任國(guó)彪 于杰龍

1.2.內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司 內(nèi)蒙古 呼和浩特市 010051

1 寬帶互聯(lián)網(wǎng)系統(tǒng)

內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司寬帶互聯(lián)網(wǎng)系統(tǒng)于2010年10月開(kāi)始安裝，經(jīng)調(diào)試，2012年10月初步完成建設(shè)投入使用。該系統(tǒng)為內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司寬帶用戶提供互聯(lián)網(wǎng)接入服務(wù)。網(wǎng)絡(luò)安全上主要存在的問(wèn)題有網(wǎng)絡(luò)結(jié)構(gòu)、基礎(chǔ)設(shè)施及邊界防護(hù)、安全運(yùn)維管理、安全監(jiān)測(cè)幾方面。

1.1 網(wǎng)絡(luò)結(jié)構(gòu)

（1）沒(méi)有按照系統(tǒng)的重要性進(jìn)行分區(qū)、分域、分級(jí)保護(hù)。

（2）未建立安全管理中心，缺乏部署相關(guān)設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)非法內(nèi)外聯(lián)監(jiān)測(cè)、惡意代碼統(tǒng)一管理、補(bǔ)丁升級(jí)統(tǒng)一管理、安全事件統(tǒng)一管理等網(wǎng)絡(luò)安全統(tǒng)一管理措施。

1.2 基礎(chǔ)設(shè)施及邊界防護(hù)

（1）系統(tǒng)沒(méi)有采用技術(shù)手段對(duì)內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查、定位和阻斷。

（2）核心網(wǎng)絡(luò)中未部署入侵防御系統(tǒng)，缺乏對(duì)非法攻擊的檢查、定位和阻斷。

1.3 安全運(yùn)維管理

沒(méi)有部署運(yùn)維管理系統(tǒng)，缺乏對(duì)內(nèi)部運(yùn)維人員進(jìn)行統(tǒng)一身份認(rèn)證、訪問(wèn)授權(quán)控制、日常運(yùn)維操作行為審計(jì)監(jiān)控管理，需要規(guī)范內(nèi)部人員管理，避免出現(xiàn)越權(quán)及違規(guī)操作行為。

1.4 安全監(jiān)測(cè)

信息系統(tǒng)沒(méi)有第三方審計(jì)設(shè)備，無(wú)法將網(wǎng)絡(luò)設(shè)備日志進(jìn)行審計(jì)和生成審計(jì)報(bào)表；沒(méi)有將設(shè)備日志發(fā)送到第三方設(shè)備進(jìn)行保存，無(wú)法避免受到未預(yù)期的刪除、修改或覆蓋等，沒(méi)有對(duì)90 天以上的審計(jì)日志進(jìn)行歸檔。

2 IPVOD系統(tǒng)

多媒體互動(dòng)平臺(tái)擴(kuò)容項(xiàng)目（簡(jiǎn)稱IPVOD）是內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司“一云、一網(wǎng)、三平臺(tái)”戰(zhàn)略和“十三五”規(guī)劃的重要組成部分，是積極探索從傳統(tǒng)媒體到新媒體轉(zhuǎn)型和應(yīng)對(duì)“三網(wǎng)融合”政策的重要規(guī)劃部署。IPVOD 平臺(tái)打破單一產(chǎn)品服務(wù)模式，對(duì)用戶群體進(jìn)行細(xì)分，利用科技手段以人為本，從不同客戶群體、思維方式、接受能力等方面進(jìn)行考慮，依托廣電寬帶內(nèi)網(wǎng)，適合家庭、政務(wù)、黨建、社區(qū)、農(nóng)村、教育、酒店等用戶群體，增加了用戶黏度，豐富了產(chǎn)品內(nèi)涵。對(duì)內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司迎接市場(chǎng)“浪潮”的沖擊和電信運(yùn)營(yíng)商和互聯(lián)網(wǎng)企業(yè)的競(jìng)爭(zhēng)挑戰(zhàn)，具有極其重要的戰(zhàn)略意義。IPVOD系統(tǒng)存在的安全問(wèn)題包括邊界安全檢測(cè)、入侵及惡意代碼檢測(cè)、安全事件檢測(cè)、安全運(yùn)維管理幾方面。

2.1 邊界安全檢測(cè)

沒(méi)有采用技術(shù)手段對(duì)內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。

2.2 入侵及惡意代碼檢測(cè)

（1）沒(méi)有定期給數(shù)據(jù)庫(kù)打補(bǔ)丁。

（2）服務(wù)器沒(méi)有安裝防病毒軟件，沒(méi)有部署防病毒服務(wù)器，不能對(duì)防病毒軟件統(tǒng)一管理。

2.3 安全事件檢測(cè)

