【摘要】 為推動(dòng)我國(guó)信息安全等級(jí)保護(hù)工作的開展，近十年來(lái)，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)和公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制訂了信息安全等級(jí)保護(hù)工作需要的一系列標(biāo)準(zhǔn)，形成了比較完整的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系，為開展信息安全等級(jí)保護(hù)工作奠定了基礎(chǔ)。本文主要從四方面對(duì)廣電網(wǎng)絡(luò)安全建設(shè)方案進(jìn)行了簡(jiǎn)單闡述，為下一步網(wǎng)絡(luò)安全的建設(shè)提供了參考。

【關(guān)鍵詞】 信息安全 等級(jí)保護(hù) 安全方案 安全防護(hù)

為貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，規(guī)范和指導(dǎo)全國(guó)廣電行業(yè)信息安全等級(jí)保護(hù)工作，按照公安部《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安〔2009〕1429號(hào)）要求，廣電總局科技司于2011年向發(fā)布了《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》的通知。根據(jù)通知要求，有線電視網(wǎng)絡(luò)作為廣電集團(tuán)最重要的承載網(wǎng)絡(luò)，有線電視網(wǎng)絡(luò)應(yīng)該按照三級(jí)等級(jí)保護(hù)建設(shè)。

一、安全方案建設(shè)原則

1.1先進(jìn)性原則：安全設(shè)備必須采用專用的硬件平臺(tái)和安全專業(yè)的軟件平臺(tái)保證設(shè)備本身的安全，符合業(yè)界技術(shù)的發(fā)展趨勢(shì)，既體現(xiàn)先進(jìn)性又比較成熟，并且是各個(gè)領(lǐng)域公認(rèn)的領(lǐng)先產(chǎn)品。

1.2成熟性原則：網(wǎng)絡(luò)安全是廣電信息化的基礎(chǔ)，網(wǎng)絡(luò)的穩(wěn)定性至關(guān)重要。安全設(shè)備由于部署在關(guān)鍵節(jié)點(diǎn)，成為網(wǎng)絡(luò)穩(wěn)定性的重要因素，整個(gè)設(shè)計(jì)必須考慮到高可靠性因素。

1.3 責(zé)任明確與安全最小授權(quán)原則：安全策略管理必須遵從最小授權(quán)原則，即不同安全區(qū)域內(nèi)的主機(jī)只能訪問(wèn)屬于相應(yīng)區(qū)域資源；建設(shè)方案從技術(shù)流程上設(shè)計(jì)明確的技術(shù)分界面，保證網(wǎng)絡(luò)管理運(yùn)營(yíng)中的各責(zé)任實(shí)體責(zé)權(quán)分明。

1.4 可擴(kuò)展性原則：要求網(wǎng)絡(luò)安全解決方案可以隨同網(wǎng)絡(luò)的擴(kuò)展具有靈活的可擴(kuò)展性，特別是對(duì)業(yè)務(wù)復(fù)雜性的增加具有良好的支持。

1.5 開放兼容性：符合當(dāng)前安全產(chǎn)品設(shè)計(jì)規(guī)范、技術(shù)指標(biāo)符合國(guó)際和工業(yè)標(biāo)準(zhǔn)，支持多廠家產(chǎn)品，本著有效性原則，有效的保護(hù)投資。

二、網(wǎng)絡(luò)及主機(jī)安全建設(shè)方法

2.1 威脅分析

隨著近些年廣電業(yè)務(wù)及技術(shù)的不斷發(fā)展，廣電網(wǎng)絡(luò)走向全業(yè)務(wù)運(yùn)營(yíng)是必然趨勢(shì)。業(yè)務(wù)的多樣化，讓廣電網(wǎng)絡(luò)由封閉走向開放，使得網(wǎng)絡(luò)安全問(wèn)題從小到大，越來(lái)越受到挑戰(zhàn)。而常見的威脅主要表現(xiàn)在：敏感信息篡改、廣告頁(yè)面被黑客篡改、視頻內(nèi)容被黑客篡改。

從整體上看，廣電網(wǎng)絡(luò)的安全防護(hù)分成網(wǎng)絡(luò)邊界安全防護(hù)、入侵防御、遠(yuǎn)程接入安全、業(yè)務(wù)應(yīng)用防護(hù)、Web應(yīng)用防護(hù)、統(tǒng)一安全運(yùn)維、安全事件管理等幾個(gè)層面，在互聯(lián)網(wǎng)接入，網(wǎng)絡(luò)傳輸，終端接入等方面存在如下安全威脅和挑戰(zhàn)：

