CBG融合新聞系統(tǒng)在信息安全等保建設(shè)過程中的加固建設(shè)

李相如，馮 梅

（重慶廣播電視集團(tuán)（總臺）信息技術(shù)中心，重慶 400039）

2016年下半年，按照集團(tuán)“廣播電視一盤棋”“統(tǒng)籌構(gòu)建技術(shù)支撐體系”的融合發(fā)展戰(zhàn)略和總體思路，我們技術(shù)團(tuán)隊堅持以先進(jìn)技術(shù)為支撐、內(nèi)容建設(shè)為根本，遵循融合、開放、發(fā)展、安全的構(gòu)建原則，充分發(fā)揮自主規(guī)劃設(shè)計的創(chuàng)造力，啟動融合媒體工程規(guī)劃和建設(shè)，構(gòu)筑統(tǒng)一云架構(gòu)下的支撐全新內(nèi)容生產(chǎn)與傳播形態(tài)，打造下一代技術(shù)體系，為推動內(nèi)容、渠道、平臺等方面的深度融合、發(fā)揮融合媒體競爭優(yōu)勢夯實技術(shù)基石。從嚴(yán)謹(jǐn)?shù)脑O(shè)計到2017-04正式上線搭建，我中心技術(shù)人員全面參與了基礎(chǔ)云平臺設(shè)備上架，及其后一系列系統(tǒng)調(diào)試工作，及后續(xù)工程部署。我也重點參與到信息安全等級保護(hù)的評測工作中。從2017-11開始，我們與負(fù)責(zé)項目實施的相關(guān)單位密切合作，針對融合媒體系統(tǒng)的安全需求查找了問題，著重于網(wǎng)絡(luò)服務(wù)的硬件和軟件兩方面對現(xiàn)有融合媒體網(wǎng)絡(luò)環(huán)境下的安全問題進(jìn)行了梳理，制訂了網(wǎng)絡(luò)安全加固建設(shè)方案。

1 系統(tǒng)安全方面目標(biāo)調(diào)研及問題梳理

1.1 融合新聞系統(tǒng)現(xiàn)狀及安全目標(biāo)

重慶廣播電視集團(tuán)（總臺）融合新聞系統(tǒng)由提供服務(wù)的硬件和軟件兩大要素構(gòu)成。系統(tǒng)網(wǎng)絡(luò)核心采用雙核心交換機(jī)，保障了設(shè)備的冗余，避免了重要設(shè)備的單點故障。融合新聞系統(tǒng)邊界采用了USB擺渡系統(tǒng)和下一代防火墻系統(tǒng)，實現(xiàn)了端口級的訪問控制、媒體文件擺渡、入侵防護(hù)及病毒查殺等功能。計劃建立安全管理中心包含入侵檢測系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、日志審計系統(tǒng)、運維審計系統(tǒng)、防病毒終端管理系統(tǒng)、漏洞掃描系統(tǒng)、數(shù)字證書及身份認(rèn)證系統(tǒng)等功能，可實現(xiàn)系統(tǒng)的雙因素認(rèn)證及日志審計等功能。

網(wǎng)絡(luò)系統(tǒng)劃分了多個區(qū)域，系統(tǒng)內(nèi)部網(wǎng)絡(luò)分為安全管理區(qū)、新聞生產(chǎn)區(qū)、虛擬化應(yīng)用區(qū)、APP區(qū)等多個區(qū)域。其中，每一個區(qū)域為一個網(wǎng)段，網(wǎng)段之間的訪問均由防火墻進(jìn)行控制。系統(tǒng)網(wǎng)絡(luò)與外部辦公區(qū)和公有云間通過防火墻、USB擺渡設(shè)備進(jìn)行安全隔離。

1.2 對照目標(biāo)

主要在網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器/存儲設(shè)備及各終端和業(yè)務(wù)應(yīng)用軟件等系統(tǒng)中進(jìn)行了問題查找。

1.2.1 網(wǎng)絡(luò)設(shè)備

核心交換機(jī)、葉層交換機(jī)、服務(wù)器接入交換機(jī)。

1.2.2 安全設(shè)備

邊界防火墻、入侵防御、堡壘機(jī)、日志審計系統(tǒng)。

1.2.3 服務(wù)器/存儲設(shè)備

第1眼應(yīng)用服務(wù)器、新聞生產(chǎn)應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、融合新聞系統(tǒng)數(shù)據(jù)庫服務(wù)器。

1.3 問題梳理

安全管理方面，應(yīng)具備完善的安全責(zé)任制，崗位設(shè)置合理，人員分工明確，基本形成了全面的信息安全管理制度體系，具有規(guī)范的人員安全管理制度、流程和記錄等。但還存在部分制度不健全、記錄不完善、管理不到位等問題，根據(jù)等級保護(hù)3級要求，在加固過程中擬定進(jìn)行安全管理、完善安全管理制度和安全管理記錄等方案。

