电台业务内网网络安全体系构建

2020-10-14 00:46赵利广
网络安全技术与应用 2020年10期
关键词:电台防火墙终端

◆赵利广

电台业务内网网络安全体系构建

◆赵利广

(国家广播电视总局九五一台 河北 050407)

电台业务内网网络安全是保障电台安全播出的重要一环。本文就电台业务内网网络安全体系的构建在网络安全、终端安全、完全管理三个方面进行了详细的阐述。电台业务内网网络安全体系的构建有效保障了电台网络安全和播出安全。

电台网络;网络安全;网络安全体系

电台业务内网承载着我台安全播出业务及事业管理,随着信息化水平的不断发展,我台在安全播出设备系统自动化运用、无纸化办公等方面对于计算机网络基础设施的应用也达到很高的程度,电台网络规模在不断扩大,结构日趋复杂。

网络安全与否直接关系到安全播出和事业管理能否正常进行,为加强电台安全播出系统和办公系统的安全运行及防护,避免电台安全播出系统和办公系统遭受到病毒、木马、恶意攻击等网络安全威胁,防止网络安全事件(系统中断、数据丢失、信息泄密)的发生,根据我台实际情况逐渐形成了现有的适合我台工作特色的网络安全体系。

1 简介

电台业务内网网络安全体系构建包括网络安全、终端安全、安全管理。网络安全是网络安全体系构建的根基,通过技术手段来构建基础网络,使网络稳定可靠运行。终端安全是网络安全体系构建的重点,通过采用一些网络安全措施比如:准入控制、安全管理来保证终端的安全运行。安全管理指建立完善的安全管理体系,包括组织机构的建设、管理制度的制定等。

2 网络安全

网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。

在网络的安全方面,主要考虑两个大的层次,一是整个网络结构的安全,主要是优化网络结构,二是整个网络系统的安全。

2.1 网络结构

网络结构的安全是安全系统成功建立的基础,在考虑电台环境、设备配置、业务定位、网络应用、通信量估算及维护管理等因素下,基于安全播出和日常办公,不断优化形成如图1的网络体系结构。

(1)网络划分

我台业务内网是通过租用运营商专线与局端局域网进行通信的局域网,局台两级通过部署防火墙进行安全防护。根据业务需求在主网络部署防火墙分出两个子网络,组成三个网络分别为办公网、技术网和财务网。

(2)数据加密传输

由于局台两级数据通信是租用的运营商的专线,安全播出和事业管理业务数据在传输过程中存在被窃取、篡改等风险。为保证数据在传输中的安全性和保密性,遂在局台两级安装具有IPSec VPN功能的防火墙实现数据的加密传输。

(3)冗余设计

主干网络采用冗余设计,杜绝单点故障,缩短网络恢复时间,提高链路可靠性,确保业务连续。

在链路冗余方面,非机密通道和加密通道互为备份,以加密隧道为主链路,一旦主链路设备发生故障,可以自动切换回非加密链路,确保业务连续性。

在设备冗余方面,采用主干网络设备通过冷备方式实现冗余。

图1 网络体系结构图

2.2 网络系统

(1)访问控制

部署在办公网、技术网和财务网中的防火墙成为网络间信息的唯一出入口,且其本身具有较强的抗攻击能力。在防火墙根据业务需求和安全政策,制定安全策略来控制(允许、拒绝、监控)网络内外的信息流。例如:在技术网和财务网防火墙配置安全策略,使办公网及局局域网内指定IP才可以访问这两个网络。同时在防火墙核心交换机配置安全策略关闭139、445等风险端口。·

(2)安全防护

部署在办公网、技术网和财务网的防火墙,集病毒防护和入侵防御于一体,对流经它的网络通信进行扫描,全面抵御漏洞入侵、病毒、恶意代码、木马程序、间谍软件、恶意网址等网络威胁,以避免在目标计算机上执行。

