【摘要】 为推动我国信息安全等级保护工作的开展,近十年来,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,为开展信息安全等级保护工作奠定了基础。本文主要从四方面对广电网络安全建设方案进行了简单阐述,为下一步网络安全的建设提供了参考。
【关键词】 信息安全 等级保护 安全方案 安全防护
为贯彻落实国家信息安全等级保护制度,规范和指导全国广电行业信息安全等级保护工作,按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)要求,广电总局科技司于2011年向发布了《广播电视相关信息系统安全等级保护定级指南》的通知。根据通知要求,有线电视网络作为广电集团最重要的承载网络,有线电视网络应该按照三级等级保护建设。
一、安全方案建设原则
1.1先进性原则:安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全,符合业界技术的发展趋势,既体现先进性又比较成熟,并且是各个领域公认的领先产品。
1.2成熟性原则:网络安全是广电信息化的基础,网络的稳定性至关重要。安全设备由于部署在关键节点,成为网络稳定性的重要因素,整个设计必须考虑到高可靠性因素。
1.3 责任明确与安全最小授权原则:安全策略管理必须遵从最小授权原则,即不同安全区域内的主机只能访问属于相应区域资源;建设方案从技术流程上设计明确的技术分界面,保证网络管理运营中的各责任实体责权分明。
1.4 可扩展性原则:要求网络安全解决方案可以随同网络的扩展具有灵活的可扩展性,特别是对业务复杂性的增加具有良好的支持。
1.5 开放兼容性:符合当前安全产品设计规范、技术指标符合国际和工业标准,支持多厂家产品,本着有效性原则,有效的保护投资。
二、网络及主机安全建设方法
2.1 威胁分析
随着近些年广电业务及技术的不断发展,广电网络走向全业务运营是必然趋势。业务的多样化,让广电网络由封闭走向开放,使得网络安全问题从小到大,越来越受到挑战。而常见的威胁主要表现在:敏感信息篡改、广告页面被黑客篡改、视频内容被黑客篡改。
从整体上看,广电网络的安全防护分成网络边界安全防护、入侵防御、远程接入安全、业务应用防护、Web应用防护、统一安全运维、安全事件管理等几个层面,在互联网接入,网络传输,终端接入等方面存在如下安全威胁和挑战:
1) 互联网出口DDoS攻击威胁:一旦出现DoS/DDoS攻击,数据中心网络出口被堵塞,内部用户无法通过校内网络访问internet,外部用户也无法正常访问服务器;
2) 互联网出口安全隔离:防止非法访问,对不同的用户,各种服务器,管理区进行安全隔离,只有通过授权的用户才能正常访问;满足数据中心出口增长的带宽的需要,减少链路选择维护工作量;区别各种攻击流量和正常流量,并能采取相应的措施保护内部网络免受恶意攻击,保证内部网络及系统的正常运行;
3) VPN移动接入:移动办公,出差用户接入提供SSL VPN接入功能,实现用户安全接入;
4) NAT转换:由于公网地址非常有限,广电网络出口需要采用大容量NAT设备来做NAT转换,记录NAT转换,QQ/MSN等IM的上下线日志,便于后续审计;
5) 上网行为管理与审计:满足相关要求,进行URL过滤、应用行为控制、流量管理、数据防泄漏、恶意软件防护、互联网行为记录,提升工作效率、营造安全办公环境、以及满足法规遵从;
6) 服务器入侵检测与防护:防止对HTTP、FTP、DNS、Mail等服务器的各种攻击,包括蠕虫,木马,间谍软件,广告软件,僵尸网络,数据库注入攻击,跨站脚本,缓冲区溢出,系统或服务漏洞攻击,暴力破解等;
7) 网络病毒防护:服务器病毒防护,防止病毒通过HTTP、SMTP、POP3、FTP等网络协议进行传播;
8) WEB防护:解决目前所面临的各类网站安全问题,如:网页防篡改,Web应用加速,恶意编码,网页木马,缓冲区溢出,信息泄露等;
9) 运维审计:对数据中心核心业务系统、主机、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中管理和控制,解决IT运维管理问题,满足相关法规、标准要求,完善IT管理体系,实现IT核心资源的统一接入管理和运维审计。
综上,广电网络作为宣传重要窗口,一旦安全性受到挑战,带来的影响将会非常恶劣。所以,广电网络对安全需求的要求更高。
2.2安全功能构架图
