王素然 田 芳

1.2.內(nèi)蒙古廣播電視臺 內(nèi)蒙古 呼和浩特市 010050

引 言

隨著計算機信息網(wǎng)絡(luò)技術(shù)的發(fā)展，手機端4G、5G網(wǎng)絡(luò)帶寬的不斷增長，傳統(tǒng)以文字、圖片新聞為主的媒體門戶網(wǎng)站也發(fā)展成以高清流媒體點播、直播為主的門戶網(wǎng)站，網(wǎng)絡(luò)安全就變的尤為重要，已經(jīng)成為電視臺在信息化建設(shè)和改造中的重要組成部分。為了進(jìn)一步促進(jìn)和落實內(nèi)蒙古廣播電視臺信息安全等級保護(hù)工作，內(nèi)蒙古廣播電視臺以國家信息安全等級保護(hù)相關(guān)管理規(guī)定為指導(dǎo)，將內(nèi)蒙古廣播電視臺騰格里網(wǎng)（以下簡稱騰格里網(wǎng)）定為等級保護(hù)三級，結(jié)合實際業(yè)務(wù)系統(tǒng)，在對騰格里網(wǎng)進(jìn)行充分調(diào)研及詳細(xì)分析的基礎(chǔ)上開展了信息系統(tǒng)安全等級測評及安全設(shè)備整改工作。本文論述了騰格里網(wǎng)網(wǎng)絡(luò)安全等級保護(hù)建設(shè)的整改與實現(xiàn)。

1 騰格里網(wǎng)架構(gòu)簡介

騰格里網(wǎng)由融合平臺及多個子應(yīng)用系統(tǒng)組成，整改前網(wǎng)絡(luò)拓?fù)鋱D如圖1所示，核心交換S7506用于各子應(yīng)用系統(tǒng)之間的互聯(lián)互通，支持各業(yè)務(wù)子系統(tǒng)的接入，各子系統(tǒng)匯聚交換機與核心交換機互聯(lián)。

本次騰格里網(wǎng)等級保護(hù)三級安全建設(shè)主要包含網(wǎng)絡(luò)邊界安全防護(hù)、網(wǎng)絡(luò)安全數(shù)據(jù)防護(hù)、系統(tǒng)安全防護(hù)和網(wǎng)絡(luò)應(yīng)用安全數(shù)據(jù)防護(hù)等。網(wǎng)絡(luò)邊界安全防護(hù)重點關(guān)注網(wǎng)絡(luò)數(shù)據(jù)流如何有效通過檢測安全控制用戶進(jìn)出邊界，對流經(jīng)或進(jìn)入邊界的信息數(shù)據(jù)內(nèi)容進(jìn)行過濾，有效安全控制措施主要包括：用戶網(wǎng)絡(luò)安全訪問、入侵安全保護(hù)及遠(yuǎn)程控制用戶網(wǎng)絡(luò)訪問使用權(quán)限等。

2 騰格里網(wǎng)安全防護(hù)總體設(shè)計

騰格里網(wǎng)網(wǎng)絡(luò)安全的總體設(shè)計結(jié)合了目前騰格里網(wǎng)的實際情況，從安全運行環(huán)境、區(qū)域邊界、安全數(shù)據(jù)網(wǎng)絡(luò)和安全管理中心四個方面，構(gòu)建一套安全設(shè)計方案，將現(xiàn)有的網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)系統(tǒng)緊密結(jié)合起來，盡量不改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，在不影響業(yè)務(wù)的情況下，滿足等級保護(hù)相關(guān)要求。

圖1 騰格里網(wǎng)整改前網(wǎng)絡(luò)拓?fù)鋱D

2.1 設(shè)計思路與原則

根據(jù)內(nèi)蒙古廣播電視臺的實際需求和國家等級保護(hù)相關(guān)法規(guī)的要求，從技術(shù)先進(jìn)、高效管理、操作維護(hù)方便，以及充分體現(xiàn)標(biāo)準(zhǔn)化、規(guī)范化等方面對工程總體建設(shè)和實施進(jìn)行了初步設(shè)計，從多個環(huán)節(jié)上進(jìn)行安全防控。采用國內(nèi)安全產(chǎn)品制造商先進(jìn)且實用的安全技術(shù)和安全產(chǎn)品，不僅可以確?，F(xiàn)有系統(tǒng)的安全性和可靠性，還可以在5年內(nèi)滿足系統(tǒng)升級、維護(hù)和擴展的需要。

