王素然 田 芳

1.2.内蒙古广播电视台 内蒙古 呼和浩特市 010050

引 言

随着计算机信息网络技术的发展，手机端4G、5G网络带宽的不断增长，传统以文字、图片新闻为主的媒体门户网站也发展成以高清流媒体点播、直播为主的门户网站，网络安全就变的尤为重要，已经成为电视台在信息化建设和改造中的重要组成部分。为了进一步促进和落实内蒙古广播电视台信息安全等级保护工作，内蒙古广播电视台以国家信息安全等级保护相关管理规定为指导，将内蒙古广播电视台腾格里网（以下简称腾格里网）定为等级保护三级，结合实际业务系统，在对腾格里网进行充分调研及详细分析的基础上开展了信息系统安全等级测评及安全设备整改工作。本文论述了腾格里网网络安全等级保护建设的整改与实现。

1 腾格里网架构简介

腾格里网由融合平台及多个子应用系统组成，整改前网络拓扑图如图1所示，核心交换S7506用于各子应用系统之间的互联互通，支持各业务子系统的接入，各子系统汇聚交换机与核心交换机互联。

本次腾格里网等级保护三级安全建设主要包含网络边界安全防护、网络安全数据防护、系统安全防护和网络应用安全数据防护等。网络边界安全防护重点关注网络数据流如何有效通过检测安全控制用户进出边界，对流经或进入边界的信息数据内容进行过滤，有效安全控制措施主要包括：用户网络安全访问、入侵安全保护及远程控制用户网络访问使用权限等。

2 腾格里网安全防护总体设计

腾格里网网络安全的总体设计结合了目前腾格里网的实际情况，从安全运行环境、区域边界、安全数据网络和安全管理中心四个方面，构建一套安全设计方案，将现有的网络架构和业务系统紧密结合起来，尽量不改变现有的网络结构，在不影响业务的情况下，满足等级保护相关要求。

图1 腾格里网整改前网络拓扑图

2.1 设计思路与原则

根据内蒙古广播电视台的实际需求和国家等级保护相关法规的要求，从技术先进、高效管理、操作维护方便，以及充分体现标准化、规范化等方面对工程总体建设和实施进行了初步设计，从多个环节上进行安全防控。采用国内安全产品制造商先进且实用的安全技术和安全产品，不仅可以确保现有系统的安全性和可靠性，还可以在5年内满足系统升级、维护和扩展的需要。

安全建设是本次等级保护项目的重点建设内容之一，应严格遵循等级保护以及相关政策、标准和规范的要求，使腾格里网能够在多角度、多层面上获得强有力且全方位的安全保障，如网络、应用和数据信息。

项目在初步设计过程中应充分考虑现有资源，有效利用旧设备，提高系统建设的成本效益和投资效益，避免浪费。

2.2 信息安全保障体系设计

信息安全等级保护是本次腾格里网整改设计的核心指导思想，整改方案的技术及管理设计都是围绕并符合等级保护设计思想和要求展开的，构建了一个集防护、检测、响应、恢复于一体的综合安全系统。全面贯彻落实等级保护制度，在内蒙古广播电视台建立信息安全保障体系，从安全管理体系、安全技术体系、安全运行与监控体系三个方面构建综合安全体系。其中，安全管理体系包括成立安全组织机构，编订安全策略、管理制度、管理范围、管理流程等。安全技术体系主要从通信网络、区域边界、环境安全等方面有效保证信息安全。

图2 内蒙古广播电视台信息安全保障体系图

图3 安全技术体系图

2.3 信息安全技术体系设计

信息安全技术体系结构设计的基本内容主要是一个中心、三重防护，即安全管理中心、安全网络计算环境、安全区域边界、安全通信网络。网络层面要注意边界的访问控制、安全审计、各项协议过滤等；应用和数据层面要注意入侵动作的实时监测与阻断，结合网页防篡改等手段尽可能保护重要数据信息。

