[doyo|page]

2017年度教育+广电行业网络安全解决方案

 

1 教育行业概貌


“以教育信息化带动教育现代化,把教育信息化纳入国家信息化发展整体战略”。目前,教育信息化总体上处于初步应用整合阶段,正在向融合创新阶段推进,实现了教育信息化发展理念由以基础建设为主向以应用驱动为主的重大突破。这一重大突破的重要表现就是数字化校园向智慧校园的升级转型,数字校园以建设校园网络为基础,利用先进的计算机、网络、通讯技术,实现学校对教学、科研、教务管理有关的所有信息资源进行全面的数字化,而智慧校园是依托云计算、虚拟化、物联网、网络安全等技术实现学校、老师、学生、家长安全的、多维度的连接,将教学、科研、教务管理等资源与应用系统整合,实现智慧化服务和智慧化管理的校园模式。


在教育信息化的整体发展历程中,特别是在数字校园向智慧校园升级时,网络安全的重要性和紧迫性尤为突出,网络安全与信息化是一体之双翼、驱动之双轮,必须统一谋划、统一部署、统一实施和统一推进。


启明星辰为教育管理部门提供覆盖全国的网络安全管理平台解决方案、三通两平台安全解决方案、网络安全攻防实训仿真演练人才培养方案以及智慧校园互联网出口和虚拟化数据中心的安全方案,助力智慧校园建设。


1.1三通两平台安全解决方案


2012年9月教育部全国教育信息化试点工作座谈会召开,刘延东副总理指出十二五期间教育信息化建设的核心目标与标志工程为“三通两平台”建设。“三通两平台”是《教育信息化十年发展规划(2011-2020年)》的标志性工程。两个支撑平台分别是教育管理公共服务平台和教育资源公共服务平台,三个基础建设工程分别是宽带网络校校通(校校通)、优质资源班班通(班班通)和网络学习空间人人通(人人通),三通两平台内容如下图所示:

 

 

2012年3月教育部印发《教育信息化十年发展规划(2011-2020年)》,其中第四部分中提及要“建立全方位的安全保障体系确保教育管理教学和服务等信息系统安全”。在网络、系统、应用和资源、管理平台建设的同时,构建“三通两平台”网络安全保障体系,确保其安全性与稳定性、实现信息化教学的高效性成为当务之急。


1.1.1面临的挑战及安全需求


三通两平台面临的安全挑战和安全需求主要是城域网出口安全和教育云平台安全。


城域网出口安全需要解决城域网之间边界访问控制、网间入侵检测与防御、单链路故障、提升多链路带宽利用率。


教育云平台安全需要解决校校网络互通,班班教学资源共享,学校、家庭和个人自主学习空间人人通所需要的资源和业务应用的安全性、稳定性。具体来讲需要解决资源和服务两大平台之间的网络边界安全问题、Web应用层安全问题、应用负载和加速问题、弱口令和漏洞管理问题、云中虚拟化资源池的安全问题以及两平台的安全运维问题。


1.1.2安全解决方案


一、城域网出口安全


在教育城域网出口部署出口链路负载均衡设备,根据访问目标自动最优选路,根据链路负载、丢包情况等动态选择链路出口可保障出口链路稳定性,提升城域网出口带宽利用率。


在教育城域网出口位置部署防火墙、VPN和入侵防御设备,可对教育城域网进行网络访问控制、网络蠕虫、间谍软件、溢出攻击等多种深层攻击行为进行入侵检测及过滤等一体化安全防护。


在教育城域网出口部署上网行为管理设备,全面了解上网情况和网络使用情况,包括即时通讯等过滤不良信息,可实现对城域网内师生上网行为的管理与审计、应用流量控制与保障,减少互联网风险,满足82号令的合规性需求。


在教育城域网设置一个相对独立的安全运维区,实现全网统一安全运维管理,部署漏洞扫描和管理平台,实现漏洞发现、验证、修复、更新全生命周期管理;部署安全运维堡垒机,结合身份认证系统实现运维人员基于双因素的唯一身份标识、集中访问控制、集中审计(加密和非密协议的审计),有效解决一人多账号、一账号多人使用等乱象。


