安全资讯

电视台系统安全等级保护三级安全建设方案

 广播电视台作为党和政府的核心宣传阵地之一,在国家广电总局提出"数字化、网络化"的建设要求下,广播电视制播技术及信息技术得到飞速发展,各地电视台数字化、网络化以及互联互通的全台网一体化网络系统建设已经成为广电业务系统新的发展趋势。由此带来广电网络系统中异构平台不断增多,业务应用的复杂程度不断加深,应用故障及安全隐患对网络威胁也随之增多,对网络系统持续安全运行的依赖程度越来越大,因而进行安全化网络改造势在必行。

  伴随着广播电视台的业务系统网络化技术的飞速发展,各台先后建设并完善了数字化、网络化、智能化、集约化的广电业务网络系统。当前网络系统建设中,计算机病毒和网络安全对广播电视台已经构成最大的威胁。广播电视台在实现了全台网络互联互通的同时,必然加大了各项业务边界的广泛延展,如网络电视平台、IPTV平台、无线数字平台,新媒体平台、远程接入及交互平台等业务形态。在这种情况下,如果某一个系统遭到主动或被动攻击、有意识或无意识攻击,入侵者很有可能利用这点迅速占领整个业务网络系统,从而导致非常严重的安全事故发生。

  信息安全等级保护是国家信息安全保障工作的基本制度和基本方法,根据《广播电视相关信息系统安全等级保护定级指南》,电视台播出系统安全保护等级全部为三级以上,属于国家重要信息系统。电视台播出系统是广电行业信息系统的重要组成部份,是电视节目播出的核心部门,承担全台节目的播出任务。对电视台播出系统实施信息安全等级保护,从技术和管理等方面提高播出系统的安全防护能力,确保电视节目安全、稳定的播出。本文将着重研究电视台播出系统安全保护等级三级系统等保实施流程及方法。

  1、广播电视相关信息系统安全等级保护三级基本要求

  《广播电视相关信息系统安全等级保护基本要求》(以下简称基本要求)是对广播电视相关信息系统安全等级保护基本要求进行规范的标准,播出系统具有相应等级安全保护能力的前提是需要满足基本要求中三级以上基本安全防护要求。基本要求中第三级安全防护基本要求框架如图1所示。基本要求中三级以上要求建立安全管理中心,从系统管理、安全管理及审计管理三个方面,实现对系统中各安全机制的统一管理。

  2、电视台播出系统

  全台网将电视台内的各个独立的节目生产网络连接起来,消除网络孤岛,使台内的节目制作流程能够实现全数字化、流程化的快速运转。全台网环境下,电视台播出系统主要包括播出控制、节目备播、节目播出、安全管理等模块,它承担着节目、广告、资讯等业务的多项播出任务,是网络化制播链的最后环节。播出系统通过全台主干网与节目生产、节目生产管理等领域进行数据与文件交互。全台网环境下,播出系统基本架构所示。

  3、三级电视台播出系统等级保护实施流程

  三级电视台播出系统等级保护实施应以国家和广电行业等级保护相关标准为基础,依据基本要求开展等级保护工作,有效保证电视台播出系统的安全、可靠运行。等级保护实施基本流程如图3所示。

  广播电视台系统安全等保三级解决方案:

  电视台要想构建一个立体的网络安全防护体系,必须要考虑多层次的防护包括:

  一、播出系统、媒资服务器安全防御(部署病毒隔离网关+USB隔离盒)

  a) 检测到对媒资服务器进行入侵扫描的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;

  b) 采用多种传输途径,以实现电视台业务生产内网、非编网、播出网、互联网、媒资网等全媒体内容交互、共享、双向互动、多向性应用为目的,阻止或隔离一切非授权、不安全终端接入,主动消除各种已知和未知安全威胁。阻止不符合安全策略的终端;

  c) 通过控制USB移动存储介质数据传输时实现病毒查杀隔离,能有效地防止USB移动存储上的文件携带病毒对于内网PC带来的威胁

  d) 采用多种传输途径,以实现电视台业务生产内网、非编网、播出网、互联网、媒资网等全媒体内容交互、共享、双向互动、多向性应用为目的,阻止或隔离一切非授权、不安全终端接入,主动消除各种已知和未知安全威胁。阻止不符合安全策略的终端。

  e) 防御媒资数据服务器漏洞:如IIS代码执行漏洞、Lotus缓冲区溢出漏洞等

  二、网络安全访问审计(部署网络行为审计设备)

  a) 在台内网络边界部署访问控制设备,启用访问控制功能;

  b) 能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;

  c) 对进出网络的信息内容进行过滤,实现对用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;

  d) 在会话处于非活跃一定时间或会话结束后终止网络连接;