安全建設(shè)是本次等級保護(hù)項目的重點建設(shè)內(nèi)容之一，應(yīng)嚴(yán)格遵循等級保護(hù)以及相關(guān)政策、標(biāo)準(zhǔn)和規(guī)范的要求，使騰格里網(wǎng)能夠在多角度、多層面上獲得強有力且全方位的安全保障，如網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)信息。

項目在初步設(shè)計過程中應(yīng)充分考慮現(xiàn)有資源，有效利用舊設(shè)備，提高系統(tǒng)建設(shè)的成本效益和投資效益，避免浪費。

2.2 信息安全保障體系設(shè)計

信息安全等級保護(hù)是本次騰格里網(wǎng)整改設(shè)計的核心指導(dǎo)思想，整改方案的技術(shù)及管理設(shè)計都是圍繞并符合等級保護(hù)設(shè)計思想和要求展開的，構(gòu)建了一個集防護(hù)、檢測、響應(yīng)、恢復(fù)于一體的綜合安全系統(tǒng)。全面貫徹落實等級保護(hù)制度，在內(nèi)蒙古廣播電視臺建立信息安全保障體系，從安全管理體系、安全技術(shù)體系、安全運行與監(jiān)控體系三個方面構(gòu)建綜合安全體系。其中，安全管理體系包括成立安全組織機構(gòu)，編訂安全策略、管理制度、管理范圍、管理流程等。安全技術(shù)體系主要從通信網(wǎng)絡(luò)、區(qū)域邊界、環(huán)境安全等方面有效保證信息安全。

圖2 內(nèi)蒙古廣播電視臺信息安全保障體系圖

圖3 安全技術(shù)體系圖

2.3 信息安全技術(shù)體系設(shè)計

信息安全技術(shù)體系結(jié)構(gòu)設(shè)計的基本內(nèi)容主要是一個中心、三重防護(hù)，即安全管理中心、安全網(wǎng)絡(luò)計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)。網(wǎng)絡(luò)層面要注意邊界的訪問控制、安全審計、各項協(xié)議過濾等；應(yīng)用和數(shù)據(jù)層面要注意入侵動作的實時監(jiān)測與阻斷，結(jié)合網(wǎng)頁防篡改等手段盡可能保護(hù)重要數(shù)據(jù)信息。

（1）安全管理中心：構(gòu)建先進(jìn)且高效的安全管理中心，實現(xiàn)針對系統(tǒng)安全、安全管理、審計安全、操作流程等方面的統(tǒng)一管理；

（2）環(huán)境安全：為騰格里網(wǎng)創(chuàng)建一個可靠、安全的計算環(huán)境。從系統(tǒng)應(yīng)用級別的協(xié)議過濾、端口控制、身份識別、終端防護(hù)、程序運行保護(hù)、系統(tǒng)安全檢查、數(shù)據(jù)機密和完整保護(hù)等方面，通過訪問控制設(shè)備（防火墻、WAF的訪問控制列表）全面提高騰格里網(wǎng)系統(tǒng)和應(yīng)用的級別安全；

（3）邊界安全：加強對網(wǎng)絡(luò)邊界的訪問控制，及時阻斷未授權(quán)的內(nèi)部計算機私自非法外聯(lián)行為，配置Web應(yīng)用防火墻以防范網(wǎng)絡(luò)邊界處的惡意代碼、SQL注入及跨站腳本等攻擊，進(jìn)行網(wǎng)絡(luò)邊界行為檢查，保護(hù)互聯(lián)網(wǎng)邊界的完整性，提高網(wǎng)絡(luò)邊界的可控制性；

（4）通信網(wǎng)絡(luò)安全：確保網(wǎng)絡(luò)間數(shù)據(jù)的安全傳輸、網(wǎng)絡(luò)行為的安全審計，以保障網(wǎng)絡(luò)通信安全。

2.4 邊界訪問控制與安全審計

網(wǎng)絡(luò)邊界通常是整個系統(tǒng)最容易受到攻擊的地方，許多來自外界的攻擊通過邊界的薄弱環(huán)節(jié)攻擊到網(wǎng)絡(luò)內(nèi)部。系統(tǒng)中的每個子應(yīng)用邊界也同樣需要進(jìn)行安全防御，以確保各子應(yīng)用的信息安全。因此，網(wǎng)絡(luò)和子應(yīng)用在邊界設(shè)計中需要重點考慮安全防御。

