北京电视台制播网等级保护建设网络安全部分的设计与实现.docx

资源描述

1、北京电视台制播网等级保护建设网络安全部分设计与实现北京电视台王学奎摘要北京电视台（ BTV）制播网有 3 个等保三级系统、 17 个等保二级系统。本文按照广电等级保护行业标准，设计并实现了基础网络和网络边界安全相关部分。基础网络安全设计与实现的关键点为安全域的划分、网络设备自身安全加固，网络边界安全设计与实现的重点为访问控制、安全数据交换。关键词：制播网，等级保护，基础网络安全，网络边界安全 0 引言电视节目的制作、播出、传送、存储和管理等各个方面越来越多的依赖于计算机网络技术的支持，信息安全体系建设已经成为电视台信息

2、化建设过程中不可忽视的重要部分。 2011 年 5 月，国家广电总局科技司颁布了广播电视相关信息系统安全等级保护基本要求和广播电视相关信息系统安全等级保护定级指南两个指导性文件。北京电视台制播网等级保护建设整体设计以广电行业标准为基础，遵循等级化保护原则、主动防御原则、有效联动原则、综合管理原则。本文论述了北京电视台制播网信息系统网络安全部分的设计与实现。 1 BTV 制播网网络架构简介 BTV 制播网以 SOA 架构建成，由业务支撑平台及若干应用系统组成。业务支撑平台是整个制播网络系统互联互通的中心枢纽，支持各个业务子系统的灵活接入，各应用系统通过业务支撑平

3、台进行数据交换。从接入交换机到汇聚交换机、汇聚交换机到核心交换机均采用双上联冗余链路连接。 BTV 制播网与办公网之间通过高安全区联通，根据不同的数据类型和流向，在高安全区设置了三类安全通道。各业务网属于不同的 Vlan，网内部署了网络版防病毒系统。根据广电行业等级保护定级（ GD/J 037-2011 技科字 2011 137 号）要求，BTV 制播网信息系统定级情况如下：总编室系统、主干平台系统、高清新闻系统为三级，其余系统为二级。 2 安全防护体系总体设计 BTV 制播网信息系统安全总体规划设计思想为：按照“等级化保护、分域防护”的策略，与现有网络架构、业务应用紧

4、密结合，对关键安全防护要素进行设计和实现。差距分析 BTV 制播网网络安全部分与广电行业等级保护基本要求差距总结如下：检查内容主要不符合内容基础网络安全（ 20 个检查项， 4项符合， 4 项基本符合， 12 项不符合）（ 1）基于网络设备的安全审计欠缺；（ 2）网络设备的自身安全保护缺少相应的防护措施；（ 3）身份鉴别措施简单。边界安全（ 20 个检查项， 0 项符合， 8 项基本符合， 12 项不符合）（ 1）网络边界访问控制措施不完善；（ 2）基于网络行为的安全审计欠缺；（ 3）缺少网络接入访问控制措施；（ 4）网络边界的恶意代码程序

5、防范缺失。表 1 差距分析表框架模型等级保护是对 IT 系统的全面保护，涉及政策法规、防护策略、安全体系等方面，其中安全体系包括技术层面、管理层面和物理层面三个部分。图 1 BTV 制播网安全保障框架模型从总体安全框架可以看出，以国家信息安全政策法规为基础，通过建设安全管理体系、安全技术防护体系以及运行服务体系来构建 BTV 制播网信息安全保障体系。其中基础网络安全重点建设内容包括结构安全、安全审计以及设备自身防护；边界安全重点建设内容包括访问控制、入侵防范、恶意代码防范、边界完整性以及安全数据交换，安全管理体系建设的重点是依托安全管理平台，强化运行监测、安全审计

6、，不断完善管理制度。本文主要论述等保三级系统的安全设计及实现。 3 网络安全防护详细设计 3.1 基础网络安全 BTV 制播网基础网络安全设计主要包括三方面内容：结构安全、安全审计、网络设备自身防护，实现方式为网络结构调整和网络设备安全加固。 3.1.1 结构安全 BTV 制播网目前的设计，可以满足结构安全第 a）（网络设备处理能力）、 b）（冗余配置）、 c）（层次化、纵深化设计）、 g）（绘制网络拓扑图）项的要求。需要对 d）（安全域划分）、 e）（安全域内划分子网或网段）、 f）（安全域重要网段技术隔离）项进行重新设计与实现。安全域划分

