• 3
  • 2
  • 4
  • 1
精彩活动
  • 8
  • 7
  • 6
  • 5
  • 4
  • 3
  • 2
  • 1
当前位置:首页 > 文体事业 > 广播电视广播电视
安全播出工作检查
2015-08-05
             
嵊泗华数安全播出自查表
检查类目 检查项 检查分项 分项说明 检查结果 附件/列表 备注说明
自查确认 前端网络隔离情况 详细说明前端各系统与其他网络是否采用物理隔离 1.原直播设备网管和市网管脱离,取消原集中网管,各设备采用单独网管2.直播只使用直播交换机,不和外网连接。3,点播直接进点播专用数码视讯IPQAM.4,省三务公开直接进三务公开IPQAM. 互动点播系统和数据使用同一台核心交换机
关联系统权限回收情况 说明当前系统账号、密码、权限管理情况。要求明确专人管理,专用账号,账号与使用人需一一对应。 已收回 系统权限:系统密码有专人管理:总管理人:曹佩强,专用账号与使用人对应如下:SDH,OLT,USG2000,S9712,S5700;账号使用人:冯杰。DCM,IPQAM,D9022账号使用人:夏康阳。  
消息、数据广播类业务关断情况 说明当前关断情况 本地无消息及数据广播平台 三务公开,消息及数据 所有业务由市或省里下发
基础资料检查 整体网络 整体网络拓扑图 说明本地现有各网络整体情况及相互之间的拓扑关系(典型网络:点播网络、互联网、办公网、生产网等) 各网络无相互联系 办公网独立:电信互联网信号--电视台办公核心交换机--各楼交换机工作-各办公室工作PC.直播网独立:省市组播信号经SDH或OTN--直播专用交换机S5700--思科DCM,IPQAM--HFC网络。点播网独立:省点播信号经OTN--S9712核心交换机--数码视讯点播IPQAM--HFC网络。互联网独立:省互联网信号经OTN--S9712核心交换机--中兴C220--中兴F400--用户. 办公网单独,直播网单独,点播和互联网使用同一核心交换机等设备。
整体地址规划 所有IP地址的分段及使用规划 按省1.8方案规划使用。 由省统一规划
现有DVB前端网络 网络拓扑 提供前端整体网络拓扑图 直播:华为2500SDH--华为S5700--思科DCM--思科IPQAM--HFC网络.点播:OTN-华为S9712--数码视讯IPQAM-HFC网络.  
网络设备列表 是否能提供前端网络中使用的所有网络设备 网络设备:OTN:华为6800一台,8800二台SDH:华为2500一台,核心交换机华为S9712二台,直播交换机华为S5700二台,防火墙华为USG2000二台,DHCP服务器浪潮二台,OLT:中兴C220一台,思科DCM二台,思科IPQAM三台,数码视讯IPQAM三台。编码器四台。卫星接收机12台。  
在用IP清单 提供所有在用设备IP地址及业务IP地址清单 IP地址使用情况:三务公开业务:IP:234.49.70.246*2000.互动点播业务 : IP: 21.99.239.1* 255.255.255.0 。  市下传主用组播业务:IP:228.100.10.1-76。                省下传备份组播业务:IP:21.254.110.82* 255.255.255.248。 机房主DCM设备地址:192.168.180.181。机房备DCM设备地址:192.168.180.182。 机房主IPQAM地址:192.168.180.183。 机房备IPQAM地址:192.168.180.184。 机房1-4号编码器IP地址:192.168.180.191-194。  
外部网络接入 前端系统是否与外部网络对接(典型网络:点播网络、互联网、办公网、生产网等) 前端无设备与外网对接。 点播系统和互联网共用核心交换机和OLT设备。
现有DVB系统 系统列表 提供前端现有系统清单及各系统的详细设备列表 完整 直播系统:华为S5700交换机2台,思科DCM2台,思科IPQAM2台,编码器4台,卫星接收机12台。  
基础资料检查 现有终端 专用客户端PC列表 提供专门用于固定系统操作维护的PC清单 专用客户端PC列表:惠普248G1:一台直播管理电脑,惠普248G1:一台互联网管理电脑, 共二台管理PC,一台只用于直播管理,一台用于互联网管理。
管理人员的PC列表 提供可用于访问和操作前端系统的管理人员个人PC清单 管理人员的PC列表:三台惠普6300,三名技术员使用 台式只用于办公,无法访问和禁止操作前端系统
现有安全设备列表 提供前端在用的网络、信源及其他与安全相关的设备清单。如:防火墙、入侵检测、入侵防御、监控报警系统等。 安全设备:S9712核心交换机2台,UGS2000防火墙2台,管理外网。  
信源列表 提供前端所有信源的提供方及接入方式清单 信源列表:主用组播信号由市中广提供,通过SDH进主播交换机,再进DCM.备用组播信号由省华数提供,通过OTN和核心交换机,进DCM.点播信号由省华数提供,通过OTN和核心交换机,进DCM.卫星信源,本地提供,直接进DCM.  
