電視臺系統(tǒng)安全等級保護三級安全建設(shè)方案
廣播電視臺作為黨和政府的核心宣傳陣地之一,在國家廣電總局提出"數(shù)字化、網(wǎng)絡(luò)化"的建設(shè)要求下,廣播電視制播技術(shù)及信息技術(shù)得到飛速發(fā)展,各地電視臺數(shù)字化、網(wǎng)絡(luò)化以及互聯(lián)互通的全臺網(wǎng)一體化網(wǎng)絡(luò)系統(tǒng)建設(shè)已經(jīng)成為廣電業(yè)務(wù)系統(tǒng)新的發(fā)展趨勢。由此帶來廣電網(wǎng)絡(luò)系統(tǒng)中異構(gòu)平臺不斷增多,業(yè)務(wù)應(yīng)用的復雜程度不斷加深,應(yīng)用故障及安全隱患對網(wǎng)絡(luò)威脅也隨之增多,對網(wǎng)絡(luò)系統(tǒng)持續(xù)安全運行的依賴程度越來越大,因而進行安全化網(wǎng)絡(luò)改造勢在必行。
伴隨著廣播電視臺的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)化技術(shù)的飛速發(fā)展,各臺先后建設(shè)并完善了數(shù)字化、網(wǎng)絡(luò)化、智能化、集約化的廣電業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)。當前網(wǎng)絡(luò)系統(tǒng)建設(shè)中,計算機病毒和網(wǎng)絡(luò)安全對廣播電視臺已經(jīng)構(gòu)成最大的威脅。廣播電視臺在實現(xiàn)了全臺網(wǎng)絡(luò)互聯(lián)互通的同時,必然加大了各項業(yè)務(wù)邊界的廣泛延展,如網(wǎng)絡(luò)電視平臺、IPTV平臺、無線數(shù)字平臺,新媒體平臺、遠程接入及交互平臺等業(yè)務(wù)形態(tài)。在這種情況下,如果某一個系統(tǒng)遭到主動或被動攻擊、有意識或無意識攻擊,入侵者很有可能利用這點迅速占領(lǐng)整個業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng),從而導致非常嚴重的安全事故發(fā)生。
信息安全等級保護是國家信息安全保障工作的基本制度和基本方法,根據(jù)《廣播電視相關(guān)信息系統(tǒng)安全等級保護定級指南》,電視臺播出系統(tǒng)安全保護等級全部為三級以上,屬于國家重要信息系統(tǒng)。電視臺播出系統(tǒng)是廣電行業(yè)信息系統(tǒng)的重要組成部份,是電視節(jié)目播出的核心部門,承擔全臺節(jié)目的播出任務(wù)。對電視臺播出系統(tǒng)實施信息安全等級保護,從技術(shù)和管理等方面提高播出系統(tǒng)的安全防護能力,確保電視節(jié)目安全、穩(wěn)定的播出。本文將著重研究電視臺播出系統(tǒng)安全保護等級三級系統(tǒng)等保實施流程及方法。
1、廣播電視相關(guān)信息系統(tǒng)安全等級保護三級基本要求
《廣播電視相關(guān)信息系統(tǒng)安全等級保護基本要求》(以下簡稱基本要求)是對廣播電視相關(guān)信息系統(tǒng)安全等級保護基本要求進行規(guī)范的標準,播出系統(tǒng)具有相應(yīng)等級安全保護能力的前提是需要滿足基本要求中三級以上基本安全防護要求?;疽笾械谌壈踩雷o基本要求框架如圖1所示?;疽笾腥壱陨弦蠼踩芾碇行模瑥南到y(tǒng)管理、安全管理及審計管理三個方面,實現(xiàn)對系統(tǒng)中各安全機制的統(tǒng)一管理。
2、電視臺播出系統(tǒng)
全臺網(wǎng)將電視臺內(nèi)的各個獨立的節(jié)目生產(chǎn)網(wǎng)絡(luò)連接起來,消除網(wǎng)絡(luò)孤島,使臺內(nèi)的節(jié)目制作流程能夠?qū)崿F(xiàn)全數(shù)字化、流程化的快速運轉(zhuǎn)。全臺網(wǎng)環(huán)境下,電視臺播出系統(tǒng)主要包括播出控制、節(jié)目備播、節(jié)目播出、安全管理等模塊,它承擔著節(jié)目、廣告、資訊等業(yè)務(wù)的多項播出任務(wù),是網(wǎng)絡(luò)化制播鏈的最后環(huán)節(jié)。播出系統(tǒng)通過全臺主干網(wǎng)與節(jié)目生產(chǎn)、節(jié)目生產(chǎn)管理等領(lǐng)域進行數(shù)據(jù)與文件交互。全臺網(wǎng)環(huán)境下,播出系統(tǒng)基本架構(gòu)所示。
3、三級電視臺播出系統(tǒng)等級保護實施流程
三級電視臺播出系統(tǒng)等級保護實施應(yīng)以國家和廣電行業(yè)等級保護相關(guān)標準為基礎(chǔ),依據(jù)基本要求開展等級保護工作,有效保證電視臺播出系統(tǒng)的安全、可靠運行。等級保護實施基本流程如圖3所示。
廣播電視臺系統(tǒng)安全等保三級解決方案:
電視臺要想構(gòu)建一個立體的網(wǎng)絡(luò)安全防護體系,必須要考慮多層次的防護包括:
一、播出系統(tǒng)、媒資服務(wù)器安全防御(部署病毒隔離網(wǎng)關(guān)+USB隔離盒)
a) 檢測到對媒資服務(wù)器進行入侵掃描的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,并在發(fā)生嚴重入侵事件時提供報警;