广电网络要以满足广电行业相关安全标准、ISO27001、等级保护二级和三级等相关行业规定、法律法规要求为前提条件,提出相应的安全框架,从分层、纵深防御思想出发,根据层次分为物理设施安全、网络安全、主机安全、虚拟化安全、应用安全、数据保护、用户管理、安全管理等几个层面,用来指导广电网络安全解决方案的设计。
根据广电的网络特点及所承载的互动电视业务,网上营业厅业务、宽带业务等需求,按照上述的安全架构,建议对广电网络划分不同的安全域来保障信息系统在网络上的安全要求。这些区域按照其功能可划分为直播系统区域、VOD互动电视区、BOSS系统区域、网上营业厅区域、互联网接入区域、分前端区域和管理区等七个区域。由于不同区域承载的业务不同,因此会采用不同的安全防范措施。下面着重从直播系统区域、VOD互动电视区、BOSS系统区域、网上营业厅区域四方面进行安全设计。
三、安全方案设计
3.1 直播系统区域安全设计
直播系统作为广电的核心业务系统,直播系统的安全播出是全网安全方案设计的重点。
如图所示,在EPG和中间件等服务器到汇聚交换机之间部署防火墙设备;部署第三方系统引流接入交换机,该交换机采用组播协议和直播的核心交換机连接;当其他接入交换机到直播网络时,采用防火墙将业务系统和直播网络进行隔离。
3.2 VOD区
互动电视区域为广电的重要组成部分,该区主要由VOD媒体服务器、VOD信令服务器、中间件系统以及第三方系统接口等组成。
如图所示,通过在各有业务服务器接入交换机和核心交换机之间部署防火墙,使用网络层安全防护,同时部署防病毒网关,实现网络病毒防护。通过部署专门的入侵防御系统,提供入侵防护,进行虚拟补丁、Web应用防护、恶意软件防御、网络应用管控保护,对网络基础设施、网络带宽性能、服务器进行入侵防。
3.3 BOSS系统区域安全设计
BOSS系统作为广电综合业务运营需求的支撑系统,为广电完成业务转型及拓展提供有力的支撑,帮助降低运营成本,提高运营收益;BOSS系统同时是一个高效的运营与管理平台,将大幅度提高广电行业的管理、运营、服务水平,为决策层提供强大的战略分析和执行工具,帮助广电运营商由“粗放式经营”转向“精细化管理”,BOSS系统的安全与否关系重大。
通过部署防病毒网关,进行网络病毒防护,防止病毒通过网络进行传播。
从网络层到应用层进行全面扫描和查杀,对各种加壳、压缩、加密病毒,以及木马、蠕虫、恶意软件等网络威胁均能够快速、准确地彻底清除。
对 HTTP、POP3及SMTP协议传输的数据进行病毒扫描,当用户通过网页请求数据下载时,如果被检测到下载文件中包含了病毒数据,将向用户推送病毒告警页面;而对于邮件协议 POP3、SMTP 协议当检测到邮件附件里是病毒文件则支持对附件的删除操作,同时在邮件中打上标签告知用户相关信息。
通过部署专门的入侵防御系统,提供入侵防护,进行虚拟补丁、Web应用防护、恶意软件防御、网络应用管控保护,对网络基础设施、网络带宽性能、服务器进行入侵防护。
入侵防御系统通过分析系统的漏洞或已有攻击事件的字段特征制定特征规则,同时对应用层协议解析,关键信息提取,深度模式匹配等方法全面防范各种漏洞攻击,针对操作系统的漏洞攻击,针对数据库服务器的溢出攻击,针对文件服务器的漏洞攻击或常用应用软件如IE浏览器的漏洞攻击等。通过深入到7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,实现对网络应用、网络基础设施和网络性能的全面保护。
同时,营业厅有大量的PC终端需要访问BOSS的服务器,而这些PC机的安全性非常差,容易受到攻击;因此,在BOSS区域部署接入准入系统,提供统一的策略引擎,在整个组织内实施统一访问策略,实现基于用户、设备类型、接入时间、接入地点、接入方式多维度的认证和授权,满足山西广电终端接入认证多层次、泛终端接入的需求。
3.4网上营业厅区域安全设计
网上营业厅链接互联网,面临来自互联网的各种攻击,需要进行边界安全防护,针对来自互联网安全威胁,内部各个区域之间访问控制,部署防火墙,专业的DDoS异常流量清洗系统,VPN安全网关,进行安全隔离,访问控制,DDoS异常流量攻击,同时为提供SSL VPN远程安全访问。
四、结束语
通过对几个重要的业务系统安全方案的建设进行阐述,为整个网络安全建设提供了一种思路。通过各系统的建设,提高了整个广电网络的安全性,进而达到等级保护的要求。
作者:崔芙云
单位:山西广电信息网络集团有限公司 山西省太原市
电话:13934666051
通信地址:山西省太原市长治路453号
邮编:030006