本地DVB增值应用列表 罗列本地已部署的DVB增值应用系统列表 应用列表:三务公开由省专用组播信号提供。 如三务公开、企业信息化等
管理制度检查 组织安全结构管理 提供组织机构及人员组成说明 提供管理制度  
人员安全管理 提供人员权限授予/回收、安全审查、培训等管理办法 提供管理制度  
操作制度及流程管理 机房安全管理制度 提供机房出入人员管理、机房禁止性规定等管理制度 提供机房管理制度  
系统/数据库安全管理 提供相应的数据加密、数据备份、访问控制等措施管理制度 提供管理制度  
安全预案管理 提供突发故障应急预案和突发事件应急预案 提供安全预案  
安全播出深度自查小结
自查结果:
为了进一步防范嵊泗广电有线网络,在数字化、交互化的发展过程中,存在的各种安全隐患,提高嵊泗广电有线网络的整体管理与营运水平,提升广播电视网络抗风险能力和科技含量,在进行IP城域网网络平台的建设中,确保广播电视的安全播出,杜绝非法节目、信息侵入广电网络,为安全播出提供更高的安全技术保障,这次本嵊泗华数机房安全排查情况如下:
    1、嵊泗华数机房前端网络隔离情况良好,前端各系统与其他网络已采用物理隔离:(a).原直播设备网管和市网管脱离,取消原集中网管,各设备采用单独网管(b).直播只使用直播交换机,不和外网连接。(c),点播直接进点播专用数码视讯IPQAM.4,省三务公开直接进三务公开IPQAM.。
    2、关联系统权限回收情况良好,当前系统账号、密码、权限管理有专人负责,同时要求明确专人管理,专用账号,账号与使用人一一对应系统密码有专人管理:总管理人:曹佩强,专用账号与使用人对应如下:SDH,OLT,USG2000,S9712,S5700;账号使用人:方逸。DCM,IPQAM,D9022账号使用人:夏康阳。
    3、本地无消息及数据广播发布平台,省市下发的消息、数据广播业务已关断,特别是本地主要在使用的三务公开信号已关断,本地无EPG广播系统,BOSS等管理系统也为省嵊泗华数下传,本地内网都为专用网和外网都是隔离的。
    4、前端整体网络拓扑、地址规划、DVB前端网络拓扑、设备、在用IP清单、外部网络接入等情况,都安全可靠。公司各网络无相互联系,公司办公网独立:电信互联网信号--电视台办公核心交换机--各楼交换机工作-各办公室工作PC.直播网独立:省市组播信号经SDH或OTN--直播专用交换机S5700--思科DCM,IPQAM--HFC网络。点播网独立:省点播信号经OTN--S9712核心交换机--数码视讯点播IPQAM--HFC网络。互联网独立:省互联网信号经OTN--S9712核心交换机--中兴C220--中兴F400--用户。地址规划按省1.8方案规划使用,由省统一规划。直播系统如下:华为2500SDH--华为S5700--思科DCM--思科IPQAM--HFC网络.点播:OTN-华为S9712--数码视讯IPQAM-HFC网络。公司网络设备主要是:OTN:华为6800一台,8800二台SDH:华为2500一台,核心交换机华为S9712二台,直播交换机华为S5700二台,防火墙华为USG2000二台,DHCP服务器浪潮二台,OLT:中兴C220一台,思科DCM二台,思科IPQAM三台,数码视讯IPQAM三台。编码器四台。卫星接收机12台。公司IP地址使用情况:三务公开业务:IP:234.49.70.246*2000.互动点播业务 : IP: 21.99.239.1* 255.255.255.0 。  市下传主用组播业务:IP:228.100.10.1-76。省下传备份组播业务:IP:21.254.110.82* 255.255.255.248。 机房主DCM设备地址:192.168.180.181。机房备DCM设备地址:192.168.180.182。 机房主IPQAM地址:192.168.180.183。 机房备IPQAM地址:192.168.180.184。 机房1-4号编码器IP地址:192.168.180.191-194。前端无设备与外网对接。
    5、终端、安全设备、信源、DVB增值等基本情况良好。专用客户端PC如下:惠普248G1:一台直播管理电脑,惠普248G1:一台互联网管理电脑,共二台管理PC,一台只用于直播管理,一台用于互联网管理。管理人员的PC如下:三台惠普6300,三名技术员使用只用于办公,无法访问和禁止操作前端系统,安全设备主要有:S9712核心交换机2台,UGS2000防火墙2台,管理外网。公司直播信源如下:主用组播信号由市中广提供,通过SDH进主播交换机,再进DCM.备用组播信号由省华数提供,通过OTN和核心交换机,进DCM.点播信号由省华数提供,通过OTN和核心交换机,进DCM.卫星信源,本地提供,直接进DCM。本地应用如下:三务公开由省专用组播信号提供,本地无EPG广告业务等DVB增值应用。
6、公司管理制度已建立并正在完善,组织安全结构管理、人员安全管理、操作权限及流程管理、安全预案管理等工作到位。