如下图所示:

 

 


二、教育云平台安全


在教育云平台边界部署防火墙、VPN和Web应用防火墙设备,可对教育云平台进行网络访问控制、网络蠕虫等多种攻击行为进行安全防护。同时,防御以 Web 应用程序漏洞为目标的攻击,并针对 Web 服务器进行 HTTP/HTTPS 流量清洗,提高 Web应用的可用性、性能和安全性,确保 Web 业务应用安全、可靠地提供服务。


在教育云平台的Web应用服务前端部署服务器应用负载,支持应用引流,分担应用服务器负载。可以根据应用类型P2P、即时通讯、流媒体、视频协议等应用引流至高质量链路,支持应用服务器负载分担,针对应用层信息分配流量,提升用户的访问体验。


在教育云平台从网络层面设置一个相对独立的安全运维区,实现全网统一安全运维管理,部署漏洞扫描和管理平台,实现漏洞发现、验证、修复、更新全生命周期管理;部署安全运维堡垒机,结合身份认证系统实现运维人员基于双因素的唯一身份标识、集中访问控制、集中审计(加密和非密协议审计),有效解决一人多账号、一账号多人使用等乱象。


教育云平台的资源和服务平台采用云和虚拟化技术实现业务应用的池化,可以很好的满足业务应用按需扩展、快速服务的需要。在云和虚拟化环境下,安全保障也是一种业务应用,需要按需扩展快速服务。启明星辰将网络保障与业务资源池解耦,构建相对独立的安全资源池,在安全资源池上有选择性的按需开启虚拟IDS、虚拟审计、虚拟流量监测、虚拟Waf等安全机制,实现虚机之间、VLAN之间的安全监测功能,保障教育云平台的安全。


如下图所示:

 


1.1.3方案主要价值


方案价值主要体现在如下几方面:


1)保障链路稳定性,避免单点故障与性能瓶颈,同时保障服务器应用负载分担与优化,提升带宽利用率的同时也提升了用户享用三通两平台服务的访问体验。


2)提供了从网络层到应用层的一体化防护能力,有效保障L3-L7的安全。


3)集中管控师生的上网行为,满足国家公安部82号令上网日志留存的合规性要求。


4)全面保障教育资源平台与教育管理平台资源池的安全。


5)实现了教育云平台的全网入侵检测、统一安全运维审计、口令和漏洞的全生命周期管理。

 

1.2网络安全攻防实训与仿真演练平台解决方案


随着教育信息化的快速发展,网络安全问题更加突出,对网络安全人才建设不断提出新的要求。网络空间的竞争,归根结底是人才竞争。从总体上看,我国网络安全人才还存在数量缺口较大、能力素质不高、结构不尽合理等问题,与维护国家网络安全、建设网络强国的要求不相适应。

 

1.2.1面临的挑战及安全需求


网络安全人才培养面临的主要挑战和需求是缺少培养高素质的网络攻防高级专门人才的实战平台。需要通过提供完善的课程体系和实践项目,使学生具备扎实的数理基础和电子通信技术、计算机技术,掌握网络攻防对抗的基本理论、基本知识、基本技能及综合应用方法,具有较强的信息系统安全分析与设计、安全防护、安全策略制订、操作管理、综合集成、工程设计和技术开发能力,了解网络空间安全发展动态,受到严格的科学思维训练和全面的素质教育的网络攻防高级专门人才。


1.2.2安全解决方案


网络安全人才培养的实训与仿真攻击防御演练平台,开展各项专项攻防系统/情报收集与分析挖掘/监控评测挖掘/人员培训教学系统的支撑平台,用于网络攻防人才培养、网络安全技能培训和网络安全技能大赛。


攻防演练系统平台由系统平台底层、管理层和用户层组成,如下图所示:

 

 

