任國彪 于杰龍

1.2.內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司 內(nèi)蒙古 呼和浩特市 010051

1 寬帶互聯(lián)網(wǎng)系統(tǒng)

內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司寬帶互聯(lián)網(wǎng)系統(tǒng)于2010年10月開始安裝，經(jīng)調(diào)試，2012年10月初步完成建設(shè)投入使用。該系統(tǒng)為內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司寬帶用戶提供互聯(lián)網(wǎng)接入服務(wù)。網(wǎng)絡(luò)安全上主要存在的問題有網(wǎng)絡(luò)結(jié)構(gòu)、基礎(chǔ)設(shè)施及邊界防護、安全運維管理、安全監(jiān)測幾方面。

1.1 網(wǎng)絡(luò)結(jié)構(gòu)

（1）沒有按照系統(tǒng)的重要性進行分區(qū)、分域、分級保護。

（2）未建立安全管理中心，缺乏部署相關(guān)設(shè)備實現(xiàn)網(wǎng)絡(luò)非法內(nèi)外聯(lián)監(jiān)測、惡意代碼統(tǒng)一管理、補丁升級統(tǒng)一管理、安全事件統(tǒng)一管理等網(wǎng)絡(luò)安全統(tǒng)一管理措施。

1.2 基礎(chǔ)設(shè)施及邊界防護

（1）系統(tǒng)沒有采用技術(shù)手段對內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查、定位和阻斷。

（2）核心網(wǎng)絡(luò)中未部署入侵防御系統(tǒng)，缺乏對非法攻擊的檢查、定位和阻斷。

1.3 安全運維管理

沒有部署運維管理系統(tǒng)，缺乏對內(nèi)部運維人員進行統(tǒng)一身份認證、訪問授權(quán)控制、日常運維操作行為審計監(jiān)控管理，需要規(guī)范內(nèi)部人員管理，避免出現(xiàn)越權(quán)及違規(guī)操作行為。

1.4 安全監(jiān)測

信息系統(tǒng)沒有第三方審計設(shè)備，無法將網(wǎng)絡(luò)設(shè)備日志進行審計和生成審計報表；沒有將設(shè)備日志發(fā)送到第三方設(shè)備進行保存，無法避免受到未預(yù)期的刪除、修改或覆蓋等，沒有對90 天以上的審計日志進行歸檔。

2 IPVOD系統(tǒng)

多媒體互動平臺擴容項目（簡稱IPVOD）是內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司“一云、一網(wǎng)、三平臺”戰(zhàn)略和“十三五”規(guī)劃的重要組成部分，是積極探索從傳統(tǒng)媒體到新媒體轉(zhuǎn)型和應(yīng)對“三網(wǎng)融合”政策的重要規(guī)劃部署。IPVOD 平臺打破單一產(chǎn)品服務(wù)模式，對用戶群體進行細分，利用科技手段以人為本，從不同客戶群體、思維方式、接受能力等方面進行考慮，依托廣電寬帶內(nèi)網(wǎng)，適合家庭、政務(wù)、黨建、社區(qū)、農(nóng)村、教育、酒店等用戶群體，增加了用戶黏度，豐富了產(chǎn)品內(nèi)涵。對內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司迎接市場“浪潮”的沖擊和電信運營商和互聯(lián)網(wǎng)企業(yè)的競爭挑戰(zhàn)，具有極其重要的戰(zhàn)略意義。IPVOD系統(tǒng)存在的安全問題包括邊界安全檢測、入侵及惡意代碼檢測、安全事件檢測、安全運維管理幾方面。

2.1 邊界安全檢測

沒有采用技術(shù)手段對內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查。

2.2 入侵及惡意代碼檢測

（1）沒有定期給數(shù)據(jù)庫打補丁。

（2）服務(wù)器沒有安裝防病毒軟件，沒有部署防病毒服務(wù)器，不能對防病毒軟件統(tǒng)一管理。

2.3 安全事件檢測

（1）沒有對全網(wǎng)各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)、應(yīng)用系統(tǒng)的日志集中收集存儲、統(tǒng)一匯總分析。沒有對所有對數(shù)據(jù)庫執(zhí)行的操作行為進行記錄分析。

