臨汾市智慧廣電網(wǎng)絡安全等級保護2.0建設方案

秦波

【摘要】根據(jù)信息網(wǎng)絡等級保護2.0的建設要求，臨汾市智慧廣電網(wǎng)絡進行了安全保護建設，滿足了等級保護的相關要求，能夠全方面為臨汾市智慧廣電網(wǎng)絡提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全

【關鍵詞】等保護2.0;安全域

中圖分類號：TN929 ? ? ? ? ? ? ? ? ? ?文獻標識碼：A ? ? ? ? ? ? ? ? ? ? DOI：10.12246/j.issn.1673-0348.2021.09..018

1. 建設目標

臨汾市智慧廣電網(wǎng)絡是由國家廣電總局廣科院出具可行性研究報告，經(jīng)臨汾市發(fā)改委批準立項，并列入市“十三五”廣播電視事業(yè)發(fā)展規(guī)劃的一項重要工程。

根據(jù)《廣播電視網(wǎng)絡安全等級保護定級指南》，通過為滿足安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心五個方面基本技術要求的技術體系建設;為滿足安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理五個方面基本管理要求的管理體系建設。使得等級保護方案在滿足等級保護的相關要求下，能夠全方面為臨汾市智慧廣電網(wǎng)絡提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護能力。

2. 方案設計

信息系統(tǒng)安全保障建設的基本設計思路主要包括以下方面：

2.1. 構建分域的控制體系

信息安全等級保護解決方案，在總體架構上將按照分域保護思路進行，本方案參考IATF信息安全技術框架，將信息系統(tǒng)從結構上劃分為不同的安全區(qū)域，各個安全區(qū)域內部的網(wǎng)絡設備、服務器、終端、應用系統(tǒng)形成單獨的計算環(huán)境、各個安全區(qū)域之間的訪問關系形成邊界、各個安全區(qū)域之間的連接鏈路和網(wǎng)絡設備構成了網(wǎng)絡基礎設施;因此方案將從保護計算環(huán)境、保護邊界、保護網(wǎng)絡基礎設施三個層面進行重點設計。

2.2. 構建縱深的防御體系

信息系統(tǒng)安全建設方案包括技術和管理兩個部分，本方案針對信息系統(tǒng)的通信網(wǎng)絡、區(qū)域邊界、計算環(huán)境，綜合采用訪問控制、入侵防御、惡意代碼防范、安全審計、防病毒軟件等多種技術和措施，實現(xiàn)業(yè)務應用的可用性、完整性和保密性保護，并在此基礎上實現(xiàn)綜合集中的安全管理，并充分考慮各種技術的組合和功能的互補性，合理利用措施，從外到內形成一個縱深的安全防御體系，保障信息系統(tǒng)整體的安全保護能力。

2.3. 保證一致的安全強度

信息系統(tǒng)應采用分級的辦法，采取強度一致的安全措施，并采取統(tǒng)一的防護策略，使各安全措施在作用和功能上相互補充，形成動態(tài)的防護體系。

因此在建設手段上，本方案采取“大平臺”的方式進行建設，在平臺上實現(xiàn)各個級別信息系統(tǒng)的基本保護，比如統(tǒng)一的訪問控制，統(tǒng)一的入侵防御、統(tǒng)一的惡意代碼防范，然后在基本保護的基礎上，再根據(jù)各個信息系統(tǒng)的重要程度，采取高強度的保護措施。

2.4. 實現(xiàn)集中的安全管理

信息安全管理的目標就是通過采取適當?shù)目刂拼胧﹣肀Ｕ闲畔⒌谋Ｃ苄浴⑼暾?、可用性，從而確保信息系統(tǒng)內不發(fā)生安全事件、少發(fā)生安全事件、即使發(fā)生安全事件也能有效控制事件造成的影響。通過建設集中的安全管理平臺，實現(xiàn)對信息資產(chǎn)、安全事件、安全風險、訪問行為等的統(tǒng)一分析與監(jiān)管，通過關聯(lián)分析技術，使系統(tǒng)管理人員能夠迅速發(fā)現(xiàn)問題，定位問題，有效應對安全事件的發(fā)生。

3. 技術方案

3.1. 劃分安全域

基于域進行安全設計的總體思想是：將復雜的系統(tǒng)，根據(jù)支撐業(yè)務、信息資產(chǎn)、地理位置、使用單位等要素劃分為多個相對獨立的安全區(qū)域，然后根據(jù)各個安全區(qū)域的特點來選擇不同的防護措施，將大大提升防護的有效性，同時也體現(xiàn)出重點資產(chǎn)、重點防范的建設原則。根據(jù)這個原則我們將臨汾廣電網(wǎng)分為五個安全域：外聯(lián)安全域、核心交換安全域、雙向業(yè)務安全域、云平臺安全域、用戶接入安全域（如附圖1所示）。

