電視臺系統安全等級保護三級安全建設方案
廣播電視臺作為黨和政府的核心宣傳陣地之一,在國家廣電總局提出"數字化、網絡化"的建設要求下,廣播電視制播技術及信息技術得到飛速發展,各地電視臺數字化、網絡化以及互聯互通的全臺網一體化網絡系統建設已經成為廣電業務系統新的發展趨勢。由此帶來廣電網絡系統中異構平臺不斷增多,業務應用的復雜程度不斷加深,應用故障及安全隱患對網絡威脅也隨之增多,對網絡系統持續安全運行的依賴程度越來越大,因而進行安全化網絡改造勢在必行。
伴隨著廣播電視臺的業務系統網絡化技術的飛速發展,各臺先后建設并完善了數字化、網絡化、智能化、集約化的廣電業務網絡系統。當前網絡系統建設中,計算機病毒和網絡安全對廣播電視臺已經構成最大的威脅。廣播電視臺在實現了全臺網絡互聯互通的同時,必然加大了各項業務邊界的廣泛延展,如網絡電視平臺、IPTV平臺、無線數字平臺,新媒體平臺、遠程接入及交互平臺等業務形態。在這種情況下,如果某一個系統遭到主動或被動攻擊、有意識或無意識攻擊,入侵者很有可能利用這點迅速占領整個業務網絡系統,從而導致非常嚴重的安全事故發生。
信息安全等級保護是國家信息安全保障工作的基本制度和基本方法,根據《廣播電視相關信息系統安全等級保護定級指南》,電視臺播出系統安全保護等級全部為三級以上,屬于國家重要信息系統。電視臺播出系統是廣電行業信息系統的重要組成部份,是電視節目播出的核心部門,承擔全臺節目的播出任務。對電視臺播出系統實施信息安全等級保護,從技術和管理等方面提高播出系統的安全防護能力,確保電視節目安全、穩定的播出。本文將著重研究電視臺播出系統安全保護等級三級系統等保實施流程及方法。
1、廣播電視相關信息系統安全等級保護三級基本要求
《廣播電視相關信息系統安全等級保護基本要求》(以下簡稱基本要求)是對廣播電視相關信息系統安全等級保護基本要求進行規范的標準,播出系統具有相應等級安全保護能力的前提是需要滿足基本要求中三級以上基本安全防護要求。基本要求中第三級安全防護基本要求框架如圖1所示。基本要求中三級以上要求建立安全管理中心,從系統管理、安全管理及審計管理三個方面,實現對系統中各安全機制的統一管理。
2、電視臺播出系統
全臺網將電視臺內的各個獨立的節目生產網絡連接起來,消除網絡孤島,使臺內的節目制作流程能夠實現全數字化、流程化的快速運轉。全臺網環境下,電視臺播出系統主要包括播出控制、節目備播、節目播出、安全管理等模塊,它承擔著節目、廣告、資訊等業務的多項播出任務,是網絡化制播鏈的最后環節。播出系統通過全臺主干網與節目生產、節目生產管理等領域進行數據與文件交互。全臺網環境下,播出系統基本架構所示。
3、三級電視臺播出系統等級保護實施流程
三級電視臺播出系統等級保護實施應以國家和廣電行業等級保護相關標準為基礎,依據基本要求開展等級保護工作,有效保證電視臺播出系統的安全、可靠運行。等級保護實施基本流程如圖3所示。
廣播電視臺系統安全等保三級解決方案:
電視臺要想構建一個立體的網絡安全防護體系,必須要考慮多層次的防護包括:
一、播出系統、媒資服務器安全防御(部署病毒隔離網關+USB隔離盒)
a) 檢測到對媒資服務器進行入侵掃描的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,并在發生嚴重入侵事件時提供報警;
b) 采用多種傳輸途徑,以實現電視臺業務生產內網、非編網、播出網、互聯網、媒資網等全媒體內容交互、共享、雙向互動、多向性應用為目的,阻止或隔離一切非授權、不安全終端接入,主動消除各種已知和未知安全威脅。阻止不符合安全策略的終端;
c) 通過控制USB移動存儲介質數據傳輸時實現病毒查殺隔離,能有效地防止USB移動存儲上的文件攜帶病毒對于內網PC帶來的威脅
d) 采用多種傳輸途徑,以實現電視臺業務生產內網、非編網、播出網、互聯網、媒資網等全媒體內容交互、共享、雙向互動、多向性應用為目的,阻止或隔離一切非授權、不安全終端接入,主動消除各種已知和未知安全威脅。阻止不符合安全策略的終端。
e) 防御媒資數據服務器漏洞:如IIS代碼執行漏洞、Lotus緩沖區溢出漏洞等
二、網絡安全訪問審計(部署網絡行為審計設備)
a) 在臺內網絡邊界部署訪問控制設備,啟用訪問控制功能;
b) 能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;
c) 對進出網絡的信息內容進行過濾,實現對用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制;
d) 在會話處于非活躍一定時間或會話結束后終止網絡連接;
e) 限制網絡最大流量數及網絡連接數;
f) 重要網段采取技術手段防止地址欺騙;
g) 按用戶和系統之間的允許訪問規則,決定允許或拒絕用戶對受控系統進行資源訪問,控制粒度為單個用戶;
h) 限制具有撥號訪問權限的用戶數量。
i) 對臺內網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄;
j) 審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;
三、生產播出網絡入侵防范(部署下一代防火墻設備)
