播控网络信息系统安全建设的技术思路

王立冬 张宁

（北京电视台）

《广播电视相关信息系统安全等级保护基本要求》是播控网络信息系统安全建设的核心与指针，其主旨在于通过在边界、基础网络、主机和应用系统等层面部署相应的网络信息安全策略，建构管理与技术相结合的、立体的安全保障体系。在项目具体设计实施过程中，等级保护合规与设备的负载抗压能力、高性能和高可用性是贯穿始终的主线。同时，设备部署和安全策略落地必须符合播控网络特点，满足SOA架构下的相关安全需求。 关键字：信息安全等级保护负载抗压能力高性能高可用性 SOA安全 播出业务迁移到网络平台后，建设播控网络信息安全技术保障体系，建立健全安全管理制度，有效提升网络信息安全保障水平，成为播出工作的重要组成部分。

 在此背景下，广电总局适时发布了《广播电视安全播出管理规定》(总局令第 62 号)，明确要求“对涉及安全播出的信息系统开展风险评估和等级保护工作”；随后又相继出台了《广播电视相关信息系统安全等级保护定级指南》（GD/J 037-2011）和《广播电视相关信息系统安全等级保护基本要求》(GD/J 038-2011)，为播出系统网络信息安全建设提供了政策上的依据和技术指针。在上述文件指导下，播控网络信息安全建设得以稳步有序推进。

 播出等保项目建设过程中，我们应首先明确等级保护基本要求中的相关要求，从系统现状出发，得出设计原则和技术思路，并在此基础上部署实施相应的安全策略，最终提升系统的安全保障能力。

1 广播电视相关信息系统安全等级保护基本要求解读 《广播电视相关信息系统安全等级保护基本要求》为网络信息安全体系建设的提供了明确的方向和指针。不仅为我们描述了一套网络信息安全技术体系模型，同时也规定了一个达标线，明确了信息系统应具有的基本安全保护能力和基本安全状态，是每个级别信息系统进行安全保护工作的基本出发点。

 等级保护基本要求包括通用部分和技术部分两大组成部分。通用部分包括物理安全和管理安全两个大项，共计139个控制点。技术部分包括边界安全、基础网络安全、客户端安全、服务端安全、应用系统安全、数据备份和安全管理中心7个大项，共计122个控制点。 等级保护基本要求中的技术部分可以归纳为四个层面：基础网络、边界、主机和应用系统。其中涉及的主要安全手段包括：访问控制、安全审计、双因素身份认证、入侵防范、恶意代码检测、数据安全加密，数据校验等若干种。

 等保基本要求的主旨，是在边界、基础网络设备、主机、应用系统等各个层面，部署实施访问控制、入侵检测、恶意代码检测等安全手段；并在三级以上系统内部，设置独立的安全管理中心，从而建立完整严谨、有纵深的、立体的信息安全技术保障体系。 等级保护基本要求中，边界安全和主机安全和应用系统部分占据了很大比重；在安全手段方面，着重强调访问控制和安全审计。其中尤以安全审计手段最为突出，不仅贯穿了从边界到应用系统的所有层面，还要求三级以上系统设置独立的安全管理中心，实现对审计信息的集中存储、关联分析预警，最终满足实现”可追溯性“、”抗抵赖性“方面的相关要求。

2 播控网络特点 播控网络位于全台网络架构纵身内部，采用SOA架构，在负载抗压能力和高可用性方面要求较高。

 现有播控网络大多采用SOA架构（面向服务的体系结构Service-Oriented Architecture)。也即：以中间件技术建构播控网络的支撑平台；节目单传输、媒体数据传输、元数据存储管理等功能模块，被定义为支撑平台上运行的消息服务和媒体数据迁移服务。不同服务之间，依靠中间件技术进行通讯。webservice及核心数据库，是确保系统正常运转的关键所在。

 确保播出安全一直是播出工作的核心目标。现有播出业务要求7*24*365不间断连续播出，对业务连续性要求极高。播出业务流程中，每天都要面对海量”大对象媒体数据“拷贝任务。这就要求我们的系统在具备良好的负载抗压能力的同时，能够满足高可用性方面的苛刻要求。

 按照层次结构化设计要求，播控网络位于全台网络系统纵身内部，同其他网络系统间，只有控制信息接口和媒体数据接口。控制信息接口通过webservice方式，以XML结构化数据文件为载体，进行节目单和元数据通讯；媒体数据接口利用FTP方式实现媒体数据迁移服务。在播控网络内部，则施行着严格的安全管理措施。

