浅析内蒙古广电宽带与点播系统网络安全

2019-02-20 22:39任国彪于杰龙

数字传媒研究 2019年9期

任国彪于杰龙

1.2.内蒙古广播电视网络集团有限公司内蒙古呼和浩特市 010051

1 宽带互联网系统

内蒙古广播电视网络集团有限公司宽带互联网系统于2010年10月开始安装，经调试，2012年10月初步完成建设投入使用。该系统为内蒙古广播电视网络集团有限公司宽带用户提供互联网接入服务。网络安全上主要存在的问题有网络结构、基础设施及边界防护、安全运维管理、安全监测几方面。

1.1 网络结构

（1）没有按照系统的重要性进行分区、分域、分级保护。

（2）未建立安全管理中心，缺乏部署相关设备实现网络非法内外联监测、恶意代码统一管理、补丁升级统一管理、安全事件统一管理等网络安全统一管理措施。

1.2 基础设施及边界防护

（1）系统没有采用技术手段对内部网络用户私自联到外部网络的行为进行检查、定位和阻断。

（2）核心网络中未部署入侵防御系统，缺乏对非法攻击的检查、定位和阻断。

1.3 安全运维管理

没有部署运维管理系统，缺乏对内部运维人员进行统一身份认证、访问授权控制、日常运维操作行为审计监控管理，需要规范内部人员管理，避免出现越权及违规操作行为。

1.4 安全监测

信息系统没有第三方审计设备，无法将网络设备日志进行审计和生成审计报表；没有将设备日志发送到第三方设备进行保存，无法避免受到未预期的删除、修改或覆盖等，没有对90 天以上的审计日志进行归档。

2 IPVOD系统

多媒体互动平台扩容项目（简称IPVOD）是内蒙古广播电视网络集团有限公司“一云、一网、三平台”战略和“十三五”规划的重要组成部分，是积极探索从传统媒体到新媒体转型和应对“三网融合”政策的重要规划部署。IPVOD 平台打破单一产品服务模式，对用户群体进行细分，利用科技手段以人为本，从不同客户群体、思维方式、接受能力等方面进行考虑，依托广电宽带内网，适合家庭、政务、党建、社区、农村、教育、酒店等用户群体，增加了用户黏度，丰富了产品内涵。对内蒙古广播电视网络集团有限公司迎接市场“浪潮”的冲击和电信运营商和互联网企业的竞争挑战，具有极其重要的战略意义。IPVOD系统存在的安全问题包括边界安全检测、入侵及恶意代码检测、安全事件检测、安全运维管理几方面。

2.1 边界安全检测

没有采用技术手段对内部网络用户私自联到外部网络的行为进行检查。

2.2 入侵及恶意代码检测

（1）没有定期给数据库打补丁。

（2）服务器没有安装防病毒软件，没有部署防病毒服务器，不能对防病毒软件统一管理。

2.3 安全事件检测

（1）没有对全网各类网络设备、安全设备、主机系统、应用系统的日志集中收集存储、统一汇总分析。没有对所有对数据库执行的操作行为进行记录分析。

（2）未建立安全管理中心，没有部署相关设备实现网络非法内外联监测、恶意代码统一管理、补丁升级统一管理、安全事件统一管理等网络安全统一管理措施。

2.4 安全运维管理

基于上述原因，内蒙古广电网络进行了宽带互联网系统与IPVOD系统的定级保护工作，按照《宽带互联网系统与IPVOD系统安全等级保护定级报告》，宽带互联网系统安全保护等级为第二级，其中业务信息安全保护等级为第二级，系统服务安全保护等级为第二级。IPVOD系统安全保护等级为第二级，其中信息系统安全保护等级为二级、系统服务安全保护等级为二级。

3 整改方案设计

3.1 设计原则

内蒙古广电信息系统安全建设工作是以国家信息基础设施为核心，严格按照网络安全等级保护基本要求，坚持管理和技术并重的原则，根据实际业务情况的安全等级，实行分阶段、分等级保护和管理，保障了信息系统的正常运行，逐步推进等级保护的整体防护要求。在方案设计中应当遵循重点保护原则、技术管理并重原则、分区分域原则。

3.1.1 重点保护原则

根据信息系统被定级的业务信息安全等级，结合现状，对安全强度实行不同程度的递进。对于核心业务，坚持重点保护原则，实行重点防护，做到持续重视。

3.1.2 技术管理并重原则

在对内蒙古广电网络信息系统进行整体安全建设时，除了要通过部署各区域的安全产品保障网络的安全性外，也要提出安全管理建设要求。等级保护2.0 中，也提出要把安全管理建设和安全技术建设结合起来，利用网络安全等级保护综合工作平台，更高效的维护网络安全，做到防止信息系统被非法访问、破坏，重要数据被非法窃取、篡改的可能。

3.1.3 分区分域原则

系统的安全建设整改是以信息系统的整体架构为核心，依据定级时的业务信息安全等级和系统现状划分为不同的安全区域，以安全区域为单位进行安全防御技术措施的建设。对于属于同一业务范畴、相近等级程度的信息资产，可划分到同一安全域，进行统一防护，集中管控，实现策略一致性。对于不同业务范围、不同等级程度的信息资产，可遵循分区分域原则，进行隔离防护，分别管控，实现策略差异化。实行分区分域原则，可防止因某一信息资产遭受网络攻击而殃及到整个信息系统的安全。