a) 在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等;
b) 當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時提供報警。
c) 對網絡敏感信息泄露DOS攻擊/嘗試獲取用戶特權的攻擊/嘗試獲取管理員特權的攻擊/網絡流量中發現可執行文件的注入/可疑關鍵字和可疑文件的注入/遠程過程調用告警/網絡木馬程序注入防護
d) 防范黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S、Shellcode等惡意流量,保護企業信息系統和網絡架構免受侵害,防止操作系統和應用程序損壞或宕機;
e) 對木馬病毒、蠕蟲病毒、宏病毒,以及腳本病毒的查殺,控制或消除上述威脅對系統的危害;
四、內部主機安全審計身份鑒別(部署運維堡壘機系統)
采用多種傳輸途徑,以實現電視臺業務生產內網、非編網、播出網、互聯網、媒資網等全媒體內容交互、共享、雙向互動、多向性應用為目的,阻止或隔離一切非授權、不安全終端接入,主動消除各種已知和未知安全威脅。阻止不符合安全策略的終端。
1、身份鑒別:
a) 對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別;
b) 操作系統和數據庫系統管理用戶身份標識具有不易被冒用的特點,口令有復雜度要求并定期更換;
c) 當對服務器進行遠程管理時,采取必要措施,防止鑒別信息在網絡傳輸過程中被竊聽;
2、主機防護:
a) 對登錄主機設備的用戶進行身份鑒別;
b) 對主機設備的管理員登錄地址進行限制;
c) 主機設備用戶的標識唯一;
d) 主機設備對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別;
e) 身份鑒別信息具有不易被冒用的特點,口令有復雜度要求并定期更換;
2、訪問控制:
a) 啟用訪問控制功能,依據安全策略控制用戶對資源的訪問;
b) 根據管理用戶的角色分配權限,實現管理用戶的權限分離,僅授予管理用戶所需的最小權限;
c) 實現操作系統和數據庫系統特權用戶的權限分離;
d) 嚴格限制默認帳戶的訪問權限,重命名系統默認帳戶,修改這些帳戶的默認口令;
3、安全審計:
a) 審計范圍覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶;
b) 審計內容包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件;
c) 審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結果等;
五、數據傳輸安全性(部署VPN安全網關)
a)能夠檢測到系統管理數據、鑒別信息和重要業務數據在傳輸過程中完整性受到破壞,并在檢測到完整性錯誤時采取必要的恢復措施;
a) 采用加密或其他有效措施實現系統數據傳輸安全性、鑒別信息和重要業務數據傳輸保密性;
b) 采用加密或其他保護措施實現應用系統遠程互聯、鑒別信息和重要業務數據遠程訪問的安全性;
c) 在數據通信雙方建立連接之前,用系統利用密碼技術進行會話初始化驗證;
d) 對數據通信過程中的整個報文或會話過程進行加密。
六、網絡設備、服務器狀態監控(部署監控網管系統)
a) 對主流網絡廠家的網絡設備進行監控,包括ping存活探測,cpu、內存、存儲器空間、接口流量等運行狀態。對F5負載均衡設備業務性能提供深入支持。
b) 對主流服務器廠商的服務器(支持IPMI協議)的硬件狀態進行監控,包括服務器內部環境溫度、主板溫度、CPU溫度、CPU風扇轉速、電源狀態、電源電壓、CPU電壓、CMOS電池容量等。并且可實現遠程開關機等管理功能。
c) 對Windows、Linux、AIX、HP-UX等操作系統的服務器的ping存活、系統資源(cpu、內存和磁盤空間)、接口流量、進程等進行監控。
d) 對Oracle、Mysql、SqlServer等主流數據庫進行表空間利用率、數據文件的每秒I/O操作、已連接的用戶數等眾多參數進行監控。
e) 對機房溫濕度、漏水、煙霧等環境參數,以及市電和UPS等動力狀況進行監控(需要額外的附加探頭支持)。
f) 支持手機短信、電子郵件、彈出窗口等多種報警方式,支持多級閥值設定。
g) 能夠對系統的服務水平降低到預先規定的最小值進行檢測和報警。
等級保護安全方案為電視臺數據安全傳輸實現"四防一保"防病毒、防攻擊、防系統崩潰、防重大事故、保障業務持續運行的信息化保障。
1、滿足電視臺內網數據交互:通過統一的安全網關,實現同一內容同時向制作、播出、媒資等多個子業務板塊間數據跨板塊、跨平臺交互。
2、滿足異地數據共享、遠程交互:基于互聯網資料互動傳輸,通過遠程數據多目標分發、交互,將媒體內容的數據共享到本組織以外的任何一個有IP網絡支持的地點,實現內容遠程分發控制,有效保證媒體內容(新聞素材)的時效性。
3、滿足"三網融合"業務需求:隨著"三網融合"的逐步深入,ANYSEC病毒隔離網關媒體安全傳輸解決方案可以與廣播電視網、互聯網、電信網實現媒體內容的"無縫融合",使同一內容自動后臺轉碼,在不同終端、不同平臺采用不同碼率、不同分辨率、不同編碼格式同步發布成為現實。
