淺談廣播電視網絡安全的建設

【摘要】 為推動我國信息安全等級保護工作的開展，近十年來，全國信息安全標準化技術委員會和公安部信息系統安全標準化技術委員會組織制訂了信息安全等級保護工作需要的一系列標準，形成了比較完整的信息安全等級保護標準體系，為開展信息安全等級保護工作奠定了基礎。本文主要從四方面對廣電網絡安全建設方案進行了簡單闡述，為下一步網絡安全的建設提供了參考。

【關鍵詞】 信息安全 等級保護 安全方案 安全防護

為貫徹落實國家信息安全等級保護制度，規范和指導全國廣電行業信息安全等級保護工作，按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安〔2009〕1429號）要求，廣電總局科技司于2011年向發布了《廣播電視相關信息系統安全等級保護定級指南》的通知。根據通知要求，有線電視網絡作為廣電集團最重要的承載網絡，有線電視網絡應該按照三級等級保護建設。

一、安全方案建設原則

1.1先進性原則：安全設備必須采用專用的硬件平臺和安全專業的軟件平臺保證設備本身的安全，符合業界技術的發展趨勢，既體現先進性又比較成熟，并且是各個領域公認的領先產品。

1.2成熟性原則：網絡安全是廣電信息化的基礎，網絡的穩定性至關重要。安全設備由于部署在關鍵節點，成為網絡穩定性的重要因素，整個設計必須考慮到高可靠性因素。

1.3 責任明確與安全最小授權原則：安全策略管理必須遵從最小授權原則，即不同安全區域內的主機只能訪問屬于相應區域資源；建設方案從技術流程上設計明確的技術分界面，保證網絡管理運營中的各責任實體責權分明。

1.4 可擴展性原則：要求網絡安全解決方案可以隨同網絡的擴展具有靈活的可擴展性，特別是對業務復雜性的增加具有良好的支持。

1.5 開放兼容性：符合當前安全產品設計規范、技術指標符合國際和工業標準，支持多廠家產品，本著有效性原則，有效的保護投資。

二、網絡及主機安全建設方法

2.1 威脅分析

隨著近些年廣電業務及技術的不斷發展，廣電網絡走向全業務運營是必然趨勢。業務的多樣化，讓廣電網絡由封閉走向開放，使得網絡安全問題從小到大，越來越受到挑戰。而常見的威脅主要表現在：敏感信息篡改、廣告頁面被黑客篡改、視頻內容被黑客篡改。

從整體上看，廣電網絡的安全防護分成網絡邊界安全防護、入侵防御、遠程接入安全、業務應用防護、Web應用防護、統一安全運維、安全事件管理等幾個層面，在互聯網接入，網絡傳輸，終端接入等方面存在如下安全威脅和挑戰：

1） 互聯網出口DDoS攻擊威脅：一旦出現DoS/DDoS攻擊，數據中心網絡出口被堵塞，內部用戶無法通過校內網絡訪問internet，外部用戶也無法正常訪問服務器；

2） 互聯網出口安全隔離：防止非法訪問，對不同的用戶，各種服務器，管理區進行安全隔離，只有通過授權的用戶才能正常訪問；滿足數據中心出口增長的帶寬的需要，減少鏈路選擇維護工作量；區別各種攻擊流量和正常流量，并能采取相應的措施保護內部網絡免受惡意攻擊，保證內部網絡及系統的正常運行；

3） VPN移動接入：移動辦公，出差用戶接入提供SSL VPN接入功能，實現用戶安全接入；

4） NAT轉換：由于公網地址非常有限，廣電網絡出口需要采用大容量NAT設備來做NAT轉換，記錄NAT轉換，QQ/MSN等IM的上下線日志，便于后續審計；

5） 上網行為管理與審計：滿足相關要求，進行URL過濾、應用行為控制、流量管理、數據防泄漏、惡意軟件防護、互聯網行為記錄，提升工作效率、營造安全辦公環境、以及滿足法規遵從；

6） 服務器入侵檢測與防護：防止對HTTP、FTP、DNS、Mail等服務器的各種攻擊，包括蠕蟲，木馬，間諜軟件，廣告軟件，僵尸網絡，數據庫注入攻擊，跨站腳本，緩沖區溢出，系統或服務漏洞攻擊，暴力破解等；

7） 網絡病毒防護：服務器病毒防護，防止病毒通過HTTP、SMTP、POP3、FTP等網絡協議進行傳播；

8） WEB防護：解決目前所面臨的各類網站安全問題，如：網頁防篡改，Web應用加速，惡意編碼，網頁木馬，緩沖區溢出，信息泄露等；

9） 運維審計：對數據中心核心業務系統、主機、數據庫、網絡設備等各種IT資源的帳號、認證、授權和審計的集中管理和控制，解決IT運維管理問題，滿足相關法規、標準要求，完善IT管理體系，實現IT核心資源的統一接入管理和運維審計。