（1）沒(méi)有對(duì)全網(wǎng)各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)的日志集中收集存儲(chǔ)、統(tǒng)一匯總分析。沒(méi)有對(duì)所有對(duì)數(shù)據(jù)庫(kù)執(zhí)行的操作行為進(jìn)行記錄分析。

（2）未建立安全管理中心，沒(méi)有部署相關(guān)設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)非法內(nèi)外聯(lián)監(jiān)測(cè)、惡意代碼統(tǒng)一管理、補(bǔ)丁升級(jí)統(tǒng)一管理、安全事件統(tǒng)一管理等網(wǎng)絡(luò)安全統(tǒng)一管理措施。

2.4 安全運(yùn)維管理

沒(méi)有部署運(yùn)維管理系統(tǒng)，缺乏對(duì)內(nèi)部運(yùn)維人員進(jìn)行統(tǒng)一身份認(rèn)證、訪問(wèn)授權(quán)控制、日常運(yùn)維操作行為審計(jì)監(jiān)控管理，需要規(guī)范內(nèi)部人員管理，避免出現(xiàn)越權(quán)及違規(guī)操作行為。

基于上述原因，內(nèi)蒙古廣電網(wǎng)絡(luò)進(jìn)行了寬帶互聯(lián)網(wǎng)系統(tǒng)與IPVOD系統(tǒng)的定級(jí)保護(hù)工作，按照《寬帶互聯(lián)網(wǎng)系統(tǒng)與IPVOD系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》，寬帶互聯(lián)網(wǎng)系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)，其中業(yè)務(wù)信息安全保護(hù)等級(jí)為第二級(jí)，系統(tǒng)服務(wù)安全保護(hù)等級(jí)為第二級(jí)。IPVOD系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)，其中信息系統(tǒng)安全保護(hù)等級(jí)為二級(jí)、系統(tǒng)服務(wù)安全保護(hù)等級(jí)為二級(jí)。

3 整改方案設(shè)計(jì)

3.1 設(shè)計(jì)原則

內(nèi)蒙古廣電信息系統(tǒng)安全建設(shè)工作是以國(guó)家信息基礎(chǔ)設(shè)施為核心，嚴(yán)格按照網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求，堅(jiān)持管理和技術(shù)并重的原則，根據(jù)實(shí)際業(yè)務(wù)情況的安全等級(jí)，實(shí)行分階段、分等級(jí)保護(hù)和管理，保障了信息系統(tǒng)的正常運(yùn)行，逐步推進(jìn)等級(jí)保護(hù)的整體防護(hù)要求。在方案設(shè)計(jì)中應(yīng)當(dāng)遵循重點(diǎn)保護(hù)原則、技術(shù)管理并重原則、分區(qū)分域原則。

3.1.1 重點(diǎn)保護(hù)原則

根據(jù)信息系統(tǒng)被定級(jí)的業(yè)務(wù)信息安全等級(jí)，結(jié)合現(xiàn)狀，對(duì)安全強(qiáng)度實(shí)行不同程度的遞進(jìn)。對(duì)于核心業(yè)務(wù)，堅(jiān)持重點(diǎn)保護(hù)原則，實(shí)行重點(diǎn)防護(hù)，做到持續(xù)重視。

3.1.2 技術(shù)管理并重原則

在對(duì)內(nèi)蒙古廣電網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行整體安全建設(shè)時(shí)，除了要通過(guò)部署各區(qū)域的安全產(chǎn)品保障網(wǎng)絡(luò)的安全性外，也要提出安全管理建設(shè)要求。等級(jí)保護(hù)2.0 中，也提出要把安全管理建設(shè)和安全技術(shù)建設(shè)結(jié)合起來(lái)，利用網(wǎng)絡(luò)安全等級(jí)保護(hù)綜合工作平臺(tái)，更高效的維護(hù)網(wǎng)絡(luò)安全，做到防止信息系統(tǒng)被非法訪問(wèn)、破壞，重要數(shù)據(jù)被非法竊取、篡改的可能。

3.1.3 分區(qū)分域原則

系統(tǒng)的安全建設(shè)整改是以信息系統(tǒng)的整體架構(gòu)為核心，依據(jù)定級(jí)時(shí)的業(yè)務(wù)信息安全等級(jí)和系統(tǒng)現(xiàn)狀劃分為不同的安全區(qū)域，以安全區(qū)域?yàn)閱挝贿M(jìn)行安全防御技術(shù)措施的建設(shè)。對(duì)于屬于同一業(yè)務(wù)范疇、相近等級(jí)程度的信息資產(chǎn)，可劃分到同一安全域，進(jìn)行統(tǒng)一防護(hù)，集中管控，實(shí)現(xiàn)策略一致性。對(duì)于不同業(yè)務(wù)范圍、不同等級(jí)程度的信息資產(chǎn)，可遵循分區(qū)分域原則，進(jìn)行隔離防護(hù)，分別管控，實(shí)現(xiàn)策略差異化。實(shí)行分區(qū)分域原則，可防止因某一信息資產(chǎn)遭受網(wǎng)絡(luò)攻擊而殃及到整個(gè)信息系統(tǒng)的安全。