3.2. 重點安全域部署說明

3.2.1. 核心安全域部署說明

在核心交換安全域和外聯(lián)安全域防火墻設備上開啟AV防病毒網(wǎng)關功能，對進出安全域的數(shù)據(jù)進行病毒過濾，阻止各類病毒入侵。

防火墻設備開啟入侵防護系統(tǒng)，對外網(wǎng)入侵行為進行防護。

增加兩臺上網(wǎng)行為管理設備，雙系統(tǒng)冗余，實現(xiàn)上網(wǎng)人員認證管理、上網(wǎng)終端管理、上網(wǎng)應用管理、上網(wǎng)流量管理，上網(wǎng)隱私保護、帶寬流量管理、信息收發(fā)審計，內網(wǎng)泄密管理、遠程訪問的用戶行為等進行行為審計和數(shù)據(jù)分析。

3.2.2. 雙向業(yè)務安全域部署說明

邊界防火墻上開啟AV模塊，在安全邊界處進行集中防護，對夾雜在網(wǎng)絡交換數(shù)據(jù)中的各類網(wǎng)絡病毒進行過濾，可以對網(wǎng)絡病毒、蠕蟲、混合攻擊、端口掃描、間諜軟件、P2P軟件帶寬濫用等各種廣義病毒進行全面的攔截。阻止病毒通過網(wǎng)絡的快速擴散，將經(jīng)網(wǎng)絡傳播的病毒阻擋在外，可以有效防止病毒從其他區(qū)域傳播到內部其他安全域中。

CDN防火墻，部署在CDN交換機與核心路由器之間，實現(xiàn)區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，實現(xiàn)端口級訪問控制的功能。

3.2.3. 云平臺安全域部署說明

云平臺防火墻啟用訪問控制策略。為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，端口級控制;通過在防火墻設備上開啟IPS模塊，在防火墻進行訪問控制，保證了訪問的合法性之后，IPS動態(tài)的進行入侵行為的保護，對訪問狀態(tài)進行檢測、對通信協(xié)議和應用協(xié)議進行檢測、對內容進行深度的檢測。阻斷來自內部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫。但從內部發(fā)起的攻擊行為處于邊界的IPS是無法感知的，所以增加IDS設備彌補在內網(wǎng)中檢測、防止和限制從內部發(fā)起的網(wǎng)絡攻擊行為，并記錄攻擊行為的IP、類型、目標、時間，并提供報警功能。

專業(yè)的終端安全管理軟件對主機系統(tǒng)進行加固，增強主機安全性;同時部署訪問控制中間件堡壘機，滿足對主機管理時采用UCBkey+密碼進行主機身份鑒別的要求。遠程管理時應啟用SSH等管理方式，加密管理數(shù)據(jù)，防止網(wǎng)絡竊聽。

身份認證網(wǎng)關（CA）實現(xiàn)對應用系統(tǒng)登錄用戶的兩種以上組合的應用身份鑒別技術。

增加漏洞掃描設備識別安全漏洞和隱患，提早發(fā)現(xiàn)問題修補漏洞保證系統(tǒng)的可用性;部署防病毒服務器，負責制定終端和主機防病毒策略，由管理中心升級服務器通過互聯(lián)網(wǎng)或手工方式獲得最新的病毒特征庫，分發(fā)到數(shù)據(jù)中心節(jié)點的各個終端。

增加安全管理中心對分散在各個設備上審計數(shù)據(jù)進行收集匯總和集中分析，并對網(wǎng)絡中發(fā)生的各類安全事件進行識別、報警和態(tài)勢感知。

增加備份設備實現(xiàn)異地實時備份功能，滿足重要數(shù)據(jù)的異地數(shù)據(jù)備份和恢復功能。

在云平臺安全域部署網(wǎng)絡安全審計系統(tǒng)，對數(shù)據(jù)庫進行監(jiān)控審計;部署安全運營管理中心，對網(wǎng)絡日志進行采集與分析;部署網(wǎng)絡殺毒軟件，實現(xiàn)服務器及主機惡意代碼防范軟件的統(tǒng)一管理。

4. 結語

通過劃分五個安全域，對每一個安全域從安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心五個方面進行技術體系建設，建成后充分符合國家等保2.0標準，為臨汾廣電網(wǎng)的安全穩(wěn)定運行提供了有力保障。

參考文獻：

[1]韓煜.等級保護三級信息系統(tǒng)設計與實現(xiàn)新形勢下廣電行業(yè)網(wǎng)絡安全標準建設思路[D].北京：北京郵電大學，2011

[2]李克兢，謝翠萍.大型信息系統(tǒng)網(wǎng)絡安全測評的關鍵技術分析[J].信息通信，2012（2）：140-141.

[3]馬力，陳廣勇，祝國邦.網(wǎng)絡安全等級保護2.0國家標準解讀[J].保密科學技術，2019（7）：14-19.

[4]徐東華，封化民.信息安全管理的概念與內容體系探究{J}.現(xiàn)代情報，2008（10）：129-131.

[5]段永紅.如何構建企業(yè)信息安全體系[J].科技視界，2012（16）：179-180.