內(nèi)蒙古廣播電視臺騰格里網(wǎng)信息安全等級保護設計與整改

王素然 田 芳

1.2.內(nèi)蒙古廣播電視臺 內(nèi)蒙古 呼和浩特市 010050

引 言

隨著計算機信息網(wǎng)絡技術的發(fā)展，手機端4G、5G網(wǎng)絡帶寬的不斷增長，傳統(tǒng)以文字、圖片新聞為主的媒體門戶網(wǎng)站也發(fā)展成以高清流媒體點播、直播為主的門戶網(wǎng)站，網(wǎng)絡安全就變的尤為重要，已經(jīng)成為電視臺在信息化建設和改造中的重要組成部分。為了進一步促進和落實內(nèi)蒙古廣播電視臺信息安全等級保護工作，內(nèi)蒙古廣播電視臺以國家信息安全等級保護相關管理規(guī)定為指導，將內(nèi)蒙古廣播電視臺騰格里網(wǎng)（以下簡稱騰格里網(wǎng)）定為等級保護三級，結合實際業(yè)務系統(tǒng)，在對騰格里網(wǎng)進行充分調研及詳細分析的基礎上開展了信息系統(tǒng)安全等級測評及安全設備整改工作。本文論述了騰格里網(wǎng)網(wǎng)絡安全等級保護建設的整改與實現(xiàn)。

1 騰格里網(wǎng)架構簡介

騰格里網(wǎng)由融合平臺及多個子應用系統(tǒng)組成，整改前網(wǎng)絡拓撲圖如圖1所示，核心交換S7506用于各子應用系統(tǒng)之間的互聯(lián)互通，支持各業(yè)務子系統(tǒng)的接入，各子系統(tǒng)匯聚交換機與核心交換機互聯(lián)。

本次騰格里網(wǎng)等級保護三級安全建設主要包含網(wǎng)絡邊界安全防護、網(wǎng)絡安全數(shù)據(jù)防護、系統(tǒng)安全防護和網(wǎng)絡應用安全數(shù)據(jù)防護等。網(wǎng)絡邊界安全防護重點關注網(wǎng)絡數(shù)據(jù)流如何有效通過檢測安全控制用戶進出邊界，對流經(jīng)或進入邊界的信息數(shù)據(jù)內(nèi)容進行過濾，有效安全控制措施主要包括：用戶網(wǎng)絡安全訪問、入侵安全保護及遠程控制用戶網(wǎng)絡訪問使用權限等。

2 騰格里網(wǎng)安全防護總體設計

騰格里網(wǎng)網(wǎng)絡安全的總體設計結合了目前騰格里網(wǎng)的實際情況，從安全運行環(huán)境、區(qū)域邊界、安全數(shù)據(jù)網(wǎng)絡和安全管理中心四個方面，構建一套安全設計方案，將現(xiàn)有的網(wǎng)絡架構和業(yè)務系統(tǒng)緊密結合起來，盡量不改變現(xiàn)有的網(wǎng)絡結構，在不影響業(yè)務的情況下，滿足等級保護相關要求。

圖1 騰格里網(wǎng)整改前網(wǎng)絡拓撲圖

2.1 設計思路與原則

根據(jù)內(nèi)蒙古廣播電視臺的實際需求和國家等級保護相關法規(guī)的要求，從技術先進、高效管理、操作維護方便，以及充分體現(xiàn)標準化、規(guī)范化等方面對工程總體建設和實施進行了初步設計，從多個環(huán)節(jié)上進行安全防控。采用國內(nèi)安全產(chǎn)品制造商先進且實用的安全技術和安全產(chǎn)品，不僅可以確?，F(xiàn)有系統(tǒng)的安全性和可靠性，還可以在5年內(nèi)滿足系統(tǒng)升級、維護和擴展的需要。

安全建設是本次等級保護項目的重點建設內(nèi)容之一，應嚴格遵循等級保護以及相關政策、標準和規(guī)范的要求，使騰格里網(wǎng)能夠在多角度、多層面上獲得強有力且全方位的安全保障，如網(wǎng)絡、應用和數(shù)據(jù)信息。

項目在初步設計過程中應充分考慮現(xiàn)有資源，有效利用舊設備，提高系統(tǒng)建設的成本效益和投資效益，避免浪費。

2.2 信息安全保障體系設計

信息安全等級保護是本次騰格里網(wǎng)整改設計的核心指導思想，整改方案的技術及管理設計都是圍繞并符合等級保護設計思想和要求展開的，構建了一個集防護、檢測、響應、恢復于一體的綜合安全系統(tǒng)。全面貫徹落實等級保護制度，在內(nèi)蒙古廣播電視臺建立信息安全保障體系，從安全管理體系、安全技術體系、安全運行與監(jiān)控體系三個方面構建綜合安全體系。其中，安全管理體系包括成立安全組織機構，編訂安全策略、管理制度、管理范圍、管理流程等。安全技術體系主要從通信網(wǎng)絡、區(qū)域邊界、環(huán)境安全等方面有效保證信息安全。

圖2 內(nèi)蒙古廣播電視臺信息安全保障體系圖

圖3 安全技術體系圖

2.3 信息安全技術體系設計

信息安全技術體系結構設計的基本內(nèi)容主要是一個中心、三重防護，即安全管理中心、安全網(wǎng)絡計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡。網(wǎng)絡層面要注意邊界的訪問控制、安全審計、各項協(xié)議過濾等；應用和數(shù)據(jù)層面要注意入侵動作的實時監(jiān)測與阻斷，結合網(wǎng)頁防篡改等手段盡可能保護重要數(shù)據(jù)信息。

