電臺業務內網網絡安全體系構建

◆趙利廣

電臺業務內網網絡安全體系構建

◆趙利廣

（國家廣播電視總局九五一臺 河北 050407）

電臺業務內網網絡安全是保障電臺安全播出的重要一環。本文就電臺業務內網網絡安全體系的構建在網絡安全、終端安全、完全管理三個方面進行了詳細的闡述。電臺業務內網網絡安全體系的構建有效保障了電臺網絡安全和播出安全。

電臺網絡；網絡安全；網絡安全體系

電臺業務內網承載著我臺安全播出業務及事業管理，隨著信息化水平的不斷發展，我臺在安全播出設備系統自動化運用、無紙化辦公等方面對于計算機網絡基礎設施的應用也達到很高的程度，電臺網絡規模在不斷擴大，結構日趨復雜。

網絡安全與否直接關系到安全播出和事業管理能否正常進行，為加強電臺安全播出系統和辦公系統的安全運行及防護，避免電臺安全播出系統和辦公系統遭受到病毒、木馬、惡意攻擊等網絡安全威脅，防止網絡安全事件（系統中斷、數據丟失、信息泄密）的發生，根據我臺實際情況逐漸形成了現有的適合我臺工作特色的網絡安全體系。

1 簡介

電臺業務內網網絡安全體系構建包括網絡安全、終端安全、安全管理。網絡安全是網絡安全體系構建的根基，通過技術手段來構建基礎網絡，使網絡穩定可靠運行。終端安全是網絡安全體系構建的重點，通過采用一些網絡安全措施比如：準入控制、安全管理來保證終端的安全運行。安全管理指建立完善的安全管理體系，包括組織機構的建設、管理制度的制定等。

2 網絡安全

網絡安全，是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。

在網絡的安全方面，主要考慮兩個大的層次，一是整個網絡結構的安全，主要是優化網絡結構，二是整個網絡系統的安全。

2.1 網絡結構

網絡結構的安全是安全系統成功建立的基礎，在考慮電臺環境、設備配置、業務定位、網絡應用、通信量估算及維護管理等因素下，基于安全播出和日常辦公，不斷優化形成如圖1的網絡體系結構。

（1）網絡劃分

我臺業務內網是通過租用運營商專線與局端局域網進行通信的局域網，局臺兩級通過部署防火墻進行安全防護。根據業務需求在主網絡部署防火墻分出兩個子網絡，組成三個網絡分別為辦公網、技術網和財務網。

（2）數據加密傳輸

由于局臺兩級數據通信是租用的運營商的專線，安全播出和事業管理業務數據在傳輸過程中存在被竊取、篡改等風險。為保證數據在傳輸中的安全性和保密性，遂在局臺兩級安裝具有IPSec VPN功能的防火墻實現數據的加密傳輸。

（3）冗余設計

主干網絡采用冗余設計，杜絕單點故障，縮短網絡恢復時間，提高鏈路可靠性，確保業務連續。

在鏈路冗余方面，非機密通道和加密通道互為備份，以加密隧道為主鏈路，一旦主鏈路設備發生故障，可以自動切換回非加密鏈路，確保業務連續性。

在設備冗余方面，采用主干網絡設備通過冷備方式實現冗余。

圖1 網絡體系結構圖

2.2 網絡系統

（1）訪問控制

部署在辦公網、技術網和財務網中的防火墻成為網絡間信息的唯一出入口，且其本身具有較強的抗攻擊能力。在防火墻根據業務需求和安全政策，制定安全策略來控制（允許、拒絕、監控）網絡內外的信息流。例如：在技術網和財務網防火墻配置安全策略，使辦公網及局局域網內指定IP才可以訪問這兩個網絡。同時在防火墻核心交換機配置安全策略關閉139、445等風險端口。·

（2）安全防護

部署在辦公網、技術網和財務網的防火墻，集病毒防護和入侵防御于一體，對流經它的網絡通信進行掃描，全面抵御漏洞入侵、病毒、惡意代碼、木馬程序、間諜軟件、惡意網址等網絡威脅，以避免在目標計算機上執行。

