临汾市智慧广电网络安全等级保护2.0建设方案.docxVIP

临汾市智慧广电网络安全等级保护2.0建设方案作者：秦波来源：《卫星电视与宽带多媒体》2021年第09期 ????????【摘要】根据信息网络等级保护2.0的建设要求，临汾市智慧广电网络进行了安全保护建设，满足了等级保护的相關要求，能够全方面为临汾市智慧广电网络提供立体、纵深的安全保障防御体系，保证信息系统整体的安全 ????????【关键词】等保护2.0;安全域 ????????中图分类号：TN929 文献标识码：A DOI：10.12246/j.issn.1673-0348.2021.09..018 ????????1. 建设目标 ????????临汾市智慧广电网络是由国家广电总局广科院出具可行性研究报告，经临汾市发改委批准立项，并列入市“十三五”广播电视事业发展规划的一项重要工程。 ????????根据《广播电视网络安全等级保护定级指南》，通过为满足安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面基本技术要求的技术体系建设;为满足安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面基本管理要求的管理体系建设。使得等级保护方案在满足等级保护的相关要求下，能够全方面为临汾市智慧广电网络提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。 ????????2. 方案设计 ????????信息系统安全保障建设的基本设计思路主要包括以下方面： ????????2.1. 构建分域的控制体系 ????????信息安全等级保护解决方案，在总体架构上将按照分域保护思路进行，本方案参考IATF信息安全技术框架，将信息系统从结构上划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施;因此方案将从保护计算环境、保护边界、保护网络基础设施三个层面进行重点设计。 ????????2.2. 构建纵深的防御体系 ????????信息系统安全建设方案包括技术和管理两个部分，本方案针对信息系统的通信网络、区域边界、计算环境，综合采用访问控制、入侵防御、恶意代码防范、安全审计、防病毒软件等多种技术和措施，实现业务应用的可用性、完整性和保密性保护，并在此基础上实现综合集中的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力。 ????????2.3. 保证一致的安全强度 ????????信息系统应采用分级的办法，采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。 ????????因此在建设手段上，本方案采取“大平台”的方式进行建设，在平台上实现各个级别信息系统的基本保护，比如统一的访问控制，统一的入侵防御、统一的恶意代码防范，然后在基本保护的基础上，再根据各个信息系统的重要程度，采取高强度的保护措施。 ????????2.4. 实现集中的安全管理 ????????信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理平台，实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管，通过关联分析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对安全事件的发生。 ????????3. 技术方案 ????????3.1. 划分安全域 ????????基于域进行安全设计的总体思想是：将复杂的系统，根据支撑业务、信息资产、地理位置、使用单位等要素划分为多个相对独立的安全区域，然后根据各个安全区域的特点来选择不同的防护措施，将大大提升防护的有效性，同时也体现出重点资产、重点防范的建设原则。根据这个原则我们将临汾广电网分为五个安全域：外联安全域、核心交换安全域、双向业务安全域、云平台安全域、用户接入安全域（如附图1所示）。 ????????3.2. 重点安全域部署说明 ????????3.2.1. 核心安全域部署说明 ????????在核心交换安全域和外联安全域防火墙设备上开启AV防病毒网关功能，对进出安全域的数据进行病毒过滤，阻止各类病毒入侵。 ????????防火墙设备开启入侵防护系统，对外网入侵行为进行防护。 ????????增加两台上网行为管理设备，双系统冗余，实现上网人员认证管理、上网终端管理、上网应用管理、上网流量管理，上网隐私保护、带宽流量管理、信息收发审计，内网泄密管理、远程访问的用户行为等进行行为审计和数据分析。 ????????3.2.2. 双向业务安全域部署说明 ????????