图 攻防实验室软件平台层次结构


攻防演练系统底层采用OpenStack开源云计算平台,可以为各种云提供高冗余、可扩展、开放灵活的基础架构。在此平台上可以实现各种虚拟化资源的存储、查询和检索等功能,并能提供统一的用户身份认证以及一致的Web展示界面。


中间管理层主要完成各种功能模块,包括用户的管理、身份的认证管理、权限的分配、任务的管控、平台中各种设备和资源(情报、工具、课件等)的分配。


用户层主要是负责给攻防演练系统平台的普通用户和管理员用户提供统一的前台和后台访问页面,以完成各自的实验任务和管理任务。


监控展示则全程负责攻防演练系统中的各种行为监控,包括系统设备的运行情况、用户的行为举止、资源的访问信息、靶场的安全态势等。

 

1.2.3方案主要价值


方案价值主要体现在如下几个方面:


1)网络安全攻防实训与仿真演练平台作为网络空间安全学科建设和人才培养的重要组成部分,成为网络安全学院学科专业建设的支撑和网络安全人才培养的实践训练摇篮


2)以攻助防、攻防结合,为学校培养网络安全教师队伍和学生队伍


3)融入渗透思维,全程植入安全概念,从攻击角度探讨网络安全,掌握网络攻防技能,提升网络安全防护水平


4)平台内置的网络安全课程实验可以很好的帮助师生顺利完成日常教学

 

1.3智慧校园安全解决方案


“智慧校园”是教育信息化进入高级阶段的表现形式,比“数字校园”更先进。集体知识共融共生、业务应用融合创新、移动互联网物联网高速泛在是其重要特征。特别是在互联网+教育的大环境下,为了更好的发挥智慧化教学服务和智慧化教学管理功能,需要加强智慧校园的网络安全建设。


校园网络一旦出现了安全隐患,则会造成网络中大量资料被泄露、伪造和破坏,造成信息传递的中断,给学校、家庭,甚至社会带来极大的损失。一方面关系到学校的综合利益和学校的安全建设合规程度,另一方面关系到社会、家庭、师生的利益;再次,随着安全法的颁布实施,网络安全不再是教学教务的业务补充而成了教育教务业务应用自身,智慧校园的网络安全建设也从满足自身需要到满足合规要求上升到合法运营的法律层面。


1.3.1面临的挑战及安全需求


智慧校园面临的网络安全挑战和需求主要包括互联网出口安全、数据中心安全以及数据安全。


校园网互联网出口安全需要解决出口边界访问控制、入侵检测与防御、单链路故障、提升多链路带宽利用率、师生上网行为管理。


数据中心的安全包括数据中心区与互联网区之间的网络边界安全问题、Web应用层安全问题、应用负载和加速问题、弱口令和漏洞管理问题、云中虚拟化资源池的安全问题、数据安全问题以及校园网安全运维问题。


数据安全问题具体包括数据防泄漏管理、数据脱敏管理、数据库安全审计以及业务用户通过浏览器经由应用服务到数据库访问的合法业务操作的全流程审计。


1.3.2安全解决方案


一、互联网出口安全


在校园网互联网出口部署出口链路负载均衡设备,根据访问目标自动最优选路,根据链路负载、丢包情况等动态选择链路出口可保障出口链路稳定性,提升城域网出口带宽利用率。


在校园网互联网出口位置部署防火墙、VPN和入侵防御设备,可对教育城域网进行网络访问控制、网络蠕虫、间谍软件、溢出攻击等多种深层攻击行为进行入侵检测及过滤等一体化安全防护。


在校园网互联网出口部署上网行为管理设备,全面了解上网情况和网络使用情况,包括即时通讯等过滤不良信息,可实现对城域网内师生上网行为的管理与审计、应用流量控制与保障,减少互联网风险,满足82号令的合规性需求。