b) 采用多種傳輸途徑,以實現(xiàn)電視臺業(yè)務(wù)生產(chǎn)內(nèi)網(wǎng)、非編網(wǎng)、播出網(wǎng)、互聯(lián)網(wǎng)、媒資網(wǎng)等全媒體內(nèi)容交互、共享、雙向互動、多向性應(yīng)用為目的,阻止或隔離一切非授權(quán)、不安全終端接入,主動消除各種已知和未知安全威脅。阻止不符合安全策略的終端;
c) 通過控制USB移動存儲介質(zhì)數(shù)據(jù)傳輸時實現(xiàn)病毒查殺隔離,能有效地防止USB移動存儲上的文件攜帶病毒對于內(nèi)網(wǎng)PC帶來的威脅
d) 采用多種傳輸途徑,以實現(xiàn)電視臺業(yè)務(wù)生產(chǎn)內(nèi)網(wǎng)、非編網(wǎng)、播出網(wǎng)、互聯(lián)網(wǎng)、媒資網(wǎng)等全媒體內(nèi)容交互、共享、雙向互動、多向性應(yīng)用為目的,阻止或隔離一切非授權(quán)、不安全終端接入,主動消除各種已知和未知安全威脅。阻止不符合安全策略的終端。
e) 防御媒資數(shù)據(jù)服務(wù)器漏洞:如IIS代碼執(zhí)行漏洞、Lotus緩沖區(qū)溢出漏洞等
二、網(wǎng)絡(luò)安全訪問審計(部署網(wǎng)絡(luò)行為審計設(shè)備)
a) 在臺內(nèi)網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能;
b) 能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;
c) 對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾,實現(xiàn)對用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制;
d) 在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接;
e) 限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù);
f) 重要網(wǎng)段采取技術(shù)手段防止地址欺騙;
g) 按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問,控制粒度為單個用戶;
h) 限制具有撥號訪問權(quán)限的用戶數(shù)量。
i) 對臺內(nèi)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄;
j) 審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息;
三、生產(chǎn)播出網(wǎng)絡(luò)入侵防范(部署下一代防火墻設(shè)備)
a) 在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等;
b) 當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發(fā)生嚴重入侵事件時提供報警。
c) 對網(wǎng)絡(luò)敏感信息泄露DOS攻擊/嘗試獲取用戶特權(quán)的攻擊/嘗試獲取管理員特權(quán)的攻擊/網(wǎng)絡(luò)流量中發(fā)現(xiàn)可執(zhí)行文件的注入/可疑關(guān)鍵字和可疑文件的注入/遠程過程調(diào)用告警/網(wǎng)絡(luò)木馬程序注入防護
d) 防范黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S、Shellcode等惡意流量,保護企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害,防止操作系統(tǒng)和應(yīng)用程序損壞或宕機;
e) 對木馬病毒、蠕蟲病毒、宏病毒,以及腳本病毒的查殺,控制或消除上述威脅對系統(tǒng)的危害;
四、內(nèi)部主機安全審計身份鑒別(部署運維堡壘機系統(tǒng))
采用多種傳輸途徑,以實現(xiàn)電視臺業(yè)務(wù)生產(chǎn)內(nèi)網(wǎng)、非編網(wǎng)、播出網(wǎng)、互聯(lián)網(wǎng)、媒資網(wǎng)等全媒體內(nèi)容交互、共享、雙向互動、多向性應(yīng)用為目的,阻止或隔離一切非授權(quán)、不安全終端接入,主動消除各種已知和未知安全威脅。阻止不符合安全策略的終端。
1、身份鑒別:
a) 對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別;
b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識具有不易被冒用的特點,口令有復雜度要求并定期更換;
c) 當對服務(wù)器進行遠程管理時,采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;
2、主機防護:
a) 對登錄主機設(shè)備的用戶進行身份鑒別;
b) 對主機設(shè)備的管理員登錄地址進行限制;
c) 主機設(shè)備用戶的標識唯一;
