廖 蕓（廣西廣播電視技術(shù)中心）

?

廣西整省（區(qū)）廣播電視無線發(fā)射臺(tái)站運(yùn)行支撐管理系統(tǒng)信息安全規(guī)劃與實(shí)現(xiàn)

廖 蕓
（廣西廣播電視技術(shù)中心）

［摘 要］結(jié)合實(shí)例，討論廣西整?。▍^(qū)）廣播電視無線發(fā)射臺(tái)站運(yùn)行支撐管理系統(tǒng)信息安全規(guī)劃的主要組成部分和實(shí)現(xiàn)功能，通過技術(shù)手段和管理手段，保障廣播電視遠(yuǎn)程監(jiān)控系統(tǒng)的信息安全。

［關(guān)鍵詞］廣播電視；遠(yuǎn)程監(jiān)控；信息安全

1　引言

廣西整?。▍^(qū)）廣播電視無線發(fā)射臺(tái)站運(yùn)行支撐管理系統(tǒng)（以下簡(jiǎn)稱遠(yuǎn)程監(jiān)控系統(tǒng)）承擔(dān)著全區(qū)300多個(gè)無線發(fā)射臺(tái)站的發(fā)射設(shè)備和播出情況以及周邊環(huán)境的實(shí)時(shí)監(jiān)控、告警管理、資產(chǎn)管理、工單維護(hù)等安全播出管理工作。隨著廣播電視事業(yè)的不斷發(fā)展壯大，廣播電視無線覆蓋率逐年提升，日后將承擔(dān)更多無線臺(tái)站的安全播出管理工作。該系統(tǒng)的業(yè)務(wù)信息覆蓋全區(qū)，社會(huì)影響力大，系統(tǒng)正常運(yùn)行與否，直接關(guān)系到廣播電視安全播出這一生命線。若系統(tǒng)遭受非法入侵或破壞，可能直接造成安全播出事故，對(duì)社會(huì)秩序和公共利益造成不良影響。

2　信息安全規(guī)劃與實(shí)現(xiàn)

按照GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中第三級(jí)的基本要求，我們將遠(yuǎn)程監(jiān)控系統(tǒng)劃分為內(nèi)網(wǎng)和外網(wǎng)兩大部分，內(nèi)外網(wǎng)之間通過網(wǎng)閘進(jìn)行隔離，每一部分再按照具體業(yè)務(wù)細(xì)分為多個(gè)安全區(qū)域，采取不同的防護(hù)手段，結(jié)合物理安全防護(hù)和統(tǒng)一安全管理，整個(gè)系統(tǒng)的信息安全防護(hù)體系如圖1所示。

圖2　網(wǎng)站防護(hù)部署示意圖

圖1　系統(tǒng)信息安全防護(hù)體系示意圖

2.1物理防護(hù)

遠(yuǎn)程監(jiān)控系統(tǒng)所在機(jī)房，除了防盜、防靜電、防水、防潮、溫濕度控制、電力保障等防破壞基本保護(hù)措施之外，我們重點(diǎn)加固了防雷、自動(dòng)消防和視頻監(jiān)控建設(shè)。建筑物、機(jī)房?jī)?nèi)的電源線、信號(hào)線、電子設(shè)備等均采取了必要的防雷措施。機(jī)房?jī)?nèi)部采用防火材料裝修，設(shè)置感煙、感溫兩路報(bào)警，并配備了七氟丙烷氣體自動(dòng)消防系統(tǒng)。機(jī)房出入口和內(nèi)部均安裝有紅外攝像機(jī)，做到對(duì)機(jī)房整體環(huán)境實(shí)時(shí)監(jiān)控。

2.2外網(wǎng)防護(hù)