3 播控网络信息安全建设项目技术思路 播控网络信息安全建设过程中，始终贯穿着两大主题：等保合规和播出业务保障。前者意味着我们必须达到等保基本要求中所规定的安全基线，建立技术与管理相结合的安全保障体系，将信息安全管理工作彻底融入现有播出业务流程。后者则要求我们在设计实施过程中，充分考虑播控网络特点，在满足系统高性能和高可用性需求的前提下，满足现实安全需求。

 对于新建系统而言，系统设计搭建和等保项目实施是同一过程。等保基本要求对基础网络安全、尤其是应用系统安全提出很高的要求，其中涉及双因素身份认证、访问控制、资源控制、安全审计等多种安全手段。系统搭建建成完成之后，再对基础设施体系（Infrastructure）和整个应用系统进行大规模调整和重构，有一定难度和风险，很多工作只适合放在设计实施阶段来做。

 设计者从一开始就应该确立安全基线的概念，贯彻到整个设计搭建过程中。其间，以下几个问题极为值得注意：系统设计建设之初，就应根据安全需求和业务逻辑合理划分安全域，使具有类似安全需求的主机共享同一策略，以保证安全体系具备足够的伸缩性。在应用系统开发过程中，在每个开发节点为应用系统模块建立开发基线，明确软件版本及其运行环境需求，为将来应用系统和主机操作系统升级做好准备。与此同时还应根据等级保护基本要求规定，进行代码安全审计，并根据审计结果实施整改。

 对于已有系统的改造，则应从业务流程和系统现状出发，优先部署满足控制点多的安全手段，优先部署对现有系统影响不大的安全手段，优先部署符合播控网络系统特点、针对性强的安全手段。从实际情况出发，尽可能向等保规范靠拢。

4 播控网络信息安全建设的技术重点 具体安全手段部署实施过程中，针对播控网络安全需求，在满足等级保护基本要求基础上，确保设备高性能和高可用性，是贯彻始终的技术要求。

4.1 SOA安全 SOA安全分为两个层次：业务支撑平台（中间件）安全和服务安全。 Web service和中间件建构了播控网络支撑平台，在我们的技术平台中扮演着举足轻重的角色。播控网络中的消息服务，包括节目单通讯和元数据通讯，都是以XML数据文件为载体实现的。无论在网络边界还是内部通讯过程中，对通信内容实施完整的协议解析，报文重组，并进行恶意代码检测，防范来自应用层（如Xpath注入攻击）带来的安全威胁，就成为保证SOA安全的首要内容。这意味着我们不仅要在网络边界部署IPS/IDS类安全设备，网闸等信息摆渡设备、甚至更加专业的XML网关或WAF也将成为可能的备选方案。 播控网络中的媒体数据迁移服务主要以FTP方式实现。一般认为，只要在边界和系统内部部署合理配置访问控制列表，实施严格的访问控制策略，关闭不必要的应用层协议和服务，就足矣保证FTP服务的安全。不过，其中存在一个明显但又极易被人们忽略的安全漏洞：FTP协议使用双向多个连接，无论在主动模式还是被动模式下，服务器控制端口都是21 ，但客户端数据和控制端口都是随机的。换句话说，我们在配置防火墙访问控制列表时，将不得不开放大于1024的端口。这时我们可以通过合理选择、配置FTP服务器，将FTP数据连接端口限定在有限范围内，（在被动模式下，server-U可将数据连接端口限定在50个以内），尽可能减少不必要的开放端口。

4.2 安全审计 安全审计既是三级系统等保建设中的重要环节，同时也是网络系统总体安全策略的重要组成部分。其主要目标在于实现人员行为、网络安全事件以及设备运行状态的全程可追溯性，覆盖了包括基础网络设备、边界、主机、应用系统在内的所有层面。 审计信息的存储采集中的重点在于确保审计进程的健壮性，以及审计信息的全面性。这里需要着重强调的是：等保三级以上系统要求我们根据审计信息，对网络安全事件、系统内异常事件进行关联分析，给出安全预警信息和应对建议。 通常而言，这是一个基于规则的比对分析的过程，是对网络安全威胁的倒查机制。IDS或数据库审计设备检测到安全威胁后，安全管理软件将调取防火墙日志、服务器操作系统日志，以及应用系统日志，判断边界安全设备是否对攻击包进行了拦截，服务器数据完整性是否遭到破坏，攻击是否已经成功。其间涵盖了数据包从防火墙进入网络系统，至其抵达主机操作系统，应用系统的全过程。 对安全审计信息进行关联分析，不仅满足了等保合规方面的需求，更重要的是，它在帮助我们有效提升安全技术保障水平的同时，也为日常网络安全管理提供了主要抓手。因此是信息安全审计中的重点。

