廣西整省（區(qū)）廣播電視無線發(fā)射臺站運行支撐管理系統(tǒng)信息安全規(guī)劃與實現(xiàn)

廖 蕓（廣西廣播電視技術中心）

?

廣西整?。▍^(qū)）廣播電視無線發(fā)射臺站運行支撐管理系統(tǒng)信息安全規(guī)劃與實現(xiàn)

廖 蕓
（廣西廣播電視技術中心）

［摘 要］結(jié)合實例，討論廣西整?。▍^(qū)）廣播電視無線發(fā)射臺站運行支撐管理系統(tǒng)信息安全規(guī)劃的主要組成部分和實現(xiàn)功能，通過技術手段和管理手段，保障廣播電視遠程監(jiān)控系統(tǒng)的信息安全。

［關鍵詞］廣播電視；遠程監(jiān)控；信息安全

1　引言

廣西整?。▍^(qū)）廣播電視無線發(fā)射臺站運行支撐管理系統(tǒng)（以下簡稱遠程監(jiān)控系統(tǒng)）承擔著全區(qū)300多個無線發(fā)射臺站的發(fā)射設備和播出情況以及周邊環(huán)境的實時監(jiān)控、告警管理、資產(chǎn)管理、工單維護等安全播出管理工作。隨著廣播電視事業(yè)的不斷發(fā)展壯大，廣播電視無線覆蓋率逐年提升，日后將承擔更多無線臺站的安全播出管理工作。該系統(tǒng)的業(yè)務信息覆蓋全區(qū)，社會影響力大，系統(tǒng)正常運行與否，直接關系到廣播電視安全播出這一生命線。若系統(tǒng)遭受非法入侵或破壞，可能直接造成安全播出事故，對社會秩序和公共利益造成不良影響。

2　信息安全規(guī)劃與實現(xiàn)

按照GB/T 22239-2008《信息安全技術 信息系統(tǒng)安全等級保護基本要求》中第三級的基本要求，我們將遠程監(jiān)控系統(tǒng)劃分為內(nèi)網(wǎng)和外網(wǎng)兩大部分，內(nèi)外網(wǎng)之間通過網(wǎng)閘進行隔離，每一部分再按照具體業(yè)務細分為多個安全區(qū)域，采取不同的防護手段，結(jié)合物理安全防護和統(tǒng)一安全管理，整個系統(tǒng)的信息安全防護體系如圖1所示。

圖2　網(wǎng)站防護部署示意圖

圖1　系統(tǒng)信息安全防護體系示意圖

2.1物理防護

遠程監(jiān)控系統(tǒng)所在機房，除了防盜、防靜電、防水、防潮、溫濕度控制、電力保障等防破壞基本保護措施之外，我們重點加固了防雷、自動消防和視頻監(jiān)控建設。建筑物、機房內(nèi)的電源線、信號線、電子設備等均采取了必要的防雷措施。機房內(nèi)部采用防火材料裝修，設置感煙、感溫兩路報警，并配備了七氟丙烷氣體自動消防系統(tǒng)。機房出入口和內(nèi)部均安裝有紅外攝像機，做到對機房整體環(huán)境實時監(jiān)控。

2.2外網(wǎng)防護

遠程監(jiān)控系統(tǒng)的業(yè)務網(wǎng)站，面向單位職工提供發(fā)射臺站實時狀態(tài)監(jiān)控服務。部分臺站通過VPN采集的數(shù)據(jù)也由此回傳。我們按照網(wǎng)站漏洞檢測結(jié)果，從網(wǎng)站代碼源頭入手，逐一修復漏洞，增強代碼的健壯性和安全性?；ヂ?lián)網(wǎng)接口處更換了性能更好的防火墻，對進出網(wǎng)絡的數(shù)據(jù)包進行路由控制和狀態(tài)檢測。同時，增加部署Web應用防火墻和網(wǎng)站防篡改系統(tǒng)用以防御針對網(wǎng)站進行的攻擊。網(wǎng)站防護部署如圖2所示。

網(wǎng)站區(qū)域中的Web服務器對外提供業(yè)務服務，其上安裝有監(jiān)控代理，用于監(jiān)控Web目錄文件，阻斷非法篡改，實時恢復正常文件。同時，應用防護系統(tǒng)監(jiān)測并阻斷針對應用層進行的諸如XSS、SQL注入、遠程命令執(zhí)行等各類攻擊。管理區(qū)域中的同步代理將備份更新后的目錄文件實時同步到Web服務器，并實時響應監(jiān)控代理的告警，將被篡改的文件恢復正常。監(jiān)控中心則實時接收來自監(jiān)控代理和同步代理的告警信息，并將操作指令傳送至代理端執(zhí)行。