网络/系统隐患及措施;当前嵊泗华数局域网络系统在安全上存在以下不足: 

  1.网络系统的缺少安全性; 
  2.公开服务器缺少安全防护,无法杜绝外部攻击,; 
  3.无法实现入侵检测及实时监控网络数据情况; 
  4.缺少病毒防护功能; 
  5.无法实现数据安全保护; 
  6.易受到外部黑客的攻击,缺少攻击防御功能; 
  外部网络的恶意入侵者可能因为随机的目的对我局发起恶意扫描和渗透式入侵,进入网络,获取、篡改甚至破坏敏感的数据,乃至破坏我局网络的正常业务和生产运行。
   网络上大量肆虐的网络蠕虫病毒具备渗透传播能力,他们可以进入我们的网络;一旦遭受了病毒和蠕虫的侵袭,不仅会造成网络和系统处理性能的下降,同时也会对核心敏感的数据造成严重的威胁,甚至造成网络的拥塞,导致业务和生产的中断。
   在网络中,由于安全技能和安全意识存在差异,员工可能无意识的通过各种媒介将Internet上危险的、恶意的木马程序和恶意代码下载到内部服务器上执行,甚至将Internet上的蠕虫、网络病毒传播进入服务器,这将对服务器上的重要数据带来严重威胁。
所以 网络平台是否安全;系统是否安全; 应用是否安全;每一类安全风险,都可能给嵊泗华数内部信息资产带来严重的安全隐患。结合公司实际我们主要做了以下工作:
1、重要网段进行安全隔离
2、确定统一的用户身份
3、明确严格清晰的访问授权
4、信息安全传输
5、灵活、高效、统一的网络管理
6、提供24/7的可靠网络服务
7、详细准确的日志记录
8、安全可靠的对外信息发布服务
9、高效及时的防毒杀毒
10、完整快速的数据备份和恢复能力
11、及时发现网络设备和主机的漏洞和弱点,能及时采取补救措施
12、制定责权明晰、行之有效的安全规章制度和机房管理制度
 
