基于网络安全等级保护2.0标准的播出信息系统设计

随着网络安全法的出台，等级保护工作成为了国家网络安全的基础性工作。中央广播电视总台播出系统作为国家级电视台的播出系统，自广电系统开始推行等级保护开始就被定为了四级系统。2011年，新建的高清播出系统就完全按照等保要求进行建设，并通过了之后历年的测评，2020年，随着4K播出系统的建设，又迎来了新版的网络安全等级保护标准，即等保2.0标准。

本次系统建设正处于新老等保标准交替的阶段，我们积极与新标准的起草单位专家进行交流，寻找符合要求的安全产品进行选型测试，整体设计上遵循“一个中心、三重防护”理念，从安全计算环境、安全区域边界、安全通信网络以及安全管理中心四个方面构建安全建设方案，并顺利通过了系统上线前的等保测评，对照标准要求，共对228个安全通用要求指标和49个安全扩展要求指标进行了测评。

本文将对等保标准的发展变化、信息系统设计中的关键环节及测评情况进行详细介绍，可对有类似需求的广电系统设计提供参考。

一、网络安全等级保护标准体系的发展

1. 等级保护1.0标准

等级保护1.0指的是在《GB17859—1999计算机信息系统安全保护等级划分准则》以及随后多项政策文件引导下，并最终在2008年发布的《GB/T 22239—2008信息系统安全等级保护基本要求》《GB/T 22240—2008信息系统安全等级保护定级指南》等一系列信息安全等级保护标准，我们将2008版本的一系列标准及其配套政策文件习惯称为等保1.0。该标准发布距今已经有10多年的时间，等保1.0普及了等保概念，强化了安全意识，从单个系统到部门、到行业，再上升到国家层面从合规到攻防对抗，整体提升了网络安全保障能力技术并且不断进行人才的积累，这些都对等保2.0提供了有力的支撑。

2. 等级保护2.0标准

在经历多年的试点、推广、行业标准制定、落实工作后，由于新技术、新应用、新业务形态的大量出现，尤其是大数据、物联网、云计算等的大量应用，同时安全趋势和形势的变化，等保1.0要求已无法有效应对新的安全风险和新技术应用所带来的新威胁，等保1.0被动防御为主的防御无法满足当前发展要求，因此急需建立一套主动防御体系。

从2015年开始，等级保护的安全要求逐步开始制定2.0标准，在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

新版的网络安全等级保护标准体系包括《GB/T 22239—2019信息系统安全等级保护基本要求》《GB/T 25070—2019 信息系统等级保护安全设计要求》《GB/T 28448—2019信息系统安全等级保护测评要求》，于2019年12月1日起正式实施。

3. 新标准的变化

新标准的变化主要体现在以下几个方面：

（1）标准依据的变化

从条例法规提升到法律层面，等保1.0的最高国家政策是国务院147号令，而等保2.0标准的最高国家政策是网络安全法。2017年6月1号，《中华人民共和国网络安全法》出台，从法律角度明确要求信息系统要遵照等级保护标准来建设，等级保护工作成为了国家网络安全的基础性工作，是网络安全法要求我们履行的一项安全责任，不开展等级保护等于违法。

（2）标准要求变化

等级2.0在1.0的基础上进行了优化，同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求，构成了“安全通用要求+新型应用安全扩展要求”的要求内容。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。且针对新的安全形势提出了新的安全要求，标准覆盖度更加全面，安全防护能力有很大提升。

通用要求方面，等保2.0标准的核心是优化，删除了过时的测评项，对测评项进行合理改写，新增对新型网络攻击行为防护和个人信息保护等新要求，调整了标准结构、将安全管理中心从管理层面提升至技术层面。扩展要求扩展了云计算、物联网、移动互联网、工业控制、大数据。新版基本要求的文档框架如图1所示。

（3）安全体系变化

等保2.0相关标准采用“一个中心、三重防护”的理念，从等保1.0被动防御的安全体系向事前防御、事中响应、事后审计的动态保障体系转变。建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

1.0的分类是层次分类：物理安全、网络安全、主机安全、应用安全、数据安全。2.0强调纵深防御：从外到内包括通讯网络、区域边界、内部计算环境、通讯边界计算环境保护，形成纵深防御体系。

新标准体系中的“基本要求、设计要求和测评要求”分类框架统一，形成了“安全通信网络”“安全区域边界”“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。此外，新标准强化了可信计算技术使用的要求，把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。