二、数据中心区安全


在数据中心区与互联网出口区边界部署防火墙和Web应用防火墙设备,可对教育云平台进行网络访问控制、网络蠕虫等多种攻击行为进行安全防护。同时,防御以 Web 应用程序漏洞为目标的攻击,并针对 Web 服务器进行 HTTP/HTTPS 流量清洗,提高 Web应用的可用性、性能和安全性,确保 Web 业务应用安全、可靠地提供服务。


在数据中心区的Web应用服务前端部署服务器应用负载,支持应用引流,分担应用服务器负载。可以根据应用类型P2P、即时通讯、流媒体、视频协议等应用引流至高质量链路,支持应用服务器负载分担,针对应用层信息分配流量,提升用户的访问体验。


校园网数据中心区采用云和虚拟化技术实现业务应用的池化,可以很好的满足业务应用按需扩展、快速服务的需要。在云和虚拟化环境下,安全保障也是一种业务应用,需要按需扩展快速服务。启明星辰将网络保障与业务资源池解耦,构建相对独立的安全资源池,在安全资源池上有选择性的按需开启虚拟IDS、虚拟审计、虚拟流量监测、虚拟Waf等安全机制,实现虚机之间、VLAN之间的安全监测功能,保障数据中心区的安全。


在校园网连接互联网出口区和数据中心区的核心交换机上划分出一个Vlan设置一个相对独立的安全运维区,实现全网统一安全运维管理,部署漏洞扫描和管理平台,实现漏洞发现、验证、修复、更新的全生命周期管理;部署域间安全策略监控设备,实现不同安全域内系统访问关系梳理、防火墙策略管理与优化、非法外联行为监测;部署安全运维堡垒机,结合身份认证系统实现运维人员基于双因素的唯一身份标识、集中访问控制、集中审计(加密和非密协议的审计),有效解决一人多账号、一账号多人使用等乱象。


三、数据安全


从数据防泄密DLP、数据库脱敏、数据库审计和基于WEB的业务全流程审计几个方面来保障数据安全。


部署网络DLP、终端DLP设备,在数据存储、传输和使用过程中,发现并识别敏感数据隐患,确保敏感数据的合规使用,防止敏感数据泄漏的数据安全保护系统,保障数据安全、可控、可用。


部署数据库脱敏设备,采用数据抽取、数据漂白、动态掩码等规则进行数据变形和敏感信息处理,保证脱敏前后数据关联关系和前后的运算关系不变,满足隐私数据保护合规要求。


部署数据库审计设备,实时监视与审计数据库管理员的操作,对数据库的操作行为进行命令级别的细粒度审计,事故追根溯源,提高数据资产安全,系统管理员操作行为的安全审计。


部署基于Web的业务应用全流程审计设备,对合法的业务操作人员操作Web应用进行业务办理或查询操作的全过程实施记录,实现对业务用户的Web应用业务操作全流程访问行为审计与监管,业务办理和操作层面的安全审计,确保全流程操作行为留痕和数据安全。


如下图所示:

 


1.3.3方案主要价值


方案价值主要体现在如下几方面:


1)保护互联网出口的安全稳定,保障校园网的安全。


2)对互联网出口进行流量和上网权限管理,保障核心业务的稳定性,提高工作效率。集中管控师生的上网行为,满足国家公安部82号令上网日志留存的合规性要求


3)提供了从网络层到应用层的一体化防护能力,有效保障L3-L7的安全。


4)以可编排可弹性扩展的独立安全资源池的方式全面保障校园网数据中心业务应用资源池的安全。


5)实现了教育云平台的全网入侵检测、统一安全运维审计、基于Web的全业务流程审计、口令和漏洞的全生命周期管理。


6)提升了数据中心安全防护级别,满足教育信息安全等级保护安全建设要求。


7)从数据存储、传输、共享审计等多个维度保障数据的安全。


2 广电媒体行业概貌


传统媒体传播模式从思想层面上来讲,是一种预先策划好的自上而下的线性传播,是中国社会能够稳步向前发展的一块基石。新媒体是“所有人面向所有人进行的传播”,传统媒体和新媒体具有很强的互补性,新媒体和传统媒体的联动融合,相互依存、相互借鉴、共同发展将引导舆论新格局。传统媒体与新媒体走融合发展之路,共同朝着智能媒体的方向迈进,这是媒体行业的共同特点。


