎn)。在技術(shù)手段上，通過(guò)終端安全管理系統(tǒng)給予不同的移動(dòng)存儲(chǔ)介質(zhì)相應(yīng)的授權(quán)范圍和讀寫(xiě)權(quán)限，同時(shí)對(duì)設(shè)備狀態(tài)追蹤管理，實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備的靈活管控，確保終端與移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行數(shù)據(jù)交換和共享過(guò)程中的信息安全。

4 安全管理

管理是網(wǎng)絡(luò)安全中重要的組成部分。建立完善的安全管理體系是保障網(wǎng)絡(luò)安全的重要手段。成立電臺(tái)網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組并下設(shè)辦公室，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，明確各級(jí)網(wǎng)絡(luò)安全負(fù)責(zé)人責(zé)任，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任。

制定《XX臺(tái)網(wǎng)絡(luò)安全信息通報(bào)工作規(guī)范》規(guī)范網(wǎng)絡(luò)安全信息通報(bào)工作，健全網(wǎng)絡(luò)安全信息通報(bào)機(jī)制，促進(jìn)網(wǎng)絡(luò)安全信息共享，提高網(wǎng)絡(luò)預(yù)警、防范和應(yīng)急水平。

制定《XX臺(tái)網(wǎng)絡(luò)安全管理辦法》加強(qiáng)電臺(tái)網(wǎng)絡(luò)安全監(jiān)督與管理，落實(shí)網(wǎng)絡(luò)安全責(zé)任，提高網(wǎng)絡(luò)安全防護(hù)能力。定期對(duì)全體人員進(jìn)行網(wǎng)絡(luò)安全教育，每年簽訂網(wǎng)絡(luò)安全責(zé)任書(shū)，增強(qiáng)職工網(wǎng)絡(luò)安全意識(shí)。對(duì)網(wǎng)絡(luò)安全技術(shù)人員進(jìn)行網(wǎng)絡(luò)安全專(zhuān)業(yè)知識(shí)和技能培訓(xùn)，定期考核，考核合格后方可上崗。

制定《XX臺(tái)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，完善無(wú)線(xiàn)網(wǎng)絡(luò)安全應(yīng)急工作機(jī)制，提高網(wǎng)絡(luò)安全事件處置能力，防范和減少網(wǎng)絡(luò)安全事件造成的損害和危害，保障電臺(tái)網(wǎng)絡(luò)安全和播出安全。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全已經(jīng)成為電臺(tái)安全播出中的一項(xiàng)重要工作。電臺(tái)業(yè)務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)安全體系的建設(shè)有效保障了安全播出和網(wǎng)絡(luò)安全。