（4）测评合格要求提高

相较于等保1.0，等保2.0测评的标准发生了变化，2.0的测评结论分为：优（90分及以上）、良（80分及以上）、中（70分及以上）、差（低于70分），70分以上才算基本符合要求，基本分调高了，测评要求更加严格。

另外需要注意的是，测评中对于技术五项要求和管理五项要求，每项要求均占10分，因此系统建设过程中除进一步加强网络安全技术防护外，网络安全管理也是一项非常重要的内容，应按要求设置网络安全机构，制订各项规章制度、应急方案，并定时进行演练。

二、系统设计要点

1. 网络架构

无论是播出4K频道还是高标清频道，都是基于成熟的全文件化播出流程，对于播出网络架构的建设来说没有特别的差异性，只是带宽有所差别，因此，此次4K播出系统建设中从整体架构上就充分考虑了未来的扩展性，播出域内网络统一规划，统一架构，兼顾本次4K播出系统及未来新建高清播出系统的扩展需求。根据网络制播系统信息安全体系建设思路，对播出系统按照通信网络、区域边界、计算环境和管理中心进行安全域的划分，多种防护措施并举，构建纵深防御体系，建立可信的安全机制。

（1）播出系统通信网络

播出系统中网络设备处理能力及网络链路带宽均具备冗余空间，能够满足业务高峰期的需求，播出系统与全台网之间采用MPLS-VPN技术并通过协议层安全加密密钥实现双方认证可信，形成安全数据传输通道。播出系统内部网络通过划分VLAN和设置ACL访问控制列表来进行访问控制。

网络设备、安全设备均采用双节点冗余部署，重要的服务器等计算设备采用分布式、热备、冷备等方式保证系统可用性。

（2）播出系统区域边界

播出边界防火墙及播控区防火墙均基于业务需求启用了端口级和会话状态级别的访问控制策略，部署网闸用于对信息数据进行协议转换，部署防病毒网关进行恶意代码检测，部署入侵检测设备用于对边界流量进行入侵行为检测。部署了安全态势感知分析引擎，对信息区边界的异常流量进行APT流量分析。

将交换机无用端口划分到专用隔离VLAN中，并关闭该VLAN内的物理端口防范非法接入，部署终端管理设备用于管控非法外联行为。

（3）播出系统计算环境

播出系统计算环境是指播出系统内部进行业务数据处理的计算节点，根据业务功能差异划分为四个安全域，包括播出整备域、资源服务域、视频播出域、播出控制域，其中资源服务域又分为接口域与资源域。

播出整备域、资源服务域所采用技术手段包括：服务器部署基于可信计算技术的操作系统加固技术手段，实现操作系统运维人员的身份可信验证，执行程序的可信验证，业务流程关键控制点的权限控制，建立了可信的计算环境。

播出控制域所采用技术手段包括：部署终端安全管理软件和传统杀毒软件，防止病毒从播控终端USB接口等常用外设入侵操作系统，破坏播出控制安全。部署应用身份认证网关实现编单、审批等相关业务人员的身份可信验证。

（4）播出系统安全管理中心

通过安全管理中心对播出系统通信网络、区域边界、计算环境进行安全策略的管理和审计信息的搜集。

根据安全管理中心的策略思想在播出系统单独规划出安全管理域：部署运维审计，实现安全运维人员操作行为的审计；部署数据库审计系统，实现数据库操作的安全审计；部署安全管理平台，对接第三方设备日志数据接入以及对被监管系统进行日志范化与采集，对系统内安全事件进行关联分析、动态展现，提供了全面的检测和预警的能力。

通过上述技术手段部署，播出系统构建了“可信、可控、可管”的“内外兼防”的综合防御体系。

2. 身份鉴别设计

现代信息机房中存在大量的服务器和网络、安全设备，对于这些设备的保护至关重要，如果非法用户获得管理员的账号到网络设备上作了非法修改有可能导致整个系统的瘫痪，内部员工非常容易拿到用户信息数据，所以有必要对进入设备进行配置的人员进行认证。

本次将播出系统内所有Windows服务器、Linux服务器、网络设备、安全设备，均纳入了双因素认证系统的管理范围，通过动态认证系统在现有业务系统帐号+密码基础上增加动态口令认证，提升认证安全，减少密码管理开销，满足多业务系统、多账号源管理及复杂网络部署环境。

