1 引言
随着北京市怀柔区融媒体中心新媒体、移动端业务的快速开展和不断推进,需要进一步强化新媒体平台的安全性。如何确保平台安全稳定运行,以及重要信息完整、可靠、不泄漏,保障安全播出,已成为当前亟需解决的问题。本中心参照《中华人民共和国网络安全法》和《信息系统安全等级保护基本要求》的相关规定,结合中心的实际情况,在机房物理环境安全、服务器主机安全、网络安全、数据安全和安全制度管理等方面进行整改建设,排除安全隐患,以提高系统抵御攻击能力,从整体上提升中心新媒体平台系统的安全防护水平。 2 物理安全防护
怀柔区融媒体中心采取的物理安全防护措施包括五个方面。轴承油封
一是中心机房配备防盗报警器,能够清晰录下现场作案者的图像、语音,远程遥控布防撤防或紧急报警,外接喇叭接口能声光报警。
二是设置自动气体灭火消防系统,自动监测火情,自动报警,并自动喷洒七氟丙烷灭火;机房、工作场所建筑材料采用耐火材料;机房采用耐火阻燃隔离设施,将重要设备与其他设 备隔离开。
三是配备专用机房空调,保障设
备运行在适宜的温湿度环境下,防止
设备在非正常环境下运行造成安全隐
患;采取必要的防水防渗保护措施,
并安装了温湿度传感报警设备。
四是机房计算机服务器等供电系
统与其他供电系统分开,并采用双路
供电系统保障安全播出;设置稳压和
过压防护设备,配置了100kVA的UPS
供电系统,在停电时可提供3个小时
的供电;配备了柴油发电机。
五是利用绝缘地板、铜带、防电
磁干扰设备等防止外界电磁场、杂波
干扰和临近设备的寄生耦合;强电电
缆与弱电线缆实行分离部署,重要设
备和磁介质实行电子屏蔽。
3 网络安全防护
3.1 安全域划分
安全域是由实施共同安全策略的
主体和客体组成的集合。安全域的划
分可以理顺系统架构,最大程度地为
磨头
系统防护提供依据。网络安全域是指
同一系统内有相同的安全防护护需求,
计算机彼此间建立了信任关系,并具
有相同的边界控制策略、安全访问控
制和安全策略的网络。
新媒体平台的安全域可分为核心
区纵向系统(互联网接入区及核心交
换)、公共服务区(DMZ区)、三级
业务区、视频服务区(Sobey视频编辑
系统)、安全管理区、内部办公区等
6个部分。
对于安全域的边界整合问题,根
据组织结构和业务的相似性可以对安
全域有选择地进行整体性保护,其基
本原则是在保障业务系统的前提下,
在安全域放置高效防火墙进行边界隔
离,且防火墙必须具备负载均衡、双
机热备的能力。
3.2 通信安全网络防护
按照等级保护三级的要求,平台
通常需要设置两个或两个以上来自不
同运营商的外网出口,并且这些外网
不能来自于同一根光纤线缆,如一条
移动线路和一条联通线路。当一条线
路故障时,数据自动快速切换,把用
户导向服务器质量最好的一条线路上,
保证对外应用与内网办公用户访问互
联网资源不受影响。为实现这一需求,
中心选用了链路负载均衡解决方案,
在其静态和动态的就近判断以及链路
带宽检测策略的基础上,定制特定的路
由策略,能够基于源地址、目的地址以
及应用业务来命中特定链路。一些用户
怀柔区融媒体中心新媒体平台网络安全建设
任杰 北京市怀柔区融媒体中心
摘要:本文介绍了北京市怀柔区融媒体中心新媒体系统网络安全防护的系统设计、网络架构、安全域的划分,结合实际阐述了如何对新媒体系统的外网出口和系统内各个域之间实施网络安全防护,以达到保障网络安全和播
出安全并通过相关法律、法规要求的网络安全等级保护二级测评的目的。
关键词:DMZ 网络安全 防火墙 安全域 冗余
54《广播电视网络》 2021年第6期 总第378期
《广播电视网络》 2021年第6期 总第378期
的服务器被现有移动运营商IP限制,即使在增加联通链路后,访问这些特定服务器仍然必须使用移动链路。而使用负载均衡,能够通过路由策略来解决上述问题。
中心网络设备和安全设备均使用双机热备。设备数据(包括数据库数据)同步写入两台、多台网络设备或者共享的存储设备中。在同一时间内只有一台网络设备运行。当运行的设备出现故障时,另一台备份设备通过心跳线侦测并将其激活,使得应用迅速切换至备用设备,保障业务的正常运行。