2.1网络电视台(新媒体)网络安全解决方案


网络电视台(新媒体)是在三网融合大趋势下构建的新媒体运营平台,其建设目标是通过统一的视频内容整合和管理能力,提供基于IPTV、手机电视、互联网电视、门户网站等多种终端的媒体传播,实现支持跨终端业务联动和服务融合,从而建立全新的媒体产业化运营模式。


网络电视台(新媒体)的整体业务是汇聚来自IPTV收录、上载、合作伙伴专线接入、网络上传等渠道传送的节目和素材,经过编辑加工,形成适合新媒体业务的节目形态,经IPTV、手机电视、互联网电视和门户网站的播出平台对外发布。业务体系包括节目和素材的采、编、播、管、存等基础业务,与传统电视台相比,其最大的区别在于网络电视台的生产系统需要连接外网,这就把网络安全提高到战略的层面。


2.1.1面临的挑战及安全需求


网络电视台(新媒体)网络安全系统建设需要满足四大重点需求:


1)建立内容生产服务平台与播控区互联互通的安全网络通道;建立与合作伙伴进行安全高效的素材交换的网络通道;建立接入网络与来自互联网的合作伙伴的进行素材交换;建立与办公网络和媒资系统互联互通的安全网络通道。


2)规划和建设网络安全域,基于基础网络系统,梳理上下载、上传、收录、编辑、内容管理、发布等业务边界。


3)需要建设网络安全保障与风险防范、综合安全监控管理系统,实现基于监控、审计、风险和运维四个维度的信息系统安全管理功能。


4)需要实现业务终端区设备的安全接入和统一认证、单点登录、分散授权,保证节目的快编、精编、上下载和运维管理业务的顺畅运行,同时实现运维管理人员的双因素认证功能,确保人员身份唯一性。


2.1.2安全解决方案


一、划分安全域,梳理网络边界,加强域间域内访问控制


媒资获取渠道众多,而这些渠道的安全性不能完全保障,攻击及病毒等恶意代码能够通过媒资获取渠道侵入网络广播电视台系统媒资库,从而造成严重影响。因此,对于这类边界必须进行强隔离,重点关注两类防护:一是进行访问控制,避免非授权访问及可能的网络攻击;另一方面,要对获取的媒资进行病毒等恶意代码的检查,避免病毒的侵入。可部署UTM类产品(具备防火墙、防毒墙、入侵防御等各类边界防护功能)。


1、网络外部边界的关键安全措施包括:接入管理区防火墙、接入VPN网关、安全交互区的UTM、门户网站去IDC机房防火墙、IPTV播控区去运营商机房防火墙。


2、内部区域边界的关键安全措施包括:接入管理区隔离UTM、办公与生产区域的隔离UTM、移动工作区隔离的防毒墙和内容生产与播控隔离的防火墙。


二、系统身份认证和操作的合规性审计


内容生产系统、播控平台等系统内有多类重要应用,直接影响着安全生产和播出,对于这些应用系统的使用者必须进行严格的身份鉴定,仅依靠用户名/口令较为薄弱,一旦口令泄露或者在网络内被嗅探,将有可能会使内外部的非授权人员进入核心应用系统而进行非法操作,因此,可考虑对应用系统的使用人员采用双因素认证等措施加强身份认证,同时,所有的应用系统应严格限制每个账号的权限。


三、全网综合安全监测管理平台

 

1、综合安全监测管理平台:从监控、审计、风险和运维四个维度对信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的评估、事件集中收集、关联分析和自动化管理,经过平台的处理与分析,在海量数据中挖掘出重要的、危险的、有用的信息;全面地监视网络设备和主机发生的各种事件,有助于了解网络安全设备的安全环境等的使用状况;通过对安全事件的深度分析,并快速做出智能响应,实现对安全风险的统一监控分析和预警处理;利用多项指标计算得出安全对象所面临风险数值,并根据指标的变化得出资产当前的风险状况;掌握各资产的名称、IP、CIA属性机密性、可用性、完整性及脆弱性信息,对网络中的设备、主机、应用系统等方面的综合管理与监控,利于实现网络环境的综合安全管理