3.2 設(shè)計(jì)思路

基本思路是以保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施為核心，參照等級(jí)保護(hù)的標(biāo)準(zhǔn)和制度，通過(guò)分區(qū)分域的方法，滿足內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司信息系統(tǒng)在物理層面、網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面和管理層面的安全需求，建設(shè)符合等級(jí)保護(hù)制度與技術(shù)要求的防護(hù)體系，能夠?yàn)閮?nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司業(yè)務(wù)的開(kāi)展提供有力保障。

4 設(shè)備部署

4.1 日志審計(jì)系統(tǒng)

實(shí)現(xiàn)功能：日志審計(jì)系統(tǒng)是通過(guò)對(duì)網(wǎng)絡(luò)安全日志進(jìn)行集中采集和存儲(chǔ)，以便事后分析和預(yù)測(cè)。日志審計(jì)系統(tǒng)對(duì)采集到的日志數(shù)據(jù)進(jìn)行挖掘、關(guān)聯(lián)分析，及時(shí)對(duì)可能發(fā)生的網(wǎng)絡(luò)攻擊做出預(yù)警。由于日志信息是網(wǎng)絡(luò)事件留下的第一手?jǐn)?shù)據(jù)，因此需要做到對(duì)日志長(zhǎng)期存儲(chǔ)，同時(shí)避免網(wǎng)絡(luò)設(shè)備運(yùn)行日志遭到惡意修改、刪除，使網(wǎng)絡(luò)攻擊源頭無(wú)跡可尋。

具體部署：在安全管理區(qū)部署日志審計(jì)系統(tǒng)，對(duì)全網(wǎng)各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)生成的日志信息發(fā)送至日志審計(jì)系統(tǒng)，并對(duì)日志格式進(jìn)行規(guī)范，生成標(biāo)準(zhǔn)格式的日志，由日志審計(jì)系統(tǒng)進(jìn)行集中的存儲(chǔ)和分析。

4.2 入侵檢測(cè)系統(tǒng)

實(shí)現(xiàn)功能：入侵監(jiān)測(cè)是一種事先預(yù)知行為，是對(duì)入侵行為的監(jiān)測(cè)，作為一種積極主動(dòng)的安全防護(hù)技術(shù)。它通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)，并對(duì)包括日志審計(jì)數(shù)據(jù)、流量數(shù)據(jù)及網(wǎng)絡(luò)行為等進(jìn)行數(shù)據(jù)收集、分析，預(yù)測(cè)可能發(fā)生的網(wǎng)絡(luò)攻擊行為和數(shù)據(jù)威脅。

具體部署：在安全管理區(qū)部署入侵檢測(cè)設(shè)備及其數(shù)據(jù)中心，對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行管理，對(duì)入侵檢測(cè)數(shù)據(jù)進(jìn)行集中管理和分析，入侵檢測(cè)設(shè)備的管理端口直接連接至安全管理區(qū)接入交換機(jī)；在核心區(qū)核心交換機(jī)部署入侵檢測(cè)監(jiān)測(cè)點(diǎn)，部署方式為旁路部署，監(jiān)測(cè)點(diǎn)通過(guò)光纖或雙絞線直接連接至入侵檢測(cè)設(shè)備的監(jiān)視端口，利用網(wǎng)絡(luò)設(shè)備的端口鏡像采集網(wǎng)絡(luò)與各安全區(qū)業(yè)務(wù)系統(tǒng)的通信流量，在不影響網(wǎng)絡(luò)性能的情況下實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量，及時(shí)發(fā)現(xiàn)攻擊行為并告警。

4.3 入侵防御系統(tǒng)

實(shí)現(xiàn)功能：入侵防御系統(tǒng)除了具有入侵監(jiān)測(cè)系統(tǒng)監(jiān)測(cè)惡意行為外，還能采取一定的行動(dòng)對(duì)惡意行為進(jìn)行阻斷。入侵防御系統(tǒng)可以對(duì)每個(gè)流經(jīng)的報(bào)文進(jìn)行關(guān)聯(lián)分析、特征匹配等深度感知，一旦發(fā)現(xiàn)隱藏的惡意行為，可根據(jù)該行為的威脅等級(jí)進(jìn)行告警、丟棄、切斷會(huì)話等防御措施。

具體部署：在網(wǎng)絡(luò)接入線路串接入侵防御系統(tǒng)設(shè)備，對(duì)流量實(shí)時(shí)監(jiān)測(cè)和入侵防御。入侵防御設(shè)備部署方式為串接，因此必須保證其設(shè)備和連接的冗余可靠。

