临汾市智慧广电网络安全等级保护2.0建设方案

秦波

【摘要】根据信息网络等级保护2.0的建设要求，临汾市智慧广电网络进行了安全保护建设，满足了等级保护的相关要求，能够全方面为临汾市智慧广电网络提供立体、纵深的安全保障防御体系，保证信息系统整体的安全

【关键词】等保护2.0;安全域

中图分类号：TN929                    文献标识码：A                     DOI：10.12246/j.issn.1673-0348.2021.09..018

1. 建设目标

临汾市智慧广电网络是由国家广电总局广科院出具可行性研究报告，经临汾市发改委批准立项，并列入市“十三五”广播电视事业发展规划的一项重要工程。

根据《广播电视网络安全等级保护定级指南》，通过为满足安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面基本技术要求的技术体系建设;为满足安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面基本管理要求的管理体系建设。使得等级保护方案在满足等级保护的相关要求下，能够全方面为临汾市智慧广电网络提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。

2. 方案设计

信息系统安全保障建设的基本设计思路主要包括以下方面：

2.1. 构建分域的控制体系

信息安全等级保护解决方案，在总体架构上将按照分域保护思路进行，本方案参考IATF信息安全技术框架，将信息系统从结构上划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施;因此方案将从保护计算环境、保护边界、保护网络基础设施三个层面进行重点设计。

2.2. 构建纵深的防御体系

信息系统安全建设方案包括技术和管理两个部分，本方案针对信息系统的通信网络、区域边界、计算环境，综合采用访问控制、入侵防御、恶意代码防范、安全审计、防病毒软件等多种技术和措施，实现业务应用的可用性、完整性和保密性保护，并在此基础上实现综合集中的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力。

2.3. 保证一致的安全强度

信息系统应采用分级的办法，采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。

因此在建设手段上，本方案采取“大平台”的方式进行建设，在平台上实现各个级别信息系统的基本保护，比如统一的访问控制，统一的入侵防御、统一的恶意代码防范，然后在基本保護的基础上，再根据各个信息系统的重要程度，采取高强度的保护措施。

2.4. 实现集中的安全管理

信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理平台，实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管，通过关联分析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对安全事件的发生。

3. 技术方案

3.1. 划分安全域

基于域进行安全设计的总体思想是：将复杂的系统，根据支撑业务、信息资产、地理位置、使用单位等要素划分为多个相对独立的安全区域，然后根据各个安全区域的特点来选择不同的防护措施，将大大提升防护的有效性，同时也体现出重点资产、重点防范的建设原则。根据这个原则我们将临汾广电网分为五个安全域：外联安全域、核心交换安全域、双向业务安全域、云平台安全域、用户接入安全域（如附图1所示）。

3.2. 重点安全域部署说明

3.2.1. 核心安全域部署说明

在核心交换安全域和外联安全域防火墙设备上开启AV防病毒网关功能，对进出安全域的数据进行病毒过滤，阻止各类病毒入侵。

防火墙设备开启入侵防护系统，对外网入侵行为进行防护。

增加两台上网行为管理设备，双系统冗余，实现上网人员认证管理、上网终端管理、上网应用管理、上网流量管理，上网隐私保护、带宽流量管理、信息收发审计，内网泄密管理、远程访问的用户行为等进行行为审计和数据分析。

3.2.2. 双向业务安全域部署说明

边界防火墙上开启AV模块，在安全边界处进行集中防护，对夹杂在网络交换数据中的各类网络病毒进行过滤，可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散，将经网络传播的病毒阻挡在外，可以有效防止病毒从其他区域传播到内部其他安全域中。

CDN防火墙，部署在CDN交换机与核心路由器之间，实现区域之间根据访问控制策略设置访问控制规则，实现端口级访问控制的功能。

3.2.3. 云平台安全域部署说明

云平台防火墙启用访问控制策略。为数据流提供明确的允许/拒绝访问的能力，端口级控制;通过在防火墙设备上开启IPS模块，在防火墙进行访问控制，保证了访问的合法性之后，IPS动态的进行入侵行为的保护，对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。但从内部发起的攻击行为处于边界的IPS是无法感知的，所以增加IDS设备弥补在内网中检测、防止和限制从内部发起的网络攻击行为，并记录攻击行为的IP、类型、目标、时间，并提供报警功能。

专业的终端安全管理软件对主机系统进行加固，增强主机安全性;同时部署访问控制中间件堡垒机，满足对主机管理时采用UCBkey+密码进行主机身份鉴别的要求。远程管理时应启用SSH等管理方式，加密管理数据，防止网络窃听。

身份认证网关（CA）实现对应用系统登录用户的两种以上组合的应用身份鉴别技术。

增加漏洞扫描设备识别安全漏洞和隐患，提早发现问题修补漏洞保证系统的可用性;部署防病毒服务器，负责制定终端和主机防病毒策略，由管理中心升级服务器通过互联网或手工方式获得最新的病毒特征库，分发到数据中心节点的各个终端。

增加安全管理中心对分散在各个设备上审计数据进行收集汇总和集中分析，并对网络中发生的各类安全事件进行识别、报警和态势感知。

增加备份设备实现异地实时备份功能，满足重要数据的异地数据备份和恢复功能。

在云平台安全域部署网络安全审计系统，对数据库进行监控审计;部署安全运营管理中心，对网络日志进行采集与分析;部署网络杀毒软件，实现服务器及主机恶意代码防范软件的统一管理。

4. 结语

通过划分五个安全域，对每一个安全域从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面进行技术体系建设，建成后充分符合国家等保2.0标准，为临汾广电网的安全稳定运行提供了有力保障。

参考文献：

[1]韩煜.等级保护三级信息系统设计与实现新形势下广电行业网络安全标准建设思路[D].北京：北京邮电大学，2011

[2]李克兢，谢翠萍.大型信息系统网络安全测评的关键技术分析[J].信息通信，2012（2）：140-141.

[3]马力，陈广勇，祝国邦.网络安全等级保护2.0国家标准解读[J].保密科学技术，2019（7）：14-19.

[4]徐东华，封化民.信息安全管理的概念与内容体系探究{J}.现代情报，2008（10）：129-131.

[5]段永红.如何构建企业信息安全体系[J].科技视界，2012（16）：179-180.