該系統(tǒng)在技術(shù)安全的各層面雖然分別采取了相應(yīng)的安全措施，但也存在不同程度的安全問題。其具有的安全措施和存在安全問題如下：①物理安全層面。機(jī)房管理方面能夠依照法律、行政法規(guī)的規(guī)定，制定機(jī)房安全管理制度，采取防火、防雷和短期電力供應(yīng)等必要措施，保障機(jī)房設(shè)備安全、穩(wěn)定運行，積極應(yīng)對物理安全事件。②網(wǎng)絡(luò)安全層面。該骨干網(wǎng)絡(luò)的基礎(chǔ)設(shè)施完善，主要網(wǎng)絡(luò)和安全設(shè)備都采用雙機(jī)熱備，主要網(wǎng)絡(luò)設(shè)備處理能力滿足業(yè)務(wù)高峰期需要。網(wǎng)絡(luò)采用分區(qū)分域的策略，根據(jù)業(yè)務(wù)情況和功能不同，將網(wǎng)絡(luò)劃分成了多個不同的區(qū)域，且區(qū)域間部署了帶有IPS和防病毒模塊的防火墻和三層交換機(jī)實施訪問控制。③主機(jī)安全層面。大部分系統(tǒng)具有較好的安全防護(hù)能力。在自查中發(fā)現(xiàn)，主機(jī)層面還存在以下問題，即工作站和管理終端未采取雙因子方式進(jìn)行身份鑒別；部分Windows服務(wù)器未重命名administrator賬戶；工作站不能自動生成審計報表；工作站和管理終端補(bǔ)丁未及時更新，也不能對系統(tǒng)服務(wù)水平的降低進(jìn)行監(jiān)控和報警，因此，還存在一定的安全隱患。④數(shù)據(jù)庫安全方面。數(shù)據(jù)庫在身份鑒別、訪問控制、資源控制、數(shù)據(jù)備份與恢復(fù)等方面均采取了一定的數(shù)據(jù)庫安全保護(hù)措施。⑤應(yīng)用安全層面。系統(tǒng)在滿足業(yè)務(wù)需求的基礎(chǔ)上提供了較嚴(yán)格的安全控制措施，但仍然存在少量安全配置不合理、缺少安全功能的情況。

2 加固方案及實施

針對信息安全等級保護(hù)的目標(biāo)及自查中找到的問題，我們制訂了一系列的安全加固方案，并予以實施，期望在不影響系統(tǒng)正常運行的基礎(chǔ)上達(dá)到安全等級保護(hù)的需求。

2.1 軟件加固

增加部署了中心節(jié)點的入侵檢測設(shè)備，能根據(jù)需要對數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)攻擊行為和惡意代碼。系統(tǒng)中部署了堡壘機(jī)，配合設(shè)備配置，保護(hù)網(wǎng)絡(luò)設(shè)備和安全設(shè)備；部署了日志審計系統(tǒng)，對網(wǎng)絡(luò)設(shè)備和安全設(shè)備日志進(jìn)行收集和保護(hù)。

對部分工作站和管理終端增加了采取雙因子方式進(jìn)行身份鑒別；部分Windows服務(wù)器重命名了administrator賬戶；增加了自動生成審計報表功能；安裝了最新必要的安全補(bǔ)丁；分配了用戶最小使用權(quán)限；禁止遠(yuǎn)程訪問（無必要的主機(jī)）；梳理添加了遺漏的可信IP地址訪問控制等。

對數(shù)據(jù)庫系統(tǒng)管理員劃分合理的最小權(quán)限進(jìn)行制約，提供剩余信息保護(hù)措施和應(yīng)用服務(wù)水平監(jiān)測功能等。

2.2 硬件加固

在設(shè)備方面，復(fù)核了所有關(guān)鍵的網(wǎng)絡(luò)設(shè)備和安全設(shè)備以及數(shù)據(jù)庫和服務(wù)器主機(jī)，增加了部分未有的數(shù)據(jù)處理系統(tǒng)的硬件冗余。對部分未達(dá)標(biāo)的網(wǎng)絡(luò)交換設(shè)備在增加賬號口令復(fù)雜度；禁用telnet、啟用SSH；關(guān)閉非必要端口、啟用端口安全；開啟TCP攻擊防御等方面進(jìn)行了操作。

2.3 安全管理文檔及制度

增加人員安全管理及運維安全管理方面的具體措施，包括落實了管理類文檔、記錄類文檔和其他文檔。

3 經(jīng)驗小結(jié)

融合新聞系統(tǒng)是基于云計算的融合新聞中心技術(shù)平臺，完成新聞全媒體融合生產(chǎn)、渠道多元化融合發(fā)布和融合互動業(yè)務(wù)。新的結(jié)構(gòu)形式有新的安全需求，在整個項目安全加固過程中，我們累積了很多經(jīng)驗，比如對項目中會使用到的系統(tǒng)鏡像或軟件模板的補(bǔ)丁或者殺毒軟件進(jìn)行預(yù)置；禁用掉虛擬機(jī)系統(tǒng)無需使用的所有重要端口；對關(guān)鍵設(shè)備做好冗余備份；在項目建設(shè)階段提前配置堡壘機(jī)，在云環(huán)境的虛擬設(shè)備上均通過堡壘機(jī)來訪問操作；對安全管理制度及早制訂等。

4 結(jié)束語

經(jīng)過認(rèn)真的加固建設(shè)，于2017-12中旬，集團(tuán)融合新聞系統(tǒng)順利通過了國家信息系統(tǒng)安全三級等保測評，既為我臺融合新聞系統(tǒng)的全面驗收打好了基礎(chǔ)，也標(biāo)志著集團(tuán)信息網(wǎng)絡(luò)安全保障進(jìn)入了新時期。