遠(yuǎn)程監(jiān)控系統(tǒng)的業(yè)務(wù)網(wǎng)站，面向單位職工提供發(fā)射臺(tái)站實(shí)時(shí)狀態(tài)監(jiān)控服務(wù)。部分臺(tái)站通過VPN采集的數(shù)據(jù)也由此回傳。我們按照網(wǎng)站漏洞檢測(cè)結(jié)果，從網(wǎng)站代碼源頭入手，逐一修復(fù)漏洞，增強(qiáng)代碼的健壯性和安全性?；ヂ?lián)網(wǎng)接口處更換了性能更好的防火墻，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行路由控制和狀態(tài)檢測(cè)。同時(shí)，增加部署Web應(yīng)用防火墻和網(wǎng)站防篡改系統(tǒng)用以防御針對(duì)網(wǎng)站進(jìn)行的攻擊。網(wǎng)站防護(hù)部署如圖2所示。

網(wǎng)站區(qū)域中的Web服務(wù)器對(duì)外提供業(yè)務(wù)服務(wù)，其上安裝有監(jiān)控代理，用于監(jiān)控Web目錄文件，阻斷非法篡改，實(shí)時(shí)恢復(fù)正常文件。同時(shí)，應(yīng)用防護(hù)系統(tǒng)監(jiān)測(cè)并阻斷針對(duì)應(yīng)用層進(jìn)行的諸如XSS、SQL注入、遠(yuǎn)程命令執(zhí)行等各類攻擊。管理區(qū)域中的同步代理將備份更新后的目錄文件實(shí)時(shí)同步到Web服務(wù)器，并實(shí)時(shí)響應(yīng)監(jiān)控代理的告警，將被篡改的文件恢復(fù)正常。監(jiān)控中心則實(shí)時(shí)接收來自監(jiān)控代理和同步代理的告警信息，并將操作指令傳送至代理端執(zhí)行。

2.3內(nèi)網(wǎng)防護(hù)

遠(yuǎn)程監(jiān)控系統(tǒng)的內(nèi)網(wǎng)承載著全區(qū)廣

播電視無線臺(tái)站遠(yuǎn)程監(jiān)控智能管理核心業(yè)務(wù)。內(nèi)網(wǎng)與外網(wǎng)之間增加部署網(wǎng)閘進(jìn)行相互隔離。內(nèi)網(wǎng)中，我們重點(diǎn)部署了終端安全管理系統(tǒng)和入侵防御系統(tǒng)。

2.3.1終端安全管理系統(tǒng)

終端安全管理系統(tǒng)部署如圖3所示。我們對(duì)每臺(tái)請(qǐng)求接入遠(yuǎn)程監(jiān)控系統(tǒng)的終端采用USBkey令牌認(rèn)證，用戶首次訪問時(shí)，強(qiáng)制用戶到指定站點(diǎn)進(jìn)行認(rèn)證。不合法用戶將強(qiáng)制退出，禁止訪問。對(duì)于合法用戶將按照制定的安全策略進(jìn)行用戶主機(jī)和行為的安全評(píng)估，包括對(duì)主機(jī)登錄密碼設(shè)置、系統(tǒng)補(bǔ)丁安裝、防病毒軟件安裝、病毒庫(kù)升級(jí)、是否非法外聯(lián)、私自使用移動(dòng)存儲(chǔ)介質(zhì)等情況進(jìn)行安全性檢查。檢測(cè)不合格的用戶將進(jìn)入隔離區(qū)修改配置、規(guī)范行為，直至符合安全策略的要求。只有符合安全策略的用戶方可允許進(jìn)入系統(tǒng)，按照用戶角色進(jìn)行權(quán)限分配，只允許進(jìn)行權(quán)限范圍內(nèi)的操作，對(duì)系統(tǒng)進(jìn)行受控訪問。

