【正文】 帳號中存在的安全隱患，并且制定統(tǒng)一的、標準的用戶帳號安全策略。通過建立集中帳號管理，業(yè)務(wù)系統(tǒng)可以實現(xiàn)將帳號與具體的自然人相關(guān)聯(lián)。通過這種關(guān)聯(lián)，可以實現(xiàn)多級的用戶管理和細粒度的用戶授權(quán)。而且，還可以實現(xiàn)針對自然人的行為審計，以滿足審計的需要。2. 產(chǎn)品部署本次項目中在新聞系統(tǒng)A網(wǎng)、B網(wǎng)的運維管理區(qū)各部署1套運維安全審計系統(tǒng)，連接在運維管理區(qū)的接入層交換機上。運維安全審計引擎連接到接入層交換機和審計數(shù)據(jù)中心。運維安全審計系統(tǒng)部署拓撲圖：新聞系統(tǒng)運維安全審計系統(tǒng)部署圖 惡意代碼防范根據(jù)GD/J 0382011基本要求，系統(tǒng)內(nèi)部應(yīng)具備惡意代碼防范能力。因臺內(nèi)已經(jīng)購買并部署了賽門鐵克的SEP軟件，需要根據(jù)XXX電視臺制播網(wǎng)現(xiàn)狀，進一步完善已購買的SEP軟件防病毒相關(guān)策略。 入侵防范1. 功能設(shè)計入侵檢測系統(tǒng)最主要的功能是對網(wǎng)絡(luò)入侵行為的檢測，它可以自動識別各種入侵模式，在對網(wǎng)絡(luò)數(shù)據(jù)進行分析時與這些模式進行匹配，一旦發(fā)現(xiàn)某些入侵的企圖，就會進行報警。入侵檢測系統(tǒng)也支持基于網(wǎng)絡(luò)異常狀況的檢測方式。入侵檢測系統(tǒng)具有強大的碎片重組功能，能夠抵御各種高級的入侵方式。新聞系統(tǒng)的IDS系統(tǒng)需要具備如下功能：（1） 跨網(wǎng)段檢測入侵檢測系統(tǒng)應(yīng)具備多個網(wǎng)絡(luò)接口，可同時處理多個端口接受到的鏡像流量。應(yīng)支持VLAN，能夠識別被鏡像端口中不同VLAN的標記并分別處理。（2） 多種入侵方式檢測入侵檢測系統(tǒng)應(yīng)該具備涵蓋大量攻擊類型的入侵特征庫，并能夠基于時間、地點、用戶賬戶以及協(xié)議類型、攻擊類型等等制定安全策略。通過對安全策略的調(diào)整，能夠很方便地將入侵檢測系統(tǒng)自定義成為符合需要的入侵檢測系統(tǒng)。（3） 病毒檢測入侵檢測系統(tǒng)應(yīng)能夠內(nèi)置病毒檢測引擎和病毒庫，從而將病毒檢查、入侵檢測、威脅發(fā)現(xiàn)高效地整合在一起，對通過此邊界的數(shù)據(jù)進行精確的病毒檢查，這在高危病毒開始大范圍傳播的初期能夠起到非常好的監(jiān)控效果，幫助運維人員進行有效控制，避免高危病毒的大范圍擴散。（4） 多端口接入根據(jù)新聞系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)，新聞系統(tǒng)的接入交換機為萬兆光纖上聯(lián)，千兆接入?？紤]設(shè)備處理性能及成本問題，建議采用千兆入侵檢測系統(tǒng)，通過接入交換機的千兆接口將指定VLAN的流量鏡像至入侵檢測設(shè)備。因此入侵檢測系統(tǒng)應(yīng)具備多個千兆接口。（5） 基于會話檢測入侵檢測系統(tǒng)采用基于會話的檢測方式，可對各種協(xié)議會話進行會話監(jiān)控，并可對連接會話進行手工阻斷，同時可對連接會話的內(nèi)容進行保存、報文回放等處理。（6） 日志審計與報警入侵檢測設(shè)備應(yīng)支持自定義報表功能，支持日志備份。應(yīng)能通過Email、SNMP消息等實現(xiàn)事件報警，審計日志應(yīng)集中發(fā)送到安全管理平臺上做集中日志審計。2. 部署方式新聞系統(tǒng)的入侵檢測系統(tǒng)以旁路鏡像方式部署，在A網(wǎng)的運維管理區(qū)部署2臺千兆入侵檢測系統(tǒng)，各具備至少4個千兆監(jiān)聽口，分別監(jiān)聽A網(wǎng)應(yīng)用區(qū)的2臺交換機、終端區(qū)的5臺交換機。