北京电视台制播网等级保护建设网络安全部分设计与实现

北京电视台制播网等级保护建设网络安全部分设计与实现王学奎陈奇张永毅（北京电视台）摘要北京电视台（BTV）全台制播网络系统中包含3个等保三级系统、17个等保二级系统。本文按照广电等级保护行业标准，设计并实现了基础网络和网络边界安全相关部分。基础网络安全设计与实现的关键点为安全域的划分、网络设备自身安全加固，网络边界安全设计与实现的重点为访问控制、安全数据交换。关键词制播网等级保护基础网络安全网络边界安全1引言电视节目的制作、播出、传送、存储和管理等各个方面越来越多的依赖于计算机网络技术，信息安全体系建设已经成为电视台信息化建设过程中不可忽视的重要部分。2011年5月，国家广电总局科技司颁布了《广播电视相关信息系统安全等级保护基本要求》和《广播电视相关信息系统安全等级保护定级指南》两个指导性文件。北京电视台制播网等级保护建设的整体设计以广电行业标准为基础，遵循等级化保护原则、主动防御原则、有效联动原则、综合管理原则。本文论述了北京电视台制播网信息系统网络安全部分的设计与实现。2北京电视台制播网络系统简介BTV制播网以SOA架构为基础，由业务支撑平台及若干应用系统组成。业务支撑平台是整个制播网络系统互联互通的中心枢纽，支持各个业务系统的灵活接入，各应用系统通过业务支撑平台进行数据交换。从接入交换机到汇聚交换机、汇聚交换机到核心交换机均采用万兆双上联冗余链路连接；BTV制播网与办公网之间通过高安全区联通，根据不同的数据类型和流向，在高安全区设置了三类安全通道。各业务系统划分在不同的Vlan中，网内部署有网络版防病毒系统。根据广电行业等级保护定级（GD/J037-2011技科字〔2011〕137号）要求，BTV制播网信息系统定级情况如下：总编室系统、主干平台系统、高清新闻系统为三级，其余系统为二级。3安全防护体系总体设计BTV制播网信息系统安全总体规划设计思想为：按照“等级化保护、分域防护”的策略，与现有网络架构、业务应用紧密结合，对关键安全防护要素进行设计和实现。3.1差距分析BTV制播网网络安全部分与广电行业等级保护基本要求差距总结如表1所示。表1差距分析表检查内容主要不符合内容基础网络安全（20个检查项，4项符合，4项基本符合，12项不符合）（1）基于网络设备的安全审计欠缺；（2）网络设备的自身安全保护缺少相应的防护措施；（3）身份鉴别措施简单。边界安全（20个检查项，0项符合，8项基本符合，12项不符合）（1）网络边界访问控制措施不完善；（2）基于网络行为的安全审计欠缺；（3）缺少网络接入访问控制措施；（4）网络边界的恶意代码程序防范缺失。3.2框架模型等级保护是对IT系统的全面保护，涉及政策法规、防护策略、安全体系等方面，其中安全体系包括技术层面、管理层面和物理层面三个部分。图1为BTV制播网安全保障框架模型。从总体安全框架可以看出，以国家信息安全政策法规为基础，通过建设安全管理体系、安全技术防护体系以及运行服务体系来构建BTV制播网信息安全保障体系。其中基础网络安全重点建设内容包括：结构安全、安全审计以及设备自身防护。边界安全重点建设内容包括：访问控制、入侵防范、恶意代码防范、边界完整性以及安全数据交换。安全管理体系建设的重点是依托安全管理平台，强化运行监测、安全审计，不断完善管理制度。本文主要论述等保三级系统的网络安全设计及实现方式，文中所涉及的安全条款均为《广播电视相关信息系统安全等级保护基本要求》中的内容。4网络安全防护详细设计4.1基础网络安全BTV制播网基础网络安全设计主要包括三方面内容：结构安全、安全审计、网络设备自身防护，实现方式为网络结构调整和网络设备安全加固。4.1.1结构安全BTV制播网目前的设计，可以满足《广播电视相关信息系统安全等级保护基本要求》结构安全中的“网络设备处理能力；冗余配置；层次化、纵深化设计；绘制网络拓扑图”项的要求。需要对“安全域划分；安全域内划分子网或网段；安全域重要网段技术隔离”项进行重新设计与实现。