  e) 限制网络最大流量数及网络连接数;

  f) 重要网段采取技术手段防止地址欺骗;

  g) 按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;

  h) 限制具有拨号访问权限的用户数量。

  i) 对台内网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;

  j) 审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

  三、生产播出网络入侵防范(部署下一代防火墙设备)

  a) 在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;

  b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时提供报警。

  c) 对网络敏感信息泄露DOS攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/可疑关键字和可疑文件的注入/远程过程调用告警/网络木马程序注入防护

  d) 防范黑客攻击、蠕虫、网络病毒、后门木马、D.o.S、Shellcode等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机;

  e) 对木马病毒、蠕虫病毒、宏病毒,以及脚本病毒的查杀,控制或消除上述威胁对系统的危害;

  四、内部主机安全审计身份鉴别(部署运维堡垒机系统)

  采用多种传输途径,以实现电视台业务生产内网、非编网、播出网、互联网、媒资网等全媒体内容交互、共享、双向互动、多向性应用为目的,阻止或隔离一切非授权、不安全终端接入,主动消除各种已知和未知安全威胁。阻止不符合安全策略的终端。

  1、身份鉴别:

  a) 对登录操作系统和数据库系统的用户进行身份标识和鉴别;

  b) 操作系统和数据库系统管理用户身份标识具有不易被冒用的特点,口令有复杂度要求并定期更换;

  c) 当对服务器进行远程管理时,采取必要措施,防止鉴别信息在网络传输过程中被窃听;

  2、主机防护:

  a) 对登录主机设备的用户进行身份鉴别;

  b) 对主机设备的管理员登录地址进行限制;

  c) 主机设备用户的标识唯一;

  d) 主机设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;

  e) 身份鉴别信息具有不易被冒用的特点,口令有复杂度要求并定期更换;

  2、访问控制:

  a) 启用访问控制功能,依据安全策略控制用户对资源的访问;

  b) 根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;

  c) 实现操作系统和数据库系统特权用户的权限分离;

  d) 严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;

  3、安全审计:

  a) 审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

  b) 审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;

  c) 审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等;

  五、数据传输安全性(部署VPN安全网关)

  a)能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;

  a) 采用加密或其他有效措施实现系统数据传输安全性、鉴别信息和重要业务数据传输保密性;

  b) 采用加密或其他保护措施实现应用系统远程互联、鉴别信息和重要业务数据远程访问的安全性;

  c) 在数据通信双方建立连接之前,用系统利用密码技术进行会话初始化验证;

  d) 对数据通信过程中的整个报文或会话过程进行加密。

  六、网络设备、服务器状态监控(部署监控网管系统)

  a) 对主流网络厂家的网络设备进行监控,包括ping存活探测,cpu、内存、存储器空间、接口流量等运行状态。对F5负载均衡设备业务性能提供深入支持。

  b) 对主流服务器厂商的服务器(支持IPMI协议)的硬件状态进行监控,包括服务器内部环境温度、主板温度、CPU温度、CPU风扇转速、电源状态、电源电压、CPU电压、CMOS电池容量等。并且可实现远程开关机等管理功能。

  c) 对Windows、Linux、AIX、HP-UX等操作系统的服务器的ping存活、系统资源(cpu、内存和磁盘空间)、接口流量、进程等进行监控。

  d) 对Oracle、Mysql、SqlServer等主流数据库进行表空间利用率、数据文件的每秒I/O操作、已连接的用户数等众多参数进行监控。

  e) 对机房温湿度、漏水、烟雾等环境参数,以及市电和UPS等动力状况进行监控(需要额外的附加探头支持)。

  f) 支持手机短信、电子邮件、弹出窗口等多种报警方式,支持多级阀值设定。

  g) 能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

  等级保护安全方案为电视台数据安全传输实现"四防一保"防病毒、防攻击、防系统崩溃、防重大事故、保障业务持续运行的信息化保障。

  1、满足电视台内网数据交互:通过统一的安全网关,实现同一内容同时向制作、播出、媒资等多个子业务板块间数据跨板块、跨平台交互。

  2、满足异地数据共享、远程交互:基于互联网资料互动传输,通过远程数据多目标分发、交互,将媒体内容的数据共享到本组织以外的任何一个有IP网络支持的地点,实现内容远程分发控制,有效保证媒体内容(新闻素材)的时效性。

  3、满足"三网融合"业务需求:随着"三网融合"的逐步深入,ANYSEC病毒隔离网关媒体安全传输解决方案可以与广播电视网、互联网、电信网实现媒体内容的"无缝融合",使同一内容自动后台转码,在不同终端、不同平台采用不同码率、不同分辨率、不同编码格式同步发布成为现实。

服务热线

138-6598-3726

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号