廣西整省（區）廣播電視無線發射臺站運行支撐管理系統信息安全規劃與實現

廖 蕓（廣西廣播電視技術中心）

?

廣西整省（區）廣播電視無線發射臺站運行支撐管理系統信息安全規劃與實現

廖 蕓
（廣西廣播電視技術中心）

［摘 要］結合實例，討論廣西整省（區）廣播電視無線發射臺站運行支撐管理系統信息安全規劃的主要組成部分和實現功能，通過技術手段和管理手段，保障廣播電視遠程監控系統的信息安全。

［關鍵詞］廣播電視；遠程監控；信息安全

1　引言

廣西整省（區）廣播電視無線發射臺站運行支撐管理系統（以下簡稱遠程監控系統）承擔著全區300多個無線發射臺站的發射設備和播出情況以及周邊環境的實時監控、告警管理、資產管理、工單維護等安全播出管理工作。隨著廣播電視事業的不斷發展壯大，廣播電視無線覆蓋率逐年提升，日后將承擔更多無線臺站的安全播出管理工作。該系統的業務信息覆蓋全區，社會影響力大，系統正常運行與否，直接關系到廣播電視安全播出這一生命線。若系統遭受非法入侵或破壞，可能直接造成安全播出事故，對社會秩序和公共利益造成不良影響。

2　信息安全規劃與實現

按照GB/T 22239-2008《信息安全技術 信息系統安全等級保護基本要求》中第三級的基本要求，我們將遠程監控系統劃分為內網和外網兩大部分，內外網之間通過網閘進行隔離，每一部分再按照具體業務細分為多個安全區域，采取不同的防護手段，結合物理安全防護和統一安全管理，整個系統的信息安全防護體系如圖1所示。

圖2　網站防護部署示意圖

圖1　系統信息安全防護體系示意圖

2.1物理防護

遠程監控系統所在機房，除了防盜、防靜電、防水、防潮、溫濕度控制、電力保障等防破壞基本保護措施之外，我們重點加固了防雷、自動消防和視頻監控建設。建筑物、機房內的電源線、信號線、電子設備等均采取了必要的防雷措施。機房內部采用防火材料裝修，設置感煙、感溫兩路報警，并配備了七氟丙烷氣體自動消防系統。機房出入口和內部均安裝有紅外攝像機，做到對機房整體環境實時監控。

2.2外網防護

遠程監控系統的業務網站，面向單位職工提供發射臺站實時狀態監控服務。部分臺站通過VPN采集的數據也由此回傳。我們按照網站漏洞檢測結果，從網站代碼源頭入手，逐一修復漏洞，增強代碼的健壯性和安全性。互聯網接口處更換了性能更好的防火墻，對進出網絡的數據包進行路由控制和狀態檢測。同時，增加部署Web應用防火墻和網站防篡改系統用以防御針對網站進行的攻擊。網站防護部署如圖2所示。

網站區域中的Web服務器對外提供業務服務，其上安裝有監控代理，用于監控Web目錄文件，阻斷非法篡改，實時恢復正常文件。同時，應用防護系統監測并阻斷針對應用層進行的諸如XSS、SQL注入、遠程命令執行等各類攻擊。管理區域中的同步代理將備份更新后的目錄文件實時同步到Web服務器，并實時響應監控代理的告警，將被篡改的文件恢復正常。監控中心則實時接收來自監控代理和同步代理的告警信息，并將操作指令傳送至代理端執行。

2.3內網防護

遠程監控系統的內網承載著全區廣

播電視無線臺站遠程監控智能管理核心業務。內網與外網之間增加部署網閘進行相互隔離。內網中，我們重點部署了終端安全管理系統和入侵防御系統。

2.3.1終端安全管理系統

終端安全管理系統部署如圖3所示。我們對每臺請求接入遠程監控系統的終端采用USBkey令牌認證，用戶首次訪問時，強制用戶到指定站點進行認證。不合法用戶將強制退出，禁止訪問。對于合法用戶將按照制定的安全策略進行用戶主機和行為的安全評估，包括對主機登錄密碼設置、系統補丁安裝、防病毒軟件安裝、病毒庫升級、是否非法外聯、私自使用移動存儲介質等情況進行安全性檢查。檢測不合格的用戶將進入隔離區修改配置、規范行為，直至符合安全策略的要求。只有符合安全策略的用戶方可允許進入系統，按照用戶角色進行權限分配，只允許進行權限范圍內的操作，對系統進行受控訪問。

終端安全管理客戶端具有自我保護機制，能夠防止用戶隨意停止或卸載。客戶端和服務器相互通信采取雙向認證機制，能夠防止同類或假冒客戶端非法進入網絡。同時，依靠統一管理中心對所有終端進行整體管理，包括終端資產、準入控制、策略管理、文檔加密、接口聯動、行為審計、報表分析等多樣化功能，形成對終端的事前規劃、事中監控和事后分析統計的立體化管理，有效保障整個遠程監控系統的終端接入安全。

2.3.2入侵防御系統

在內網的核心節點處，部署入侵防御系統，導入豐富的異常行為特征庫，并定期更新特征庫。對于流經內部網絡的多種報文，采用基于指紋特征的檢測技術，首先根據報文的源地址、目的地址、端口、關鍵信息進行分類，智能識別出協議類型、流量統計等信息，配合高效匹配算法將報文和攻擊行為特征庫、病毒特征庫進行高速精確匹配，阻斷符合特征值的報文，與之相關的信息將自動更新，指示系統刪除關于該報文的所有數據信息。采用大規模并發過濾處理機制，不會因處理報文而對網絡數據率造成影響，過濾后剩下正常的報文方可進入網絡。通過查看事件記錄，可追溯異常源頭，分析詳細情況，調整防護設置。

圖3　終端安全管理系統部署示意圖

2.4安全管理

為了方便管理遠程監控系統包含的眾多設備，我們整合了一套安全管理系統。依靠一個安全管理平臺，即可管理系統中所有的設備資產、策略配置、用戶權限等內容，通過匯總所有設備上報的實時狀態和審計日志，并進行分析和統計，讓系統整體運行情況一目了然。平臺對所有監控指標產生的告警進行集中的響應，支持聲、光、電等多種告警方式，并能夠通過手機短信、電子郵件等發出告警。同時，還制定了例如人員管理制度、資產管理制度、運維管理制度等一系列安全管理制度，以及安全事件處置和應急響應預案。平時嚴格規范各項制度，并定期進行應急演練。

3　小結

信息安全建設是一個動態的、長期發展的過程。隨著廣播電視事業的不斷壯大，遠程監控系統將不斷拓展功能，信息安全建設也將隨之升級換代。我們應以長遠的眼光看待問題，關注業界發展態勢，與時俱進，加大信息安全建設力度，不斷完善遠程監控系統的信息安全防護體系。

參考文獻：

GB/T 22239-2008《信息安全技術 信息系統安全等級保護基本要求》