（3）監控審計

如果網絡中所有的訪問都通過防火墻，防火墻就可以記錄這些訪問，并對這些訪問進行安全審計。

根據我臺業務內網的架構配置，局局域網、辦公網、技術網和財務網相互之間的通信流量和財務網內部通信流量都受到防火墻的安全監控，但辦公網和技術網兩個子網內部通信流量因沒有經過防火墻所以受不到防火墻的安全監控。鑒于以上原因，為保證臺業務內網內所有通信流量的安全性，在辦公網和技術網兩個子網的核心交換機做端口鏡像，利用防火墻的旁路監測功能進行安全監測。

通過以上配置，進出網絡的數據都已經通過防火墻，防火墻就可以記錄這些訪問并作出日志記錄，同時提供網絡使用情況的統計信息。當可疑行為發生時，防火墻可以發出適當的警報，并提供有關網絡是否受到攻擊的詳細信息。

（4）設備防護

在核心交換機做acl配置，限定具有權限的IP可以訪問控制網絡設備。網絡設備配置登錄失敗處理功能，采取結束會話、限制非法登錄次數、當前登錄連接超時自動退出等措施。定期更改網絡設備的登錄密碼。部署IT運維管理系統，實時監控網絡設備的運行情況。

（5）入網管控

部署終端接入準入控制系統，有效管理終端的接入行為，對申請入網終端的用戶身份進行驗證和入網安全性檢查，判斷是否允許訪問網絡以及獲得相應的訪問權限。保障終端入網的安全可信，使業務內網接入變得安全、透明、可控，防止網絡被外部設備隨意介入，造成外部病毒入侵，避免網絡資源受到非法終端接入所引起的安全威脅。同時對布置在開放區域的交換機做端口管控，閑置端口采用shutdown命令關閉端口。

3 終端安全

終端安全是網絡安全防護的重點，有權威機構的調查表明90%以上的網絡安全問題來自終端。加之業務內網是運行于局廣域網的局域網，與互聯網是完全隔離的。故業務內網的網絡安全風險主要來源于終端，對終端進行安全管控是保障網絡安全的重要手段。

部署終端安全管理系統，在終端接入準入控制系統設置安全策略，終端必須安裝終端安全管理系統客戶端才能經過入網安全檢查接入網絡。終端安全管理系統對入網的終端進行防病毒、漏洞修復、安全管控、審計、外設管控，實現終端安全立體防護。

終端運行在局域網內，終端安全風險就主要來源于移動存儲介質，移動存儲介質就成為終端安全防護的重點。在技術手段上，通過終端安全管理系統給予不同的移動存儲介質相應的授權范圍和讀寫權限，同時對設備狀態追蹤管理，實現對移動存儲設備的靈活管控，確保終端與移動存儲介質進行數據交換和共享過程中的信息安全。

4 安全管理

管理是網絡安全中重要的組成部分。建立完善的安全管理體系是保障網絡安全的重要手段。成立電臺網絡安全和信息化領導小組并下設辦公室，確定網絡安全負責人，明確各級網絡安全負責人責任，落實網絡安全保護責任。

制定《XX臺網絡安全信息通報工作規范》規范網絡安全信息通報工作，健全網絡安全信息通報機制，促進網絡安全信息共享，提高網絡預警、防范和應急水平。

制定《XX臺網絡安全管理辦法》加強電臺網絡安全監督與管理，落實網絡安全責任，提高網絡安全防護能力。定期對全體人員進行網絡安全教育，每年簽訂網絡安全責任書，增強職工網絡安全意識。對網絡安全技術人員進行網絡安全專業知識和技能培訓，定期考核，考核合格后方可上崗。

制定《XX臺網絡安全事件應急預案》，完善無線網絡安全應急工作機制，提高網絡安全事件處置能力，防范和減少網絡安全事件造成的損害和危害，保障電臺網絡安全和播出安全。

5 結束語

網絡安全已經成為電臺安全播出中的一項重要工作。電臺業務內網網絡安全體系的建設有效保障了安全播出和網絡安全。