媒体解决方案
信息系统安全保障建设的基本思路是:以保护信息系统为核心, 严格参考等级保护的思路和标准,从多个层面进行建设,满足信息系统在物理层面、网络层面、主机层面、应用层面和管理层面的安全需求,建成后的保障体系将充分符合国家标准,能够为业务的开展提供有力保障。
可信物理安全环境的建设范围及重点,就是要对信息系统相关服务器、网络设备所处的物理环境的安全性进行有效保护。包括物理环境位置的选择,物理访问控制,防盗窃和防破坏,防雷击,防火,防水和防潮,防静电,温湿度控制,电力供应,电磁防护十个方面。
可信网络防御体系的建设范围及重点,就是对信息系统所处网络环境中各类设备的安全性进行有效保护,从范围上包括网络设备安全、访问内容安全检测、通讯线路安全等范畴。解决方案的总体思路是:用动态的安全策略,整合网关安全和应用安全产品,采用主动防御的策略,提升系统的抗攻击能力,形成对上层应用系统的安全、可靠支撑,在现有网络规划的基础上,保障信息网络的高可用性。
在传统安全领域中,信息安全防护的核心是数据。在信息安全技术体系框架中,把可信网络世界中描述的客体实例化为数据。
对信息系统的安全管理也是一个非常重要的方面,系统必须具备足够的安全运维能力,能够有效进行资产管理、介质管理、网络安全管理、系统安全管理以及恶意代码防范管理等内容,从信息系统整体保护能力方面,要求信息系统能够实现统一安全策略、统一安全管理等技术,而运维安全管理系统则是以事件为核心,能够很好解决以上问题的有效措施。
针对网络中心骨干链路新增防火墙、入侵防御、上网行为管理,安全运维区新增日志审计系统,数据库审计、堡垒机、上载摆渡网关,终端安全防护软件。
针对中心网络,本方案根据等级保护的思路和建设要求,分别采用多种安全技术来实现有效的防护,并达到二级等保的技术要求。
本方案针对融媒体中心总体网络,严格参考了《信息安全技术信息系统等级保护安全建设技术方案设计规范》和《信息安全技术信息系统等级保护基本要求》,根据分级、分域的原则,进行安全保障体系的建设与规划,从保护计算环境、保护区域边界、保护通信网络以及搭建集中的安全管理中心,使安全保障体系全面保障信息系统的正常、安全运行,从而有效保障了业务服务系统、安全运维系统、以及内部办公系统的安全性,使个系统在安全性上均达到对应等级保护的强度,同时在基础防护措施的基础上引入全面的安全管理和安全运行维护策略,进一步提升系统的可靠性和应用安全性。
按照二级等保要求,结合实际需求,对网络中心进行充分调研及详细分析,将网络建设成为一个既满足业务需要,又符合二级等保系统要求的网络系统。
根据二级等保要求以及前期的需求分析,总体建设方案,对中心机房进行一些网络安全设备的补充。
拓扑图
融媒体中心网络及设备的日志数据通常杂乱无序,同时也无法体现它们之间的相互关系。日志审计系统为解决这些问题建立起一个信息交换、信息存储、信息处理的平台,通过该平台,可以对各类产品的日志、事件进行统一管理、分析。等保测评检查工作也要通过日志审计系统的数据来确定网络安全是否合规。
IPS入侵防御系统(Intrusion Prevention System)作为防火墙的补充,入侵防御系统被认为是防火墙之后的第二道安全闸门,对网络进行检测,提供对内部攻击、外部攻击和误操作的实时监控,提供动态保护,大大提高了网络的安全性。IPS入侵防御系统能够在入侵攻击对网络系统造成危害前,及时检测到入侵攻击的发生,并进行报警,被入侵攻击后,入侵防御系统可以提供详细的攻击信息,便于取证分析。
功能包括多线路负载均衡、上网行为管理、流量监控、带宽管理、应用识别控制、访问控制、丰富URL数据库、搜索/网页/邮件/关键字/IM聊天审计过滤、P2P/HTTP/多线程/流媒体/WEB视频/网络游戏控制、多用户认证接入、黑白名单管理、统计分析报表等功能。
融媒体防火墙以用户识别、应用识别为基础,提供应用层防火墙,智能带宽管理、多出口 链路负载均衡、内容过滤、URL过滤、威胁情报联动等多重安全功能。产品提供云向接口,基于大数据平台架构的安全云管理平台可实时监控网络 拓扑和设备状态,通过自动配置下发,有效简化专业设备的部署难度。移动端的实时监控降低维护成本的同时,更让安全随时随地可见是新一代网络安全防护的最佳方案。
上载摆渡网关网关是集深度文件甄别、文件筛选、文件格式过滤、格式检测、安全传输、文件共享功能一体的软硬件平台。
在文件的传输过程中物理上隔离网络中的各个网段,实现对源、目的IP地址、通信端口的全面控制,从而保护内网不受外来攻击。系统支持划分不同网段,每个网口百兆、千兆、万兆速度自适应。支持双机热备份。
IT运维堡垒机系统是针对管理“IT管理员”的设备,可对企业IT运维人员在运维操作过程中进行统一身份认证、统一授权、统一审计、统一监控,消除了传统运维过程中的盲区,实现了运维简单化、操作可控化、过程可视化,它通过B/S方式对主机、服务器、网络设备、安全设备、数据库、应用等实施统一认证、授权、审计、分析;具有与身份认证系统无缝结合的接口,支持用户密码、手机短信、动态令牌、USBKEY口令等双因子认证。实现对操作过程的全程监控与审计录像回放,以及对违规操作行为的实时阻断。支持对多种远程维护方式,如字符终端方式(SSH、Telnet)、图形方式(RDP)、文件传输(FTP、SFTP)协议, 应用发布系统支持BS/CS等应用的单点登录及审计,支持黑名单、白名单功能。
信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
等级测评的现场实施过程由单项测评和整体测评两部分构成。对应《基本要求》各安全要求项的测评称为单项测评。整体测评是在单项测评的基础上,通过进一步分析定级对象安全保护功能的整体相关性,对定级对象实施的综合安全测评。
计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统建设完成后,二级以上的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。已投入运行信息系统在完成系统整改后也应当进行测评。经测评,信息系统安全状况未达到安全保护等级要求的,运营使用单位应当制定方案进行整改。
计算机信息系统运营、使用单位委托安全测评机构测评,应当提交下列资料:
(一)安全测评委托书;
(二)计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。
安全测评机构在收到委托材料后,应当与委托方协商制订安全测评计划,开展安全测评工作,并出具安全测评报告。
经测评,计算机信息系统安全状况未达到国家有关规定和标准的要求的,委托单位应当根据测评报告的建议,完善计算机信息系统安全建设,并重新提出安全测评委托。
测评机构对计算机信息系统进行使用前安全测评,应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。
计算机信息系统投入使用后,存在下列情形之一的,应当进行安全自查,同时委托安全测评机构进行安全测评:
(一)变更关键部件;
(二)安全测评时间满一年;
(三)发生危害计算机信系统安全的案件或安全事故;
(四)公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评;
(五)其他应当进行安全自查和安全测评的情形。
第三级计算机信息系统应当每年至少进行一次安全自查和安全测评,第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评,第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评。
自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。