（2）未建立安全管理中心，沒有部署相關(guān)設(shè)備實現(xiàn)網(wǎng)絡(luò)非法內(nèi)外聯(lián)監(jiān)測、惡意代碼統(tǒng)一管理、補丁升級統(tǒng)一管理、安全事件統(tǒng)一管理等網(wǎng)絡(luò)安全統(tǒng)一管理措施。

2.4 安全運維管理

沒有部署運維管理系統(tǒng)，缺乏對內(nèi)部運維人員進行統(tǒng)一身份認證、訪問授權(quán)控制、日常運維操作行為審計監(jiān)控管理，需要規(guī)范內(nèi)部人員管理，避免出現(xiàn)越權(quán)及違規(guī)操作行為。

基于上述原因，內(nèi)蒙古廣電網(wǎng)絡(luò)進行了寬帶互聯(lián)網(wǎng)系統(tǒng)與IPVOD系統(tǒng)的定級保護工作，按照《寬帶互聯(lián)網(wǎng)系統(tǒng)與IPVOD系統(tǒng)安全等級保護定級報告》，寬帶互聯(lián)網(wǎng)系統(tǒng)安全保護等級為第二級，其中業(yè)務(wù)信息安全保護等級為第二級，系統(tǒng)服務(wù)安全保護等級為第二級。IPVOD系統(tǒng)安全保護等級為第二級，其中信息系統(tǒng)安全保護等級為二級、系統(tǒng)服務(wù)安全保護等級為二級。

3 整改方案設(shè)計

3.1 設(shè)計原則

內(nèi)蒙古廣電信息系統(tǒng)安全建設(shè)工作是以國家信息基礎(chǔ)設(shè)施為核心，嚴格按照網(wǎng)絡(luò)安全等級保護基本要求，堅持管理和技術(shù)并重的原則，根據(jù)實際業(yè)務(wù)情況的安全等級，實行分階段、分等級保護和管理，保障了信息系統(tǒng)的正常運行，逐步推進等級保護的整體防護要求。在方案設(shè)計中應(yīng)當遵循重點保護原則、技術(shù)管理并重原則、分區(qū)分域原則。

3.1.1 重點保護原則

根據(jù)信息系統(tǒng)被定級的業(yè)務(wù)信息安全等級，結(jié)合現(xiàn)狀，對安全強度實行不同程度的遞進。對于核心業(yè)務(wù)，堅持重點保護原則，實行重點防護，做到持續(xù)重視。

3.1.2 技術(shù)管理并重原則

在對內(nèi)蒙古廣電網(wǎng)絡(luò)信息系統(tǒng)進行整體安全建設(shè)時，除了要通過部署各區(qū)域的安全產(chǎn)品保障網(wǎng)絡(luò)的安全性外，也要提出安全管理建設(shè)要求。等級保護2.0 中，也提出要把安全管理建設(shè)和安全技術(shù)建設(shè)結(jié)合起來，利用網(wǎng)絡(luò)安全等級保護綜合工作平臺，更高效的維護網(wǎng)絡(luò)安全，做到防止信息系統(tǒng)被非法訪問、破壞，重要數(shù)據(jù)被非法竊取、篡改的可能。

3.1.3 分區(qū)分域原則

系統(tǒng)的安全建設(shè)整改是以信息系統(tǒng)的整體架構(gòu)為核心，依據(jù)定級時的業(yè)務(wù)信息安全等級和系統(tǒng)現(xiàn)狀劃分為不同的安全區(qū)域，以安全區(qū)域為單位進行安全防御技術(shù)措施的建設(shè)。對于屬于同一業(yè)務(wù)范疇、相近等級程度的信息資產(chǎn)，可劃分到同一安全域，進行統(tǒng)一防護，集中管控，實現(xiàn)策略一致性。對于不同業(yè)務(wù)范圍、不同等級程度的信息資產(chǎn)，可遵循分區(qū)分域原則，進行隔離防護，分別管控，實現(xiàn)策略差異化。實行分區(qū)分域原則，可防止因某一信息資產(chǎn)遭受網(wǎng)絡(luò)攻擊而殃及到整個信息系統(tǒng)的安全。