在B網(wǎng)的運維管理區(qū)部署1臺千兆入侵檢測系統(tǒng)，具備至少3個千兆監(jiān)聽口，分別監(jiān)聽B網(wǎng)應(yīng)用區(qū)2臺交換機、終端區(qū)的1臺。部署圖如下：新聞系統(tǒng)入侵檢測系統(tǒng)部署圖 通信完整性與保密性根據(jù)GD/J 0382011基本要求，為保障應(yīng)用系統(tǒng)的通信完整性，應(yīng)采用校驗碼技術(shù)、特定的音視頻文件格式協(xié)議或等同強度手段進行傳輸，信息系統(tǒng)與外部網(wǎng)絡(luò)進行通信時，在雙方建立連接之前應(yīng)用利密碼技術(shù)信息系統(tǒng)與外部網(wǎng)絡(luò)進行會話初始化驗證，并對通信過程中的用戶身份鑒別信息等敏感信息字段進行加密。目前在XXX電視臺制播網(wǎng)絡(luò)新聞系統(tǒng)中，所處理的信息可分為消息與媒體文件兩類。其中媒體文件的遷移使用校驗碼技術(shù)和MXF等專用文件格式協(xié)議進行傳輸。但消息傳輸過程中未進行加密，存在明文傳送用戶敏感信息的情況。因此建議通過業(yè)務(wù)系統(tǒng)的改造對其進行加密處理。 軟件容錯與資源控制根據(jù)GD/J 0382011基本要求，系統(tǒng)應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通信接口輸入的數(shù)據(jù)長度格式、范圍、數(shù)據(jù)類型等符合設(shè)定要求，防止諸如 SQL 注入、跨站攻擊、溢出攻擊等惡意行為，對非法輸入進行明確的錯誤提示并報警；應(yīng)提供自動保護功能，當故障發(fā)生時自動保護當前狀態(tài)，保證系統(tǒng)能夠進行恢復(fù)。同時系統(tǒng)應(yīng)能夠?qū)Σl(fā)會話連接數(shù)、資源分配情況和服務(wù)水平的變化進行檢測、控制或報警。目前在XXX電視臺制播網(wǎng)絡(luò)新聞系統(tǒng)中，未全面的考慮此類功能的設(shè)計，有可能存在被溢出攻擊、拒絕服務(wù)攻擊、可用資源耗盡等情況。因此建議通過業(yè)務(wù)系統(tǒng)的改造對其進行處理。 數(shù)據(jù)備份與恢復(fù)根據(jù)GD/J 0382011基本要求，應(yīng)能對重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲時的完整性進行檢測并提供恢復(fù)措施。同時應(yīng)能對重要數(shù)據(jù)進行異地備份，并進行本地備份和恢復(fù)，完全數(shù)據(jù)備份至少每周一次，增量備份或差分備份至少每天一次。備份介質(zhì)應(yīng)在數(shù)據(jù)執(zhí)行所在場地外存放。目前在XXX電視臺制播網(wǎng)絡(luò)新聞系統(tǒng)中，對數(shù)據(jù)庫等重要業(yè)務(wù)數(shù)據(jù)能夠?qū)崿F(xiàn)完整性檢測與恢復(fù)，備份周期符合要求。建議可考慮利用老臺設(shè)備進行異地備份，以滿足該項要求。 安全管理中心設(shè)計根據(jù)GD/J 0382011基本要求，應(yīng)實現(xiàn)跨級別的安全管理中心設(shè)計。 新聞系統(tǒng)安全設(shè)備部署圖 總編室系統(tǒng)方案詳細設(shè)計 設(shè)計概述根據(jù)XXX電視臺制播網(wǎng)信息系統(tǒng)定級結(jié)果，總編室系統(tǒng)屬于第三級信息系統(tǒng)。