廣播電臺網絡信息安全策略研究與實踐應用

劉 新

保障廣播電視信息系統的網絡信息安全，就是要做好廣播電視業務平臺信息系統的網絡規劃，發現網絡安全隱患和漏洞，有效提升網絡安全防護能力，運用網絡安全策略對廣播電視業務平臺網絡信息系統進行合理建設、運行和維護，提高廣播電視信息系統整體安全防護能力。

1 廣播電臺信息系統網絡安全等級保護基本要求及相關制度

廣播電視行業相關信息系統的安全防護主要依據《廣播電視相關信息系統安全等級保護基本要求》、《廣播電視相關信息系統安全等級保護定級指南》作為廣電行業的網絡信息安全標準，以物理安全、網絡安全、邊界安全、數據安全、安全管理機構、人員安全管理、系統建設、運維管理等多方面多層次提出管理和技術要求，吉林人民廣播電臺業務支撐平臺信息系統依照以上管理和技術要求，成立網絡安全領導小組，建立健全各類網絡信息安全應急預案和網絡安全管理制度，修訂并補充網絡安全事件上報機制，對相關信息系統進行系統定級，確定保護等級。本文以定級備案的吉林人民廣播電臺業務支撐平臺信息系統（第二級廣播電視信息系統）為例，對其進行網絡信息安全策略分析和研究。

2 廣播電臺網絡信息基礎網絡安全的網絡構架與安全審計

2.1 網絡構架

1）空間和設備冗余：首先為滿足廣播電臺業務高峰期的需求，要確保網絡鏈路負載均衡、入侵防御、防火墻、上網行為管理及流量控制、核心交換機、匯聚交換機等關鍵網絡設備的主要技術性能具有寬裕的處理空間，整體網絡帶寬上也應具備冗余空間，同時應為互聯網業務接入業務、涉及播控中心播出業務、綜合辦公業務等直接相關系統的關鍵網絡安全設備配置冗余。

2）層次化網絡結構設計和網絡安全域劃分：在系統建設開始階段，應考慮網絡縱深防護，將播控中心系統中與播出直接相關信息系統構建于縱深網絡結構內部，禁止該信息系統內部無線組網；合理劃分網絡安全域，依照網絡關鍵設備安全性，信息系統功能、業務流程重要性等劃分不同級別的安全保護區域。

3）子網劃分與隔離：在同一安全域中的信息系統的子網劃分依照重要的業務類型、樓層的物理位置、同一樓層不同部門等因素來劃分子網；同一安全域劃分出子網的重要網段與其他網段之間隔離手段可采用接入防火墻過濾或網絡訪問控制列表方式進行。

吉林人民廣播電臺業務支撐信息平臺網絡構架拓撲圖如圖1所示。

圖1 網絡構架拓鋪圖

2.2 安全審計

首先要求對鏈路負載均衡、入侵防御、防火墻、上網行為管理及流量控制、核心交換機、匯聚交換機等關鍵網絡設備及重要服務器、終端、數據庫、主要應用軟件中包含每個設備和軟件的運行日志以供查詢，同時網絡管理人員對網絡設備操作的行為記錄都應保存。其次關鍵網絡設備審計日志庫中記錄保存項目應該詳盡，對網絡安全事件的日期、時間、IP地址、事件類型以及操作人員都應詳細記載，審計記錄至少保存6個月以上。最后定期對審計設備的數據庫及網絡關鍵設備日志進行分析，以便及時發現是否有非正常操作人員行為及設備告警等狀況，并形成分析報告。

3 網絡信息安全邊界防護和病毒防護

吉林廣播電視臺業務支撐平臺信息系統網絡信息安全邊界防護包括外部互聯網接入系統、播控中心的融媒體播出系統、應用安全系統、個人存儲空間系統和安全監控系統等組成。重要的關鍵信息系統安全邊界均部署入侵防御、防火墻、統一安全網關等安全防護設備，對網絡安全邊界防護設備安全策略配置按照訪問控制、安全數據交換、入侵防范、惡意代碼防范、邊界完整性等規則設計實施，根據我臺網絡邊界防護的實際業務情況，對鏈路負載均衡、入侵防御、防火墻、上網行為流量管理等網絡安全設備及病毒防護的安全策略應用如下：