3.2 设计思路

基本思路是以保护关键信息基础设施为核心，参照等级保护的标准和制度，通过分区分域的方法，满足内蒙古广播电视网络集团有限公司信息系统在物理层面、网络层面、系统层面、应用层面和管理层面的安全需求，建设符合等级保护制度与技术要求的防护体系，能够为内蒙古广播电视网络集团有限公司业务的开展提供有力保障。

4 设备部署

4.1 日志审计系统

实现功能：日志审计系统是通过对网络安全日志进行集中采集和存储，以便事后分析和预测。日志审计系统对采集到的日志数据进行挖掘、关联分析，及时对可能发生的网络攻击做出预警。由于日志信息是网络事件留下的第一手数据，因此需要做到对日志长期存储，同时避免网络设备运行日志遭到恶意修改、删除，使网络攻击源头无迹可寻。

具体部署：在安全管理区部署日志审计系统，对全网各类网络设备、安全设备、主机系统、应用系统生成的日志信息发送至日志审计系统，并对日志格式进行规范，生成标准格式的日志，由日志审计系统进行集中的存储和分析。

4.2 入侵检测系统

实现功能：入侵监测是一种事先预知行为，是对入侵行为的监测，作为一种积极主动的安全防护技术。它通过监测网络数据，并对包括日志审计数据、流量数据及网络行为等进行数据收集、分析，预测可能发生的网络攻击行为和数据威胁。

具体部署：在安全管理区部署入侵检测设备及其数据中心，对入侵检测系统进行管理，对入侵检测数据进行集中管理和分析，入侵检测设备的管理端口直接连接至安全管理区接入交换机；在核心区核心交换机部署入侵检测监测点，部署方式为旁路部署，监测点通过光纤或双绞线直接连接至入侵检测设备的监视端口，利用网络设备的端口镜像采集网络与各安全区业务系统的通信流量，在不影响网络性能的情况下实时监测网络流量，及时发现攻击行为并告警。

4.3 入侵防御系统

实现功能：入侵防御系统除了具有入侵监测系统监测恶意行为外，还能采取一定的行动对恶意行为进行阻断。入侵防御系统可以对每个流经的报文进行关联分析、特征匹配等深度感知，一旦发现隐藏的恶意行为，可根据该行为的威胁等级进行告警、丢弃、切断会话等防御措施。

具体部署：在网络接入线路串接入侵防御系统设备，对流量实时监测和入侵防御。入侵防御设备部署方式为串接，因此必须保证其设备和连接的冗余可靠。

4.4 运维审计系统

实现功能：运维审计系统是将人机分离，实现运维人员通过中间平台-运维审计系统间接访问信息系统设备。运维人员在通过运维审计系统时，要经过身份认证和权限限制，经过同意后可对目标信息系统设备进行操作访问。这样做的好处是所有的运维人员都将通过审计平台统一管理、集中授权，并对操作事件进行日志审计、定期报表，实现信息系统的日常运维管理工作，做到事前审批、事中控制、事后审计等功能。

具体部署：在安全管理域部署运维管理系统，配合全网的访问控制包括对网络系统ACL、安全设备管理访问控制、主机系统管理访问控制、应用系统管理访问控制等进行配置，在全网禁止分散的远程控制管理访问，仅允许运维管理系统进行远程控制管理访问，全网的远程控制管理访问集中通过运维管理系统，由运维管理系统进行规范的权限管理和详细审计。同时运维管理系统可利用PKI/CA 系统实现统一的身份认证。为保证远程控制管理的稳定可靠，需保证运维管理系统设备和网络连接的冗余可靠。

4.5 数据库审计系统

实现功能：数据库审计系统，面向数据库运维和安全管理人员，实现数据库的访问行为监控、危险操作告警、可疑行为审计。数据库审计提供语句、会话、IP、数据库用户、业务用户、响应时间、影响行等多种维度的数据库操作记录和事后分析，成为安全事件追查的依据和来源。通过SQL 行为业务用户的关联，使数据库访问行为定位到业务工作人员，进行追责、定责。

具体部署：数据库审计系统部署方式为旁路部署，通过在支持端口流量镜像功能的交换机上将流经的数据流量镜像到数据库审计系统，数据库审计系统对操作数据库的所有行为进行监听，对审计到数据进行关联分析，并通过可视化数据形式将报表展现给管理用户。这种网络监听的部署方式是将数据库审计设备的监听端口直接与数据库介入交换机进行连接，部署简单。

结束语

本方案针对内蒙古广播电视网络集团有限公司的信息系统分别从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等五大方面进行安全技术和措施的设计，实现内蒙古广播电视网络集团有限公司业务应用的可用性、完整性和保密性保护。系统为了实现网络综合防控体系，以技术组合和功能互补为思路，从外到内建立了一套网络分区分域的多层次防御体系，从整体上落实了信息系统网络安全等级保护制度的要求，提升了被建设信息系统的整体防护能力。