周 宇

內(nèi)蒙古自治區(qū)廣播電視傳輸發(fā)射中心烏海廣播發(fā)射中心臺(tái) 內(nèi)蒙古 烏海市 016000

烏海廣播發(fā)射中心臺(tái)運(yùn)用大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等新一代高新技術(shù)，建設(shè)了監(jiān)測(cè)10個(gè)發(fā)射臺(tái)站、126套節(jié)目、131部發(fā)射機(jī)的智慧化遠(yuǎn)程監(jiān)測(cè)系統(tǒng)，實(shí)現(xiàn)對(duì)所有臺(tái)站的指揮調(diào)度、實(shí)時(shí)監(jiān)測(cè)、數(shù)據(jù)共享、感知預(yù)警，大大提高了臺(tái)站智慧化運(yùn)維、精細(xì)化管理水平，然而隨著遠(yuǎn)程監(jiān)測(cè)系統(tǒng)的運(yùn)用，網(wǎng)絡(luò)安全重要性日漸凸顯出來(lái)，網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)迫在眉睫，按照網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0“一個(gè)中心、三重防護(hù)”的整體思路，本文對(duì)如何搭建遠(yuǎn)程監(jiān)測(cè)系統(tǒng)網(wǎng)絡(luò)安全防御體系，進(jìn)一步提高播出安全、信息安全能力進(jìn)行分析。

1 遠(yuǎn)程監(jiān)測(cè)系統(tǒng)網(wǎng)絡(luò)布局

烏海廣播發(fā)射中心臺(tái)網(wǎng)絡(luò)主要由專網(wǎng)和互聯(lián)網(wǎng)組成，其中7個(gè)中波發(fā)射臺(tái)通過(guò)電信專線到達(dá)監(jiān)控室，傳輸?shù)胶诵慕粨Q機(jī)中；3個(gè)調(diào)頻發(fā)射臺(tái)由虛擬專網(wǎng)VPN傳輸至監(jiān)控室，傳輸至核心交換機(jī)中，所有信號(hào)統(tǒng)一集中到核心交換機(jī)，從中提取音頻、視頻監(jiān)控、發(fā)射機(jī)指標(biāo)等信號(hào)，按照《廣播電視網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》，無(wú)線發(fā)射臺(tái)站遠(yuǎn)程監(jiān)控平臺(tái)涉及的調(diào)度控制系統(tǒng)、管理支撐系統(tǒng)均屬于第二級(jí)保護(hù)，如圖1所示。

圖1 遠(yuǎn)程監(jiān)控系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D

2 網(wǎng)絡(luò)安全等級(jí)保護(hù)防范措施

網(wǎng)絡(luò)安全防護(hù)按照《廣播電視網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，分別從物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境、管理中心五個(gè)方面分析研究如何加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，如圖2所示。

圖2 網(wǎng)絡(luò)安全保護(hù)架構(gòu)

2.1 物理環(huán)境安全防護(hù)

物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ)。所有發(fā)射臺(tái)站機(jī)房出入口均安裝有門(mén)禁系統(tǒng)，通過(guò)指紋、人臉識(shí)別等方式嚴(yán)格控制和記錄進(jìn)入人員信息；進(jìn)入機(jī)房的外來(lái)人員必須獲得機(jī)房主任、臺(tái)領(lǐng)導(dǎo)的報(bào)備批復(fù)方可進(jìn)入，并根據(jù)工作需要限制其活動(dòng)范圍。

遠(yuǎn)程監(jiān)控系統(tǒng)在值機(jī)室安裝機(jī)房溫濕度、煙霧水浸等報(bào)警系統(tǒng)，安裝供配電電壓、電流實(shí)時(shí)顯示裝置，同時(shí)值班人員定時(shí)對(duì)機(jī)房物理環(huán)境進(jìn)行安全巡檢記錄，包括機(jī)房溫度、機(jī)房濕度、防火防盜安全措施等，對(duì)機(jī)房所有位置進(jìn)行24小時(shí)實(shí)時(shí)錄像監(jiān)控，保存90天以上，對(duì)監(jiān)控室內(nèi)U盤(pán)、硬盤(pán)等介質(zhì)進(jìn)行嚴(yán)格管控。

2.2 通信網(wǎng)絡(luò)安全防護(hù)

通信網(wǎng)絡(luò)的安全主要包括網(wǎng)絡(luò)結(jié)構(gòu)、通信傳輸?shù)龋W(wǎng)絡(luò)結(jié)構(gòu)需劃分不同的網(wǎng)絡(luò)區(qū)域，并合理的劃分網(wǎng)段、VLAN和IP地址。重要網(wǎng)絡(luò)安全區(qū)域邊界和其他區(qū)域采取相應(yīng)的技術(shù)隔離手段，烏海廣播發(fā)射中心臺(tái)結(jié)合業(yè)務(wù)系統(tǒng)需要和網(wǎng)絡(luò)通訊安全，確保業(yè)務(wù)高峰期網(wǎng)絡(luò)流量安全?？紤]業(yè)務(wù)之間的性能重要性和所涉及信息的重要程度等因素，通過(guò)華為S57200交換機(jī)劃分出Vlan10、Vlan20、Vlan30三個(gè)網(wǎng)段，分別對(duì)應(yīng)著音頻節(jié)目監(jiān)測(cè)、監(jiān)控?cái)z像頭、大數(shù)據(jù)信息，同時(shí)通過(guò)下一代防火墻進(jìn)行網(wǎng)絡(luò)隔離，確保網(wǎng)絡(luò)結(jié)構(gòu)安全。3個(gè)調(diào)頻發(fā)射臺(tái)通過(guò)互聯(lián)網(wǎng)采用GRE over IPSec vpn方式連接，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)完整性校驗(yàn)，如圖3所示。