d) 主機設(shè)備對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別;
e) 身份鑒別信息具有不易被冒用的特點,口令有復雜度要求并定期更換;
2、訪問控制:
a) 啟用訪問控制功能,依據(jù)安全策略控制用戶對資源的訪問;
b) 根據(jù)管理用戶的角色分配權(quán)限,實現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限;
c) 實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離;
d) 嚴格限制默認帳戶的訪問權(quán)限,重命名系統(tǒng)默認帳戶,修改這些帳戶的默認口令;
3、安全審計:
a) 審計范圍覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;
b) 審計內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;
c) 審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等;
五、數(shù)據(jù)傳輸安全性(部署VPN安全網(wǎng)關(guān))
a)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞,并在檢測到完整性錯誤時采取必要的恢復措施;
a) 采用加密或其他有效措施實現(xiàn)系統(tǒng)數(shù)據(jù)傳輸安全性、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性;
b) 采用加密或其他保護措施實現(xiàn)應(yīng)用系統(tǒng)遠程互聯(lián)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)遠程訪問的安全性;
c) 在數(shù)據(jù)通信雙方建立連接之前,用系統(tǒng)利用密碼技術(shù)進行會話初始化驗證;
d) 對數(shù)據(jù)通信過程中的整個報文或會話過程進行加密。
六、網(wǎng)絡(luò)設(shè)備、服務(wù)器狀態(tài)監(jiān)控(部署監(jiān)控網(wǎng)管系統(tǒng))
a) 對主流網(wǎng)絡(luò)廠家的網(wǎng)絡(luò)設(shè)備進行監(jiān)控,包括ping存活探測,cpu、內(nèi)存、存儲器空間、接口流量等運行狀態(tài)。對F5負載均衡設(shè)備業(yè)務(wù)性能提供深入支持。
b) 對主流服務(wù)器廠商的服務(wù)器(支持IPMI協(xié)議)的硬件狀態(tài)進行監(jiān)控,包括服務(wù)器內(nèi)部環(huán)境溫度、主板溫度、CPU溫度、CPU風扇轉(zhuǎn)速、電源狀態(tài)、電源電壓、CPU電壓、CMOS電池容量等。并且可實現(xiàn)遠程開關(guān)機等管理功能。
c) 對Windows、Linux、AIX、HP-UX等操作系統(tǒng)的服務(wù)器的ping存活、系統(tǒng)資源(cpu、內(nèi)存和磁盤空間)、接口流量、進程等進行監(jiān)控。
d) 對Oracle、Mysql、SqlServer等主流數(shù)據(jù)庫進行表空間利用率、數(shù)據(jù)文件的每秒I/O操作、已連接的用戶數(shù)等眾多參數(shù)進行監(jiān)控。
e) 對機房溫濕度、漏水、煙霧等環(huán)境參數(shù),以及市電和UPS等動力狀況進行監(jiān)控(需要額外的附加探頭支持)。
f) 支持手機短信、電子郵件、彈出窗口等多種報警方式,支持多級閥值設(shè)定。
g) 能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預先規(guī)定的最小值進行檢測和報警。
等級保護安全方案為電視臺數(shù)據(jù)安全傳輸實現(xiàn)"四防一保"防病毒、防攻擊、防系統(tǒng)崩潰、防重大事故、保障業(yè)務(wù)持續(xù)運行的信息化保障。
1、滿足電視臺內(nèi)網(wǎng)數(shù)據(jù)交互:通過統(tǒng)一的安全網(wǎng)關(guān),實現(xiàn)同一內(nèi)容同時向制作、播出、媒資等多個子業(yè)務(wù)板塊間數(shù)據(jù)跨板塊、跨平臺交互。
2、滿足異地數(shù)據(jù)共享、遠程交互:基于互聯(lián)網(wǎng)資料互動傳輸,通過遠程數(shù)據(jù)多目標分發(fā)、交互,將媒體內(nèi)容的數(shù)據(jù)共享到本組織以外的任何一個有IP網(wǎng)絡(luò)支持的地點,實現(xiàn)內(nèi)容遠程分發(fā)控制,有效保證媒體內(nèi)容(新聞素材)的時效性。
3、滿足"三網(wǎng)融合"業(yè)務(wù)需求:隨著"三網(wǎng)融合"的逐步深入,ANYSEC病毒隔離網(wǎng)關(guān)媒體安全傳輸解決方案可以與廣播電視網(wǎng)、互聯(lián)網(wǎng)、電信網(wǎng)實現(xiàn)媒體內(nèi)容的"無縫融合",使同一內(nèi)容自動后臺轉(zhuǎn)碼,在不同終端、不同平臺采用不同碼率、不同分辨率、不同編碼格式同步發(fā)布成為現(xiàn)實。