一、北京广播电视监测项目概况
北京市广播电视监测中心系统主要职责是对全市的广播电视播出、互联网视音节目、安全播出进行有效的监测与指挥调度。该系统包括广播电视监测网络(含区县广播电视监测网络)、可视安全播出指挥调度系统和互联网视音频监管三个独立部分,监测中心通过网络收集广播电视监测监控信息,进行安全播出指挥调度,同时通过租用的专线接入互联网实施对互联网视音节目的监管。目前,北京市广播电视监测中心系统网络平台的三个区域,作为其业务核心平台,具有不可替代的地位并发挥着重要的作用。
针对北京市广播电视监测中心系统的安全需求,冠群金辰公司利用自身的行业经验和技术实力,提出了网络安全纵深防御体系,以KILL防毒墙(KSG-V)、KILL网络防病毒系统、KILL终端安全管理系统(KSMS)、KILL漏洞扫描系统、KILL防火墙系统和KILL网络入侵检测系统等一整套安全产品建立起多层次的、立体安全防护系统。
二、项目安全需求
冠群金辰公司通过对广播电视监测中心系统三个网络区域的网络结构和业务应用的分析认为,其主要的安全威胁来源于网络内部,主要表现为:
病毒、恶意代码通过U盘、操作系统漏洞等途径侵入网络并进行传播;
由于蠕虫、恶意代码的感染导致系统和网络遭到破坏;
口令管理不当造成来自内部用户对服务器的入侵和破坏;
操作系统的缺陷和漏洞为入侵创造了条件;
内部用户的网络资源滥用和非法网络行为;
各种人员、机构出于各种目的的入侵攻击行为等。
三、项目安全解决方案与特性
为了保证北京市广播电视监测中心系统安全体系建设具有完整、合理的特性,实现整体、纵深、关联防御的安全保障,冠群金辰公司提出“网络安全纵深防御体系”,包括安全预警、安全监控、安全防护和安全管理四个系统,实现防范现阶段各种复杂的网络攻击、病毒、蠕虫以及各种混合型威胁,避免北京市广播电视监测中心系统面被外界的窥探和入侵,并及时发现各种安全威胁和对安全事件进行响应与处理。冠群金辰为北京市广播电视监测中心系统网络安全做出如下规划:
1、通过KILL漏洞扫描系统建立的网络安全预警系统可以对系统进行安全漏洞扫描和分析,从而及早主动的发现潜在的安全隐患,及时修补安全漏洞,实现网络安全的主动性防御的要求。
2、将KILL防火墙部署在网络边界或局域网内,加强网络间的访问控制,保护内部网络资源,通过KILL防火墙限定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的服务等。
3、针对新型蠕虫病毒和新的病毒传播途径,在网络边界部署KILL防毒墙(KSG-V)直接阻断蠕虫攻击,有效地切断病毒传播的途径,使有害数据无法通过邮件、Internet访问和文件传输等方式进入内网系统。KILL防毒墙和KILL网络防病毒系统一起形成从网关到桌面的立体防病毒体系,对病毒、蠕虫和各种混合型威胁进行主动防御。KILL防火墙、KILL防毒墙和KILL网络防病毒系统相互协作,形成了由点到面的安全防护系统,解决了用户非授权访问和网管员最头痛的病毒查杀的问题,可以有效地保障广播电视监测中心系统网络的安全运行。
4、通过KILL网络入侵检测系统监控目标网络系统,及时识别并阻止异常的网络访问和非法入侵,并提供报警机制和在线监控能力,使网络管理员可随时获得网络的安全状况信息,形成有效的网络监控系统。
5、在网络的每个终端节点部署KILL终端安全管理系统(KSMS),在网络安全管理中较薄弱的环节上搭建统一管理系统,由管理员统一设置安全策略,对终端设备、桌面应用程序、系统补丁,甚至资产管理进行统一管理,实现全面保护。
冠群金辰公司提出的“网络安全纵深防御体系”从北京广播电视监测中心的安全需求出发,将网络边界、网络传输和终端安全防护结合在一起,建立起多层次、多节点的立体防御体系。
四、用户评价
北京市广播电视监测中心认为:冠群金辰公司提出的“网络安全纵深防御体系”可以满足北京市广播电视监测中心网络建设初期的安全需求,有效地解决现阶段可能面临的安全问题,是一套行之有效的安全方案。未来KILL终端安全管理系统与KILL防毒墙、KILL防毒墙与KILL防病毒系统的联动机制,可以在网络中建立更快的、更主动的安全防护体系,该方案的可扩展性满足了广播电视监测中心网络发展的需要,有助于提升整体网络安全防护力度。
北京广播电视监测中心系统数据采集量大、时效性要求高,如果一味追求高安全性而降低网络和应用系统的效率。因此,冠群金辰公司项目实施团队在整个项目实施过程中,始终保持与用户的及时沟通,从用户的业务和应用出发,以专业的角度为用户制定安全策略,即保证了用户的安全需求,又兼顾了用户信息系统高效应用的要求。