（1）安全管理中心：構建先進且高效的安全管理中心，實現(xiàn)針對系統(tǒng)安全、安全管理、審計安全、操作流程等方面的統(tǒng)一管理；

（2）環(huán)境安全：為騰格里網(wǎng)創(chuàng)建一個可靠、安全的計算環(huán)境。從系統(tǒng)應用級別的協(xié)議過濾、端口控制、身份識別、終端防護、程序運行保護、系統(tǒng)安全檢查、數(shù)據(jù)機密和完整保護等方面，通過訪問控制設備（防火墻、WAF的訪問控制列表）全面提高騰格里網(wǎng)系統(tǒng)和應用的級別安全；

（3）邊界安全：加強對網(wǎng)絡邊界的訪問控制，及時阻斷未授權的內(nèi)部計算機私自非法外聯(lián)行為，配置Web應用防火墻以防范網(wǎng)絡邊界處的惡意代碼、SQL注入及跨站腳本等攻擊，進行網(wǎng)絡邊界行為檢查，保護互聯(lián)網(wǎng)邊界的完整性，提高網(wǎng)絡邊界的可控制性；

（4）通信網(wǎng)絡安全：確保網(wǎng)絡間數(shù)據(jù)的安全傳輸、網(wǎng)絡行為的安全審計，以保障網(wǎng)絡通信安全。

2.4 邊界訪問控制與安全審計

網(wǎng)絡邊界通常是整個系統(tǒng)最容易受到攻擊的地方，許多來自外界的攻擊通過邊界的薄弱環(huán)節(jié)攻擊到網(wǎng)絡內(nèi)部。系統(tǒng)中的每個子應用邊界也同樣需要進行安全防御，以確保各子應用的信息安全。因此，網(wǎng)絡和子應用在邊界設計中需要重點考慮安全防御。

邊界安全防御目標旨在防止邊界內(nèi)部的外來攻擊，同時還要防止內(nèi)部人員使用未經(jīng)授權的設備私自外聯(lián)，從邊界內(nèi)對外進行攻擊，或者通過開放界面、隱匿信道進入內(nèi)部網(wǎng)絡。由于內(nèi)部人員對內(nèi)蒙古廣播電視臺網(wǎng)絡結構較為了解，因此，更應嚴格約束內(nèi)部人員的上網(wǎng)行為。安全事件發(fā)生以后，可以通過分析日記、檢測設備查找攻擊意圖，進行記錄、報警，還可以提供日志入侵記錄，進行審計跟蹤。

內(nèi)網(wǎng)邊界主要通過部署防火墻、入侵防御系統(tǒng)、抗DDOS防護系統(tǒng)、漏洞檢測系統(tǒng)、防篡改系統(tǒng)、病毒防護網(wǎng)關等，搭配合理的安全策略以達到防護目的。

圖4 騰格里網(wǎng)整改后網(wǎng)絡拓撲圖

在選擇安全設備時，除了要考慮到產(chǎn)品本身的功能、性能等因素外，還要考慮系統(tǒng)異構、可管理性等因素。異構能提高系統(tǒng)整體抗攻擊能力，防止同一家廠商的產(chǎn)品存在的共性缺點，產(chǎn)生系統(tǒng)整體安全上的漏洞。

騰格里門戶網(wǎng)站審計范圍包含所有服務器、交換機、操作系統(tǒng)和數(shù)據(jù)庫；審計內(nèi)容為系統(tǒng)中重要的用戶行為、系統(tǒng)資源異常以及重要系統(tǒng)命令的使用等；審計記錄包含事件發(fā)生的日期、類型、主體標志和結果等。

3 騰格里網(wǎng)網(wǎng)絡安全等級保護整改

3.1 安全設備整改項目分析

內(nèi)蒙古廣播電視臺在按照等級保護基本要求對騰格里網(wǎng)進行充分調研及詳細分析的基礎上，決定對騰格里網(wǎng)網(wǎng)絡安全進行整改，然后進行測評。整體調研后發(fā)現(xiàn)缺少部分安全設備，主要為邊界安全設備、審計類設備與網(wǎng)頁防篡改系統(tǒng)。

3.2 整改后網(wǎng)絡架構

按照等級保護基本要求整改后網(wǎng)絡拓撲圖如圖4所示。

在兩個出口與防火墻之間加裝一臺抗DDOS防護系統(tǒng)，可以及時對拒絕服務攻擊進行防護處理。在防火墻與核心交換機之間增加一臺入侵防護系統(tǒng)，可以監(jiān)視各類攻擊行為，在發(fā)生嚴重入侵事件時進行報警。為滿足等級測評要求，分別在旁路部署了運維審計平臺、網(wǎng)絡安全審計系統(tǒng)和數(shù)據(jù)庫審計系統(tǒng)。在兩臺防火墻與核心交換機之間增加了Web應用防火墻（WAF）。在騰格里網(wǎng)頁面發(fā)布服務器上部署了一套網(wǎng)頁防篡改系統(tǒng)，可以保護網(wǎng)站系統(tǒng)，防止SQL注入、跨站腳本等攻擊手段。

4 結 語

信息安全等級保護建設是國家對信息系統(tǒng)的強制性要求，經(jīng)過近一年的探索研究，按照《信息系統(tǒng)安全等級保護基本要求》規(guī)定和整體安全建設思想，內(nèi)蒙古廣播電視臺采取了必要的安全技術措施，以滿足等級保護三級基本要求，整個架構主要包括一個中心、三重防護，構建集防護、檢測、響應、恢復于一體的系統(tǒng)全面的安全保障體系，以業(yè)務應用為重點、安全管理為支撐。通過上述網(wǎng)絡安全建設，騰格里網(wǎng)基本具備層層設防、重點突出、策略聯(lián)動、管理為上的優(yōu)勢，順利通過了信息系統(tǒng)等級保護三級測評，取得了測評證書。