根據(jù)GD/J 0382011基本要求，結(jié)合技術(shù)方案總體設(shè)計，總編室系統(tǒng)安全方案詳細設(shè)計主要從基礎(chǔ)網(wǎng)絡(luò)安全、邊界安全、計算環(huán)境安全（終端系統(tǒng)安全、服務(wù)端系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全）、安全管理中心等幾個層面進行詳細設(shè)計，達到等級保護第三級信息系統(tǒng)的安全防護要求。 基礎(chǔ)網(wǎng)絡(luò)安全設(shè)計根據(jù)GD/J 0382011基本要求，基礎(chǔ)網(wǎng)絡(luò)安全設(shè)計主要從網(wǎng)絡(luò)結(jié)構(gòu)安全和網(wǎng)絡(luò)設(shè)備安全設(shè)計兩個角度進行。其中網(wǎng)絡(luò)結(jié)構(gòu)安全包括網(wǎng)絡(luò)安全域設(shè)計（主要實現(xiàn)根據(jù)各信息系統(tǒng)與播出業(yè)務(wù)的播出相關(guān)度不同所形成的網(wǎng)絡(luò)縱深結(jié)構(gòu)），以及對于單個信息系統(tǒng)內(nèi)部的安全分區(qū)（根據(jù)系統(tǒng)所承載業(yè)務(wù)類型的不同而形成的網(wǎng)絡(luò)縱深結(jié)構(gòu)）；網(wǎng)絡(luò)設(shè)備安全包括網(wǎng)絡(luò)設(shè)備安全審計、網(wǎng)絡(luò)設(shè)備自身的安全等。 網(wǎng)絡(luò)結(jié)構(gòu)安全根據(jù)GD/J 0382011基本要求的結(jié)構(gòu)安全設(shè)計要求，除基于播出相關(guān)度的信息系統(tǒng)網(wǎng)絡(luò)安全縱深外，在信息系統(tǒng)內(nèi)部，還應(yīng)根據(jù)業(yè)務(wù)類型、業(yè)務(wù)重要性、物理位置等因素，劃分不同的子網(wǎng)或網(wǎng)段。根據(jù)技術(shù)方案總體設(shè)計，信息系統(tǒng)內(nèi)部應(yīng)劃分為終端區(qū)、應(yīng)用區(qū)和運維區(qū)。由于總編室系統(tǒng)的業(yè)務(wù)特殊性，它不僅為制播網(wǎng)各業(yè)務(wù)系統(tǒng)提供節(jié)目代碼管理及節(jié)目串聯(lián)單制作，還為播出系統(tǒng)提供播出整備功能。因此在劃分安全域時，考慮總編室系統(tǒng)的特點，建議將總編室系統(tǒng)的內(nèi)部劃分為應(yīng)用服務(wù)區(qū)、終端區(qū)、運維管理區(qū)和備播區(qū)四個安全分區(qū)。1. 應(yīng)用服務(wù)區(qū)應(yīng)用服務(wù)區(qū)包括數(shù)據(jù)庫服務(wù)器、轉(zhuǎn)碼服務(wù)器、存儲管理服務(wù)器、組件服務(wù)器\WEB服務(wù)器、F5負載均衡設(shè)備、IIS服務(wù)器和應(yīng)用服務(wù)器等。表格2總編室應(yīng)用服務(wù)區(qū)設(shè)備列表序號設(shè)備名稱設(shè)備數(shù)量類別端口數(shù)量1CETCODE1CETCODE44轉(zhuǎn)碼服務(wù)器42CEMDS1CEMDS44存儲管理服務(wù)器83CENAS1CENAS22存儲訪問服務(wù)器44CEAKMIG1CEAKMIG22AK近線遷移服務(wù)器35CEMGR1CEMGR22備播媒資管理平臺36CEFISECSYNC1CEFISECSYNC22Fisecsync服務(wù)器4總數(shù)量為44臺，約占用74個千兆以太端口。2. 終端區(qū)終端區(qū)包括技審、內(nèi)審、編單、上下載工作站等?？