宿迁市广播电视总台网络安全加固设计与实践

◎姜 辛

(宿迁市广播电视总台技术中心，江苏 宿迁 223800)

宿迁市广播电视总台网络安全架构体系遵从网络安全等级保护2.0 制度“一个中心、三重防护”原则[1]，针对广播电视各类播出系统、管理平台开展了网络安全等级保护建设和评测工作。“一个中心”是指在网络安全加固中，必须建立一个集中的安全管理中心，负责整个网络的安全管理和监控。“三重防护”是指在网络安全加固中，必须采取物理安全、网络安全和应用程序安全三方面的防护措施。

一、概述

根据相关的网络安全等级保护要求以及广播电视管理规定，结合宿迁市广播电视总台的自身实际情况，在构建网络安全运行体系及网络安全管理中心中，实行动态与静态相结合的形式，最终形成了完整的等级保护方案，对业务系统及网络进行相关规划和部署，建立信息系统综合防护体系，落实安全保护技术措施。动态包括网络拓扑结构、网络安全设备、网络安全策略等。在网络安全加固中，必须采取一系列措施来保证网络的安全性，如防火墙、入侵检测系统、安全扫描器、输入验证、输出过滤、加密等。静态包括包括设备安全和物理环境安全。设备安全包括设备的防火、防盗、防静电等措施；物理环境安全包括机房的安全、温度和湿度的控制等。

二、总体设计

按照《信息安全技术网络安全等级保护基本要求》标准，宿迁市广播电视总台的网络信息系统安全等级为三级。总台以广电大厦搬迁、系统新建为发展契机，完善相应的网络安全法律法规，实行规划、建设、使用同步原则，在全台业务网技术方案制定初期，就对网络等级保护项目同步规划、跟进。

根据等级保护要求，总台网络等级保护项目对服务器区进行安全加固，同时对终端进行恶意代码防护和终端准入监测，按照审计、管理的等级保护要求，部署内网审计设备、安全感知设备、安全管控、内网准入等设备。通过安全建设，保证宿迁市广播电视总台网络信息系统的安全性、稳定性，确保达到等级保护三级的要求。

广播电视总台网络安全加固体系设计目标是确保总台信息系统的安全性，防止信息泄露、篡改和破坏。具体目标如下：

一是加强安全系统建设，实现按需防御。为实现按需防御，需要建立完善的安全系统，包括入侵检测、防火墙、加密通信等安全设备和系统。这些设备和系统应该根据总台信息系统的实际情况进行选择和配置，确保安全性和可用性。同时，需要建立安全策略和安全管理制度，明确各项安全规定和流程，确保所有工作人员都了解和遵守安全规定。

二是建设安全运维体系。安全运维体系建设是确保总台信息系统持续安全的重要保障。需要建立完善的安全运维体系，包括安全监控、安全审计、应急响应等安全运维流程和制度[2]。同时，需要建立专业的安全运维团队，负责实施和管理安全运维工作，确保所有系统和数据都得到及时、有效的保护。

三是科学规划，提升总台信息系统安全防护能力。需要建立科学的安全评估体系，对总台信息系统的安全风险进行全面评估和分析，及时发现和解决潜在的安全问题。同时，需要加强安全技术研究和开发，引入最新的安全技术和方法，提升总台信息系统的安全性和防护能力。

三、详细设计方案

宿迁市广播电视总台网络安全架构整体设计遵从《网络安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)，通过构建“一个中心支撑下的三重防护体系”的纵深防御体系，来保障总台网络的安全。“一个中心”即安全管理中心，“三重防护”即安全计算环境、安全区域边界、安全通信网络三方面防护。

(一)安全区域划分

对总台整体网络进行安全区划分，构建分区、分等级的安全防护体系，是提升网络整体防护能力的重要一环。

针对总台网络覆盖范围广、业务服务种类繁、用户对象多等特点，采用基于安全区的安全设计办法是非常有效的，将总台根据业务访问关系划分为多个安全区域，然后根据各个安全区域的特点，分别有针对性地设计保护措施和安全策略，将大大提升防护的有效性，同时也体现出重点资产重点防范的建设原则。

