广播电视设备安全管控平台的设计与实现
安防综合应用管控平台
安防综合应用管控平台目录1平台概述 (3)2平台架构 (4)2.1平台架构图 (4)2.2平台特点 (4)3平台功能 (7)3.1日常管控 (7)3.2事务时间轴 (8)3.3安全指标检测 (8)3.4值班室 (8)3.5报警处警 (10)3.6电视墙管理 (10)3.7业务信息管理 (10)3.8一键通 (11)3.9紧急逃生 (11)3.10统计分析 (11)3.11智能安防数据接口模块 (11)1平台概述安防综合应用管控平台是负责安防设备资源的统一调度,控制门禁、监控、灯光、广播等安防子系统,负责沟通、对接XX一级指挥中心平台、业务综合管理平台、等业务应用子系统。
管控系统根据XX管理制度的要求,统一指挥、高度集成各类软、硬件设施,为XX的日常、应急管理提供强有力的信息化管理手段和保障措施。
安防综合应用管控平台以XX智能化的安防综合管理为核心设计理念,覆盖安防综合管理中的监控、门禁、灯光、电视、巡更、报警按钮、周界报警、智能图像分析报警、对讲监听、应急广播等安防子系统,提供智能化的动态平面图、事务时间轴、安全指标检测、设备控制中心、统计分析、防暴锁定和紧急逃生等功能,达到智能化安防综合管理的目的。
平台采用集中式管理、分布式应用的B/S架构,在技术架构上,基于SOA设计理念,采用三层体系架构,由基础平台层、应用服务层、展现层构成。
安防综合应用管控平台以“用户体验”为核心,从易用、实用、管用出发,结合安防管理最新需求研发的新一代安防集成管理软件。
它致力于安防应用软件的人性化、实用化和智能化,通过手指轻轻的一滑,所需的信息就会立刻的展现在眼前,更全面的数据集成和更高效的数据联动,将打破传统安防软件仅局限于图像监控的尴尬,让您轻松实现“基于视频-面向行业-整合数据”,做到方案设计和业务部署的与众不同;同时管控平台以物联网技术为基础,实现设备集中统一管控;引入多点触控技术,实现系统多点触摸、手势操作;通过智能化管理,实现日常事务规范自动化;并与综合业务管理平台无缝连接,实现业务数据信息化管理。
多域分级管理的网络视频监控指挥平台的设计与实现
信息互通 , 从 而将 异构网络之 间、 不同单位之 间的资源共享, 协 同指挥部署, 达到充分利用信息资源、 避免重复建设、 提 高监控指
挥 效率 的 目的。 本 文 从 系统 构 架 、 系统 软件 平 台、系统 功 能 三 个方 面详 细介 绍 了 这一 多域 分级 管理 的 网络 视 频 监控 指 挥 平 台。
需 要 MCU来 实现 多方 视 音 频 交 互 的功 能 ,同时 还 可根
系统 ,通过 对域 进行 域 名配 置 、服 务地 址指 向和分 级管
理 ,不但 能够 实 现多 域互 通 、分 级监 控跨 域 指挥 ,而且
还 能 保证 网 间视频 流 畅 、音质 清 晰 、数据 实 时保存 等 高
3 5
圈
S
另 一方 面 ,在 现 实应 用 中 ,各 监 控指 挥 系统 所在 网 络 环境 千差 万别 ,监控 设备 来 自不 同 的厂 商 ,五花 八 门
互 不兼 容 ;采 用不 同 的实现 技 术和 标准 ,导致 系统 问 无
法互 联互 通 ;而 图像 存储 分 散 ,存储 格 式小 统 一 ,使得
端所采集的视音频及数据信息流接人并分发给监控指挥
终端 ,并且 可将 第 = 三 方 监控 前 端设 备 ,比如 目前市 场上 比较 常用 的D V R 或 网络摄 像 机等设 备通过 智能 网关 服务
器接人 ,再 进行二 次 分发丁 作 。 4 )智 能 网关 服务 器 ( MGS) : 具 有 将第 三方 监 控 前
r e l a t i o n s h i p o r h a s c l o s e d p h y s i c a l l i n k . T h e s y s t e m r e a c h e d t o t h e i n t er c o mm u n i c a t i o n wi t h t h e mu t u al t r u s t ma n a g e me n t
上海广播电视台互联网电视集成平台技术方案
上海广播电视台互联网电视业务集成平台技术方案上海广播电视台年6月目录一、系统概述与建设目标 (3)二、互联网电视技术平台介绍 (4)(1)内容生产系统....................... 错误!未定义书签。
(2)集成播控系统....................... 错误!未定义书签。
(3)运营支撑系统....................... 错误!未定义书签。
