【正文】 。根據(jù)調(diào)研結(jié)果，XXX電視臺(tái)制播網(wǎng)各業(yè)務(wù)機(jī)房已做防火、防煙監(jiān)控，機(jī)房?jī)?nèi)具備滅火裝置。根據(jù)調(diào)研結(jié)果，XXX電視臺(tái)電力供應(yīng)符合總局62號(hào)令規(guī)定。1. 總要求根據(jù)GD/J 0382011基本要求，應(yīng)成立信息安全管理機(jī)構(gòu)，明確自頂向下的安全管理機(jī)制。2. 安全管理結(jié)構(gòu)根據(jù)GD/J 0382011基本要求，應(yīng)具有完善的信息安全管理崗位設(shè)置和崗位職責(zé)及制定信息安全管理相關(guān)制度。3. 人員安全管理根據(jù)GD/J 0382011基本要求，應(yīng)制定人員安全管理制度，培訓(xùn)與考核及第三方人員訪問(wèn)安全。4. 系統(tǒng)建設(shè)管理根據(jù)GD/J 0382011基本要求，應(yīng)完善系統(tǒng)定級(jí)、設(shè)計(jì)、采購(gòu)、實(shí)施、開發(fā)、驗(yàn)收、測(cè)評(píng)等建設(shè)管理流程。5. 系統(tǒng)運(yùn)維管理根據(jù)GD/J 0382011基本要求，應(yīng)制定日常安全運(yùn)維管理制度，進(jìn)行安全運(yùn)維實(shí)踐。3 總體框架設(shè)計(jì)根據(jù)XXX電視臺(tái)系統(tǒng)的現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)，通過(guò)在業(yè)務(wù)層面、技術(shù)架構(gòu)層面梳理，確定系統(tǒng)安全保障體系建設(shè)的主要任務(wù)為：以解決當(dāng)前的實(shí)際問(wèn)題為出發(fā)點(diǎn)，在充分發(fā)揮已有安全措施的基礎(chǔ)上，全面貫徹等級(jí)保護(hù)制度，重點(diǎn)建設(shè)信息系統(tǒng)安全技術(shù)體系，不斷完善安全管理體系，通過(guò)構(gòu)建安全運(yùn)維管理平臺(tái)，實(shí)現(xiàn)靜態(tài)防護(hù)與動(dòng)態(tài)檢查的結(jié)合，安全管理與安全技術(shù)的結(jié)合，最終實(shí)現(xiàn)動(dòng)態(tài)安全保障體系的建立。根據(jù)這一總體框架，XXX電視臺(tái)系統(tǒng)的信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)的總體要求，可以用“一個(gè)中心、兩種手段、三個(gè)體系”進(jìn)行概括。安全管理中心是三重防護(hù)體系的控制中樞，是管理員的工作場(chǎng)所，管理員通過(guò)在安全管理中心制定安全策略，強(qiáng)制計(jì)算環(huán)境、區(qū)域邊界執(zhí)行策略，從而確保系統(tǒng)的運(yùn)行環(huán)境是可信和安全。系統(tǒng)管理子系統(tǒng)負(fù)責(zé)對(duì)安全保護(hù)環(huán)境中的計(jì)算節(jié)點(diǎn)、區(qū)域邊界、通信網(wǎng)絡(luò)實(shí)施集中管理和維護(hù)，包括用戶身份管理、資源管理、應(yīng)急處理等，為信息系統(tǒng)的安全提供基礎(chǔ)保障。安全管理子系統(tǒng)通過(guò)制定相應(yīng)的系統(tǒng)安全策略，并且強(qiáng)制節(jié)點(diǎn)子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)執(zhí)行，從而實(shí)現(xiàn)了對(duì)整個(gè)信息系統(tǒng)的集中管理，為重要信息的安全提供了有力保障。 兩種手段：安全管理與安全技術(shù)并重信息安全體系的建設(shè)應(yīng)該包括安全技術(shù)與安全管理兩種手段，其中安全技術(shù)手段是安全保障的基礎(chǔ)，安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵，管理措施的正確實(shí)施同時(shí)需要有技術(shù)手段來(lái)監(jiān)管和驗(yàn)證，兩者相輔相成，缺一不可。 