高清播出系统网络安全架构设计研究论文 摘要:海南广播电视总台作为省级媒体,对于安全播出有较高的要求。目前,海南广播电视总台高清播出系统已实现了7个频道的高清播出、整备和缩编业务。在网络安全方面,系统已通过了三级等保测评。本文主要是介绍海南广播电视总台高清……
高清播出系统网络安全架构设计研究论文
摘要:海南广播电视总台作为省级媒体,对于安全播出有较高的要求。目前,海南广播电视总台高清播出系统已实现了7个频道的高清播出、整备和缩编业务。在网络安全方面,系统已通过了三级等保测评。本文主要是介绍海南广播电视总台高清播出系统网络安全架构的设计。
关键词:高清播出;网络安全
一设计思路
海南广播电视总台高清播出系统网络安全架构的设计是以现有系统的实际情况和现实问题为基础,遵循国家网络安全法、广电总局62号令以及网络安全等级保护管理办法的要求,汲取近年来全国各大电视台网络安全的成熟经验,科学规范地建立集管理和技术为一体的符合自身实际情况的网络安全体系。海南广播电视总台一直非常重视网络安全工作,长期将网络安全摆在重要位置,此次高清播出系统网络安全架构设计的核心目标就是构建符合等级保护三级标准要求的系统,从而保障系统所包含业务的安全可靠运行,保证关键内部信息的保密性、完整性及可用性,同时建设完善的网络安全管理制度体系,包括制定、细化和修正各种在日常网络安全工作、系统建设工作以及系统运维工作中要求遵守的网络安全制度、操作规范等规定。高清播出系统网络安全总体框架如图1所示,分为五个部分,包括策略体系、技术体系、组织体系、运营体系、系统建设体系。策略体系主要是整体网络安全策略的规划。技术体系主要是高清播出系统所采用的网络安全技术、基础支撑设施以及各层次的安全。组织体系主要是网络安全的组织架构以及人员的管理。运营体系主要是管理高清播出系统网络安全策略在日常运行过程中的执行。系统建设体系主要是高清播出系统建设过程中的网络安全工程过程管理、项目管理以及质量的管理。
二设计要点
1.网络边界安全网络边界安全措施是保护高清播出系统的基本安全措施,也是保障系统安全的第一步。海南广播电视总台高清播出系统的边界安全措施主要从边界的定义、边界的隔离和访问控制、边界的入侵检测等方面入手,同时选用大吞吐量和高并发的网络防火墙,实现攻击防护、IPSECV*N、访问控制、用户认证、链路负载均衡等功能(图2)。
2.核心网络入侵检测海南广播电视总台高清播出系统与主干网相连,后者承载了各业务系统之间数据的共享、交换和传输,这对高清播出系统网络的传输安全提出了很高的要求。在高清播出系统核心网络设备上部署入侵检测引擎,实现对核心网2高清播出系统网络拓扑图络的访问进行实时监控,确保核心网络的安全,是保障海南广播电视总台高清播出系统业务可用性和传输安全性的基本监控措施。
3.系统平台安全系统平台安全主要是指主机设备配置安全,主要包括管理软件设置、运行日志,实行统一认证,设置、运行、维护权限控制和访问控制,监控运行情况等。在操作系统软件配置方面,要从正规渠道购置正版软件,并及时更新软件补丁,同时定期对系统内的操作系统、平台软件、应用软件进行安全性检查,关闭不需要的服务。在数据备份和系统恢复方面,要对重要的数据采用多种手段进行有效备份,以备在必要时进行恢复操作。
4.操作系统内核加固按照等级保护划分,早期的操作系统属于第一级用户自主保护级,目前使用的主流操作系统都属于第二级系统审计保护级。由于二级操作系统已经不能满足高清播出系统网络安全需要,因此,对操作系统进行内核加固,打造符合国家信息系统安全等级保护操作系统安全三级标准以及公安部GB/T20272-2006信息安全技术三级认证的安全操作系统是必须要做的。操作系统内核加固软件能够与当前各种主流硬件平台、操作系统以及应用系统有效结合,从而实现安全等级的动态提升。除对操作系统内核进行加固外,海南广播电视总台还对高清播出系统的服务器、工作站、数据库、网络设备、安全设备等进行了人工加固。
5.用户安全身份认证的应用是保障高清播出系统用户安全的重要手段,高清播出系统终端用户在认证中心注册并取得身份令牌后,访问高清播出系统的业务时,必须通过认证中心的认证之后,才能进行有效的数据交换和安全的数据共享。海南广播电视总台高清播出系统采用双因素身份认证系统,终端用户在进行系统登录时采用用户名+静态密码+动态口令登录,而且同一个用户名的登录是在2个操作界面内完成。身份认证系统还具备密码集成、在线/离线认证以及后台应急密码认证等功能。
6.日志审计在高清播出网络系统的各个关键节点中部署日志审计探针来采集日志数据,并上报日志审计管理中心,通过管理中心实现日志数据的分析和评估和网络安全响应,从而实现审计数据采集、分析、查阅、事件的选择和存储以及自动响应等功能。海南广播电视总台高清播出系统选用的日志审计平台可存储3亿条日志,并可同时审计100个对象,峰值处理能力可以达到5000EPS(EPS:每秒日志解析能力)。
7.数据库审计与风险控制数据库审计与风险控制系统可以有效管理数据库账号权限,识别越权使用和权限滥用,跟踪敏感数据访问行为并及时发现敏感数据泄漏,同时还可以检测数据库配置弱点和数据库漏洞,同时生产审计报告。海南广播电视总台高清播出系统的数据库审计与风险控制系统可以在无漏审的情况下同时审计4个数据库实例,吞吐量大于2000M,具备4亿条日志存储能力,峰值处理能力为2万条/秒,审计日志检索能力为1500万条/秒。
8.恶意代码防范根据GD/J038-2011基本要求,高清播出系统内部应具备恶意代码防范能力。海南广播电视总台高清播出系统在各安全域部署防病毒软件,对各安全域的终端和服务器进行恶意代码防范,同时在综合业务域和制播域边界部署UTM防火墙实现网关级恶意代码防护。
9.应用系统安全海南广播电视总台对高清播出系统的应用系统提出了必须符合《业务系统开发安全规范》的安全要求,要求应用系统在资源的控制、通信完整性保护和软件容错三个方面必须达到等级保护的要求。
10.安全管理体系海南广播电视总台明确网络安全建设的指导方针和总体安全策略,详细制定网络安全建设的总体规划,以等级保护的思路指导海南广播电视总台高清播出系统的网络安全建设工作。
三总结
网络安全策略是整体原则,网络安全技术和网络安全设施是设计基础,网络安全管理是实现网络安全的关键,网络安全体系建设是实现网络安全最为有效的手段。目前,海南广播电视总台高清播出系统已通过了广电总局监管中心的信息系统安全等级保护测评(三级)。通过高清播出系统网络安全体系的建设,海南广播电视总台建立起了完整的网络安全体系,打造了动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,实现了对高清播出系统网络安全多层次、全方位的防护,有效保障了高清播出系统的安全稳定运行。