北京电视台制播网等级保护建设网络安全部分设计与实现供参习.docx

北京电视台制播网等级保护建设网络安全部分设计与实现王学奎?陈奇?张永毅（北京电视台）摘要北京电视台（BTV）全台制播网络系统中包含3个等保三级系统、17个等保二级系统。本文按照广电等级保护行业标准，设计并实现了基础网络和网络边界安全相关部分。基础网络安全设计与实现的关键点为安全域的划分、网络设备自身安全加固，网络边界安全设计与实现的重点为访问控制、安全数据交换。关键词制播网等级保护基础网络安全网络边界安全1 引言电视节目的制作、播出、传送、存储和管理等各个方面越来越多的依赖于计算机网络技术，信息安全体系建设已经成为电视台信息化建设过程中不可忽视的重要部分。2011年5月，国家广电总局科技司颁布了《广播电视相关信息系统安全等级保护基本要求》和《广播电视相关信息系统安全等级保护定级指南》两个指导性文件。北京电视台制播网等级保护建设的整体设计以广电行业标准为基础，遵循等级化保护原则、主动防御原则、有效联动原则、综合管理原则。本文论述了北京电视台制播网信息系统网络安全部分的设计与实现。2 北京电视台制播网络系统简介BTV制播网以SOA架构为基础，由业务支撑平台及若干应用系统组成。业务支撑平台是整个制播网络系统互联互通的中心枢纽，支持各个业务系统的灵活接入，各应用系统通过业务支撑平台进行数据交换。从接入交换机到汇聚交换机、汇聚交换机到核心交换机均采用万兆双上联冗余链路连接；BTV制播网与办公网之间通过高安全区联通，根据不同的数据类型和流向，在高安全区设置了三类安全通道。各业务系统划分在不同的Vlan中，网内部署有网络版防病毒系统。根据广电行业等级保护定级（GD/J 037-2011技科字〔2011〕137号）要求，BTV制播网信息系统定级情况如下：总编室系统、主干平台系统、高清新闻系统为三级，其余系统为二级。3 安全防护体系总体设计BTV制播网信息系统安全总体规划设计思想为：按照“等级化保护、分域防护”的策略，与现有网络架构、业务应用紧密结合，对关键安全防护要素进行设计和实现。3.1差距分析BTV制播网网络安全部分与广电行业等级保护基本要求差距总结如表1所示。表1 差距分析表检查内容主要不符合内容基础网络安全（20个检查项，4项符合，4项基本符合，12项不符合）（1）?????? 基于网络设备的安全审计欠缺；（2）?????? 网络设备的自身安全保护缺少相应的防护措施；（3）?????? 身份鉴别措施简单。边界安全（20个检查项，0项符合，8项基本符合，12项不符合）（1）?????? 网络边界访问控制措施不完善；（2）?????? 基于网络行为的安全审计欠缺；（3）?????? 缺少网络接入访问控制措施；（4）?????? 网络边界的恶意代码程序防范缺失。3.2框架模型等级保护是对IT系统的全面保护，涉及政策法规、防护策略、安全体系等方面，其中安全体系包括技术层面、管理层面和物理层面三个部分。图1为BTV制播网安全保障框架模型。?从总体安全框架可以看出，以国家信息安全政策法规为基础，通过建设安全管理体系、安全技术防护体系以及运行服务体系来构建BTV制播网信息安全保障体系。其中基础网络安全重点建设内容包括：结构安全、安全审计以及设备自身防护。边界安全重点建设内容包括：访问控制、入侵防范、恶意代码防范、边界完整性以及安全数据交换。安全管理体系建设的重点是依托安全管理平台，强化运行监测、安全审计，不断完善管理制度。本文主要论述等保三级系统的网络安全设计及实现方式，文中所涉及的安全条款均为《广播电视相关信息系统安全等级保护基本要求》中的内容。4网络安全防护详细设计4.1 基础网络安全BTV制播网基础网络安全设计主要包括三方面内容：结构安全、安全审计、网络设备自身防护，实现方式为网络结构调整和网络设备安全加固。4.1.1结构安全BTV制播网目前的设计，可以满足《广播电视相关信息系统安全等级保护基本要求》结构安全中的“网络设备处理能力；冗余配置；层次化、纵深化设计；绘制网络拓扑图”项的要求。需要对“安全域划分；安全域内划分子网或网段；安全域重要网段技术隔离”项进行重新设计与实现。4.1.1.1安全域划分根据功能及安全需求的不同，将BTV制播网络划分为制播三级业务区、制播二级业务区、高安全区三个安全区域。每个三级系统与其它业务系统之间采用两台万兆防火墙作为安全隔离设备。各区域划分如图2所示。4.1.1.2安全设备带外管理制播网内所有安全设备在安全管理平台上实现统一管理。安全设备需要实时将设备运行状态、报警信息、资源利用率等相关信息发送至安全管理平台，为保证这些管理信息的传送不对正常的业务运转产生影响，采取单独组网的带外管理方式实现对安全设备的管理。?各个区域的简要说明如下：1、高安全区制播网与办公网联通通道，负责制播网与办公网之间的数据交换。2、制