高畫質播出系統網路安全架構設計研究論文
高畫質播出系統網路安全架構設計研究論文
摘要:海南廣播電視總檯作為省級媒體,對於安全播出有較高的要求。目前,海南廣播電視總檯高畫質播出系統已實現了7個頻道的高畫質播出、整備和縮編業務。在網路安全方面,系統已通過了三級等保測評。本文主要是介紹海南廣播電視總檯高畫質播出系統網路安全架構的設計。
關鍵詞:高畫質播出;網路安全
一設計思路
海南廣播電視總檯高畫質播出系統網路安全架構的設計是以現有系統的實際情況和現實問題為基礎,遵循國家網路安全法、廣電總局62號令以及網路安全等級保護管理辦法的要求,汲取近年來全國各大電視臺網路安全的成熟經驗,科學規範地建立集管理和技術為一體的符合自身實際情況的網路安全體系。海南廣播電視總檯一直非常重視網路安全工作,長期將網路安全擺在重要位置,此次高畫質播出系統網路安全架構設計的核心目標就是構建符合等級保護三級標準要求的系統,從而保障系統所包含業務的安全可靠執行,保證關鍵內部資訊的保密性、完整性及可用性,同時建設完善的網路安全管理制度體系,包括制定、細化和修正各種在日常網路安全工作、系統建設工作以及系統運維工作中要求遵守的網路安全制度、操作規範等規定。高畫質播出系統網路安全總體框架如圖1所示,分為五個部分,包括策略體系、技術體系、組織體系、運營體系、系統建設體系。策略體系主要是整體網路安全策略的規劃。技術體系主要是高畫質播出系統所採用的網路安全技術、基礎支撐設施以及各層次的安全。組織體系主要是網路安全的組織架構以及人員的管理。運營體系主要是管理高畫質播出系統網路安全策略在日常執行過程中的執行。系統建設體系主要是高畫質播出系統建設過程中的網路安全工程過程管理、專案管理以及質量的管理。
二設計要點
1.網路邊界安全網路邊界安全措施是保護高畫質播出系統的基本安全措施,也是保障系統安全的第一步。海南廣播電視總檯高畫質播出系統的邊界安全措施主要從邊界的`定義、邊界的隔離和訪問控制、邊界的入侵檢測等方面入手,同時選用大吞吐量和高併發的網路防火牆,實現攻擊防護、IPSECV*N、訪問控制、使用者認證、鏈路負載均衡等功能(圖2)。
2.核心網路入侵檢測海南廣播電視總檯高畫質播出系統與主幹網相連,後者承載了各業務系統之間資料的共享、交換和傳輸,這對高畫質播出系統網路的傳輸安全提出了很高的要求。在高畫質播出系統核心網路裝置上部署入侵檢測引擎,實現對核心網2高畫質播出系統網路拓撲圖絡的訪問進行實時監控,確保核心網路的安全,是保障海南廣播電視總檯高畫質播出系統業務可用性和傳輸安全性的基本監控措施。
3.系統平臺安全系統平臺安全主要是指主機裝置配置安全,主要包括管理軟體設定、執行日誌,實行統一認證,設定、執行、維護許可權控制和訪問控制,監控執行情況等。在作業系統軟體配置方面,要從正規渠道購置正版軟體,並及時更新軟體補丁,同時定期對系統內的作業系統、平臺軟體、應用軟體進行安全性檢查,關閉不需要的服務。在資料備份和系統恢復方面,要對重要的資料採用多種手段進行有效備份,以備在必要時進行恢復操作。
4.作業系統核心加固按照等級保護劃分,早期的作業系統屬於第一級使用者自主保護級,目前使用的主流作業系統都屬於第二級系統審計保護級。由於二級作業系統已經不能滿足高畫質播出系統網路安全需要,因此,對作業系統進行核心加固,打造符合國家資訊系統安全等級保護作業系統安全三級標準以及公安部GB/T20272-2006資訊保安技術三級認證的安全作業系統是必須要做的。作業系統核心加固軟體能夠與當前各種主流硬體平臺、作業系統以及應用系統有效結合,從而實現安全等級的動態提升。除對作業系統核心進行加固外,海南廣播電視總檯還對高畫質播出系統的伺服器、工作站、資料庫、網路裝置、安全裝置等進行了人工加固。
5.使用者安全身份認證的應用是保障高畫質播出系統使用者安全的重要手段,高畫質播出系統終端使用者在認證中心註冊並取得身份令牌後,訪問高畫質播出系統的業務時,必須透過認證中心的認證之後,才能進行有效的資料交換和安全的資料共享。海南廣播電視總檯高畫質播出系統採用雙因素身份認證系統,終端使用者在進行系統登入時採用使用者名稱+靜態密碼+動態口令登入,而且同一個使用者名稱的登入是在2個操作介面內完成。身份認證系統還具備密碼整合、線上/離線認證以及後臺應急密碼認證等功能。
6.日誌審計在高畫質播出網路系統的各個關鍵節點中部署日誌審計探針來採集日誌資料,並上報日誌審計管理中心,透過管理中心實現日誌資料的分析和評估和網路安全響應,從而實現審計資料採集、分析、查閱、事件的選擇和儲存以及自動響應等功能。海南廣播電視總檯高畫質播出系統選用的日誌審計平臺可儲存3億條日誌,並可同時審計100個物件,峰值處理能力可以達到5000EPS(EPS:每秒日誌解析能力)。
7.資料庫審計與風險控制資料庫審計與風險控制系統可以有效管理資料庫賬號許可權,識別越權使用和許可權濫用,跟蹤敏感資料訪問行為並及時發現敏感資料洩漏,同時還可以檢測資料庫配置弱點和資料庫漏洞,同時生產審計報告。海南廣播電視總檯高畫質播出系統的資料庫審計與風險控制系統可以在無漏審的情況下同時審計4個數據庫例項,吞吐量大於2000M,具備4億條日誌儲存能力,峰值處理能力為2萬條/秒,審計日誌檢索能力為1500萬條/秒。
8.惡意程式碼防範根據GD/J038-2011基本要求,高畫質播出系統內部應具備惡意程式碼防範能力。海南廣播電視總檯高畫質播出系統在各安全域部署防病毒軟體,對各安全域的終端和伺服器進行惡意程式碼防範,同時在綜合業務域和製播域邊界部署UTM防火牆實現閘道器級惡意程式碼防護。
9.應用系統安全海南廣播電視總檯對高畫質播出系統的應用系統提出了必須符合《業務系統開發安全規範》的安全要求,要求應用系統在資源的控制、通訊完整性保護和軟體容錯三個方面必須達到等級保護的要求。
10.安全管理體系海南廣播電視總檯明確網路安全建設的指導方針和總體安全策略,詳細制定網路安全建設的總體規劃,以等級保護的思路指導海南廣播電視總檯高畫質播出系統的網路安全建設工作。
三總結
網路安全策略是整體原則,網路安全技術和網路安全設施是設計基礎,網路安全管理是實現網路安全的關鍵,網路安全體系建設是實現網路安全最為有效的手段。目前,海南廣播電視總檯高畫質播出系統已通過了廣電總局監管中心的資訊系統安全等級保護測評(三級)。透過高畫質播出系統網路安全體系的建設,海南廣播電視總檯建立起了完整的網路安全體系,打造了動態的、系統的、全員參與的、制度化的、以預防為主的安全管理模式,實現了對高畫質播出系統網路安全多層次、全方位的防護,有效保障了高畫質播出系統的安全穩定執行。