2、入侵检测系统组件:在内容生产区核心、门户播控汇聚、IPTV播控核心、接入管理区核心部署入侵检测系统,与综合安全监测管理平台对接。


3、漏洞扫描和漏洞管理:部署全网无IP限制漏洞扫描系统,实现全网漏洞扫描;部署漏洞管理系统,实现漏洞的发现、验证、修复等全生命周期管理,与综合安全监测管理平台对接。


4、终端和服务器自身安全:对于移动终端,由台里统一安装必备软件,并关闭管理员帐户,避免用户自由卸载、安装软件。安全软件需要加装:防病毒、补丁管理、网络准入、介质管理(固定终端)。关键服务器和重要终端数据按需与综合安全监测管理平台对接。


解决方案整体安全措施部署示意图如下所示:

 

 

2.1.3方案主要价值

 

2.2有线电视前端交互系统安全审计解决方案


有线数字电视系统网络的数字化、网络化和双向网络改造建设快速发展,特别是体现人机互动和交互功能特点的有线数字电视前端系统的发展尤为突出。有线数字电视前端系统IT资产和业务应用系统是有线数字电视网络运营商在互联网浪潮和三网融合大背景下得以正常运营的重要基础设施,管理好这些IT基础设施,是各有线数字电视网络运营商必须完成的使命。


各种安全事件呈几何级增长,来自外部的攻击入侵事件频发,而且日益呈现出“组织性”、“针对性”和“目的性”的特点,安全事件的应急响应的经验告诉我们,一旦出现入侵事件后,分析日志是发现入侵攻击蛛丝马迹的关键手段。内部人员的误操作或有意无意的泄密事件也时有发生,日志分析也是排错的重要手段,同时还可以协助我们进行责任认定。在这样日益严峻的情况下,如何确保有线数字电视前端系统的安全,尤其是如何更好地防范与审计内部管理人员对前端系统的访问和操作行为,成为当前保障数据信息安全的重要环节。


2.2.1面临的挑战及安全需求


有线数字电视前端系统在日志管理方面的挑战和需求是利用“日志留存”、“痕迹保留”和“运维审计”手段实现综合审计,具体包括日志全生命周期管理,精确的管理授权、网络与数据库管理系统操作审计。


1、日志全生命周期管理。日志(Log)是对IT系统在运行过程中产生的事件的记录。通过日志,IT管理人员可以了解系统的运行状况,获悉信息系统的安全运行状态,识别针对信息系统的攻击和入侵,以及来自内部的违规和信息泄露事件,能够为事后的问题分析和调查取证提供必要的信息。网络安全日志管理与审计系统能够实时不间断地采集有线数字电视前端系统网络中各种不同厂商的安全设备、网络设备、主机、操作系统、数据库管理系统以及各种应用系统产生的海量日志信息,实现日志信息的范式化、关联分析和基于日志的审计功能,以帮助管理员有效排错,便于事件追查和责任认定。


2、精确的管理授权。首先实现基于对自然人身份以及资源、资源账号的集中管理,建立“自然人—资源—资源账号”对应关系,实现自然人对资源的统一授权。其次,对运维人员根据其职责进行权限的分配和管理,运维人员只能在权限范围内,进行资源的访问以及日常的运维工作,不能访问未经授权的资源。然后可根据用户、用户组、访问主机、目标系统账号、访问方式等设置细粒度访问策略,根据访问授权列表自动展示授权范围内的主机和可访问的资源,实现运维用户与后台资源帐号相对应,限制帐号的越权使用。