4.1.1.1安全域划分根据功能及安全需求的不同，将BTV制播网络划分为制播三级业务区、制播二级业务区、高安全区三个安全区域。每个三级系统与其它业务系统之间采用两台万兆防火墙作为安全隔离设备。各区域划分如图2所示。4.1.1.2安全设备带外管理制播网内所有安全设备在安全管理平台上实现统一管理。安全设备需要实时将设备运行状态、报警信息、资源利用率等相关信息发送至安全管理平台，为保证这些管理信息的传送不对正常的业务运转产生影响，采取单独组网的带外管理方式实现对安全设备的管理。各个区域的简要说明如下：1、高安全区制播网与办公网联通通道，负责制播网与办公网之间的数据交换。2、制播三级业务区主干平台系统、总编室系统、高清新闻系统。3、制播二级业务区除等保三级系统外其它业务系统。4.1.1.3系统内部网段划分制播二级业务区域可以划为服务器区和终端区两个区域，设计方案相对简单，本文重点论述制播三级业务区的设计方案。以主干平台系统为例，根据系统内服务器所承载的服务不同，划分为应用服务区、运维区、安全管理中心区三个部分。应用服务区包括主干平台各类服务器，运维区包括主机核心加固管理端、数字认证系统服务端、运维审计设备、漏洞扫描设备、运维终端设备等，安全管理中心区包括IDS、数据库审计系统及安全管理中心相关设备等。具体划分情况如图3所示。4.1.2安全审计审计是指收集、记录运维用户对服务器、网络设备资源的使用情况，在出现安全事故时，可以追踪原因，追究相关人员的责任，以减少由于内部计算机用户滥用网络资源造成的安全危害。根据信息系统等级保护要求，对于三级信息系统需建立网络设备的安全审计机制，对确认的违规行为及时报警。本方案建立集中统一的运维审计平台，对网络设备、服务器设备、安全系统的用户和各种资源进行集中管理、集中权限分配、集中审计。审计记录包括事件的日期、时间、用户名、IP地址、事件类型等。设备产生的审计日志文件会统一集中在安全管理平台处理。一般情况下，系统维护员对网络设备的操作是通过运维审计系统完成。运维审计系统是一种被加固的可以防御进攻的系统，具备很强的安全防护能力。因此能够拦截非法访问和恶意攻击，对不合法命令进行阻断、对操作行为进行记录，并过滤掉所有对目标设备的非法访问。运维终端对制播网内重要设备（服务器、交换设备、存储等）操作，均必须通过运维审计系统。通过运维审计系统和设备日志分析，可以全面达到审计要求。4.1.3网络设备防护网络设备防护要求中的“身份鉴别、复杂口令；登录失败处理；基本安全配置；特权用户权限分离；远程管理”等项可通过设备自身安全手动加固完成，对“双因素认证；登录地址限制”项可通过运维审计系统达到要求。用户登录运维审计系统时，需要使用密码和数字证书两种认证方式登录。BTV制播网等级保护三级系统采用数字证书以及数字签名验证服务器来实现对登陆用户的双因素身份鉴别功能。在基础网络安全、网络边界安全、服务端安全、客户端安全、应用安全等层面统一使用一套数字证书系统。BTV制播网等级保护三级业务系统用户认证按照以下内容进行安全加固：数字证书口令长度不少于8位，由数字和字母等混合组成，每季度变更一次。应用系统的管理、审计、授权等特权权限分配给不同的应用系统账户，实现权限分离。配置最小权限，取消默认账户。4.2边界安全边界网络安全防护关注如何对进出的数据流进行有效的检测和控制，有效的检测机制包括基于网络的入侵检测、对流经边界的信息进行内容过滤；有效的控制措施包括网络访问控制、入侵防护、安全审计、以及对于远程用户的标识与认证／访问权限控制。上述安全防护机制与其它层面安全措施可协同实现。边界安全防护是BTV制播网信息安全建设的关键部分，对制播网来说，绝大多数安全隐患都来自于网络边界。4.2.1访问控制区域边界是不同安全区域或各安全子域间进行信息交互的关键节点，BTV制播网的边界访问控制是边界安全设计的重点。制播三级业务区和制播二级业务区之间采用防火墙实现边界访问控制。防火墙采用透明模式部署在核心交换机与汇聚交换机之间，可以为各个业务系统访问主干系统提供访问控制措施，并阻断、过滤网络层的攻击性行为。