7、根据功能及安全需求的不同，将 BTV 制播网络划分为制播三级业务区、制播二级业务区、高安全区三个安全区域。每个三级系统与其它业务系统之间采用两台万兆防火墙作为安全隔离设备。安全设备带外管理制播网内所有安全设备在安全管理平台上实现统一管理。安全设备需要实时将设备运行状态、报警信息、资源利用率等相关信息发送至安全管理平台，为保证这些管理信息的传送不对正常的业务运转产生影响，采取单独组网的带外管理方式，实现对安全设备的管理。各区域设计如图所示：图 2 BTV 制播网信息安全拓扑总图各个区域的简要说明如下：高安全区制播网与生产网联通通道，负责制播网与办公网之间

8、的数据交换。制播三级业务区主干平台系统、总编室系统、高清新闻系统。制播二级业务区除等保三级系统外其它业务系统。系统内部网段划分制播二级区域可以划为服务器区和终端区两个区域，设计方案相对简单，本文只论述制播三级区的设计方案。以主干平台系统为例，根据系统内服务器所承载的服务不同，划分为应用服务区、运维区、安全管理中心区三个部分。应用服务区包括主干平台各类服务器，运维区包括主机核心加固管理端、数字认证系统（ DSVS）服务端、运维审计设备、漏洞扫描设备、运维终端设备等，安全管理中心区包括 IDS、数据库审计系统及安全管理中心相关设备等。图 3 北京电视台制播

9、网主干系统安全拓扑图 3.1.2 安全审计审计是指收集、记录运维用户对服务器、网络设备资源的使用情况，在出现安全事故时，可以追踪原因，追究相关人员的责任，以减少由于内部计算机用户滥用网络资源造成的安全危害。根据信息系统等级保护要求，对于三级信息系统需建立网络设备的安全审计机制，对确认的违规行为及时报警。本方案建立集中统一的运维审计平台，对网络设备、服务器设备、安全系统的用户和各种资源进行集中管理、集中权限分配、集中审计。审计记录包括事件的日期、时间、用户名、 IP 地址、事件类型、事件是否成功等。设备产生的日志文件会统一集中在安全管理平台处理。一般情况下，系统维护员对网络设

10、备的操作是通过运维审计系统完成。运维审计系统是一种被加固的可以防御进攻的计算机，具备坚强的安全防护能力。因此运维安全审计系统能够拦截非法访问和恶意攻击，对不合法命令进行阻断、对操作行为进行审计，过滤掉所有对目标设备的非法访问行为。运维终端对制播网内重要设备（服务器、交换设备、存储等）操作，均需要通过运维审计系统，既这些设备仅允许运维审计系统 IP 登录。运维审计系统也会将通过运维审计系统对网络设备的操作记录下来。通过运维审计系统和设备日志分析，可以全面达到审计要求。 3.1.3 网络设备防护网络设备防护第 a）（身份鉴别、复杂口令）、 c）（登录失败处理）、 d）（基本安全配

11、置）、 g）（特权用户权限分离）、 h）（远程管理）等项可通过设备自身安全手动加固完成，对 b）（双因素认证）、 e）（登录地址限制）项可通过运维审计系统达到要求，用户登录运维审计系统时需要使用用户名密码和数字证书两种认证方式方可登录。 BTV 制播网等级保护三级系统采用数字证书以及数字签名验证服务器（ DSVS）来实现对登陆用户的双因素身份鉴别功能。在基础网络安全、网络边界安全、服务端安全客户端安全、应用安全等层面统一使用一套数字证书系统。 BTV 制播网等级保护三级业务系统按照以下内容进行安全加固：数字证书口令长度不少于 8 位，由数字和字母等混合组成，每季度变更一

12、次。保证应用系统的管理、审计、授权等特权权限分配给不同的应用系统账户，实现权限分离。配置最小权限，取消默认账户。 3.2 边界安全边界网络安全防护关注如何对进出的数据流进行有效的检测和控制，有效的检测机制包括基于网络的入侵检测、对流经边界的信息进行内容过滤；有效的控制措施包括网络访问控制、入侵防护、安全审计、以及对于远程用户的标识与认证访问权限控制。上述安全防护机制与其它层面安全措施可协同实现。边界安全防护是 BTV 制播网信息安全建设的关键部分，对制播网来说，绝大多数安全隐患都来自于网络边界。本方案部署的产品除边界访问控制设备（万兆防火墙）外，均在接入层进