綜上，廣電網絡作為宣傳重要窗口，一旦安全性受到挑戰，帶來的影響將會非常惡劣。所以，廣電網絡對安全需求的要求更高。

2.2安全功能構架圖

廣電網絡要以滿足廣電行業相關安全標準、ISO27001、等級保護二級和三級等相關行業規定、法律法規要求為前提條件，提出相應的安全框架，從分層、縱深防御思想出發，根據層次分為物理設施安全、網絡安全、主機安全、虛擬化安全、應用安全、數據保護、用戶管理、安全管理等幾個層面，用來指導廣電網絡安全解決方案的設計。

根據廣電的網絡特點及所承載的互動電視業務，網上營業廳業務、寬帶業務等需求，按照上述的安全架構，建議對廣電網絡劃分不同的安全域來保障信息系統在網絡上的安全要求。這些區域按照其功能可劃分為直播系統區域、VOD互動電視區、BOSS系統區域、網上營業廳區域、互聯網接入區域、分前端區域和管理區等七個區域。由于不同區域承載的業務不同，因此會采用不同的安全防范措施。下面著重從直播系統區域、VOD互動電視區、BOSS系統區域、網上營業廳區域四方面進行安全設計。

三、安全方案設計

3.1 直播系統區域安全設計

直播系統作為廣電的核心業務系統，直播系統的安全播出是全網安全方案設計的重點。

如圖所示，在EPG和中間件等服務器到匯聚交換機之間部署防火墻設備；部署第三方系統引流接入交換機，該交換機采用組播協議和直播的核心交換機連接；當其他接入交換機到直播網絡時，采用防火墻將業務系統和直播網絡進行隔離。

3.2 VOD區

互動電視區域為廣電的重要組成部分，該區主要由VOD媒體服務器、VOD信令服務器、中間件系統以及第三方系統接口等組成。

如圖所示，通過在各有業務服務器接入交換機和核心交換機之間部署防火墻，使用網絡層安全防護，同時部署防病毒網關，實現網絡病毒防護。通過部署專門的入侵防御系統，提供入侵防護，進行虛擬補丁、Web應用防護、惡意軟件防御、網絡應用管控保護，對網絡基礎設施、網絡帶寬性能、服務器進行入侵防。

3.3 BOSS系統區域安全設計

BOSS系統作為廣電綜合業務運營需求的支撐系統，為廣電完成業務轉型及拓展提供有力的支撐，幫助降低運營成本，提高運營收益；BOSS系統同時是一個高效的運營與管理平臺，將大幅度提高廣電行業的管理、運營、服務水平，為決策層提供強大的戰略分析和執行工具，幫助廣電運營商由“粗放式經營”轉向“精細化管理”，BOSS系統的安全與否關系重大。

通過部署防病毒網關，進行網絡病毒防護，防止病毒通過網絡進行傳播。

從網絡層到應用層進行全面掃描和查殺，對各種加殼、壓縮、加密病毒，以及木馬、蠕蟲、惡意軟件等網絡威脅均能夠快速、準確地徹底清除。

對 HTTP、POP3及SMTP協議傳輸的數據進行病毒掃描，當用戶通過網頁請求數據下載時，如果被檢測到下載文件中包含了病毒數據，將向用戶推送病毒告警頁面；而對于郵件協議 POP3、SMTP 協議當檢測到郵件附件里是病毒文件則支持對附件的刪除操作，同時在郵件中打上標簽告知用戶相關信息。

通過部署專門的入侵防御系統，提供入侵防護，進行虛擬補丁、Web應用防護、惡意軟件防御、網絡應用管控保護，對網絡基礎設施、網絡帶寬性能、服務器進行入侵防護。

入侵防御系統通過分析系統的漏洞或已有攻擊事件的字段特征制定特征規則，同時對應用層協議解析，關鍵信息提取，深度模式匹配等方法全面防范各種漏洞攻擊，針對操作系統的漏洞攻擊，針對數據庫服務器的溢出攻擊，針對文件服務器的漏洞攻擊或常用應用軟件如IE瀏覽器的漏洞攻擊等。通過深入到7層的分析與檢測，實時阻斷網絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網頁篡改等攻擊和惡意行為，實現對網絡應用、網絡基礎設施和網絡性能的全面保護。

同時，營業廳有大量的PC終端需要訪問BOSS的服務器，而這些PC機的安全性非常差，容易受到攻擊；因此，在BOSS區域部署接入準入系統，提供統一的策略引擎，在整個組織內實施統一訪問策略，實現基于用戶、設備類型、接入時間、接入地點、接入方式多維度的認證和授權，滿足山西廣電終端接入認證多層次、泛終端接入的需求。

3.4網上營業廳區域安全設計

網上營業廳鏈接互聯網，面臨來自互聯網的各種攻擊，需要進行邊界安全防護，針對來自互聯網安全威脅，內部各個區域之間訪問控制，部署防火墻，專業的DDoS異常流量清洗系統，VPN安全網關，進行安全隔離，訪問控制，DDoS異常流量攻擊，同時為提供SSL VPN遠程安全訪問。

四、結束語

通過對幾個重要的業務系統安全方案的建設進行闡述，為整個網絡安全建設提供了一種思路。通過各系統的建設，提高了整個廣電網絡的安全性，進而達到等級保護的要求。

作者：崔芙云

單位：山西廣電信息網絡集團有限公司 山西省太原市

電話：13934666051

通信地址：山西省太原市長治路453號

郵編：030006