边界访问控制基于数据包的源地址、目的地址、通信协议、端口等信息。广电行业等保要求访问控制“网络边界访问控制；应用层协议命令级控制”项通过部署在三级系统边界的万兆防火墙实现。“防止地址欺骗”项通过IP与MAC地址绑定实现。由于外部网络不能直接访问BTV制播网，因此“外部网络访问用户强制认证；外部网络连接最大流量及网络连接数限制”项不适用于BTV制播网。4.2.2安全数据交换安全数据交换是广电等保行业标准的重点和关键项，这是由广电行业不间断运行的特殊性决定的。除了“系统间数据交换限定文件类型及格式”项可以达到要求外，“蓝光、P2等移动介质防毒、专业移动介质上载防护；数据交换区或专用数据交换设备；数据交换区与外部网络安全隔离”项都无具体的实现方法，没有现成的设备或系统满足要求。北京电视台自行建设的数据安全交换系统和新介质安全防护系统可以有效解决此类需求。4.2.2.1高安全区制播网和办公网之间的高安全区是BTV制播网最重要的网络边界，为适应制播网的业务拓展和新媒体类型系统与制播网之间的数据安全交换，BTV制播网设计并实现了新型的高安全区。新高安全区按照不同的数据传输需求，建立了三条通道：控制信息及元数据传输通道、办公网至制播网媒体数据传输通道、制播网至办公网媒体数据传输通道，如图4所示。从办公网向制播网传输媒体数据，可认为是从安全级别低的网络向安全级别高的网络传输数据，需重点防范病毒和非法入侵。从此通道传输的数据均经过三层杀毒，杀毒站点间通过私有协议传输数据，以杜绝网络病毒的传播。而从制播网向办公网传输媒体数据，则可认为是从安全级别高的网络向安全级别低的网络传输数据，重点考虑的是网络隔离问题。用于控制信息传输的双向通道，需考虑各类安防措施，由于只是传输控制信息，所占带宽较小，传输效率不是考虑重点。4.2.2.2新介质安全防护系统制播网另一类边界为通过高清新介质向制播网上载素材。高清新介质指P2卡、蓝光盘等存储介质，这类介质一般为通用存储介质，计算机可对其进行读写。北京电视台建设的高清新介质安全防护系统，在Windows操作系统驱动层面对非法目录和非法文件进行了有效屏蔽，并可实现USB、1394、光驱等通信端口的管理。4.2.3入侵防范入侵检测系统最主要的功能是对网络入侵行为的检测，它可以自动识别各种入侵模式，在对网络数据进行分析时与这些模式进行匹配，一旦发现某些入侵企图，就会进行报警。通过接入交换机的千兆接口将指定VLAN的流量镜像至入侵检测设备。对入侵防范“在网络边界监视各类攻击行为；对攻击行为进行记录”两项要求，通过网络入侵检测系统（TDS）作为访问控制设备的有效补充，实现检测网络流量，监控外部用户的网络行为，并对违反安全策略的流量和访问及时报警。对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击等行为，可以有效监视并记录攻击信息。4.2.4恶意代码防范对恶意代码防范“恶意代码检测；边界防恶意代码产品与系统内部恶意代码产品不同”两项，可以通过在入侵检测系统（TDS）上增加防病毒模块来加强对访问服务区的数据流进行检测与防护，对恶意程序及病毒代码进行过滤检测。BTV制播网内部防恶意代码产品为赛门铁克公司的SEP12，TDS防病毒模块为卡巴斯基的恶意代码库。4.2.5安全审计网络边界的安全审计功能通过开启防火墙审计功能实现，防火墙需要将审计日志集中发送到安全管理平台上，审计内容包括网络访问日志、不符合防火墙策略被拒绝掉的网络访问请求等。对于防火墙不能处理的审计内容，部署于接入交换机层面的入侵检测系统也可以对网络边界行为进行审计。4.2.6边界完整性边界完整性“非授权设备入网检查和阻断”可以通过IP与Mac地址绑定的方式解决，“内部设备私自外联和阻断”项不适合BTV制播网，制播网内设备没有连接外网的条件。5结论等级保护建设是国家对信息系统的强制性要求，目前广电行业还未有成功先例。此方案的设计与实现紧密结合广电