邊界安全防御目標(biāo)旨在防止邊界內(nèi)部的外來攻擊，同時還要防止內(nèi)部人員使用未經(jīng)授權(quán)的設(shè)備私自外聯(lián)，從邊界內(nèi)對外進(jìn)行攻擊，或者通過開放界面、隱匿信道進(jìn)入內(nèi)部網(wǎng)絡(luò)。由于內(nèi)部人員對內(nèi)蒙古廣播電視臺網(wǎng)絡(luò)結(jié)構(gòu)較為了解，因此，更應(yīng)嚴(yán)格約束內(nèi)部人員的上網(wǎng)行為。安全事件發(fā)生以后，可以通過分析日記、檢測設(shè)備查找攻擊意圖，進(jìn)行記錄、報警，還可以提供日志入侵記錄，進(jìn)行審計跟蹤。

內(nèi)網(wǎng)邊界主要通過部署防火墻、入侵防御系統(tǒng)、抗DDOS防護(hù)系統(tǒng)、漏洞檢測系統(tǒng)、防篡改系統(tǒng)、病毒防護(hù)網(wǎng)關(guān)等，搭配合理的安全策略以達(dá)到防護(hù)目的。

圖4 騰格里網(wǎng)整改后網(wǎng)絡(luò)拓?fù)鋱D

在選擇安全設(shè)備時，除了要考慮到產(chǎn)品本身的功能、性能等因素外，還要考慮系統(tǒng)異構(gòu)、可管理性等因素。異構(gòu)能提高系統(tǒng)整體抗攻擊能力，防止同一家廠商的產(chǎn)品存在的共性缺點，產(chǎn)生系統(tǒng)整體安全上的漏洞。

騰格里門戶網(wǎng)站審計范圍包含所有服務(wù)器、交換機、操作系統(tǒng)和數(shù)據(jù)庫；審計內(nèi)容為系統(tǒng)中重要的用戶行為、系統(tǒng)資源異常以及重要系統(tǒng)命令的使用等；審計記錄包含事件發(fā)生的日期、類型、主體標(biāo)志和結(jié)果等。

3 騰格里網(wǎng)網(wǎng)絡(luò)安全等級保護(hù)整改

3.1 安全設(shè)備整改項目分析

內(nèi)蒙古廣播電視臺在按照等級保護(hù)基本要求對騰格里網(wǎng)進(jìn)行充分調(diào)研及詳細(xì)分析的基礎(chǔ)上，決定對騰格里網(wǎng)網(wǎng)絡(luò)安全進(jìn)行整改，然后進(jìn)行測評。整體調(diào)研后發(fā)現(xiàn)缺少部分安全設(shè)備，主要為邊界安全設(shè)備、審計類設(shè)備與網(wǎng)頁防篡改系統(tǒng)。

3.2 整改后網(wǎng)絡(luò)架構(gòu)

按照等級保護(hù)基本要求整改后網(wǎng)絡(luò)拓?fù)鋱D如圖4所示。

在兩個出口與防火墻之間加裝一臺抗DDOS防護(hù)系統(tǒng)，可以及時對拒絕服務(wù)攻擊進(jìn)行防護(hù)處理。在防火墻與核心交換機之間增加一臺入侵防護(hù)系統(tǒng)，可以監(jiān)視各類攻擊行為，在發(fā)生嚴(yán)重入侵事件時進(jìn)行報警。為滿足等級測評要求，分別在旁路部署了運維審計平臺、網(wǎng)絡(luò)安全審計系統(tǒng)和數(shù)據(jù)庫審計系統(tǒng)。在兩臺防火墻與核心交換機之間增加了Web應(yīng)用防火墻（WAF）。在騰格里網(wǎng)頁面發(fā)布服務(wù)器上部署了一套網(wǎng)頁防篡改系統(tǒng)，可以保護(hù)網(wǎng)站系統(tǒng)，防止SQL注入、跨站腳本等攻擊手段。

4 結(jié) 語

信息安全等級保護(hù)建設(shè)是國家對信息系統(tǒng)的強制性要求，經(jīng)過近一年的探索研究，按照《信息系統(tǒng)安全等級保護(hù)基本要求》規(guī)定和整體安全建設(shè)思想，內(nèi)蒙古廣播電視臺采取了必要的安全技術(shù)措施，以滿足等級保護(hù)三級基本要求，整個架構(gòu)主要包括一個中心、三重防護(hù)，構(gòu)建集防護(hù)、檢測、響應(yīng)、恢復(fù)于一體的系統(tǒng)全面的安全保障體系，以業(yè)務(wù)應(yīng)用為重點、安全管理為支撐。通過上述網(wǎng)絡(luò)安全建設(shè)，騰格里網(wǎng)基本具備層層設(shè)防、重點突出、策略聯(lián)動、管理為上的優(yōu)勢，順利通過了信息系統(tǒng)等級保護(hù)三級測評，取得了測評證書。