1） 互聯(lián)網(wǎng)出口DDoS攻擊威脅：一旦出現(xiàn)DoS/DDoS攻擊，數(shù)據(jù)中心網(wǎng)絡(luò)出口被堵塞，內(nèi)部用戶無(wú)法通過(guò)校內(nèi)網(wǎng)絡(luò)訪問(wèn)internet，外部用戶也無(wú)法正常訪問(wèn)服務(wù)器；

2） 互聯(lián)網(wǎng)出口安全隔離：防止非法訪問(wèn)，對(duì)不同的用戶，各種服務(wù)器，管理區(qū)進(jìn)行安全隔離，只有通過(guò)授權(quán)的用戶才能正常訪問(wèn)；滿足數(shù)據(jù)中心出口增長(zhǎng)的帶寬的需要，減少鏈路選擇維護(hù)工作量；區(qū)別各種攻擊流量和正常流量，并能采取相應(yīng)的措施保護(hù)內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，保證內(nèi)部網(wǎng)絡(luò)及系統(tǒng)的正常運(yùn)行；

3） VPN移動(dòng)接入：移動(dòng)辦公，出差用戶接入提供SSL VPN接入功能，實(shí)現(xiàn)用戶安全接入；

4） NAT轉(zhuǎn)換：由于公網(wǎng)地址非常有限，廣電網(wǎng)絡(luò)出口需要采用大容量NAT設(shè)備來(lái)做NAT轉(zhuǎn)換，記錄NAT轉(zhuǎn)換，QQ/MSN等IM的上下線日志，便于后續(xù)審計(jì)；

5） 上網(wǎng)行為管理與審計(jì)：滿足相關(guān)要求，進(jìn)行URL過(guò)濾、應(yīng)用行為控制、流量管理、數(shù)據(jù)防泄漏、惡意軟件防護(hù)、互聯(lián)網(wǎng)行為記錄，提升工作效率、營(yíng)造安全辦公環(huán)境、以及滿足法規(guī)遵從；

6） 服務(wù)器入侵檢測(cè)與防護(hù)：防止對(duì)HTTP、FTP、DNS、Mail等服務(wù)器的各種攻擊，包括蠕蟲，木馬，間諜軟件，廣告軟件，僵尸網(wǎng)絡(luò)，數(shù)據(jù)庫(kù)注入攻擊，跨站腳本，緩沖區(qū)溢出，系統(tǒng)或服務(wù)漏洞攻擊，暴力破解等；

7） 網(wǎng)絡(luò)病毒防護(hù)：服務(wù)器病毒防護(hù)，防止病毒通過(guò)HTTP、SMTP、POP3、FTP等網(wǎng)絡(luò)協(xié)議進(jìn)行傳播；

8） WEB防護(hù)：解決目前所面臨的各類網(wǎng)站安全問(wèn)題，如：網(wǎng)頁(yè)防篡改，Web應(yīng)用加速，惡意編碼，網(wǎng)頁(yè)木馬，緩沖區(qū)溢出，信息泄露等；

9） 運(yùn)維審計(jì)：對(duì)數(shù)據(jù)中心核心業(yè)務(wù)系統(tǒng)、主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等各種IT資源的帳號(hào)、認(rèn)證、授權(quán)和審計(jì)的集中管理和控制，解決IT運(yùn)維管理問(wèn)題，滿足相關(guān)法規(guī)、標(biāo)準(zhǔn)要求，完善IT管理體系，實(shí)現(xiàn)IT核心資源的統(tǒng)一接入管理和運(yùn)維審計(jì)。

綜上，廣電網(wǎng)絡(luò)作為宣傳重要窗口，一旦安全性受到挑戰(zhàn)，帶來(lái)的影響將會(huì)非常惡劣。所以，廣電網(wǎng)絡(luò)對(duì)安全需求的要求更高。

2.2安全功能構(gòu)架圖

廣電網(wǎng)絡(luò)要以滿足廣電行業(yè)相關(guān)安全標(biāo)準(zhǔn)、ISO27001、等級(jí)保護(hù)二級(jí)和三級(jí)等相關(guān)行業(yè)規(guī)定、法律法規(guī)要求為前提條件，提出相應(yīng)的安全框架，從分層、縱深防御思想出發(fā)，根據(jù)層次分為物理設(shè)施安全、網(wǎng)絡(luò)安全、主機(jī)安全、虛擬化安全、應(yīng)用安全、數(shù)據(jù)保護(hù)、用戶管理、安全管理等幾個(gè)層面，用來(lái)指導(dǎo)廣電網(wǎng)絡(luò)安全解決方案的設(shè)計(jì)。