   公司在内部网络和外网除进行物理隔离外,还要在内部网络技术上采取以下措施:
    根据公司现有网络系统安全薄弱环节,对网络服务器区域进行安全加固.
    安全应满足以下几个方面:
     1、防止利用应用漏洞进行入侵
     2、阻止僵尸、木马、病毒、恶意代码入侵
     3、阻止APT攻击、 数据泄露
     4、有效的防护拒绝服务攻击(DDoS)
     5、实现有独立安全管理的需要。
外部访问策略
     DMZ(Demilitarized Zone)即俗称的非军事区,与军事区和信任区相对应,作用是把各种允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响,服务器区的网络结构通常具有以下特征:
主要针对数据中心内的服务器进行保护,使用的安全功能需要根据服务器类型综合考虑。 
数据中心可能部署有多种服务器,更容易成为黑客的攻击目标。 
数据中心的核心功能是对外提供网络服务,保证外网对数据中心服务器的正常访问极其重要,这不仅要求边界防护设备拥有强大的处理性能和完善的可靠性机制,还可以在发生网络攻击时仍不影响正常的网络访问。 
数据中心流量复杂,如果流量可视度不高,则不能进行有针对性的配置调整。
基于以上特征,防火墙作为数据中心的边界,提供如下功能:
开启流量统计功能,基于IP、用户、应用对流量状况进行长期统计分析,以帮助安全策略的制定。
基于IP地址和应用进行限流,使服务器稳定运行,也避免网络出口拥塞,影响网络服务。
开启入侵防御、反病毒功能,使服务器免受入侵以及蠕虫、木马等病毒危害。
开启DDoS及其他攻击防范功能,避免服务器受到外网攻击导致瘫痪。
开启文件过滤和数据过滤,避免数据泄露。
  一个网络的外部访问策略大致分为以下几点:
1.内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网
在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。
防火墙可以实现以上安全访问策略,使内外网通信更加安全,避免服务器区数据受到黑客攻击及病毒感染。
内部服务器间相互访问
如上图所示,对于一个网络,通常其服务器区也需要划分安全等级。例如普通业务、重要业务、核心业务之间需要进行隔离,并对对不同网络间的流量进行监控,以实现以下目的:
对不同网络的业务类型和安全风险不同,需要部署不同的安全策略;
对不同网络间的业务流量需要受控,避免公司核心信息资产通过网络泄露
将业务进行隔离,避免一个网络感染病毒扩散到整个业务
大部分流量主要发生在同一网络内,而同一网络内的流量传输往往无需过多干预。所以通过网络划分,可以降低安全设备的检测负担,提高检测效率,使网络更加通畅。
基于以上特征,防火墙作为公司的内网边界,提供如下功能:
在内网部署一个或多个防火墙作为内部对不同网络的边界网关,隔离对不同网络。
建立用户管理体系,对内网主机接入进行用户权限控制。
相同安全等级的网络划分到同一个安全区域,只部署少量的安全功能,例如“业务1”和“业务2”同属于一个安全区域,但是两者间通信的流量仍可进行简单的包过滤、黑白名单、反病毒等功能。
不同安全等级的网络划分到不同的安全区域,根据业务需求部署不同的安全功能,例如仅允许部分网络主机访问指定的服务器,并在Research与Marketing、Production、Server之间应用反病毒、文件类型过滤、数据过滤等功能。
在各个区域之间应用带宽策略,控制带宽与连接数,避免内网网络拥塞。
内网各个区域与外网之间应用入侵防御、反病毒、文件类型过滤、数据过滤、URL过滤、应用行为控制等功能。
管理策略
为了杜绝非法入侵和非法用户登录,防火墙应该进行一下管理:
实现管理员在内网进行管理,但进行相关加密及验证,避免非法访问。
实现管理员在外网进行管理,围满足一些特殊情况下,管理员不在公司,需要管理员在外网登录内部防火墙进行管理。
指定个别内网主机可以登录防火墙,其他主机即使有登录账号密码也无法访问。



 
 

版权所有:嵊泗县文体广电新闻出版局 技术支持:逐电网络  地址: 浙江省舟山市嵊泗县菜圃路88号
copyright 2015-2018  ALL  Rights Reserved 浙ICP备15016148号-1

浙公网安备 33092202000046号