随着有线数字电视的飞速发展,信息安全问题也变得愈发突出。近年来,对国家重要网络信息系统的攻击呈现出有组织、有预谋、有目的和多样化的趋势,其影响和危害越来越大。
本文在分析了福建省网有线数字电视前端系统信息安全现状的基础上,根据《广播电视相关信息系统安全等级保护基本要求》,设计了福建省网有线数字电视前端信息安全等级保护建设技术方案,并根据该方案对福建省网有线数字电视前端系统进行安全加固,更高效地保障整个前端平台的可用性和可靠性。
省级有线数字电视
前端系统安全等级定级
根据《广播电视相关信息系统安全等级保护定级指南》(GD/J 037-2011),按照定级对象的基本特征,综合考虑信息系统的责任单位、业务类型、业务重要性等因素,省级有线数字电视前端系统应按照等级保护三级标准进行建设。
福建省网有线数字电视
前端系统现状
1.有线数字电视前端系统概述
福建省网有线数字电视前端系统主要由信源接收系统、信号处理系统、应用系统、射频系统组成。
2.有线数字电视前端系统存在的问题
(1)有线数字电视前端整体网络虽采用分级设计
(2)有线数字电视前端系统的设备只是通过用户名和密码进行登录
(3)系统运维直接采用系统账号完成系统级别的认证即可进行维护操作
(4)日志分散
(5)主机系统存在较多漏洞
(6)缺乏对系统中核心数据库的操作行为进行审计的能力
福建省网有线数字电视
前端信息安全建设方案设计
1.网络安全
网络结构的安全是网络安全的前提和基础,福建省网有线数字电视前端网络采用分区域的模块化设计方法,根据不同的业务将整个前端网络划分为不同的功能子系统。为最大限度保证网络的安全,减少各子系统之间的影响,各个子系统的网络独立部署,单独划分区域,物理上相互隔离,各自只和核心交换机进行通信,而整个有线数字电视前端与互联网物理隔离。同时,为保证网络的稳定性和业务的可用性,关键链路和关键节点均采用冗余设计,双机热备,提高系统的可用性和安全性,实现关键节点秒级切换。
2.边界安全
在边界接入区域部署边界交换机,避免核心交换机直接与外部网络连接,并通过ACL配置严格的访问控制策略,严格限制对核心区的访问,粒度达到IP、端口级,只开放需要使用的业务端口给边界接入区,有效防范非授权访问。同时,在广告系统边界部署防火墙、防毒墙和WAF,严格按照设置的安全规则过滤所有经过的数据流量,屏蔽所有不符合安全规则的数据流量,以防范各类非法攻击。
3.安全审计
为及时发现异常行为,对安全事件进行分析、调查和取证,在福建省网有线数字电视前端部署了一套完整的、多层次的安全审计体系,包括日志审计系统、数据库审计系统和运维安全审计系统。
4.入侵防范
采用主动防御的方法,从漏洞扫描、配置检查和运维管理三个方面进行加固,提升有线数字电视前端系统入侵防范能力。
(1)漏洞扫描
(2)配置检查
(3)运维管理
福建省网在综合分析了整个平台所存在的安全风险的基础上,按照上述设计方案对有线数字电视前端进行了安全加固,大大提高了整个前端平台的安全性,符合国家广播电视总局关于《广播电视相关信息系统安全等级保护基本要求》中等级保护三级的建设要求。
本文为节选,全文刊登于《有线电视技术》2019年第10期
原标题:
福建省网有线数字电视前端系统信息安全等级保护建设方案的设计和实施
作者:
福建广电网络集团股份有限公司
翁义龙
领取专属 10元无门槛券
私享最新 技术干货