根据安全区划分原则，重点考虑业务访问关系，可将总台网络划分为互联网边界接入区、公共区、安全管理区、电视制作播出系统区、广播制作播出系统区、媒资网、融媒体网等。总台整体网络拓扑如下图1 所示：

图1 宿迁市广播电视总台安全防护网络拓扑

(二)通信网络安全防护设计

通信网络安全防护是广播电视总台内部和外部的网络通信中安全防护的重要一环，需要采取一系列的措施来保证通信的安全性。在实际的设计中，可采用加密技术来保证通信的机密性，使用数字签名技术来保证通信的完整性，利用防火墙技术来限制外部网络访问，再使用入侵检测技术来实时监测网络的安全状况。此外，需要对设备访问使用冗余备份机制，防止出现单点故障[3]。

(三)区域边界安全防护设计

安全区域边界是对内部应用系统计算环境进行安全防护和防止敏感信息泄露的必经渠道。在设计中，边界访问控制、网络行为审计和边界完整性防护是三个关键的方面。

1.措施

在互联网边界部署防火墙设备，在总台内网核心区部署防火墙设备，其中互联网出口防火墙利用原先的设备，新购一台与其做HA，同时在内网边界区、电视制作播出系统区、广播制作播出系统区部署网闸系统，分别实现总台内外网的数据交换以及播出网与制作网之间的数据交换，网闸利用原先的设备。

2.网络行为审计措施

在办公区边界部署上网行为管理系统，可以确保网络中的用户行为符合规定的要求。例如通过用户行为审计，可以发现潜在的安全问题，如内部人员违规访问外部网站或下载恶意软件等；通过网络流量审计可以发现网络中的异常流量，如未经授权的外部IP 地址访问内部网络等；通过数据泄露审计，可以发现潜在的数据泄露风险，如敏感数据被非法传输到外部网络等。

3.边界完整性防护

根据网络不同区域之间的安全等级和业务需求，制定相应的访问控制策略，包括基于IP 地址、用户身份、应用类型等的访问控制策略。通过实施访问控制策略，可以限制不同区域之间的非法访问和数据传输。同时，在网络边界处设置入侵检测和防御设备，对进入网络的数据进行实时监测和分析，发现和处理潜在的攻击和入侵行为。通过入侵检测和防御，可以及时发现和处理外部攻击，保障网络的安全性和完整性。对终端的USB 进行统一管控，并限制连接其他外部网络，有效保证总台网络边界安全。

(四)计算环境安全设计

计算环境是总台各类应用的运行环境，计算环境安全防护建设采用主机恶意代码防范技术、Web 防火墙技术、数据审计等技术进行安全建设，增强总台网络计算环境的安全防护能力。

1.主机防病毒

在总台网络中所有在用的服务器(WINDOWS、LINUX)和客户端(WINDOWS)计算机上部署相应平台的网络版防病毒软件，有效查杀、威胁服务器和客户端正常运行的病毒、恶意脚本、木马、蠕虫等恶意代码。通过统一的防病毒系统管理服务器，确保全网具有一致的防病毒策略和最新的病毒查杀能力。

2.主机监控与审计

在总台网络中所有适用的客户端(WINDOWS)计算机上部署监控客户端，在运维管理区部署终端安全管理系统管理中心，采用统一策略下发并强制策略执行的机制，实现对网络内部Windows 桌面终端系统的集中管理和维护，建立应用安装、进程运行、端口使用，外设应用的黑/白名单，有效地保护用户计算机系统安全和信息数据安全。

3.Web 应用防火墙

在DMZ 区部署Web 应用防火墙系统，通过Web 检测引擎和安全策略，实时检测互联网流量数据，阻断异常攻击行为，实现检测所有经过Web 应用防火墙进入广播电视总台的Web 流量。同时，Web 应用防火墙应该具有一系列的防护策略，包括阻止恶意代码、防止异常流量、过滤非法请求等，其能够记录所有的访问日志，以便进行审计和分析。此外，在安全管理区部署网页防篡改，防止Web 网页被篡改而造成恶劣的后果。

4.数据库审计

数据库是广播电视总台的核心资产之一，必须采取一系列的措施来保证数据库的安全性。在总台融媒体、广播、电视核心交换机上分别旁路部署1 台数据库审计系统，严格控制数据库访问，只有经过授权的用户才能够访问数据库。同时，对于恶意的访问会发出告警提示，还应该定期备份数据库，以防止数据丢失或损坏。数据库具有日志记录功能，会记录所有的数据库操作日志，以便审计和分析。