3、网络与数据库管理系统操作审计。需要针对有线数字电视前端系统环境下的基于网络的操作行为进行细粒度审计的管理,通过对运维人员访问网络系统和数据库管理系统的操作行为进行解析、分析、记录、汇报,以加强内、外部运维人员对网络和数据库管理系统操作行为细颗粒度的监管。系统可针对网络运维协议进行解析,以达到对网络设备和数据库管理系统操作访问的全面审计,常用的运维协议包括通过字符协议Telnet、Rlogin、SSH的远程登录,通过图形协议RDP、VNC、X11的操作以及PL SQL、SQL Plus等数据库操作协议。


2.2.2安全解决方案


有线数字电视前端系统一般包括CA条件接收系统、EPG电子节目指南、SMS用户管理系统、数据广播系统和VOD/NVOD等。各业务应用在网络结构上相对独立,为了保证现有的安全区域不发生根本变化,使得各区域之间的安全策略改变最小,日志采集器连接在各业务系统的汇聚交换机上,基于以下考虑因素:


1、日志采集器可非常方便地通过汇聚交换机到达有线数字电视前端各业务系统的设备,日志采集器与设备之间经过的防火墙或ACL策略最少,对内部防火墙的策略改动最少,从而保证对现有系统的影响降至最低。日志采集器连接到有线数字电视前端各业务系统汇聚的交换机上,在网络路由层面上日志采集器与各资源的的通讯路径最短,在采集各设备上的日志时,可减少网络上的非业务流量的传输,起到优化网络传输内容的作用。


2、日志采集器与安全审计中心服务器之间通讯的业务流向非常清晰,运维区的安全管理员可以清晰地设计日志采集器与审计中心之间的网络访问策略。


如下图所示,基于有线数字电视前端系统的网络结构和业务区域的划分情况,采用安全审计中心和日志采集器分离的部署模式。前端各个业务应用本地分别部署一台日志采集器,负责采集其所在区域业务应用设备的日志数据,同时采集运维操作行为日志,数据传送到安全审计中心服务器进行集中存储和关联分析,实现日志全生命周期管理和基于日志的安全审计功能。安全审计中心作为综合审计平台的前端用户交互界面和管控中心,实现运维审计、帐号管理、权限管理和身份认证等核心功能。

 


方案部署示意图如下所示:

 


2.2.3方案主要价值


在有线数字电视前端系统中部署综合审计平台,利用运维堡垒机这一重要组件很好的解决了运维管理账号分散、认证强度不一,授权管理混乱等诸多安全审计与管理问题,实现了运维安全审计和控制的目的。


同时,有效的解决了日志全生命周期的管理问题,实现系统日志、网络日志、安全日志、操作行为日志的收集、归并、存储、关联分析,便于完成基于日志的安全审计、排错与辅助责任认定工作。


2.3智慧广电网络4A解决方案


“宽带中国”战略的部署对于广电行业网络视听领域带来全新的发展机遇,综合利用有线、无线技术推动电信网、广播电视网和互联网融合发展,加快构建宽带、融合、安全、泛在的下一代国家信息基础设施成为智慧广电战略的必由之路。

 

“智慧广电的本质是新兴信息技术与广电产业有优势的高度融合,广电产业不但是信息的生产者、传播者,更应该是新生活方式的发起者、组织者和提供者。”


近年来有线网络公司用户的业务系统发展十分迅速,内部的系统数和用户数不断增加,网络规模迅速扩大,应用扩展和融合发展迅速,同时作为广电运营商、关键信息基础设施的网络运营者对网络安全的要求也与日俱增,其中账号管理混乱、身份认证分散不统一权限分配随意、审计信息不全缺乏关联是急需解决的重要安全问题之一。


2.3.1面临的挑战及安全需求


广电网络公司在信息化系统中存在着账号、认证、授权、审计等方面的各种问题,所面临的网络安全挑战和安全需求是帐号管理系统、统一认证系统、集中授权系统和综合审计系统。面临的具体安全挑战包括下面几个方面:


1)帐号繁多,管理困难,管理成本较高,难以实现帐号权限的有效监督和审核,难以维护有效的用户帐号列表,对于离职或者工作岗位变更的用户,很难干净彻底的删除或者禁止相应帐号,容易产生无主帐号或者容易发生安全问题,用户自主设定、修改密码,密码强度难以保证、定期修改的规定难以执行。


2)随着业务系统的增多,使用户经常要在各个系统之间切换,每次从一个系统切换到另一支撑系统时,都需要输入用户名和口令进行登录,给用户的工作带来不便,影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的,危害到系统的安全性。


3)各系统管理员分别管理所属的系统资源,为本系统的用户分配权限,由此导致许多安全隐患,比如:缺乏集中统一的资源授权管理平台,无法严格按照最小权限原则分配权限。


4)由于各支撑系统独立运行、维护和管理,所以各系统的审计也是相互独立的,不但各个系统单独审计,即使同一系统中的每个网络设备,每个主机系统,每个业务系统及每个数据库系统都要分别进行审计,缺乏集中统一的系统访问审计。


2.3.2安全解决方案


在帐号管理方面,需要实现对自然人身份,以及系统帐号和应用帐号的统一集中管理,包括按照密码策略自动更改密码,账号同步等。


在认证管理方面,需要实现对不同业务系统操作者身份认证的统一集中管理,并且采用SSO方式实现自然人访问资源的透明登录。

 

在集中授权方面,需要实现自然人对资源的统一授权,建立“自然人帐号——资源——资源帐号”的对应关系,实现不同用户对系统不同资源的访问。


在综合审计方面,需要完成对授权人员的业务操作行为进行记录、分析、展现,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强内部业务操作行为监管、避免核心资产(数据库、服务器、网络设备等)损失、保障业务系统的正常运营。


如下图所示,将账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit),4个A在内的所有功能模块集成在一起,以一个统一的风格呈现给最终用户和系统管理员。

 

 

 

管理平台Portal层作为平台使用的统一入口,为普通操作人员和管理人员提供一个基于Web方式的登录界面。


4A平台管理系统的账号管理用于集中维护包括自然人账号(主帐号)和资源账号(从帐号)在内的全部帐号以及相关的账号属性。


4A平台管理系统将管辖的资源进行了逻辑上的集中授权管理。在资源中拥有各自独立的权限管理功能,对所管理对象和主帐号进行授权,实现了实体级的授权。对所管理对象上的从帐号可以使用角色进行授权,而不需要进入每一个被管理对象才能授权,完成实体内授权。


4A平台管理系统提供对审计事件、告警事件、帐号管理事件和认证授权事件进行实时采集、监控、告警和查询功能,以便用户实时监控各业务系统的情况,并根据预警做出相应处理。


4A平台管理系统通过防绕行组件可以针对有线网络公司用户跳开4A管理平台直接登录业务资源或者登录系统资源的行为进行记录、告警和阻断。主要方法是通过绕行阻断和重定向方式来实现,保证所有的用户都必须通过4A管理平台来登录所有资源,实现4A的账号、认证、授权、审计管理。


4A平台管理系统向有线网络公司的外部系统提供账号管理接口、认证接口、审计接口、授权接口、外部管理接口等,可以灵活的与第三方系统相结合。


2.3.3方案主要价值


对用户整个系统的帐号进行集中管理、统一身份认证、集中授权和综合审计等功能,可以为有线网络公司用户带来较大价值,其中包括:


1) 从账号开通、职务变更带来的账号权限变更、定期改密、发现空白账号到账号删除吊销证书,实现账号生命周期管理,可以减少账号漏洞带来的风险。


2) 加强对业务系统核心信息资产的访问控制与审计,减少破坏和信息泄漏分先,降低损失。


3) 采用基于角色的访问控制与审计机制,不仅能够有效控制运维操作风险,还能够有效区分不同维护人员的身份,同时能够完整回放事故当时操作场景,定位事故真正责任人,便于事后追查原因与界定责任。


4) 实现独立审计与三权分立,利于完善有线网络公司IT内控机制。