偩幨医K端區(qū)設(shè)備列表序號設(shè)備名稱設(shè)備數(shù)量類別1ZBSYCTMDY1ZBSYCTMDY211新老臺遠程上載2ZBSYCSZ1ZBSYCSZ663ZBSYCGGXZ1ZBSYCGGXZ224ZBSYCBF115ZBSCLDBP1ZBSCLDBP88頻道播出串聯(lián)單編排/審查工作站6ZBSNRSC1ZBSNRSC66節(jié)目內(nèi)容審查工作站7ZBSJSSC1ZBSJSSC1616節(jié)目技術(shù)審查工作站8ZBSJMJHSP1ZBSJMJHSP22節(jié)目計劃審批工作站16ZBSGZZGL11總編室管理工作站17ZBSTMDY1ZBSTMDY33總編室條碼打印工作站總數(shù)量為100臺，約占用100個千兆以太端口。3. 運維管理區(qū)運維管理區(qū)包括域控服務(wù)器、防病毒服務(wù)器、WSUS服務(wù)器及各類安全設(shè)備等。表格3總編室運維管理區(qū)設(shè)備列表序號設(shè)備名稱設(shè)備數(shù)量類別1CEAV1CEAV22防病毒服務(wù)器2CEDC1CEDC22域控服務(wù)器總數(shù)量為4臺，約占用4個千兆以太端口。4. 備播區(qū)備播區(qū)包括送播遷移服務(wù)器等。表格4總編室備播區(qū)設(shè)備列表序號設(shè)備名稱設(shè)備數(shù)量類別1CEMIG1CEMIG44送播遷移服務(wù)器2ZBSMIG1——ZBSMIG88送播遷移服務(wù)器總數(shù)量為12臺，約占用12個千兆以太端口。5. 結(jié)構(gòu)安全實現(xiàn)根據(jù)以上安全分區(qū)劃分結(jié)果，建議通過劃分VLAN來實現(xiàn)各安全分區(qū)的隔離，可以在交換機上部署ACL來實現(xiàn)安全分區(qū)間的訪問控制?？梢栽诳偩幨蚁到y(tǒng)的匯聚交換機上增加4個VLAN，分別作為應(yīng)用服務(wù)區(qū)、終端區(qū)、運維服務(wù)區(qū)和備播區(qū)接入。，因此可將新增VLAN接口地址規(guī)劃如下：表格5總編室新增VLAN接口地址列表VLAN號（供參考）用途接口地址設(shè)備所需地址數(shù)量（估算）371應(yīng)用服務(wù)區(qū)372運維管理區(qū)373備播區(qū)374終端區(qū)在原有系統(tǒng)匯聚交換機上增加以上VLAN，并分別按照每個區(qū)域的接入交換機數(shù)量劃分端口給每個VLAN。原有接入交換機與匯聚交換機間可使用TRUNK方式連接，在接入交換機上配置其所連接的VLAN。如下圖所示：總編室系統(tǒng)各區(qū)域端口分配圖 網(wǎng)絡(luò)設(shè)備安全根據(jù)GD/J 0382011基本要求，網(wǎng)絡(luò)設(shè)備的安全包括安全審計、身份鑒別、訪問控制和設(shè)備冗余等幾個部分。1. 安全審計總編室系統(tǒng)網(wǎng)絡(luò)設(shè)備安全審計應(yīng)包含以下內(nèi)容：216。 設(shè)備啟動和停止的日志：包括網(wǎng)絡(luò)設(shè)備或者板卡啟動和停止的信息；216。 端口啟動和停止的日志：包括網(wǎng)絡(luò)設(shè)備端口啟動或者關(guān)閉的信息；216。 MAC地址沖突的日志：發(fā)生網(wǎng)絡(luò)異?；蛘逜RP攻擊時應(yīng)采集MAC地址沖突的信息；216。 用戶賬戶的登錄和變更：包括賬戶名、口令的修改，用戶登錄登出行為；216。 配置更改：包括設(shè)備配置的保存更改，路由配置更改等。為了滿足等級保護對安全審計記錄的要求，且為了方便信息安全事件的管理及追溯，應(yīng)該將審計記錄通過SNMP、SYSLOG或?qū)Ｓ媒涌诘确绞桨l(fā)送到安全管理中心進行集中管理。網(wǎng)絡(luò)設(shè)備安全審計記錄采集有以下兩種方式：a) SYSLOG發(fā)送日志在網(wǎng)絡(luò)設(shè)備上，配置日志服務(wù)器的IP地址，將所有審計日志配置發(fā)送到安裝了SYSLOG軟件系統(tǒng)的日志服務(wù)器，SYSLOG使用UDP作為傳輸協(xié)議，目的端口為514，SYSLOG日志服務(wù)器自動接收日志數(shù)據(jù)并寫到日志文件中。