3.2 設(shè)計思路

基本思路是以保護關(guān)鍵信息基礎(chǔ)設(shè)施為核心，參照等級保護的標準和制度，通過分區(qū)分域的方法，滿足內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司信息系統(tǒng)在物理層面、網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面和管理層面的安全需求，建設(shè)符合等級保護制度與技術(shù)要求的防護體系，能夠為內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司業(yè)務(wù)的開展提供有力保障。

4 設(shè)備部署

4.1 日志審計系統(tǒng)

實現(xiàn)功能：日志審計系統(tǒng)是通過對網(wǎng)絡(luò)安全日志進行集中采集和存儲，以便事后分析和預(yù)測。日志審計系統(tǒng)對采集到的日志數(shù)據(jù)進行挖掘、關(guān)聯(lián)分析，及時對可能發(fā)生的網(wǎng)絡(luò)攻擊做出預(yù)警。由于日志信息是網(wǎng)絡(luò)事件留下的第一手數(shù)據(jù)，因此需要做到對日志長期存儲，同時避免網(wǎng)絡(luò)設(shè)備運行日志遭到惡意修改、刪除，使網(wǎng)絡(luò)攻擊源頭無跡可尋。

具體部署：在安全管理區(qū)部署日志審計系統(tǒng)，對全網(wǎng)各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)、應(yīng)用系統(tǒng)生成的日志信息發(fā)送至日志審計系統(tǒng)，并對日志格式進行規(guī)范，生成標準格式的日志，由日志審計系統(tǒng)進行集中的存儲和分析。

4.2 入侵檢測系統(tǒng)

實現(xiàn)功能：入侵監(jiān)測是一種事先預(yù)知行為，是對入侵行為的監(jiān)測，作為一種積極主動的安全防護技術(shù)。它通過監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)，并對包括日志審計數(shù)據(jù)、流量數(shù)據(jù)及網(wǎng)絡(luò)行為等進行數(shù)據(jù)收集、分析，預(yù)測可能發(fā)生的網(wǎng)絡(luò)攻擊行為和數(shù)據(jù)威脅。

具體部署：在安全管理區(qū)部署入侵檢測設(shè)備及其數(shù)據(jù)中心，對入侵檢測系統(tǒng)進行管理，對入侵檢測數(shù)據(jù)進行集中管理和分析，入侵檢測設(shè)備的管理端口直接連接至安全管理區(qū)接入交換機；在核心區(qū)核心交換機部署入侵檢測監(jiān)測點，部署方式為旁路部署，監(jiān)測點通過光纖或雙絞線直接連接至入侵檢測設(shè)備的監(jiān)視端口，利用網(wǎng)絡(luò)設(shè)備的端口鏡像采集網(wǎng)絡(luò)與各安全區(qū)業(yè)務(wù)系統(tǒng)的通信流量，在不影響網(wǎng)絡(luò)性能的情況下實時監(jiān)測網(wǎng)絡(luò)流量，及時發(fā)現(xiàn)攻擊行為并告警。

4.3 入侵防御系統(tǒng)

實現(xiàn)功能：入侵防御系統(tǒng)除了具有入侵監(jiān)測系統(tǒng)監(jiān)測惡意行為外，還能采取一定的行動對惡意行為進行阻斷。入侵防御系統(tǒng)可以對每個流經(jīng)的報文進行關(guān)聯(lián)分析、特征匹配等深度感知，一旦發(fā)現(xiàn)隱藏的惡意行為，可根據(jù)該行為的威脅等級進行告警、丟棄、切斷會話等防御措施。

具體部署：在網(wǎng)絡(luò)接入線路串接入侵防御系統(tǒng)設(shè)備，對流量實時監(jiān)測和入侵防御。入侵防御設(shè)備部署方式為串接，因此必須保證其設(shè)備和連接的冗余可靠。