圖3 遠(yuǎn)程監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全拓?fù)鋱D

2.3 區(qū)域邊界安全防護(hù)

區(qū)域邊界主要是指遠(yuǎn)程監(jiān)控系統(tǒng)內(nèi)部與外部網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)安全域之間的邊界，對(duì)流入、流出的數(shù)據(jù)流進(jìn)行有效的控制和監(jiān)督。通過(guò)在網(wǎng)絡(luò)層部署下一代防火墻，按照嚴(yán)格的安全規(guī)則對(duì)所有進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行過(guò)濾，屏蔽所有不安全或不符合安全規(guī)則的數(shù)據(jù)包，阻止非授權(quán)或越權(quán)訪問(wèn)，防止各類非法攻擊行為。

各類網(wǎng)絡(luò)攻擊行為不僅來(lái)自于互聯(lián)網(wǎng)外部網(wǎng)絡(luò)，也來(lái)自內(nèi)部網(wǎng)絡(luò)，通過(guò)部署下一代防火墻，并及時(shí)更新邊界防護(hù)產(chǎn)品的事件庫(kù)和病毒庫(kù)，主動(dòng)阻斷針對(duì)信息系統(tǒng)的各種攻擊。通過(guò)在網(wǎng)絡(luò)內(nèi)部核心交換機(jī)及其它重要網(wǎng)絡(luò)區(qū)域的交換機(jī)上部署網(wǎng)絡(luò)審計(jì)系統(tǒng)，對(duì)各類用戶的網(wǎng)絡(luò)訪問(wèn)行為和網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行記錄。

2.4 計(jì)算環(huán)境安全防護(hù)

邊界內(nèi)部稱為安全計(jì)算環(huán)境，包括應(yīng)用系統(tǒng)正常運(yùn)行所必須的主機(jī)、應(yīng)用系統(tǒng)、數(shù)據(jù)、存儲(chǔ)與備份等，計(jì)算環(huán)境安全是應(yīng)用系統(tǒng)安全的根本。

統(tǒng)一身份鑒別。對(duì)登錄操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)的用戶進(jìn)行集中的身份標(biāo)識(shí)和鑒別，確保只有認(rèn)證用戶才能訪問(wèn)其授權(quán)范圍內(nèi)的系統(tǒng)和數(shù)據(jù)資源。采用數(shù)字證書(shū)與動(dòng)態(tài)口令或生物技術(shù)組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，確保用戶身份標(biāo)識(shí)具有唯一性。

運(yùn)維訪問(wèn)控制和安全審計(jì)。通過(guò)部署堡壘主機(jī)，實(shí)現(xiàn)對(duì)設(shè)備和服務(wù)器的統(tǒng)一用戶帳戶管理、登錄認(rèn)證、資源授權(quán)、訪問(wèn)控制和操作審計(jì)，簡(jiǎn)化用戶身份管理工作、加強(qiáng)對(duì)運(yùn)維管理用戶登錄及操作行為的控制和審計(jì)。

數(shù)據(jù)庫(kù)訪問(wèn)控制和安全審計(jì)。針對(duì)數(shù)據(jù)庫(kù)服務(wù)器，部署數(shù)據(jù)庫(kù)安全網(wǎng)關(guān)，實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制，提供事前預(yù)防、事中控制、事后分析等全面的數(shù)據(jù)庫(kù)安全管控。

日志審計(jì)。對(duì)遠(yuǎn)程監(jiān)測(cè)系統(tǒng)的所有服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)和新增的各種安全系統(tǒng)開(kāi)啟完整的日志記錄功能，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)，并將審計(jì)記錄實(shí)時(shí)發(fā)送給日志服務(wù)器，便于長(zhǎng)期存儲(chǔ)保護(hù)和分析使用。

2.5 管理中心安全防護(hù)

建立安全管理中心要求實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中多層面、多安全系統(tǒng)進(jìn)行統(tǒng)一監(jiān)控監(jiān)管、統(tǒng)一配置管理、統(tǒng)一安全展示等安全目標(biāo)。根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中對(duì)系統(tǒng)管理、審計(jì)管理、安全管理和集中管理等幾個(gè)方面的要求，通過(guò)部署堡壘機(jī)、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)或具備同等功能的產(chǎn)品，實(shí)現(xiàn)對(duì)遠(yuǎn)程監(jiān)控系統(tǒng)內(nèi)所有網(wǎng)絡(luò)設(shè)備的集中管理和監(jiān)控。

結(jié)束語(yǔ)

烏海廣播發(fā)射中心臺(tái)遠(yuǎn)程監(jiān)控系統(tǒng)包含互聯(lián)網(wǎng)、電信專網(wǎng)連接，目前只部署了一臺(tái)下一代防火墻，網(wǎng)絡(luò)安全防范措施不足、隱患較大，構(gòu)建符合國(guó)家和行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的信息系統(tǒng)十分重要，以保障遠(yuǎn)程監(jiān)控系統(tǒng)業(yè)務(wù)安全、可靠、穩(wěn)定運(yùn)行，防范系統(tǒng)免受外來(lái)網(wǎng)絡(luò)的攻擊，防止國(guó)家財(cái)產(chǎn)的損失和重要數(shù)據(jù)信息的泄露。