（1）安全管理中心：构建先进且高效的安全管理中心，实现针对系统安全、安全管理、审计安全、操作流程等方面的统一管理；

（2）环境安全：为腾格里网创建一个可靠、安全的计算环境。从系统应用级别的协议过滤、端口控制、身份识别、终端防护、程序运行保护、系统安全检查、数据机密和完整保护等方面，通过访问控制设备（防火墙、WAF的访问控制列表）全面提高腾格里网系统和应用的级别安全；

（3）边界安全：加强对网络边界的访问控制，及时阻断未授权的内部计算机私自非法外联行为，配置Web应用防火墙以防范网络边界处的恶意代码、SQL注入及跨站脚本等攻击，进行网络边界行为检查，保护互联网边界的完整性，提高网络边界的可控制性；

（4）通信网络安全：确保网络间数据的安全传输、网络行为的安全审计，以保障网络通信安全。

2.4 边界访问控制与安全审计

网络边界通常是整个系统最容易受到攻击的地方，许多来自外界的攻击通过边界的薄弱环节攻击到网络内部。系统中的每个子应用边界也同样需要进行安全防御，以确保各子应用的信息安全。因此，网络和子应用在边界设计中需要重点考虑安全防御。

边界安全防御目标旨在防止边界内部的外来攻击，同时还要防止内部人员使用未经授权的设备私自外联，从边界内对外进行攻击，或者通过开放界面、隐匿信道进入内部网络。由于内部人员对内蒙古广播电视台网络结构较为了解，因此，更应严格约束内部人员的上网行为。安全事件发生以后，可以通过分析日记、检测设备查找攻击意图，进行记录、报警，还可以提供日志入侵记录，进行审计跟踪。

内网边界主要通过部署防火墙、入侵防御系统、抗DDOS防护系统、漏洞检测系统、防篡改系统、病毒防护网关等，搭配合理的安全策略以达到防护目的。

图4 腾格里网整改后网络拓扑图

在选择安全设备时，除了要考虑到产品本身的功能、性能等因素外，还要考虑系统异构、可管理性等因素。异构能提高系统整体抗攻击能力，防止同一家厂商的产品存在的共性缺点，产生系统整体安全上的漏洞。

腾格里门户网站审计范围包含所有服务器、交换机、操作系统和数据库；审计内容为系统中重要的用户行为、系统资源异常以及重要系统命令的使用等；审计记录包含事件发生的日期、类型、主体标志和结果等。

3 腾格里网网络安全等级保护整改

3.1 安全设备整改项目分析

内蒙古广播电视台在按照等级保护基本要求对腾格里网进行充分调研及详细分析的基础上，决定对腾格里网网络安全进行整改，然后进行测评。整体调研后发现缺少部分安全设备，主要为边界安全设备、审计类设备与网页防篡改系统。

3.2 整改后网络架构

按照等级保护基本要求整改后网络拓扑图如图4所示。

在两个出口与防火墙之间加装一台抗DDOS防护系统，可以及时对拒绝服务攻击进行防护处理。在防火墙与核心交换机之间增加一台入侵防护系统，可以监视各类攻击行为，在发生严重入侵事件时进行报警。为满足等级测评要求，分别在旁路部署了运维审计平台、网络安全审计系统和数据库审计系统。在两台防火墙与核心交换机之间增加了Web应用防火墙（WAF）。在腾格里网页面发布服务器上部署了一套网页防篡改系统，可以保护网站系统，防止SQL注入、跨站脚本等攻击手段。

4 结 语

信息安全等级保护建设是国家对信息系统的强制性要求，经过近一年的探索研究，按照《信息系统安全等级保护基本要求》规定和整体安全建设思想，内蒙古广播电视台采取了必要的安全技术措施，以满足等级保护三级基本要求，整个架构主要包括一个中心、三重防护，构建集防护、检测、响应、恢复于一体的系统全面的安全保障体系，以业务应用为重点、安全管理为支撑。通过上述网络安全建设，腾格里网基本具备层层设防、重点突出、策略联动、管理为上的优势，顺利通过了信息系统等级保护三级测评，取得了测评证书。