根據(jù)廣電的網(wǎng)絡(luò)特點(diǎn)及所承載的互動(dòng)電視業(yè)務(wù)，網(wǎng)上營(yíng)業(yè)廳業(yè)務(wù)、寬帶業(yè)務(wù)等需求，按照上述的安全架構(gòu)，建議對(duì)廣電網(wǎng)絡(luò)劃分不同的安全域來(lái)保障信息系統(tǒng)在網(wǎng)絡(luò)上的安全要求。這些區(qū)域按照其功能可劃分為直播系統(tǒng)區(qū)域、VOD互動(dòng)電視區(qū)、BOSS系統(tǒng)區(qū)域、網(wǎng)上營(yíng)業(yè)廳區(qū)域、互聯(lián)網(wǎng)接入?yún)^(qū)域、分前端區(qū)域和管理區(qū)等七個(gè)區(qū)域。由于不同區(qū)域承載的業(yè)務(wù)不同，因此會(huì)采用不同的安全防范措施。下面著重從直播系統(tǒng)區(qū)域、VOD互動(dòng)電視區(qū)、BOSS系統(tǒng)區(qū)域、網(wǎng)上營(yíng)業(yè)廳區(qū)域四方面進(jìn)行安全設(shè)計(jì)。

三、安全方案設(shè)計(jì)

3.1 直播系統(tǒng)區(qū)域安全設(shè)計(jì)

直播系統(tǒng)作為廣電的核心業(yè)務(wù)系統(tǒng)，直播系統(tǒng)的安全播出是全網(wǎng)安全方案設(shè)計(jì)的重點(diǎn)。

如圖所示，在EPG和中間件等服務(wù)器到匯聚交換機(jī)之間部署防火墻設(shè)備；部署第三方系統(tǒng)引流接入交換機(jī)，該交換機(jī)采用組播協(xié)議和直播的核心交換機(jī)連接；當(dāng)其他接入交換機(jī)到直播網(wǎng)絡(luò)時(shí)，采用防火墻將業(yè)務(wù)系統(tǒng)和直播網(wǎng)絡(luò)進(jìn)行隔離。

3.2 VOD區(qū)

互動(dòng)電視區(qū)域?yàn)閺V電的重要組成部分，該區(qū)主要由VOD媒體服務(wù)器、VOD信令服務(wù)器、中間件系統(tǒng)以及第三方系統(tǒng)接口等組成。

如圖所示，通過(guò)在各有業(yè)務(wù)服務(wù)器接入交換機(jī)和核心交換機(jī)之間部署防火墻，使用網(wǎng)絡(luò)層安全防護(hù)，同時(shí)部署防病毒網(wǎng)關(guān)，實(shí)現(xiàn)網(wǎng)絡(luò)病毒防護(hù)。通過(guò)部署專門的入侵防御系統(tǒng)，提供入侵防護(hù)，進(jìn)行虛擬補(bǔ)丁、Web應(yīng)用防護(hù)、惡意軟件防御、網(wǎng)絡(luò)應(yīng)用管控保護(hù)，對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)帶寬性能、服務(wù)器進(jìn)行入侵防。

3.3 BOSS系統(tǒng)區(qū)域安全設(shè)計(jì)

BOSS系統(tǒng)作為廣電綜合業(yè)務(wù)運(yùn)營(yíng)需求的支撐系統(tǒng)，為廣電完成業(yè)務(wù)轉(zhuǎn)型及拓展提供有力的支撐，幫助降低運(yùn)營(yíng)成本，提高運(yùn)營(yíng)收益；BOSS系統(tǒng)同時(shí)是一個(gè)高效的運(yùn)營(yíng)與管理平臺(tái)，將大幅度提高廣電行業(yè)的管理、運(yùn)營(yíng)、服務(wù)水平，為決策層提供強(qiáng)大的戰(zhàn)略分析和執(zhí)行工具，幫助廣電運(yùn)營(yíng)商由“粗放式經(jīng)營(yíng)”轉(zhuǎn)向“精細(xì)化管理”，BOSS系統(tǒng)的安全與否關(guān)系重大。

通過(guò)部署防病毒網(wǎng)關(guān)，進(jìn)行網(wǎng)絡(luò)病毒防護(hù)，防止病毒通過(guò)網(wǎng)絡(luò)進(jìn)行傳播。

