浙江华数广电网络股份有限公司 浙江杭州 310000
摘要:目前在广电网络系统运行过程中,经常会出现网络安全问题,无法确保信息的安全性,对其长远发展存在不利影响。本文对现阶段广电网络的运作方式进行了分析和总结,并提出了一些切实可行的整改方案,旨在帮助该领域的工作人员能够切实意识到广电网络所面临的运作风险,并提出一些切实可行的安全管理策略,让广电网络能够在风清气正的网路环境中实现长足的发展。
关键词:广电网络;信息;安全体系
引言
随着信息技术的迅猛发展,尤其是 5G 技术、大数据、人工智能、云计算在广播电视行业的引入及应用,传统广播电视节目制作、传输、分发、覆盖等各个环节的网络设施已不再孤立,网络互通是必然选择。广播电视行业从原来的封闭单向广播系统,逐渐变成一个和外界沟通交互的融合系统,这也意味着网络安全形势比以前更为复杂、更为严峻。
一、广电网络现阶段面临的安全问题
1.缺乏完善管理体系
在实际工作中未能创建出较为完善的广电网络信息安全技术的应用体系与安全管理体系,尤其在安全评估方面,未能针对整体的信息安全进行评估分析,难以采用有效的评估措施开展安全管理工作,难以将安全技术的积极作用充分发挥出来。与此同时在具体的工作中未能结合广电网络信息的安全隐患、特点等构建出完善的管理体系,难以采用有效的安全技术措施进行信息的防护处理,不能及时发现安全隐患问题,难以采用科学合理的措施解决问题,这样不仅会导致信息安全技术难以符合实际情况,还会诱发很多严重的问题,对各方面工作的实施会造成不利影响,无法满足当前的安全管理需求。
2.缺乏技术创新能力
广电网络信息安全管理方面,缺乏安全技术的创新能力,还在沿用传统的信息安全防护措施,难以满足当前的安全技术应用要求。一方面,在具体的工作中尚未创建出完善的信息安全技术创新方案,难以有效开发出先进的安全技术,不能确保各方面的安全技术应用效果,对广电网络信息的安全性会造成不利影响。另一方面,广电网络信息安全技术的应用,缺乏良好的创新模式与机制,难以按照广电网络信息的安全隐患特征、实际状况等进行技术创新。与此同时,在使用信息安全技术的过程中,不能将主机、网络等信息安全作为基础,难以有效使用先进的安全信息技术,不能确保整体系统的安全性。
二、完善广电网络安全体系的措施
1.基础设施网络安全
近年来广电业务逐渐互联网化,面临的外部安全威胁越来越大,依据“等保2.0”要求,我们对现有网络进行设计重构,重点构建“网络安全等级保护管理中心”域,在原有网络边界安全防护基础上,新增部署终端安全管理、堡垒机、漏洞扫描、数据库审计、日志集中分析以及安全管理中心等系统,从边界防护、入侵检测、安全审计以及安全响应等方面全面提升安全审计能力、终端管控能力以及漏洞发现能力,确保系统网络架构的安全可控。
2.数据与应用安全
数据与应用是企业信息化的核心资产,依据“等保2.0”要求,我们从身份鉴别、访问控制、安全审计、软件容错、资源访问控制、数据完整、保密性、可用性、用户个人信息保护、应用编码安全这十个方面进行安全防护,完善在数据与应用方面的技术支撑和保障能力。通过部署堡垒机、防火墙、VPN、数据库加密、DLP 等系统进行安全加固,一方面加强系统的访问控制与安全审计能力,另一方面也加强了核心数据的保护,实现了“进不来,拿不走,看不懂,改不了,走不脱”的信息安全建设目标。
3.风险发现闭环处置