认证流程如下：

◆用户输入用户名、密码 + 动态密码进行设备登录；

◆设备通过RASIUS协议转发域账号信息至CKEY动态系统身份认证系统进行认证；

◆CKEY动态认证系统通过RADIUS或者LDAP协议转发域账号信息至认证服务器进行域账号查询；

◆域账号返回认证结果给CKEY动态身份认证系统；

◆认证成功后登入设备。

3. 可信计算环境

可信计算理论认为，计算节点安全问题是由设计缺陷引起的，传统的计算机体系结构只强调了计算功能，而没有考虑安全防护，这相当于一个人没有免疫系统，只能生活在无菌的状态下。当前大部分网络安全系统主要由防火墙、入侵检测和病毒防范等组成，事实证明消极被动的“封堵查杀”是防不胜防的。可信计算就是要为计算机建立起免疫系统。可信计算就是一种运算和防护并存的新计算模式，具有身份识别、状态度量、访问控制等功能，能及时识别“自己”和“非己”成份，从而破坏和排斥进入机体的有害物质。

本次系统设计中引入了基于可信计算技术的主动防御软件，该软件通过和操作系统高度融合，能够完成对操作系统核心行为的度量，保证操作系统内核自身运行状态的可信性。为现有系统构建自主防御体系，打造可信应用环境，抵御未知病毒、木马、恶意代码的攻击，在系统中的具体策略应用包括：

（1）可信度量

对操作系统全盘进行度量，采用主动免疫系统防御机制，提供执行程序可信度量，阻止非授权及不符合预期的执行程序运行，实现对已知/未知恶意代码的主动防御，降低操作系统完整性及可用性被破坏的风险。

实际使用中，当打开未经管理中心授权的文件时，会弹出无权限访问的提示，并在管理中心进行记录。

（2）安全标记与强制访问控制

使用安全标记赋予主体（用户、应用）、客体（业务配置文件、业务数据目录、业务日志目录）相应保密级别。采用RBAC/BIBA/BLP等安全模式，实现系统级操作行为的强制访问控制，根据相应保密级别来实现多个主体与多个客体之间的权限控制。

只允许业务应用对业务数据目录、业务配置文件、业务日志进行更改，其他用户或应用只有只读权限。

（3）自主访问控制

从系统层面进行防护，对平时不用但风险系数较高的powershell、net.exe进行了限制，禁止任何程序和任何用户使用powershell和net.exe。

从业务层面来说，对中间件业务经常出现的利用java反序列化漏洞提权调用系统命令进行保护，在不影响业务正常运行的情况下禁止了java调用系统命令，最小化java进程权限，实现安全防护效果。

（4）关键文件完整性保护

对系统重要配置文件/etc/passwd、/etc/shadow、业务配置文件进行了完整性保护，当校验文件发生改变导致完整性不一样时，可以进行恢复。

4. 安全管理制度建设

系统中建立了包括基础设施、应用、安全等各个层次的运维保障、监控和应急响应体系，建立全面的机房管理制度，制定运行管理制度和维护管理制度，明确系统维护的相关要求，内容涵盖安全策略、账户管理、配置管理、日志管理、升级与补丁、口令更换周期、数据备份、事件上报等各方面内容。制定《网络安全事件应急预案》，内容涵盖应急处置流程、系统恢复流程等内容。系统运维方面配备系统管理员、审计管理员和安全管理员等管理岗位。

三、下一步工作

◆安全攻防技术的不断发展，决定了网络安全防护体系的建设不可能一蹴而就，需要在系统实际运行过程中，通过定期进行安全自查、渗透测试、漏洞扫描等专项检查、安全风险评估等方式，检验已有的信息安全体系的有效性，发现存在的安全隐患和问题，重点对主机安全、应用软件安全进行完善，针对播出系统特点，构建一套网络安全态势感知管理平台；

◆随着广电行业超高清技术的发展，视音频信号IP 化趋势不可避免，对于信号网的网络安全设计、不同业务系统信号网的边界交互，信号网与业务网的边界交互，都是新的研究方向。信号IP化后对整体网络安全设计提出了更大的挑战，应该综合业务需求、播出形态、产品成熟度等各方面因素进行整体设计，进一步优化网络架构；

◆在保障系统“可信、可控、可管”的思路上不断发展。第一，在网络安全设备国产化的基础上，对具备条件的设备，如网络设备、服务器等，逐步开展国产化替代工作，消除不可知的安全漏洞和“后门”，保障系统进一步可信；第二，保障业务安全的需求上，建立异地灾备机制，保障节目播出可控、可管。