广播电台办公网多业务系统的安全策略

李大扣 安徽广播电视台

广播电台办公网多业务系统的安全策略

李大扣 安徽广播电视台

电台办公网与日常的节目生产和业务运行密切相关，其安全等级日益提高。本文介绍了在《广播电视相关信息系统安全等级保护定级指南》文件精神的指导下，针对不同的业务制定不同的安全保障策略，大大提高了整个办公网系统的稳定性和安全性。

办公网 安全 异构防火墙 Vlan

一、引言

随着信息化的发展，广播电台办公网的职能也随之逐步扩展。目前安徽广播电视台广播电台办公网承担的任务包括全台员工上网、办公自动化、网站平台、直播间互动平台、广告管理、多媒体系统等。办公网的正常运行直接影响到日常工作的开展，这就要求办公网有非常灵活的构架，可以根据业务需要扩展服务，同时针对不同的业务提供不同的安全保障。

二、多业务的安全措施

2.1 从系统构架设计提高安全性办公网最基础的业务是提供全体员工上网服务，作为内部局域网和互联网之间的大门，其安全性要求非常高。接入的安全性主要通过防火墙来实现，采用异构防火墙的模式可以更好的提供安全保障。我台广播办公网采用了思科的ASA-5500-X防火墙和启明星辰的天清汉马USG作为异构的两台设备。由于ASA-5500-X防火墙不支持多条路由，让它工作在透明模式即可。它启用了三进三出总共六个接口（可用十个接口），为防火墙配置3个网段的IP地址，主要作用是包过滤和ACL。而天清汉马USG的功能相对强大，使其工作在路由模式，在起到包过滤和ACL的同时还对进线的三条光纤和办公网业务做路由分配和外网映射工作。为了保证充分利用三条光纤链路的带宽，我们对需要连接互联网的各个子业务划分了多个Vlan。异构防火墙是符合《广播电视相关信息系统安全等级保护定级指南》要求的较为安全的方式，其主要目的是采用不同厂家的设备同时防护，相互弥补部分漏洞，比单防火墙或者主备同构防火墙的安全级别更高。

图1 接入和异构防火墙系统

办公网真正的核心是核心交换机，为了保证安全性，我们使用了两台同样配置的思科S4507R+E交换机，双机做HSRP，也就是双机热备。其中一台作为主用交换机，当主用交换机出现故障，所有链路自动切换到备份交换机。HSRP是思科特有的路由冗余技术，对于整个网络来说，两台核心交换机实际上是一个虚拟交换机，所有的数据流都在这个虚拟交换机上通过，而具体是哪个真实的交换机在起作用取决于HSRP的分配，一般只有一台主交换在起作用，而只有故障出现才会切换到备交换，用户对此确毫不知情。做到了既安全又易用。

接入层交换机采用了双链路，每个接入层交换机都通过两根光纤分别接在主备两台核心交换上，用以保证无论是哪一台核心交换机在工作都能让用户在不知情的情况下连接互联网并且进行正常的业务工作。

2.2 添加安全设备提高安全性

添加网络安全设备是提高办公网安全级别最直观的方法。为此我们也添加了部分设备，包括链路设备和旁路设备。链路设备的好处在于能够切实提高安全级别所有的数据流都会经过该设备进行扫描和探测，以便发现问题。但是它的缺点也是显而易见的，链路设备发生故障很有可能造成整个网络的瘫痪，所以一般采用有bypass功能的链路设备，一旦出现故障即可自动切换到直通状态。旁路设备的好处在于不会对网络造成伤害，工作在旁路只是监测和统计网络中的数据流情况，无法真正介入过滤和防护。一般来说最好的安全防护是旁路设备和链路设备结合，比如防火墙和IDS联动，IDS可以帮助监测网络中的危险代码和数据流，当它监测到以后通知防火墙进行阻隔，这样工作在链路中的防火墙不用每个数据包都严密监视扫描，造成网络效率下降。而工作在旁路的IDS设备扫描的是交换机的镜像端口，不会对网络造成任何干扰，这样就能在不影响网络畅通的情况下最大限度的提高安全性。在办公网里我们使用了一些链路设备来过滤数据包和监测网络流量，比如上网行为管理设备，和网络防毒墙。这里的上网行为管理AC可以帮助我们发现异常的流量情况以及每个IP地址在网络上跑了什么样的数据包，还为我们提供了对于用户的带宽限制。流控是个很有用的功能，能够控制每个终端用户的最大带宽，保证在网的每个用户都能达到一定的上网速度。在没有这个设备之前常常发生某个用户大量使用带宽，挤走了其他的用户。网络防毒墙是杀毒软件的硬件版本，防毒墙只有放在链路上才能起到防毒杀毒的作用。