三個(gè)體系：實(shí)現(xiàn)動(dòng)態(tài)的安全保障體系XXX電視臺(tái)系統(tǒng)的等級(jí)保護(hù)建設(shè)最終要形成三個(gè)主要體系，具體包括安全技術(shù)體系、安全管理體系、以及安全運(yùn)維體系。如上圖說(shuō)示，技術(shù)體系中包括了安全管理中心，安全計(jì)算環(huán)境，安全區(qū)域邊界和安全通信網(wǎng)絡(luò)四大部分。節(jié)點(diǎn)子系統(tǒng)通過(guò)在操作系統(tǒng)核心層、系統(tǒng)層設(shè)置以強(qiáng)制訪問(wèn)控制為主體的系統(tǒng)安全機(jī)制，形成了一個(gè)嚴(yán)密牢固的防護(hù)層，通過(guò)對(duì)用戶行為的控制，可以有效防止非授權(quán)用戶訪問(wèn)和授權(quán)用戶越權(quán)訪問(wèn)，確保信息和信息系統(tǒng)的機(jī)密性和完整性安全，從而為應(yīng)用系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障。應(yīng)用防護(hù)子系統(tǒng)通過(guò)對(duì)應(yīng)用服務(wù)的封裝，不僅實(shí)現(xiàn)了對(duì)應(yīng)用系統(tǒng)訪問(wèn)控制，而且增強(qiáng)了應(yīng)用系統(tǒng)運(yùn)行環(huán)境的隔離性，使得應(yīng)用系統(tǒng)不受非授權(quán)進(jìn)程的惡意干擾，保護(hù)了信息的保密性和完整性。通信網(wǎng)絡(luò)是不同應(yīng)用系統(tǒng)之間進(jìn)行信息交互的通道，安全的通信網(wǎng)絡(luò)設(shè)備能夠保證應(yīng)用系統(tǒng)之間交互信息的機(jī)密性和完整性。4 信息系統(tǒng)安全技術(shù)體系設(shè)計(jì)根據(jù)《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GD/J 0372011）中的等級(jí)保護(hù)定級(jí)表格得知，XXX系統(tǒng)應(yīng)按照第三級(jí)系統(tǒng)要求進(jìn)行安全防護(hù)。根據(jù)XXX電視臺(tái)的業(yè)務(wù)系統(tǒng)情況劃分如下圖所示的安全域： 安全交換區(qū)設(shè)計(jì) 安全交換區(qū)業(yè)務(wù)情景l(fā) 辦公網(wǎng)和網(wǎng)絡(luò)電視臺(tái)訪問(wèn)統(tǒng)一檢索平臺(tái)在安全區(qū)部署反向代理服務(wù)器，辦公網(wǎng)和網(wǎng)絡(luò)電視臺(tái)通過(guò)反向代理服務(wù)器訪問(wèn)B/S架構(gòu)的統(tǒng)一檢索平臺(tái)進(jìn)行節(jié)目和素材檢索，有效的保護(hù)統(tǒng)一檢索平臺(tái)WEB服務(wù)器。l 互聯(lián)網(wǎng)成品節(jié)目回傳互聯(lián)網(wǎng)成品節(jié)目通過(guò)FTP服務(wù)器回傳至新聞制作系統(tǒng)，媒體文件通過(guò)安全區(qū)進(jìn)入新聞制作系統(tǒng)的擺渡和轉(zhuǎn)碼系統(tǒng)。 安全交換區(qū)建設(shè)依據(jù)安全區(qū)的建設(shè)思路，根據(jù)《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GD/J 0382011）的相關(guān)技術(shù)要求，具體參考的建設(shè)依據(jù)如下： 訪問(wèn)控制a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；b) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；c) 重要網(wǎng)段應(yīng)采用技術(shù)手段（如IP與MAC地址綁定、實(shí)名接入控制或其它網(wǎng)絡(luò)準(zhǔn)入控制措施）防止地址欺騙；d) 播出系統(tǒng)與其它信息系統(tǒng)之間進(jìn)行數(shù)據(jù)交換時(shí)，應(yīng)對(duì)文件類型及格式進(jìn)行限定。 