從網(wǎng)絡(luò)層到應(yīng)用層進(jìn)行全面掃描和查殺，對(duì)各種加殼、壓縮、加密病毒，以及木馬、蠕蟲、惡意軟件等網(wǎng)絡(luò)威脅均能夠快速、準(zhǔn)確地徹底清除。

對(duì) HTTP、POP3及SMTP協(xié)議傳輸?shù)臄?shù)據(jù)進(jìn)行病毒掃描，當(dāng)用戶通過(guò)網(wǎng)頁(yè)請(qǐng)求數(shù)據(jù)下載時(shí)，如果被檢測(cè)到下載文件中包含了病毒數(shù)據(jù)，將向用戶推送病毒告警頁(yè)面；而對(duì)于郵件協(xié)議 POP3、SMTP 協(xié)議當(dāng)檢測(cè)到郵件附件里是病毒文件則支持對(duì)附件的刪除操作，同時(shí)在郵件中打上標(biāo)簽告知用戶相關(guān)信息。

通過(guò)部署專門的入侵防御系統(tǒng)，提供入侵防護(hù)，進(jìn)行虛擬補(bǔ)丁、Web應(yīng)用防護(hù)、惡意軟件防御、網(wǎng)絡(luò)應(yīng)用管控保護(hù)，對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)帶寬性能、服務(wù)器進(jìn)行入侵防護(hù)。

入侵防御系統(tǒng)通過(guò)分析系統(tǒng)的漏洞或已有攻擊事件的字段特征制定特征規(guī)則，同時(shí)對(duì)應(yīng)用層協(xié)議解析，關(guān)鍵信息提取，深度模式匹配等方法全面防范各種漏洞攻擊，針對(duì)操作系統(tǒng)的漏洞攻擊，針對(duì)數(shù)據(jù)庫(kù)服務(wù)器的溢出攻擊，針對(duì)文件服務(wù)器的漏洞攻擊或常用應(yīng)用軟件如IE瀏覽器的漏洞攻擊等。通過(guò)深入到7層的分析與檢測(cè)，實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網(wǎng)頁(yè)篡改等攻擊和惡意行為，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)性能的全面保護(hù)。

同時(shí)，營(yíng)業(yè)廳有大量的PC終端需要訪問(wèn)BOSS的服務(wù)器，而這些PC機(jī)的安全性非常差，容易受到攻擊；因此，在BOSS區(qū)域部署接入準(zhǔn)入系統(tǒng)，提供統(tǒng)一的策略引擎，在整個(gè)組織內(nèi)實(shí)施統(tǒng)一訪問(wèn)策略，實(shí)現(xiàn)基于用戶、設(shè)備類型、接入時(shí)間、接入地點(diǎn)、接入方式多維度的認(rèn)證和授權(quán)，滿足山西廣電終端接入認(rèn)證多層次、泛終端接入的需求。

3.4網(wǎng)上營(yíng)業(yè)廳區(qū)域安全設(shè)計(jì)

網(wǎng)上營(yíng)業(yè)廳鏈接互聯(lián)網(wǎng)，面臨來(lái)自互聯(lián)網(wǎng)的各種攻擊，需要進(jìn)行邊界安全防護(hù)，針對(duì)來(lái)自互聯(lián)網(wǎng)安全威脅，內(nèi)部各個(gè)區(qū)域之間訪問(wèn)控制，部署防火墻，專業(yè)的DDoS異常流量清洗系統(tǒng)，VPN安全網(wǎng)關(guān)，進(jìn)行安全隔離，訪問(wèn)控制，DDoS異常流量攻擊，同時(shí)為提供SSL VPN遠(yuǎn)程安全訪問(wèn)。

四、結(jié)束語(yǔ)

通過(guò)對(duì)幾個(gè)重要的業(yè)務(wù)系統(tǒng)安全方案的建設(shè)進(jìn)行闡述，為整個(gè)網(wǎng)絡(luò)安全建設(shè)提供了一種思路。通過(guò)各系統(tǒng)的建設(shè)，提高了整個(gè)廣電網(wǎng)絡(luò)的安全性，進(jìn)而達(dá)到等級(jí)保護(hù)的要求。

作者：崔芙云

單位：山西廣電信息網(wǎng)絡(luò)集團(tuán)有限公司 山西省太原市

電話：13934666051

通信地址：山西省太原市長(zhǎng)治路453號(hào)

郵編：030006