13、行部署。 3.2.1 访问控制区域边界是不同安全区域或各安全子域间进行信息交互的关键节点， BTV 制播网的边界访问控制是边界安全设计的重点。制播三级区和制播二级区之间采用防火墙实现边界访问控制。防火墙采用透明模式部署在核心交换机与汇聚交换机之间，可以为各个业务系统访问主干系统提供访问控制措施，并阻断、过滤网络层的攻击性行为。边界访问控制基于数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息。广电行业等保要求访问控制 a）（网络边界访问控制）、 b）（应用层协议命令级控制）项通过部署在三级系统边界的万兆防火墙实现； c）（防止地

14、址欺骗）项通过 IP 与 MAC 地址绑定实现，由于外部网络不能直接访问 BTV 制播网，因此 d）（外部网络访问用户强制认证）、 e）（外部网络连接最大流量及网络连接数限制）项不适用于 BTV 制播网。 3.2.2 安全数据交换安全数据交换是广电行业标准的重点和关键项，这是由广电行业不间断运行的特殊性决定的。除了 a）（系统间数据交换限定文件类型及格式）项可以达到要求外， b）（蓝光、 P2 等移动介质防毒、专业移动介质上载防护）、 c）（数据交换区或专用数据交换设备）、 d）（数据交换区与外部网络安全隔离）项都无具体的实现方法，没有现成的设备或系统满足要求。北京电视台自行

15、建设的高安全区数据交换系统和新介质安全防护系统可以有效解决此类需求。高安全区 BTV 制播网网络边界为位于制播网和办公网之间的高安全区，为适应制播网的业务拓展和新媒体系统与制播网之间的数据安全交换，北京电视台制播网设计并实现了新型的高安全区，新高安全区按照不同的数据传输需求，设立了三条通道：控制信息及元数据传输通道、办公网至生产网媒体数据传输通道、生产网至办公网媒体数据传输通道。图 4 高安全区拓扑图从办公网向生产网传输数据，可以认为是从安全级别低的网络向安全级别高的网络传输数据，需要重点防范病毒和非法入侵，从此通道传输的数据均经过NIPS 及三层杀毒，杀毒站点之间通过

16、私有 USB 协议传输数据，以杜绝网络病毒的传输；而从生产网向办公网传输数据，则可认为是从安全级别高的网络向安全级别低的网络传输数据，重点考虑的应该是网络隔离的问题；而传输控制信息的双向通道，需要考虑各类安防措施，由于只是传输控制信息，所占带宽较小，传输效率不是考虑重点。在此三条通道的基础上，建设以 SOA 架构的综合性业务支撑平台，完成制播网与办公网各业务系统的数据交换。新介质安全防护系统制播网另一类边界为通过高清新介质向制播网上载素材，高清新介质指 P2卡、蓝光盘等存储介质，这类介质一般为通用存储介质，计算机可对其进行读写。北京电视台建设的高清新介质安全防护系统，在 Win

17、dows 操作系统驱动层面对非法目录和非法文件进行了有效屏蔽，并可实现 USB、 1394、光驱等通信端口的管理。 3.2.3 入侵防范入侵检测系统最主要的功能是对网络入侵行为的检测，它可以自动识别各种入侵模式，在对网络数据进行分析时与这些模式进行匹配，一旦发现某些入侵企图，就会进行报警。通过接入交换机的千兆接口将指定 VLAN 的流量镜像至入侵检测设备。对入侵防范 a）（在网络边界监视各类攻击行为）、 b）（对攻击行为进行记录）两项要求，通过网络入侵检测系统（ TDS）实现，网络入侵检测系统（ TDS）作为访问控制设备的有效补充，它能够实时检测网络流量，监控外部用户的网络行为，

18、并对违反安全策略的流量和访问进行及时报警。对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、 IP 碎片攻击和网络蠕虫攻击等可以有效监视并记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时提供报警。 3.2.4 恶意代码防范对恶意代码防范 a）（恶意代码检测）、 b）（边界防恶意代码产品与系统内部恶意代码产品不同）两项，可以通过在入侵检测系统（ TDS）上增加防病毒模块来加强对访问服务区的数据流进行检测与防护，对恶意程序及病毒代码进行过滤检测。 BTV 制播网内部防恶意代码产品为赛门铁克公司的 SEP11， TDS 防病毒模块为卡巴斯基的恶意代码库。 3.2.5 安全审计网络边界的安全审计功能通过开启防火墙审计功能实现。防火墙需要根据审计要求将审计日志集中发送到安全管理平台上做集中日志审计。审计内容包括网络访问成功的日志、网络访问拒绝的日志、不符合防火墙策略被拒绝掉的网络访问请求等。对于防火墙不能处理的审计内容，部署于接入交换机层面的入侵防范系统也可以对网络边界行为进行审计。所有审计信息均在安全管理平台上集中呈现。

展开阅读全文