 4.3 边界安全设备的检测深度和HA、HP 边界安全设备串联部署在我们的网络系统边界，其性能和可靠性直接影响播出业务流程，是等保项目中至关重要的环节。播控网络系统的边界安全策略部署实施过程中，有三个问题最为关键：检测深度、负载抗压和高可用性。 根据等级保护基本要求规定和现实安全需要，边界安全设备的检测深度至少要达到应用层，甚至实施完整的协议剥离，对隐藏在数据中的安全威胁进行有效检测和掌控。从实际测试结果和经验看，防病毒网关或UTM/NGFW中的恶意代码检测模块，对设备吞吐率影响很大，很可能导致边界安全设备出现性能瓶颈。这就要求我们在设计之初充分预留带宽冗余， 带宽要求得以满足后，最终决定边界安全设备负载抗压能力和高可用性的，是其负载均衡能力（load balancing）和失败接管能力（failover）。在边界安全领域，我们主要可以通过NSRP(NetScreen Redundant Protocol)协议和虚拟化手段实现上述目的。 NSRP协议的发展基于VRRP协议。其实质是创建VSD1和VSD2两个虚拟设备组。在VSD1中，物理设备FW1充当组内主设备，FW2充当备份设备；在VSD2中，物理设备FW2充当主设备，FW1作为备份设备。假设FW1出现故障，FW2将接管VSD1的全部流量。这种方式实际就是我们常说的“双活”（active-active），其优势在于避免了单点故障，配合服务器端网关指向设置，可以自动实现但点故障转移，并在部分程度上实现负载均衡。 真正意义上采用虚拟化技术的边界安全设备，在部署的灵活性方面更具优势，同时实现了真正意义上的负载均衡。它将分布在不同物理位置的硬件资源打散，集中到同一资源池中，我们可以在此基础上，创建“唯一”的虚拟安全网关，所有物理设备对外只有唯一的IP地址。当某一物理设备出现故障时，其他设备自动接管全部流量。对系统内其他设备而言，负载均衡和故障转移过程是完全透明的。

 4.4 主机安全：HIDS、域控和沙盒机制 等保基本要求极为重视主机安全，尤其是服务端主机安全，在访问控制、身份认证、资源控制等方面做出了严格的规定。在技术实践层面，主机安全基本可以看做操作系统安全，其内容主要包括：网络入侵防范、服务安全控制和严格的访问控制机制。 基于主机的入侵防御系统（HIDS）直接部署在受保护的主机上，与操作系统内核、服务紧密绑定在一起，对网络安全威胁进行的检测防范的同时，实现了用户权限管理、身份认证以及安全审计方面的需要。尤为引人注目的是，它还实现了针对进程的”基于敏感标记的访问控制“。 HIDS的优势显而易见，但它会大量消耗系统资源，除个别服务器之外，其他场合部署难度较高。我们必须寻求其他安全手段解决问题。借助Windows下的“域”管理机制，可对网络内部所有资源进行集中管理，其中包括人员权限划分和严格的访问控制；Linux下的沙盒机制，将每个应用严格限制在沙盒中，只能访问自身的文件和数据，严格控制了硬件、系统共用数据、网络等资源的使用权限。

 4.5 趋势内控堡垒主机 充分利用操作系统自带的安全机制，无疑为我们提供了巨大的灵活性，同时具有低成本、便捷快速的优势。但这种方式涉及应用系统运行环境调整。对于旧有播出系统改造而言，部署趋势内控堡垒主机或许是一种最为现实的选择。它可以帮助我们在不改动现有系统的前提下，实现主机和网络设备层面的的访问控制和人员行为审计功能。 趋势内控堡垒主机是首先是一种访问控制设备，是登录重要服务器之前的“检查点”。人员登录系统时，须实施双因素身份认证，验证通过后再行登录服务器或基础网络设备；运维堡垒主机将对运维过程和日常业务操作实施全程记录监控；并在上述基础上实现管理人员权限分离、访问控制，以及人员行为审计，实现人员行为的可追溯性。 部署在播控网络系统内部的堡垒主机，同样面临“高可用性”问题。一般而言，堡垒主机支持双机热备，自动故障转移。如不考虑安全需求，甚至可通过“断电旁通”的方式，确保播出业务的正常运行。

 5 结语 总体而言，播出网络信息安全项目设计实施过程中，应在满足负载抗压能力和高可用性需求的前提下，尽可能向等级保护基本要求中的相关规定靠拢，达到、实现要求中描述的安全基线和安全保障能力。同时，立足长远，以等保规范为出发点和技术指针，结合自身实际安全需求，确保系统高性能和高可用性，建立长效安全机制，是播控网络信息安全建设的基本主线。