信息系统风险发现工作一直以来存在诸多困难,比如风险获悉范围不全、欠缺智能化分析手段、风险处置技术手段缺乏等,传统网络安全防护体系更多的依赖于边界安全设备的配置部署,通过访问控制来保护信息系统不受外部攻击,但随着网络安全态势感知系统的使用,我们可以对风险发现工作实现闭环处置,主要包含以下四方面:一是更新安全风险分类,通过自动化手段覆盖安全风险分类,满足风险获悉要求;二是使用云计算、大数据技术,智能分析安全风险的发生层面、影响范围和危害程度;三是通过赋能一线处置人员工具手段,降低安全事件处置门槛、知识门槛、操作门槛,实现安全风险快速事中处置;四是凭借信息化优势,进行风险自动化检查,并记录总结,形成风险闭环经验知识库。我们通过威胁情报、人工智能、机器学习等技术帮助实现上述处置过程,从而建立起动态为主的网络安全防御体系。
4.严控网络接入
在办公网络的出口区部署高性能准入控制网关,对公司本部网络、分公司网络、无线网络接入的设备进行合规性检查,并配置业务访问最小授权,记录业务访问行为,以便事后追溯。准入控制设备串联在核心交换机和出口路由器之间,所有流量都通过准入控制上网行为管理模块进行处理,通过基于网站类别、应用类型、文件类型、用户 / 用户组、时间段等的带宽分配策略限制 P2P、在线视频、大文件下载等应用所占用的带宽,保障 OA、BOSS 等应用的访问效率。利用准入控制网关内置的危险插件和恶意脚本库过滤挂马网站的访问,封堵危害国家安全、破坏社会稳定、传播反动言论的互联网访问行为,从源头上切断病毒、木马的潜入,结合网络准入与终端合规性检查、ARP 欺骗防护、DoS防御、补丁修复等多种安全技术手段,实现立体式安全防护。同时,准入控制网关提供丰富的可视化界面,出口流量曲线、设备接入数量、用户流量排行、异常网络流量等信息一目了然,可快速把握整个网络的运行状况。详细记录每个员工的网络行为, 借助图形化数据直观地显示员工的网络使用情况,方便后续分析和追溯。准入控制网关具备全面的日志记录功能,满足《网络安全法和网络安全等级保护2.0》与《网络安全法》的要求。
5.数据中心端点安全保证
在数据业务区的每台服务器和虚拟化服务器集群中的每台虚拟机上安装 EDR 客户端,针对终端端点维度提供设备盘点、恶意代码防护、安全基线核查、端点保护、持续性攻击检测等安全服务,打通物理服务器、VMware 集群和 Fusion Cub 集群,进行统一的主机/虚拟机逻辑安全域划分,同时实现内网流量可视、可控,满足《网络安全法和网络安全等级保护 2.0》云计算扩展项要求。EDR通过对微端点进行持续检测,发现异常行为并进行实时干预,同时通过应用程序对操作系统调用等异常行为进行分析和检测,防护未知威胁,结合机器学习和人工智能辅助判断,实现全网风险可视,针对主机参照等级保护标准进行安全基线核查,快速发现不合规项。部署于每台 VM 上的端点 Agent,能够对不同虚拟化系统中不同 VM、不同业务系统之间的访问关系、访问路径、横向威胁进行响应与检测,EDR 与虚拟化底层平台解耦合,解决多虚拟化环境下的兼容性问题,构建动态安全边界。基于端点发现,实现威胁检测、监控和报告功能,定期收集跟踪活动、软件配置、安全状态等数据,同时可以帮助减少整体攻击面(在情报和技术允许的范围内),限制攻击的影响,并使用威胁情报和观察来预测攻击可能发生的时间和方式,从多维度全面发现各类终端威胁。
结束语
综上所述,在信息化技术不断完善的当今社会,广电网络领域相关工作人员需要紧跟时代的发展趋势,及时进行工作理念的革新,让广电网络在积极发展的同时可以得到安全性的保证。
参考文献
[1]唐彭卉.广电网络信息安全存在的问题与对策探究[J].网络安全技术与应用,2019,45(10):110-111.
[2]姚国洪.广电系统中的信息安全技术分析研究[J].数字技术与应用,2017,33(3):230-256.
[3] 张帆 . 广电网络用户侧网络安全风险分析及建设思路[J].有线电视技术,2019(5):77-80