4.4 運(yùn)維審計(jì)系統(tǒng)

實(shí)現(xiàn)功能：運(yùn)維審計(jì)系統(tǒng)是將人機(jī)分離，實(shí)現(xiàn)運(yùn)維人員通過(guò)中間平臺(tái)-運(yùn)維審計(jì)系統(tǒng)間接訪問(wèn)信息系統(tǒng)設(shè)備。運(yùn)維人員在通過(guò)運(yùn)維審計(jì)系統(tǒng)時(shí)，要經(jīng)過(guò)身份認(rèn)證和權(quán)限限制，經(jīng)過(guò)同意后可對(duì)目標(biāo)信息系統(tǒng)設(shè)備進(jìn)行操作訪問(wèn)。這樣做的好處是所有的運(yùn)維人員都將通過(guò)審計(jì)平臺(tái)統(tǒng)一管理、集中授權(quán)，并對(duì)操作事件進(jìn)行日志審計(jì)、定期報(bào)表，實(shí)現(xiàn)信息系統(tǒng)的日常運(yùn)維管理工作，做到事前審批、事中控制、事后審計(jì)等功能。

具體部署：在安全管理域部署運(yùn)維管理系統(tǒng)，配合全網(wǎng)的訪問(wèn)控制包括對(duì)網(wǎng)絡(luò)系統(tǒng)ACL、安全設(shè)備管理訪問(wèn)控制、主機(jī)系統(tǒng)管理訪問(wèn)控制、應(yīng)用系統(tǒng)管理訪問(wèn)控制等進(jìn)行配置，在全網(wǎng)禁止分散的遠(yuǎn)程控制管理訪問(wèn)，僅允許運(yùn)維管理系統(tǒng)進(jìn)行遠(yuǎn)程控制管理訪問(wèn)，全網(wǎng)的遠(yuǎn)程控制管理訪問(wèn)集中通過(guò)運(yùn)維管理系統(tǒng)，由運(yùn)維管理系統(tǒng)進(jìn)行規(guī)范的權(quán)限管理和詳細(xì)審計(jì)。同時(shí)運(yùn)維管理系統(tǒng)可利用PKI/CA 系統(tǒng)實(shí)現(xiàn)統(tǒng)一的身份認(rèn)證。為保證遠(yuǎn)程控制管理的穩(wěn)定可靠，需保證運(yùn)維管理系統(tǒng)設(shè)備和網(wǎng)絡(luò)連接的冗余可靠。

4.5 數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)

實(shí)現(xiàn)功能：數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，面向數(shù)據(jù)庫(kù)運(yùn)維和安全管理人員，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的訪問(wèn)行為監(jiān)控、危險(xiǎn)操作告警、可疑行為審計(jì)。數(shù)據(jù)庫(kù)審計(jì)提供語(yǔ)句、會(huì)話、IP、數(shù)據(jù)庫(kù)用戶、業(yè)務(wù)用戶、響應(yīng)時(shí)間、影響行等多種維度的數(shù)據(jù)庫(kù)操作記錄和事后分析，成為安全事件追查的依據(jù)和來(lái)源。通過(guò)SQL 行為業(yè)務(wù)用戶的關(guān)聯(lián)，使數(shù)據(jù)庫(kù)訪問(wèn)行為定位到業(yè)務(wù)工作人員，進(jìn)行追責(zé)、定責(zé)。

具體部署：數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)部署方式為旁路部署，通過(guò)在支持端口流量鏡像功能的交換機(jī)上將流經(jīng)的數(shù)據(jù)流量鏡像到數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)操作數(shù)據(jù)庫(kù)的所有行為進(jìn)行監(jiān)聽(tīng)，對(duì)審計(jì)到數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，并通過(guò)可視化數(shù)據(jù)形式將報(bào)表展現(xiàn)給管理用戶。這種網(wǎng)絡(luò)監(jiān)聽(tīng)的部署方式是將數(shù)據(jù)庫(kù)審計(jì)設(shè)備的監(jiān)聽(tīng)端口直接與數(shù)據(jù)庫(kù)介入交換機(jī)進(jìn)行連接，部署簡(jiǎn)單。

結(jié) 束 語(yǔ)

本方案針對(duì)內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司的信息系統(tǒng)分別從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等五大方面進(jìn)行安全技術(shù)和措施的設(shè)計(jì)，實(shí)現(xiàn)內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團(tuán)有限公司業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護(hù)。系統(tǒng)為了實(shí)現(xiàn)網(wǎng)絡(luò)綜合防控體系，以技術(shù)組合和功能互補(bǔ)為思路，從外到內(nèi)建立了一套網(wǎng)絡(luò)分區(qū)分域的多層次防御體系，從整體上落實(shí)了信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，提升了被建設(shè)信息系統(tǒng)的整體防護(hù)能力。