入侵防范a) 可根據(jù)需要在信息系統(tǒng)的網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；b) 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警并自動(dòng)采取相應(yīng)動(dòng)作。 安全交換區(qū)部署（辦公至生產(chǎn)網(wǎng)） 具體部署如下，所示： 安全交換區(qū)部署（播出邊界）該部分內(nèi)容與辦公網(wǎng)安全區(qū)設(shè)計(jì)類似，不再贅述。根據(jù)GD/J 0382011基本要求，結(jié)合技術(shù)方案總體設(shè)計(jì)，新聞系統(tǒng)安全方案詳細(xì)設(shè)計(jì)主要從基礎(chǔ)網(wǎng)絡(luò)安全、邊界安全、計(jì)算環(huán)境安全（終端系統(tǒng)安全、服務(wù)端系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全）、安全管理中心等幾個(gè)層面進(jìn)行詳細(xì)設(shè)計(jì)，達(dá)到等級(jí)保護(hù)第三級(jí)信息系統(tǒng)的安全防護(hù)要求。其中網(wǎng)絡(luò)結(jié)構(gòu)安全包括全臺(tái)層面的網(wǎng)絡(luò)安全域設(shè)計(jì)（主要實(shí)現(xiàn)根據(jù)各信息系統(tǒng)與播出業(yè)務(wù)的播出相關(guān)度不同所形成的網(wǎng)絡(luò)縱深結(jié)構(gòu)），以及對(duì)于單個(gè)信息系統(tǒng)內(nèi)部的安全分區(qū)（根據(jù)系統(tǒng)所承載業(yè)務(wù)類型的不同而形成的網(wǎng)絡(luò)縱深結(jié)構(gòu)）；網(wǎng)絡(luò)設(shè)備安全包括網(wǎng)絡(luò)設(shè)備安全審計(jì)、網(wǎng)絡(luò)設(shè)備自身的安全等。根據(jù)技術(shù)方案總體設(shè)計(jì)，信息系統(tǒng)內(nèi)部應(yīng)劃分為終端區(qū)、應(yīng)用區(qū)和運(yùn)維區(qū)。因此在劃分安全域時(shí)，考慮新聞系統(tǒng)的結(jié)構(gòu)特點(diǎn)，將新聞系統(tǒng)A網(wǎng)、B網(wǎng)的內(nèi)部分別劃分為應(yīng)用服務(wù)區(qū)、終端區(qū)和運(yùn)維管理區(qū)三個(gè)安全分區(qū)。新聞系統(tǒng)A網(wǎng)應(yīng)用服務(wù)區(qū)設(shè)備列表序號(hào)設(shè)備名稱設(shè)備數(shù)量類別端口數(shù)量1NewsAPP1NewsAPP44應(yīng)用服務(wù)器42NewsMPC1NewsMPC22MPC調(diào)度服務(wù)器23NewsRman11Rman備份服務(wù)器14NewsMDS1NewsMDS44存儲(chǔ)管理服務(wù)器85NewsNAS1NewsNAS22存儲(chǔ)訪問(wèn)服務(wù)器46NewsFISEC1NewsFISEC22FISEC引擎服務(wù)器47NewsSYN1NewsSYN22FISEC同步服務(wù)器48NewsTRANCECODE1NewsTRANCECODE22轉(zhuǎn)碼服務(wù)器29NewsRENDER1NewsRENDER88合成服務(wù)器810NewsMIG1NewsMIG22遷移服務(wù)器211NewsDB1NewsDB33數(shù)據(jù)庫(kù)服務(wù)器1212NewsBAKTEST1NewsBAKTEST66備份調(diào)試系統(tǒng)服務(wù)器613NewsMLP1NewsMLP22素材發(fā)布服務(wù)器214NewsMLS1NewsMLS22素材管理服務(wù)器2總數(shù)量為42臺(tái)，約占用61個(gè)千兆以太端口。