4.4 運維審計系統(tǒng)

實現(xiàn)功能：運維審計系統(tǒng)是將人機分離，實現(xiàn)運維人員通過中間平臺-運維審計系統(tǒng)間接訪問信息系統(tǒng)設(shè)備。運維人員在通過運維審計系統(tǒng)時，要經(jīng)過身份認證和權(quán)限限制，經(jīng)過同意后可對目標信息系統(tǒng)設(shè)備進行操作訪問。這樣做的好處是所有的運維人員都將通過審計平臺統(tǒng)一管理、集中授權(quán)，并對操作事件進行日志審計、定期報表，實現(xiàn)信息系統(tǒng)的日常運維管理工作，做到事前審批、事中控制、事后審計等功能。

具體部署：在安全管理域部署運維管理系統(tǒng)，配合全網(wǎng)的訪問控制包括對網(wǎng)絡(luò)系統(tǒng)ACL、安全設(shè)備管理訪問控制、主機系統(tǒng)管理訪問控制、應(yīng)用系統(tǒng)管理訪問控制等進行配置，在全網(wǎng)禁止分散的遠程控制管理訪問，僅允許運維管理系統(tǒng)進行遠程控制管理訪問，全網(wǎng)的遠程控制管理訪問集中通過運維管理系統(tǒng)，由運維管理系統(tǒng)進行規(guī)范的權(quán)限管理和詳細審計。同時運維管理系統(tǒng)可利用PKI/CA 系統(tǒng)實現(xiàn)統(tǒng)一的身份認證。為保證遠程控制管理的穩(wěn)定可靠，需保證運維管理系統(tǒng)設(shè)備和網(wǎng)絡(luò)連接的冗余可靠。

4.5 數(shù)據(jù)庫審計系統(tǒng)

實現(xiàn)功能：數(shù)據(jù)庫審計系統(tǒng)，面向數(shù)據(jù)庫運維和安全管理人員，實現(xiàn)數(shù)據(jù)庫的訪問行為監(jiān)控、危險操作告警、可疑行為審計。數(shù)據(jù)庫審計提供語句、會話、IP、數(shù)據(jù)庫用戶、業(yè)務(wù)用戶、響應(yīng)時間、影響行等多種維度的數(shù)據(jù)庫操作記錄和事后分析，成為安全事件追查的依據(jù)和來源。通過SQL 行為業(yè)務(wù)用戶的關(guān)聯(lián)，使數(shù)據(jù)庫訪問行為定位到業(yè)務(wù)工作人員，進行追責、定責。

具體部署：數(shù)據(jù)庫審計系統(tǒng)部署方式為旁路部署，通過在支持端口流量鏡像功能的交換機上將流經(jīng)的數(shù)據(jù)流量鏡像到數(shù)據(jù)庫審計系統(tǒng)，數(shù)據(jù)庫審計系統(tǒng)對操作數(shù)據(jù)庫的所有行為進行監(jiān)聽，對審計到數(shù)據(jù)進行關(guān)聯(lián)分析，并通過可視化數(shù)據(jù)形式將報表展現(xiàn)給管理用戶。這種網(wǎng)絡(luò)監(jiān)聽的部署方式是將數(shù)據(jù)庫審計設(shè)備的監(jiān)聽端口直接與數(shù)據(jù)庫介入交換機進行連接，部署簡單。

結(jié) 束 語

本方案針對內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司的信息系統(tǒng)分別從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等五大方面進行安全技術(shù)和措施的設(shè)計，實現(xiàn)內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護。系統(tǒng)為了實現(xiàn)網(wǎng)絡(luò)綜合防控體系，以技術(shù)組合和功能互補為思路，從外到內(nèi)建立了一套網(wǎng)絡(luò)分區(qū)分域的多層次防御體系，從整體上落實了信息系統(tǒng)網(wǎng)絡(luò)安全等級保護制度的要求，提升了被建設(shè)信息系統(tǒng)的整體防護能力。