b) 采集SNMP trap方式建立在簡單網(wǎng)絡(luò)管理協(xié)議SNMP上的網(wǎng)絡(luò)管理，使用SNMP Trap 機制進行日志數(shù)據(jù)采集，配置SNMP trap的發(fā)送地址，可以將安全事件進行發(fā)送，目的端口設(shè)置為UDP/162。2. 身份鑒別當用戶登錄網(wǎng)絡(luò)設(shè)備進行設(shè)備維護、狀態(tài)查看等操作時，應(yīng)采用用戶名和具有一定復(fù)雜度的口令方式進行身份鑒別，這種復(fù)雜度可以定義為密碼長度在8位以上，同時由數(shù)字、字母、下劃線等兩種或兩種以上符號組成。對于網(wǎng)絡(luò)設(shè)備的特權(quán)用戶則應(yīng)通過令牌、基于生物特征、數(shù)字證書以及其他具有相應(yīng)安全強度的認證機制進行雙因素認證。對總編室系統(tǒng)的網(wǎng)絡(luò)設(shè)備進行遠程管理和運維時，建議通過運維審計系統(tǒng)（堡壘主機）以HTTPS或SSH方式，并采用基于證書的身份認證系統(tǒng)實現(xiàn)。關(guān)于身份認證和運維審計的詳細設(shè)計，參考計算環(huán)境安全設(shè)計中的相關(guān)章節(jié)。3. 訪問控制當用戶或管理員對網(wǎng)絡(luò)設(shè)備發(fā)起訪問時，網(wǎng)絡(luò)設(shè)備應(yīng)采取結(jié)束會話、限制非法登錄次數(shù)和連接超時自動退出等措施來進行登錄失敗處理。應(yīng)關(guān)閉網(wǎng)絡(luò)設(shè)備上不必要的服務(wù)和端口，當運維工作站通過遠程管理地址訪問被管理設(shè)備時，應(yīng)通過HTTPS、SSH等安全的通信協(xié)議進行，并對運維工作站的IP地址進行限制。4. 設(shè)備冗余為了避免由于網(wǎng)絡(luò)設(shè)備硬件自身出現(xiàn)故障，第二級（及）以上信息系統(tǒng)的核心交換機、匯聚交換機，第三級（及）以上還包括接入交換機都應(yīng)配置冗余設(shè)備，并設(shè)置可自動切換至備機狀態(tài)，避免由于關(guān)鍵節(jié)點的單點故障影響安全播出。除此之外，還應(yīng)保證各網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力和網(wǎng)絡(luò)帶寬具備冗余空間。目前總編室系統(tǒng)中的網(wǎng)絡(luò)設(shè)備滿足此設(shè)計要求。 邊界安全設(shè)計總編室系統(tǒng)的邊界主要是總編室系統(tǒng)與主干平臺系統(tǒng)的邊界，以及與播出系統(tǒng)的邊界組成。根據(jù)《基本要求》，結(jié)合網(wǎng)絡(luò)安全縱深防御設(shè)計思想，總編室系統(tǒng)邊界的安全主要包括訪問控制、入侵防范、惡意代碼防范、安全審計等內(nèi)容?？偩幨蚁到y(tǒng)邊界包括總編室系統(tǒng)與主干、新聞、制作系統(tǒng)等的邊界，也包括總編室系統(tǒng)與播出系統(tǒng)的邊界。根據(jù)之前的等級保護需求分析，本次項目中僅考慮總編室系統(tǒng)與主干系統(tǒng)之間的邊界，總編室與播出邊界在第十章項目未來建議中進行考慮。 訪問控制1. 功能設(shè)計XXX電視臺制播網(wǎng)總編室系統(tǒng)邊界防火墻系統(tǒng)需要具備如下功能：216。 訪問控制對通過總編室系統(tǒng)邊界的服務(wù)請求進行訪問控制。防火墻可以通過白名單機制實現(xiàn)系統(tǒng)內(nèi)外交互資源的可控，拒絕一切未被明確允許的訪問請求，以保證網(wǎng)絡(luò)的安全性。216。 高可用性考慮業(yè)務(wù)的連續(xù)性和網(wǎng)絡(luò)的健壯性，需要配備兩臺防火墻，互為備份，放置于需要進行訪問控制的區(qū)域前端，需