終端安全管理客戶端具有自我保護(hù)機(jī)制，能夠防止用戶隨意停止或卸載?？蛻舳撕头?wù)器相互通信采取雙向認(rèn)證機(jī)制，能夠防止同類或假冒客戶端非法進(jìn)入網(wǎng)絡(luò)。同時(shí)，依靠統(tǒng)一管理中心對(duì)所有終端進(jìn)行整體管理，包括終端資產(chǎn)、準(zhǔn)入控制、策略管理、文檔加密、接口聯(lián)動(dòng)、行為審計(jì)、報(bào)表分析等多樣化功能，形成對(duì)終端的事前規(guī)劃、事中監(jiān)控和事后分析統(tǒng)計(jì)的立體化管理，有效保障整個(gè)遠(yuǎn)程監(jiān)控系統(tǒng)的終端接入安全。

2.3.2入侵防御系統(tǒng)

在內(nèi)網(wǎng)的核心節(jié)點(diǎn)處，部署入侵防御系統(tǒng)，導(dǎo)入豐富的異常行為特征庫(kù)，并定期更新特征庫(kù)。對(duì)于流經(jīng)內(nèi)部網(wǎng)絡(luò)的多種報(bào)文，采用基于指紋特征的檢測(cè)技術(shù)，首先根據(jù)報(bào)文的源地址、目的地址、端口、關(guān)鍵信息進(jìn)行分類，智能識(shí)別出協(xié)議類型、流量統(tǒng)計(jì)等信息，配合高效匹配算法將報(bào)文和攻擊行為特征庫(kù)、病毒特征庫(kù)進(jìn)行高速精確匹配，阻斷符合特征值的報(bào)文，與之相關(guān)的信息將自動(dòng)更新，指示系統(tǒng)刪除關(guān)于該報(bào)文的所有數(shù)據(jù)信息。采用大規(guī)模并發(fā)過濾處理機(jī)制，不會(huì)因處理報(bào)文而對(duì)網(wǎng)絡(luò)數(shù)據(jù)率造成影響，過濾后剩下正常的報(bào)文方可進(jìn)入網(wǎng)絡(luò)。通過查看事件記錄，可追溯異常源頭，分析詳細(xì)情況，調(diào)整防護(hù)設(shè)置。

圖3　終端安全管理系統(tǒng)部署示意圖

2.4安全管理

為了方便管理遠(yuǎn)程監(jiān)控系統(tǒng)包含的眾多設(shè)備，我們整合了一套安全管理系統(tǒng)。依靠一個(gè)安全管理平臺(tái)，即可管理系統(tǒng)中所有的設(shè)備資產(chǎn)、策略配置、用戶權(quán)限等內(nèi)容，通過匯總所有設(shè)備上報(bào)的實(shí)時(shí)狀態(tài)和審計(jì)日志，并進(jìn)行分析和統(tǒng)計(jì)，讓系統(tǒng)整體運(yùn)行情況一目了然。平臺(tái)對(duì)所有監(jiān)控指標(biāo)產(chǎn)生的告警進(jìn)行集中的響應(yīng)，支持聲、光、電等多種告警方式，并能夠通過手機(jī)短信、電子郵件等發(fā)出告警。同時(shí)，還制定了例如人員管理制度、資產(chǎn)管理制度、運(yùn)維管理制度等一系列安全管理制度，以及安全事件處置和應(yīng)急響應(yīng)預(yù)案。平時(shí)嚴(yán)格規(guī)范各項(xiàng)制度，并定期進(jìn)行應(yīng)急演練。

3　小結(jié)

信息安全建設(shè)是一個(gè)動(dòng)態(tài)的、長(zhǎng)期發(fā)展的過程。隨著廣播電視事業(yè)的不斷壯大，遠(yuǎn)程監(jiān)控系統(tǒng)將不斷拓展功能，信息安全建設(shè)也將隨之升級(jí)換代。我們應(yīng)以長(zhǎng)遠(yuǎn)的眼光看待問題，關(guān)注業(yè)界發(fā)展態(tài)勢(shì)，與時(shí)俱進(jìn)，加大信息安全建設(shè)力度，不斷完善遠(yuǎn)程監(jiān)控系統(tǒng)的信息安全防護(hù)體系。

參考文獻(xiàn)：

GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》