1）在互聯網出口部署兩臺連接不同ISP供應商的鏈路負載均衡設備，配置浮動IP地址、NAT地址轉換、端口復用、優化路由算法等網絡安全技術，加速信息系統互聯網安全應用。

2）部署入侵防御（IPS）系統，針對端口掃描、木馬后門、緩沖區溢出、IP 碎片和網絡蠕蟲等攻擊特征，配置網絡動作語義阻止攻擊行為，拒絕木馬等特征流量等動作，實現邊緣網絡的安全。

3）開啟防火墻的訪問控制拒絕強力掃描、惡意代碼防護、拒絕服務攻擊（DDoS）防護、VPN、HA等安全防護功能，實時對信息系統內部網絡的服務器終端設備的漏洞，病毒，URL和內容等應用進行不同層次深度掃描監控，實行用戶/應用行為的精細化訪問控制策略。采用VPN等安全認證方式登錄網絡信息系統進行設備管理。

4）上網行為流量管理禁止個人訪問互聯網非法內容，阻斷非法網站訪問，限制無關業務網站的大量訪問連接流量、次數等應用，禁止通過互聯網進行遠程管理和內部網絡用戶私自聯到外部網絡的行為；依據業務需要、部門及個人需求對網絡流量加以分類，對網絡流量進行過濾或者減少非業務數據流，如P2P下載、海量下載等行為。

5）針對廣播電臺重要信息系統播控中心接入區域（播出系統）與其他各信息系統在安全網絡區域內進行數據文件交換時，使用專用安全數據交換設備網閘對網絡間傳輸的文件格式進行過濾、限定，對其文件結構、文件內容、大小、后綴進行鑒別，阻斷非法文件交換。

6）在應用安全系統內布置企業級殺毒服務中心服務器，對其他信息系統的服務器和客戶終端安裝了防病毒軟件，同步更新軟件版本和病毒庫，及時更新服務器和終端操作系統補丁，即時查殺國內外最新的病毒程序文件。

4 網絡信息安全身份認證和數據安全

4.1 身份認證

對于廣播電臺業務支撐平臺信息系統中網絡設備、服務器、數據庫、業務應用系統采用本地管理和采用安全的手段（如HTTPS、SSH、加密的遠程桌面連接等）遠程管理兩種方式進行管理；對用戶登錄網絡設備、服務器、數據庫、業務應用系統，使用用戶名和口令進行鑒別，口令有復雜度要求（8位以上，至少含大寫、小寫字母、數字、特殊字符等其中三種的組合），而且口令密碼定期更換；網絡設備、主機、數據庫、應用軟件啟用登錄失敗處理功能，如登錄者嘗試一定次數（如5次）的登錄操作不成功，系統自動鎖定該終端IP的請求，一定時間后予以解除；對登錄服務器、數據庫的終端限定了接入方式、對網絡設備的管理員登錄地址進行限制，僅允許指定IP地址或IP段訪問。

4.2 數據安全

廣播電臺業務支撐平臺信息系統采用了加密方式實現用戶身份鑒別信息的存儲保密性，例如口令的加密傳輸和保存；業務應用軟件的用戶分角色管理，全網中不同設備的權限配置和功能提供用戶分級管理的功能；對信息系統的重要業務信息進行備份，并且對重要業務信息備份數據進行恢復試驗。

5 結束語

網絡信息安全防護是廣電科技創新時代下廣播電視行業一項重要工作和新要求，隨著廣電新媒體業務、融媒體建設不斷推進，建設廣播電臺信息網絡安全工作需要更加全面的改進和完善，我們只有不斷健全并嚴格執行網絡安全管理制度，強化網絡安全防護的技術手段，規范網絡安全測評需求和問題整改，才能切實保障廣播電視網絡安全工作正常性、有效性、安全性，更好地開展新聞輿論宣傳工作。