5.脆弱性扫描

在公共区部署1 台漏洞扫描系统，以本地扫描或远程扫描的方式，对融媒体、电视、广播、媒资、办公等网络设备及相关系统进行脆弱性扫描。如果发现潜在的安全漏洞，需要及时修补。在脆弱性扫描中，应该对每个设备和应用程序进行深度扫描，再定期进行脆弱性扫描，以便及时发现和修复安全漏洞[4]。

6.入侵检测

入侵检测是一种主动防御技术，可以在攻击发生之前或之初检测到攻击行为，并采取相应的防御措施。在电视制作、播出及广播制作、播出安全管理区以及办公网核心分别部署1 台入侵检测设备，以流量镜像形式将核心交换机进出口流量镜像给入侵检测设备，能够实时检测包括木马、异常流量、恶意代码、非法访问等11 种网络攻击行为，并且可以与防火墙联动，从而有效保护用户网络IT 服务资源，使其免受各种外部攻击侵扰。

7.身份准入

针对外网，电视、广播安全管理区分别部署1 台身份准入设备，对内网所有终端进行准入控制，防止非法外联终端接入内网，通过身份准入设备，方便管理员有效管控全网终端。

(五)安全管理中心设计

1.安全运维管理与审计

在外网，电视、广播安全管理区分别部署1 台堡垒机，分别实现管理总台外网及内网所有设备，并通过堡垒机实现划分运维角色与权限，分为系统管理员、审计管理员、安全管理员等。

2.日志集中收集与分析

在外网，电视、广播安全管理区分别部署1 套集中的日志收集和分析系统，通过被动采集(SYSLOG、SNMPTRAP)或主动采集(ODBC/JDBC、文件读取、安装AGENT)的方式，收集和分析总台网络中所有设备的信息，并评估和分析网络和系统的安全风险，及时发现和解决潜在的安全问题。此外，日志也可审计和监督网络和系统的安全，确保网络和数据的安全性。

3.安全集中管控

网络安全管理中心是负责整个广播电视总台网络安全管理和监控的核心部门，集中管理和监控整个广播电视总台的网络安全，从而实现任何时间、任何地点、任何设备，安全快速地实现远程IT 运维。

4.备份技术

在公共区部署1 台数据备份一体机设备，及时、有效地备份总台全网数据，同步存储备份各业务系统的在线业务数据。一旦主存储系统出现故障导致数据丢失，可迅速从备份一体机上恢复，可达到RPO 接近于0 的目标。

(六)安全管理体系设计

广播电视总台的安全管理体系应该是一个全面、系统、科学的体系，能够全面保障广播电视总台的信息安全[5]。在体系设计中，应该包括以下五个方面：一是要制定和实施安全策略，明确安全目标和风险控制措施，确保所有系统和数据都遵循安全规范；二是建立完善的安全组织架构，明确各部门和人员的职责和权限，确保安全工作的有效实施和管理；三是制定和实施安全管理制度，明确各项安全管理的要求和流程，确保所有工作人员都了解和遵守安全规定，同时明确各部门和人员的职责和权限，建立完善的安全组织架构；四是建立完善的安全技术防护体系，包括防火墙、入侵检测、数据加密等安全技术措施，确保网络和数据的安全性；五是加强员工的安全意识和技能培训，提高员工的安全意识和技能水平，确保员工能够有效地防范和应对安全问题。

四、结语

宿迁市广播电视总台以新大厦搬迁、系统新建为契机，实现等级保护项目建设“三同步”，结合网络现状，从网络和通信、设备和计算、应用和数据、物理和环境等多个层面，建立了统一安全技术保护体系，通过在网络、主机、应用、数据、管理等各方面引入相应的安全措施，安全加固服务器区，同时对终端进行恶意代码防护和终端准入监测，按照审计、管理的等级保护要求，部署内网审计设备、安全感知设备、安全管控、内网准入等设备达到等级保护的基本要求，建立健全安全管理体系和安全运维体系，通过有效结合安全管理和安全技术，达到良好的效果。