(3)监控审计

如果网络中所有的访问都通过防火墙,防火墙就可以记录这些访问,并对这些访问进行安全审计。

根据我台业务内网的架构配置,局局域网、办公网、技术网和财务网相互之间的通信流量和财务网内部通信流量都受到防火墙的安全监控,但办公网和技术网两个子网内部通信流量因没有经过防火墙所以受不到防火墙的安全监控。鉴于以上原因,为保证台业务内网内所有通信流量的安全性,在办公网和技术网两个子网的核心交换机做端口镜像,利用防火墙的旁路监测功能进行安全监测。

通过以上配置,进出网络的数据都已经通过防火墙,防火墙就可以记录这些访问并作出日志记录,同时提供网络使用情况的统计信息。当可疑行为发生时,防火墙可以发出适当的警报,并提供有关网络是否受到攻击的详细信息。

(4)设备防护

在核心交换机做acl配置,限定具有权限的IP可以访问控制网络设备。网络设备配置登录失败处理功能,采取结束会话、限制非法登录次数、当前登录连接超时自动退出等措施。定期更改网络设备的登录密码。部署IT运维管理系统,实时监控网络设备的运行情况。

(5)入网管控

部署终端接入准入控制系统,有效管理终端的接入行为,对申请入网终端的用户身份进行验证和入网安全性检查,判断是否允许访问网络以及获得相应的访问权限。保障终端入网的安全可信,使业务内网接入变得安全、透明、可控,防止网络被外部设备随意介入,造成外部病毒入侵,避免网络资源受到非法终端接入所引起的安全威胁。同时对布置在开放区域的交换机做端口管控,闲置端口采用shutdown命令关闭端口。

3 终端安全

终端安全是网络安全防护的重点,有权威机构的调查表明90%以上的网络安全问题来自终端。加之业务内网是运行于局广域网的局域网,与互联网是完全隔离的。故业务内网的网络安全风险主要来源于终端,对终端进行安全管控是保障网络安全的重要手段。

部署终端安全管理系统,在终端接入准入控制系统设置安全策略,终端必须安装终端安全管理系统客户端才能经过入网安全检查接入网络。终端安全管理系统对入网的终端进行防病毒、漏洞修复、安全管控、审计、外设管控,实现终端安全立体防护。

终端运行在局域网内,终端安全风险就主要来源于移动存储介质,移动存储介质就成为终端安全防护的重点。在技术手段上,通过终端安全管理系统给予不同的移动存储介质相应的授权范围和读写权限,同时对设备状态追踪管理,实现对移动存储设备的灵活管控,确保终端与移动存储介质进行数据交换和共享过程中的信息安全。

4 安全管理

管理是网络安全中重要的组成部分。建立完善的安全管理体系是保障网络安全的重要手段。成立电台网络安全和信息化领导小组并下设办公室,确定网络安全负责人,明确各级网络安全负责人责任,落实网络安全保护责任。

制定《XX台网络安全信息通报工作规范》规范网络安全信息通报工作,健全网络安全信息通报机制,促进网络安全信息共享,提高网络预警、防范和应急水平。

制定《XX台网络安全管理办法》加强电台网络安全监督与管理,落实网络安全责任,提高网络安全防护能力。定期对全体人员进行网络安全教育,每年签订网络安全责任书,增强职工网络安全意识。对网络安全技术人员进行网络安全专业知识和技能培训,定期考核,考核合格后方可上岗。

制定《XX台网络安全事件应急预案》,完善无线网络安全应急工作机制,提高网络安全事件处置能力,防范和减少网络安全事件造成的损害和危害,保障电台网络安全和播出安全。

5 结束语

网络安全已经成为电台安全播出中的一项重要工作。电台业务内网网络安全体系的建设有效保障了安全播出和网络安全。

猜你喜欢
电台防火墙终端
亲戚
复杂线束在双BCI耦合下的终端响应机理
X美术馆首届三年展:“终端〉_How Do We Begin?”
全民总动员,筑牢防火墙
构建防控金融风险“防火墙”
浅谈模块化短波电台的设计与实现
基于声波检测的地下防盗终端
机载超短波电台邻道干扰减敏特性建模与评估
“吃人不吐骨头”的终端为王
在舌尖上筑牢抵御“僵尸肉”的防火墙