2.3內(nèi)網(wǎng)防護

遠程監(jiān)控系統(tǒng)的內(nèi)網(wǎng)承載著全區(qū)廣

播電視無線臺站遠程監(jiān)控智能管理核心業(yè)務。內(nèi)網(wǎng)與外網(wǎng)之間增加部署網(wǎng)閘進行相互隔離。內(nèi)網(wǎng)中，我們重點部署了終端安全管理系統(tǒng)和入侵防御系統(tǒng)。

2.3.1終端安全管理系統(tǒng)

終端安全管理系統(tǒng)部署如圖3所示。我們對每臺請求接入遠程監(jiān)控系統(tǒng)的終端采用USBkey令牌認證，用戶首次訪問時，強制用戶到指定站點進行認證。不合法用戶將強制退出，禁止訪問。對于合法用戶將按照制定的安全策略進行用戶主機和行為的安全評估，包括對主機登錄密碼設置、系統(tǒng)補丁安裝、防病毒軟件安裝、病毒庫升級、是否非法外聯(lián)、私自使用移動存儲介質(zhì)等情況進行安全性檢查。檢測不合格的用戶將進入隔離區(qū)修改配置、規(guī)范行為，直至符合安全策略的要求。只有符合安全策略的用戶方可允許進入系統(tǒng)，按照用戶角色進行權(quán)限分配，只允許進行權(quán)限范圍內(nèi)的操作，對系統(tǒng)進行受控訪問。

終端安全管理客戶端具有自我保護機制，能夠防止用戶隨意停止或卸載?？蛻舳撕头掌飨嗷ネㄐ挪扇‰p向認證機制，能夠防止同類或假冒客戶端非法進入網(wǎng)絡。同時，依靠統(tǒng)一管理中心對所有終端進行整體管理，包括終端資產(chǎn)、準入控制、策略管理、文檔加密、接口聯(lián)動、行為審計、報表分析等多樣化功能，形成對終端的事前規(guī)劃、事中監(jiān)控和事后分析統(tǒng)計的立體化管理，有效保障整個遠程監(jiān)控系統(tǒng)的終端接入安全。

2.3.2入侵防御系統(tǒng)

在內(nèi)網(wǎng)的核心節(jié)點處，部署入侵防御系統(tǒng)，導入豐富的異常行為特征庫，并定期更新特征庫。對于流經(jīng)內(nèi)部網(wǎng)絡的多種報文，采用基于指紋特征的檢測技術，首先根據(jù)報文的源地址、目的地址、端口、關鍵信息進行分類，智能識別出協(xié)議類型、流量統(tǒng)計等信息，配合高效匹配算法將報文和攻擊行為特征庫、病毒特征庫進行高速精確匹配，阻斷符合特征值的報文，與之相關的信息將自動更新，指示系統(tǒng)刪除關于該報文的所有數(shù)據(jù)信息。采用大規(guī)模并發(fā)過濾處理機制，不會因處理報文而對網(wǎng)絡數(shù)據(jù)率造成影響，過濾后剩下正常的報文方可進入網(wǎng)絡。通過查看事件記錄，可追溯異常源頭，分析詳細情況，調(diào)整防護設置。

圖3　終端安全管理系統(tǒng)部署示意圖

2.4安全管理

為了方便管理遠程監(jiān)控系統(tǒng)包含的眾多設備，我們整合了一套安全管理系統(tǒng)。依靠一個安全管理平臺，即可管理系統(tǒng)中所有的設備資產(chǎn)、策略配置、用戶權(quán)限等內(nèi)容，通過匯總所有設備上報的實時狀態(tài)和審計日志，并進行分析和統(tǒng)計，讓系統(tǒng)整體運行情況一目了然。平臺對所有監(jiān)控指標產(chǎn)生的告警進行集中的響應，支持聲、光、電等多種告警方式，并能夠通過手機短信、電子郵件等發(fā)出告警。同時，還制定了例如人員管理制度、資產(chǎn)管理制度、運維管理制度等一系列安全管理制度，以及安全事件處置和應急響應預案。平時嚴格規(guī)范各項制度，并定期進行應急演練。

3　小結(jié)

信息安全建設是一個動態(tài)的、長期發(fā)展的過程。隨著廣播電視事業(yè)的不斷壯大，遠程監(jiān)控系統(tǒng)將不斷拓展功能，信息安全建設也將隨之升級換代。我們應以長遠的眼光看待問題，關注業(yè)界發(fā)展態(tài)勢，與時俱進，加大信息安全建設力度，不斷完善遠程監(jiān)控系統(tǒng)的信息安全防護體系。

參考文獻：

GB/T 22239-2008《信息安全技術 信息系統(tǒng)安全等級保護基本要求》