新聞系統(tǒng)A網(wǎng)終端區(qū)設(shè)備列表序號(hào)設(shè)備名稱設(shè)備數(shù)量類別1NewsTD1NewsTD66播調(diào)工作站2NewsSJJH1NewsSJJH44數(shù)據(jù)交換工作站3NewsSXZ1NewsSXZ5858精編上下載工作站4NewsPY1NewsPY55配音工作站5NewsSP1NewsSP2020審片工作站6NewsWG1NewsWG100100粗編文稿工作站7NEWSYXTS1NEWSYXTS22運(yùn)行調(diào)試工作站8NEWSDPKZ1NEWSDPKZ66大屏控制工作站總數(shù)量為201臺(tái)，約占用201個(gè)千兆以太端口。表格1新聞系統(tǒng)A網(wǎng)運(yùn)維管理區(qū)設(shè)備列表序號(hào)設(shè)備名稱設(shè)備數(shù)量類別1NewsAV1NewsAV22防病毒服務(wù)器2NewsDC1NewsDC22域控服務(wù)器總數(shù)量為4臺(tái)，約占用4個(gè)千兆以太端口。新聞系統(tǒng)B網(wǎng)應(yīng)用服務(wù)區(qū)設(shè)備列表序號(hào)設(shè)備名稱設(shè)備數(shù)量類別端口數(shù)量1News1APP1News1APP22應(yīng)用服務(wù)器22News1MPC1News1MPC22MPC調(diào)度服務(wù)器23News1Rman11Rman備份服務(wù)器14News1MDS1News1MDS44存儲(chǔ)管理服務(wù)器85News1NAS1News1NAS33存儲(chǔ)訪問(wèn)服務(wù)器66News1FISEC1News1FISEC22FISEC引擎服務(wù)器47News1SYN1News1SYN22FISEC同步服務(wù)器48News1LANMON11監(jiān)控采集服務(wù)器19News1TCODE1News1TCODE22轉(zhuǎn)碼服務(wù)器210News1RENDER1News1RENDER88合成服務(wù)器811News1MIG1News1MIG22B網(wǎng)遷移服務(wù)器212News1DB1News1DB33數(shù)據(jù)庫(kù)服務(wù)器1213News1MLP1News1MLP22素材發(fā)布管理服務(wù)器214News1MLS1News1MLS22素材管理服務(wù)器2總數(shù)量為36臺(tái)，約占用56個(gè)千兆以太端口。新聞系統(tǒng)B網(wǎng)終端區(qū)設(shè)備列表序號(hào)設(shè)備名稱設(shè)備數(shù)量類別1News1TD1News1TD66播調(diào)工作站2News1SJJH1News1SJJH22數(shù)據(jù)交換工作站3News1SXZ1News1SXZ1515精編上下載工作站4News1SXZ16News1SXZ2510無(wú)卡粗編上下載工作站5News1PY1News1PY22配音工作站6News1SP1News1SP33審片工作站7News1WG1News1WG55粗編文稿工作站總數(shù)量為43臺(tái)，約占用43個(gè)千兆以太端口。新聞系統(tǒng)B網(wǎng)運(yùn)維管理區(qū)設(shè)備列表序號(hào)設(shè)備名稱設(shè)備數(shù)量類別1NewsAV1NewsAV22防病毒服務(wù)器2News1DC1News1DC22域控服務(wù)器總數(shù)量為4臺(tái)，約占用4個(gè)千兆以太端口?？梢栽谛侣勏到y(tǒng)的匯聚交換機(jī)上增加6個(gè)VLAN，分別作為A網(wǎng)和B網(wǎng)應(yīng)用服務(wù)區(qū)、終端區(qū)和運(yùn)維服務(wù)區(qū)接入。原有接入交換機(jī)與匯聚交換機(jī)間可使用TRUNK方式連接，在接入交換機(jī)上配置其所連接的VLAN。1. 