图2 链路安全设备及系统架构

在办公网里还使用了一些旁路设备来监测网络的运行状态及统计网络设备的信息。一个就是IDS，在没有和防火墙联动的情况下，我们可以通过查找日志和报警信息发现网络中的异常，手动在防火墙或者其他设备上设置对于某个IP或者某个数据包的阻断，并可以顺藤摸瓜查到攻击的来源，做出相应的应对措施。另外是审计设备，数据库审计和日志审计，在全网扫描对应的数据包，提供给网络管理相应的数据，帮助维护网络。加装这些设备可提高网络的安全性，使其符合《信息安全等级保护》的要求。

2.3 安全运维与杀毒软件

随着网络应用的普及和网络规模的扩大，限制接入或者对接入端进行必要的控制是现在广泛采用的方式。选择一款接入控制和终端控制的网管软件是现在普遍的做法。安徽台办公网采用了一款C/S结构的IT安全运维管理系统，通过软件控制交换机，采用软硬结合的方式来控制接入。整个办公网系统根据组织架构设立多个Vlan，并使用Dot1x的方式动态分配交换机端口到相应的Vlan，管理软件会根据组织架构表查找到该用户的Vlan归属，并且将Vlan号发送给交换机，命令交换机分配相应的Vlan到该用户登录的端口。由于分割了Vlan，即使有机器在网络中进行破坏，其破坏范围也会大大缩小。另外通过软件的资产管理系统能统计用户的设备情况、软件安装情况，并能定位设备的物理位置，这对后期的维护、故障处理、排错都能提供极大的便利。只要是PC系统，就离不开杀毒软件。杀毒软件的防护最重要的是病毒库，病毒库由防病毒服务器一次性从互联网获得最新病毒库，终端用户只需要连接局域网的防病毒服务器就能快速更新病毒库。网络杀毒软件还能对局域网的设备进行管理和分类，分类的基本信息包括是否安装杀毒软件，病毒库是否最新，终端机器是否有漏洞等功能。杀软也是提高网络安全性的重要指标。

图3 旁路安全设备、控制软件和杀毒软件

2.4 子系统业务的安全措施

办公网系统是一个容纳了很多子业务的主干系统，在这个主干上还有很多其他业务。等级最高的业务大多是独立成系统的，比如网站系统、多媒体系统、发射机监控系统等。这些系统都有自己独立的子网，由于这些业务和日常工作关系非常密切，要求的安全性自然就更高。

多媒体信息平台系统包含多媒体文稿、多媒体资料库、音视频自动采集、电话录音、个人空间等子系统，并且有和制播系统的交集。这样的业务系统必定要提高安全级别，仅仅通过主干的安全防护措施已经不能满足该系统对安全性的要求。在这个系统与主干网的连接中必然要使用双链路，并且独立给予特定的Vlan，由于这个系统本身也有多个Vlan的要求，还要使得Vlan的划分不能与办公网主干冲突。多媒体信息平台通过它自己的防火墙与办公网连接，内部还设立IPS和应用层防火墙来保证安全；采用了主备交换机的冗余方案；有自己的DMZ区。

发射机监控系统也是独立的子系统，构建的方式相对多媒体信息平台要简单一些，但是其重要性更高，直接与广播播出相关，内部使用自己的独立网段。其与办公网连接的部分也使用了防火墙，对于内容监视可以通过防火墙端口映射，而对于发射机控制部分采用了基于JAVA的VPN拨号接入,L2TP、PPTP的隧道协议。只有认证的用户才能实施对内部服务器的操作。

日常业务是指在办公网中为办公服务的业务，这些业务相对比较小，一般来说一台服务器就可以胜任，稍微重要一点的也就是主备服务器方案，这些业务都挂接在同一个Vlan中，安全性要求一般。比如FTP服务、OA服务。FTP服务基本功能是提供一个文件存放的平台，供互联网用户和办公网用户进行临时的文件交换，可以长期存放，但是不建议用户这样做。当前主要是提供台际之间的节目交流等时效性的功能。OA服务器采用了主备服务器的方式，主要用于台内员工互相发布信息、通知和公告等功能。

2.5 灾备和冗余以及日常维护

任何网络都要考虑的问题就是灾备和冗余。有些灾难不可预知，我们无法考虑，但是我们可以最大限度的提高安全性来抵抗灾难的来临。

首先是电力问题，要求所有的关键设备都采用双电源，并且接入非同源的两路电源供电。

然后是单点故障问题，要求所有关键设备都有冗余，在办公网里有些设备没有做到冗余，比如链路上的安全设备，这时需要求该设备有bypass功能，或者手动跳过该设备系统依能够正常运作。

三、总结

安全离不开日常维护，只有认真执行日常维护工作，才能更好的保证系统的安全运行。构建一个完善的日常维护方案对于网络管理来说尤为重要。日常巡机检查软件硬件运行状态，定期进行设备维护工作必须要制度化。

综上所述，我们考虑并实施了广播电台办公网的安全措施。该系统已经安全运行了两年左右的时间，这些安全措施是在这两年里逐步完善起来的，未来办公网必将不断扩大，需要根据具体情况制定更加合适的安全措施。