应急广播平台网络安全管理系统方案（简版）.docxVIP

应急广播平台网络安全需求概述 作为国家突发事件预警信息发布系统、国家公共服务体系的重要内容，应急广播平台的网络安全保障不可忽视，一旦应急广播网络被恶意人员攻陷，将无法发挥其及时、准确、客观向社会提供权威预警信息、最大限度预防和减少突发事件发生及其造成的危害、保障人民群众生命财产安、维护社会稳定的重要价值。 应急广播平台网络安全建设应按照国家新闻出版广电总局2011年颁发的广播电视相关信息系统安全等级保护基本要求（GD/J038-2011），从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理等维度，制定安全管理制度，实施安全防御手段，建立完善的安全防御体系，并在网络运维过程中通过持续的监控与验证不断提升整体安全防御能力，做到针对网络安全事件事前、事中、事后的闭环防御。 应急广播平台网络风险分析 应急广播平台网络面临着来自外部与内部的双重安全威胁。在外部，存在着来自于互联网、移动4G网络的非法访问、恶意攻击、病毒传播等安全威胁；在内部，存在着内部人员非授权访问、误操作、漏洞攻击、病毒传播等安全威胁。应急广播平台面临着数据丢失、内容篡改、网络瘫痪等安全风险。 安全防护措施 边界防护 边界防护是在网络边界或区域边界部署边界防护设备，是网络或区域内部免受来自外部人员的非法入侵、恶意攻击、病毒传播等安全威胁。 应急广播平台有两类边界，第一类是出口边界，是应急广播平台与市级平台、移动指挥平台的网络连接边界；第二类是平台内部区域边界，如平台内部的对内业务区、对外业务区、运维管理区、平台服务区等区域间的网络连接边界。 边界防护主要通过部署边界防护设备实现，主要包括防火墙、入侵防御、Web应用防火墙等设备。 防火墙 在各网络边界部署防火墙设备，对非授权或非法的网络访问行为进行防护，避免非授权人员的访问行为对应急广播平台在保密性、完整性、可用性等方面造成破坏。 防火墙设备需要具备以下功能特点： 1) 灵活高效全面 融合丰富的网络特性，在满足IPv4/IPv6双协议栈的同时，配合智能路由和DDNS等，可在802.1Q、GRE 、RIP、OSPF、BGP等各种复杂的网络环境中灵活组网；具备与第三方系统对接，数据共享，提升业务价值。 采用领先的多核架构及分布式搜索检测引擎，配合高性能的处理器，多业务并行处理，确保防火墙在各种大流量、复杂应用的环境下，仍能具备快速高效的业务处理和防护能力。 2) 专业智能联动 防火墙需自身具备WAF级入侵防御和海量病毒实时病毒拦截以及高效引擎的病毒防护特性，配合IPS设备形成智能的策略联动，实时的对流量进行分析，从数据链路层到应用层有效的阻断网络中的攻击和病毒行为，实时与管理员进行邮件同步攻击事件。全方位的立体保护用户的关键数据，避免机密文件泄露和经济损失。 3) 数据深度识别 防火墙需支持DPI/DFI融合识别技术，通过对用户流量进行全面的分析，深入识别应用的内置动作，例如针对微信可识别控制多达12种行为动作，帮助企业单位及时拦截不良言论，通过应用精细化管理让网络更有序。 4) 带宽优化管理 防火墙帮助组织管理者透彻了解组织当前、历史带宽资源使用情况，并据此制定管理策略，验证策略有效性。不但可以在工作时间保障核心用户、核心业务所需带宽，限制无关业务对资源的占用，亦可以在带宽空闲时实现动态分配，以实现资源的充分利用，提升用户使用网络的体验。基于不同时间段、不同对象、不同应用的管道式流控，能有效保障用户的上网体验，保障网络的稳定性。 5) 集中统一管控 防火墙需采用一体化安全策略，管理员只需要通过一条策略便可针对应用、网址、入侵防御、病毒查杀等内容进行统一管控，使用方便，维护简单。在大规模部署时，可配合集中管理系统对分布部署的防火墙进行零配置上线、统一策略管理、业务变更自学习、攻击事件监控、攻击事件分析、报表分析等。极大的降低了网络的更换难度，简化了运维的任务。 入侵防御系统 在各网络边界部署入侵防御系统设备，可有效阻断恶意人员利用系统漏洞、异常协议、弱口令等实施的攻击行为，同时可以阻断网络病毒跨边界传播。 入侵防御系统对缓冲区溢出、SQL注入、暴力猜测、D.o.S攻击、扫描探测、蠕虫病毒、木马后门等各类黑客攻击和恶意流量进行实时检测及报警，并通过与防火墙联动、发送邮件、SNMP trap等方式进行动态防御，是对防火墙有益的补充，入侵防御系统被认为是防火墙之后的第二道安全闸门。入侵防御系统需要： 事前警告：入侵防御系统能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警； 事中防御：入侵攻击发生时，入侵防御系统可以通过与防火墙联动、TCP Killer等方式进行报警及动态防御； 事后取证：被入侵攻击后，入侵防御系统可以提供详细的攻击信息，便于取证分析。 入侵防御系统需要具备以下功能特点：