安全審計(jì)應(yīng)對(duì)新聞系統(tǒng)匯聚交換機(jī)以及接入交換機(jī)的運(yùn)行狀況、用戶行為等重要事件進(jìn)行安全審計(jì)。 設(shè)備啟動(dòng)和停止的日志：包括網(wǎng)絡(luò)設(shè)備或者板卡啟動(dòng)和停止的信息；216。 MAC地址沖突的日志：發(fā)生網(wǎng)絡(luò)異常或者ARP攻擊時(shí)應(yīng)采集MAC地址沖突的信息；216。 配置更改：包括設(shè)備配置的保存更改，路由配置更改等。網(wǎng)絡(luò)設(shè)備安全審計(jì)記錄采集有以下兩種方式：a) SYSLOG發(fā)送日志在網(wǎng)絡(luò)設(shè)備上，配置日志服務(wù)器的IP地址，將所有審計(jì)日志配置發(fā)送到安裝了SYSLOG軟件系統(tǒng)的日志服務(wù)器，SYSLOG使用UDP作為傳輸協(xié)議，目的端口為514，SYSLOG日志服務(wù)器自動(dòng)接收日志數(shù)據(jù)并寫到日志文件中。2. 身份鑒別當(dāng)用戶登錄網(wǎng)絡(luò)設(shè)備進(jìn)行設(shè)備維護(hù)、狀態(tài)查看等操作時(shí)，應(yīng)采用用戶名和具有一定復(fù)雜度的口令方式進(jìn)行身份鑒別，這種復(fù)雜度可以定義為密碼長(zhǎng)度在8位以上，同時(shí)由數(shù)字、字母、下劃線等兩種或兩種以上符號(hào)組成。對(duì)新聞系統(tǒng)的網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理和運(yùn)維時(shí)，建議通過(guò)運(yùn)維審計(jì)系統(tǒng)（堡壘主機(jī)）以HTTPS或SSH方式，并采用基于證書的身份認(rèn)證系統(tǒng)實(shí)現(xiàn)。3. 訪問(wèn)控制當(dāng)用戶或管理員對(duì)網(wǎng)絡(luò)設(shè)備發(fā)起訪問(wèn)時(shí)，網(wǎng)絡(luò)設(shè)備應(yīng)采取結(jié)束會(huì)話、限制非法登錄次數(shù)和連接超時(shí)自動(dòng)退出等措施來(lái)進(jìn)行登錄失敗處理。4. 設(shè)備冗余為了避免由于網(wǎng)絡(luò)設(shè)備硬件自身出現(xiàn)故障，第三級(jí)（及）以上還包括接入交換機(jī)都應(yīng)配置冗余設(shè)備，并設(shè)置可自動(dòng)切換至備機(jī)狀態(tài)，避免由于關(guān)鍵節(jié)點(diǎn)的單點(diǎn)故障影響安全播出。目前XXX電視臺(tái)制播網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備完全滿足此設(shè)計(jì)要求。根據(jù)《基本要求》，結(jié)合網(wǎng)絡(luò)安全縱深防御設(shè)計(jì)思想，新聞系統(tǒng)邊界的安全主要包括訪問(wèn)控制、入侵防范、惡意代碼防范、安全審計(jì)等內(nèi)容。根據(jù)之前的等級(jí)保護(hù)需求分析和風(fēng)險(xiǎn)分析，本次項(xiàng)目中僅考慮新聞系統(tǒng)與外系統(tǒng)之間的邊界，新聞系統(tǒng)內(nèi)部演播室邊界在第十章項(xiàng)目未來(lái)建議中進(jìn)行考慮。因此其邊界處防火墻系統(tǒng)需要具備如下功能：216。防火墻可以通過(guò)白名單機(jī)制實(shí)現(xiàn)系統(tǒng)內(nèi)外交互資源的可控，拒絕一切未被明確允許的訪問(wèn)請(qǐng)求，以保證網(wǎng)絡(luò)的安全性。 高可用性考慮業(yè)務(wù)的連續(xù)性和網(wǎng)絡(luò)的健壯性，需要配備兩臺(tái)防火墻，互為備份，放置于需要進(jìn)行訪問(wèn)控制的區(qū)域前端，需要具備高可用性即雙機(jī)熱備功能，將兩臺(tái)防火墻同時(shí)連接到網(wǎng)絡(luò)，當(dāng)主機(jī)因故障不能正常工作時(shí)，備機(jī)將切換為主機(jī)，使其不間斷的提供服務(wù)。 遠(yuǎn)程管理XXX電視臺(tái)