网络结构的设计是网络安全建设的重要基础和前提,应保证重要网络设备业务处理的资源需求和网络各个部分的带宽满足高峰期业务的需要。依照不同业务的重要性,定义带宽分配的优先级,在网络拥堵时优先保障重要业务的带宽资源需求。合理规划路由,业务终端与业务服务器之间建立安全路径。根据各个域所承担业务的重要性和所涉及信息的敏感程度等因素,划分不同的网段或VLAN。承载重要业务系统及数据的网段不能直接与外部系统连接,需要和其他网段隔离,单独划分区域。
在网络访问控制中,我中心采用的技术手段包括防火墙技术和访问控制列表技术。访问控制一般在安全域的边界处进行控制,根据访问数据包的源地址、目的地址、协议类型、端口号、流量状态、用户身份、访问时间等诸多因素,进行控制,禁止那些不被允许的访问类型,或者阻断非法访问。
3.3 网闸部署
采取逻辑强隔离设备对视频编辑系统与核心交换区进行逻辑隔离,是为了适应新媒体平台的业务发展需要,在
保证原有对外业务连续性的同时保证
核心数据的安全。用网闸将索贝制作系
统与核心交换区隔离,并在网闸中做好
黑白名单和摆渡策略的设置,以保障工
作流的正常运转和内部数据的安全。
3.4 防火墙部署
在新媒体平台内网与外网出口部
署边界出口防火墙,在安全域间部署域
间防火墙,并根据业务保护等级的需要
进行不同的策略设置。
(1)访问控制策略
根据源、目标地址、协议、端口、
时间、用户、流量等信息,防火墙对
各个安全区域之间的访问进行严格的
访问控制,限制非法和越权访问,保
障内外网各类访问的有序性。
(2)边界出口防火墙
边界出口防火墙部署在重要区域折叠麻将桌
边界,主要针对一些常见的拒绝服务
攻击行为启用抗攻击策略;对外部终
端的访问进行深度分析,直接阻断上
述攻击行为;通过访问控制策略,限
制对外进行某些访问。终端设备可通
过边界出口防火墙限制外部直接访问
双层茶杯上级单位服务器,而任何未授权的越
界访问均被禁止,同时限制外部未经
认证的用户访问内网其他资源。此外,
自动输入验证码
边界出口防火墙还可启用带宽控制策
略,即根据业务类型的重要性,分配
不同的宽带,确保那些重要的业务能
够得到更多的带宽资源,保障业务的
持续性和带宽资源的合理分配。
(3)域间防火墙
根据业务需要,确定业务源、目距离保护
标地址、访问协议、访问端口、设置
访问控制。根据业务开放时间、带宽
等因素制定访问控制策略。根据业务
流程分析和数据流向设置严格的访问
策略。例如,通过设置端到端的访问,
增强访问控制的确定性、安全性;允
许许可用户不受防火墙的限制访问应
用服务器和其他指定服务器。
3.5 VLAN及访问控制列表配置
根据业务需要,将重要的核心业
务与非核心业务通过不同的VLAN划
分为不同的子网,实现逻辑隔离。在
核心交换机以及汇聚层交换机上配置
访问控制列表策略,执行严格的访问
控制,在防火墙的基础上进一步对应
用服务器域、内部数据库域、业务终
端域之间的访问进行控制,对源地址、
目标地址、访问协议和访问端口等进
行网络访问白名单控制。
划分VLAN与配置访问控制列表
策略的好处是投资小,并且不必对现有
网络做过多的改造,只需对核心交换机
做配置便可实现,但缺点是无法做到认
证的整合和对应用级别的访问控制。对
此,建议在应用安全设计中,通过认证
管理来对不同的应用进行访问控制。
3.6 安全管理域
目前,怀柔区融媒体中心信息网
络由于设备太多存在较大的安全隐患,
如账号管理不清晰、密码明文存放、
明文通信容易被窃听、无过程审计以
及未定义细化访问控制等。因此,有
必要再部署账号集中管理与审计系统,
建设统一的安全管理技术平台,使得
安全管理员可以对系统设置安全策略。
根据等级保护技术要求,应对支
撑新媒体平台的重要网络设备,包括
服务器、数据库以及重要的安全网关
设备进行集中的日志审计,监控网络
流量,识别和报警异常流量,同时集
58页
55
务需求挂载相应的模块,有利于实现更加精细的权限控制,用户可以按自己的需求自定义模块,功能
