浅析基于等保2.0下广播发射台远程监控系统网络安全建设

周 宇

内蒙古自治区广播电视传输发射中心乌海广播发射中心台 内蒙古 乌海市 016000

乌海广播发射中心台运用大数据、云计算、物联网等新一代高新技术，建设了监测10个发射台站、126套节目、131部发射机的智慧化远程监测系统，实现对所有台站的指挥调度、实时监测、数据共享、感知预警，大大提高了台站智慧化运维、精细化管理水平，然而随着远程监测系统的运用，网络安全重要性日渐凸显出来，网络安全等级保护建设迫在眉睫，按照网络安全等级保护2.0“一个中心、三重防护”的整体思路，本文对如何搭建远程监测系统网络安全防御体系，进一步提高播出安全、信息安全能力进行分析。

1 远程监测系统网络布局

乌海广播发射中心台网络主要由专网和互联网组成，其中7个中波发射台通过电信专线到达监控室，传输到核心交换机中；3个调频发射台由虚拟专网VPN传输至监控室，传输至核心交换机中，所有信号统一集中到核心交换机，从中提取音频、视频监控、发射机指标等信号，按照《广播电视网络安全等级保护定级指南》，无线发射台站远程监控平台涉及的调度控制系统、管理支撑系统均属于第二级保护，如图1所示。

图1 远程监控系统网络拓扑图

2 网络安全等级保护防范措施

网络安全防护按照《广播电视网络安全等级保护基本要求》，分别从物理环境、通信网络、区域边界、计算环境、管理中心五个方面分析研究如何加强网络安全建设，如图2所示。

图2 网络安全保护架构

2.1 物理环境安全防护

物理安全是整个网络系统安全的前提和基础。所有发射台站机房出入口均安装有门禁系统，通过指纹、人脸识别等方式严格控制和记录进入人员信息；进入机房的外来人员必须获得机房主任、台领导的报备批复方可进入，并根据工作需要限制其活动范围。

远程监控系统在值机室安装机房温湿度、烟雾水浸等报警系统，安装供配电电压、电流实时显示装置，同时值班人员定时对机房物理环境进行安全巡检记录，包括机房温度、机房湿度、防火防盗安全措施等，对机房所有位置进行24小时实时录像监控，保存90天以上，对监控室内U盘、硬盘等介质进行严格管控。

2.2 通信网络安全防护

通信网络的安全主要包括网络结构、通信传输等，网络结构需划分不同的网络区域，并合理的划分网段、VLAN和IP地址。重要网络安全区域边界和其他区域采取相应的技术隔离手段，乌海广播发射中心台结合业务系统需要和网络通讯安全，确保业务高峰期网络流量安全。考虑业务之间的性能重要性和所涉及信息的重要程度等因素，通过华为S57200交换机划分出Vlan10、Vlan20、Vlan30三个网段，分别对应着音频节目监测、监控摄像头、大数据信息，同时通过下一代防火墙进行网络隔离，确保网络结构安全。3个调频发射台通过互联网采用GRE over IPSec vpn方式连接，实现对网络传输数据完整性校验，如图3所示。

图3 远程监控系统网络安全拓扑图

2.3 区域边界安全防护

区域边界主要是指远程监控系统内部与外部网络之间、内部网络安全域之间的边界，对流入、流出的数据流进行有效的控制和监督。通过在网络层部署下一代防火墙，按照严格的安全规则对所有进出安全区域边界的数据信息进行过滤，屏蔽所有不安全或不符合安全规则的数据包，阻止非授权或越权访问，防止各类非法攻击行为。

各类网络攻击行为不仅来自于互联网外部网络，也来自内部网络，通过部署下一代防火墙，并及时更新边界防护产品的事件库和病毒库，主动阻断针对信息系统的各种攻击。通过在网络内部核心交换机及其它重要网络区域的交换机上部署网络审计系统，对各类用户的网络访问行为和网络传输内容进行记录。

2.4 计算环境安全防护

边界内部称为安全计算环境，包括应用系统正常运行所必须的主机、应用系统、数据、存储与备份等，计算环境安全是应用系统安全的根本。

统一身份鉴别。对登录操作系统、数据库系统、应用系统的用户进行集中的身份标识和鉴别，确保只有认证用户才能访问其授权范围内的系统和数据资源。采用数字证书与动态口令或生物技术组合的鉴别技术对用户进行身份鉴别，确保用户身份标识具有唯一性。

运维访问控制和安全审计。通过部署堡垒主机，实现对设备和服务器的统一用户帐户管理、登录认证、资源授权、访问控制和操作审计，简化用户身份管理工作、加强对运维管理用户登录及操作行为的控制和审计。

数据库访问控制和安全审计。针对数据库服务器，部署数据库安全网关，实现细粒度的访问控制，提供事前预防、事中控制、事后分析等全面的数据库安全管控。

日志审计。对远程监测系统的所有服务器操作系统、应用系统和新增的各种安全系统开启完整的日志记录功能，对重要的用户行为和重要安全事件进行审计，并将审计记录实时发送给日志服务器，便于长期存储保护和分析使用。

2.5 管理中心安全防护

建立安全管理中心要求实现对网络中多层面、多安全系统进行统一监控监管、统一配置管理、统一安全展示等安全目标。根据《信息安全技术网络安全等级保护基本要求》中对系统管理、审计管理、安全管理和集中管理等几个方面的要求，通过部署堡垒机、日志审计、数据库审计或具备同等功能的产品，实现对远程监控系统内所有网络设备的集中管理和监控。

结束语

乌海广播发射中心台远程监控系统包含互联网、电信专网连接，目前只部署了一台下一代防火墙，网络安全防范措施不足、隐患较大，构建符合国家和行业等级保护标准要求的信息系统十分重要，以保障远程监控系统业务安全、可靠、稳定运行，防范系统免受外来网络的攻击，防止国家财产的损失和重要数据信息的泄露。