业务也便于再开发。当监测设备数量扩容时,无需对其进行修改即可直接接入。5.2 扩展性与兼容性
本文设计的监测系统采用国家广播电视总局规定的广播电视监测平台接口协议、标准和开放式操作系统,确保第三方前端可以无缝接入。系统的网络接口能支持目前通用的多种接口和多种协议,支持各种协议的互联、互传。采用开放式操作系统、网络结构、网络协议、软件体系架构,充分实现资源共享,使系统具有良好的互操作性和可移植性。
系统采用模块化设计思想,具有可扩展性和升级能力,能够适应信息技术、计算机技术不断发展的要求,适应网络应用不断扩展的需要。坚持统一规划、统一结构实现信息资源共享,同时便于管理维护和今后的应用升级。
5.3 安全稳定
本系统具有强健的安全机制,采
用了身份验证、传输加密、数据加密
等多种加密手段。采用Web认证,排
除了伪装登陆的可能,保证了平台交
互的安全性,可以轻松实现7×24小
时稳定安全运行。具备完善的错误跟
踪系统,一旦平台发生工作异常,可
以方便地排查到具体的故障环节,方
便快速恢复到正常状态。整个系统具
有独立性强、耦合性低的特点,有效
保证了设备的安全和稳定。
6 结束语
本系统根据湖南广播电视台某机
房的实际需求进行设计,通过各种采
集设备,完成对信号传输过程中各阶
段的信号、节目画面等采集;并对机
房运行环境的IP网络、发射机运行情
况和机房动力环境等影响安全播出的
重要因素指标进行采集;最后通过发
射台统一运维平台,实现台站信号监
测、多画面智能监测、发射机和动力
环境监测的协同管理。该系统具有智
能化程度高、功能完善、针对性强等
特点,适合推广应用。
湖南广播电视台覆盖传输中心电
视发射部承担着传播中央声音、影响
舆论导向的重要责任,监测是安全传
输的重要环节,该系统的建设有效提
升了发射台安全监管运维水平,规范
了台站综合管理能力,为发射台实现
安全播出提供了重要保障,有利于发
挥广电事业的公共服务职能。
参考文献
[1] 王杰. 无线发射台智慧化建设方案探析[J].
广播与电视技术,2020, 47(6):150-152.
[2] 谷会敏, 单雪松. 广播智能监测系统及运
维管理平台建设[J]. 广播与电视技术, 2017,
44(12):130-136.
[3] 张友恳.浅析广电发射台站机房 动力环境监
测系统[J].中国有线电视,2019(4):420-422.RTN
中管理各个网络设备产生的日志,深入分析记录形成报表,并对特殊的操作行为进行记录。因此,新媒体平台内部署了网络审计系统,全面收集各个重要网络设备、安全硬件设备的日志,集中存储到安全管理域内的日志服务器上,并进行归纳和分析,实现对网络当前运行状态的全面掌握。
身份认证是等级保护建设的重点,本中心采用CA认证,使用身份专属公开密钥来确认身份实现访问控制。
3.7 网络安全防御
在新媒体平台边界入口处部署网络入侵防御系统,深度检测数据包内容,对异常的访问进行深度检索,及
时告警与阻断内部不正常的数据流。
考虑到对蠕虫、木马、病毒恶意脚本
的隔离,纵向和横向出口处部署了病
毒过滤网关。为应对网站遭受黑客攻
击、页面篡改和暴力破解等攻击,本
中心还部署了负载均衡设备、抗DDos
设备和WAF防火墙。
4 安全管理制度
除了采用信息安全技术措施抵御
信息安全威胁外,安全管理制度也是
本中心新媒体平台网络安全保护建设
中十分重要的一部分,所谓“三分技术,
七分管理”就是这个道理。安全技术
措施和安全管理制度可以相互补充,
共同构建全面、有效的信息安全保障
体系。为此,本中心建立健全了安全
管理机构、安全管理制度、人员安全
管理、系统建设管理和系统运维管理
等体系制度。
5 总结
自2018年建成以来,怀柔区融媒
体中心网络安全保护项目对中心的平台
系统起到了很好的保护效果,保障了本
中心主要节假日和重要安全播出保障期
的安全播出,为中心更好地宣传党和国
家的大政方针,加强舆论导向,服务广
大人民众发挥了重要作用。RTN
上接第55页
58《广播电视网络》 2021年第6期 总第378期