(4)终端客户端系统..................... 错误!未定义书签。
三、系统网络部署........................ 错误!未定义书签。
(1)核心平台网络部署................... 错误!未定义书签。
四、电视机客户端中间件.................. 错误!未定义书签。
五、内容监控和远程控制.................. 错误!未定义书签。
六、上海广播电视台互联网电视平台一期设计能力 (7)一、系统概述与建设目标为了确保互联网电视业务可以进行有效的管控,达到总局批示提出的可管,可控,可信等要求,根据总局批示自行投资建设互联网电视集成和内容服务平台,从技术系统上确保互联网电视平台的内容存储、集成、分发、观看等环节的安全可靠。
1、互联网电视技术系统概述我台建设的互联网电视技术系统包括可以分成内容服务平台和集成播控两大平台,其中内容服务平台完成内容的生产,审核,发布等内容运营功能;集成播控平台具备内容集成管理,集成播控平台,运营支撑平台,服务平台,以及电视机终端中间件等五大系统。
整个本平台业务运营特点是,我台建设的内容生产制作集成由我台人员具体负责,所有环节采取封闭管理,在上海广播电视台大楼内建设的中心平台统一生产,审核,统一监控。
同时集成平台管理系统进行集中部署,可以灵活方便对接多家执照的内容服务平台。
同时集成平台具备统一完善的终端用户管理,计费等运营支撑体系,可以为集成的内容服务平台进行统一支持。
基于GIS的广播电视网络资源管理系统的实现
所 以可 以在企业的不同部门之间实现信 息的共享 , 做出快速、 有效的业务决策, 从 而 提 高 企 业 的整 体 发 展 。
3应 用情 况
利用 G I S强大的网络分析,拓扑分析功能和准确 的信 息 系统 ,比较直观地为规划设计人员提供 详尽 的网络分布状况
基础 , 通过 分层 方式可视 化地 显示网络资源, 并可 以对其数据 进 行 有 效 的 管 理 及 研 究各 种 资 源 实 体 之 间 的相 互 关 系 等 , 因
此 是 电视 运 营 商 实 现 网络 资源 管 理 、 规划 、 调度和决策 , 从 而
合管理程序 。 由于 A r c E n g i n e 各个组件之 间可 以进行 自由、 灵
2 0 1 3 年第 1 0 期
( 总第 1 3 2期)
信 息 通 信
I NF ORM AT I ON & COM M UNI CAT 1 0NS
2 01 3
( S u m .N o 1 3 2 )
基于 G I S的广播 电视 网络 资源 管理系统 的实现
李艳君 , 王海素 , 刘建文 , 王
对 电视 网 络 资 源 空 间 数 据 进 行 存 储 和 管 理 ,实 现 属 性 数 据 和 空间数据的一体化存储 , 保 证 了数 据 的 安全 性 、 完 整 性 和 稳 定 性, 该 模 式 具 有 易扩 展 、 小巧灵活等特点 。
设备 的智能定位 , 并利用 G I S缓冲区分析工具分析故障设备所
( B / S ) 混合模 式, 以C / S 模 式实现对 网络 资源 数据 预处理, 数据 维护 , 数据查询 , 数据统计分析等功能 ; 以r B / S模式实现 多用
《广播电视安全播出管理规定》网络广播电视台实施细则(暂行)
《广播电视安全播出管理规定》网络广播电视台实施细则(暂行)第一章总则第一条为指导和规范网络广播电视台安全播出管理和信息安全管理工作,根据《广播电视安全播出管理规定》、《广播电视相关信息系统安全等级保护基本要求》、《关于开办网络广播电视台有关问题的通知》、《关于促进主流媒体发展网络广播电视台的意见》,制订本实施细则。
第二条本实施细则适用于网络广播电视台的技术系统配置及运行、维护、技术管理工作。
本细则中的网络广播电视台是指以宽带互联网、移动通信网络为节目传播载体的电台、电视台。
第三条网络广播电视台主要由信源采集、内容生产、内容发布、增值服务、传输分发网络、业务运营管理、安全管理、监控辅助等子系统构成。
第二章系统配置要求第一节总体网络架构第四条网络广播电视台内部网络应根据应用系统、业务流程、数据流向和播出安全相关度进行网络结构设计,网络结构应有清晰的层次,以便于进行网络逻辑隔离、访问控制、结构调整和应急处理,不同网络边界之间应设置网络访问控制。
第五条核心网络的业务处理能力和网络带宽应具备冗余空间;应为网络设备、通信线路和重要的应用服务器、数据库服务器配置冗余,避免关键点存在单点故障,要定期对冗余配置进行验证测试。
第六条内部网络应根据业务类型、功能、重要性、工作职责、信息等级、服务流程、终端用户和物理位置等因素划分安全域,并按照方便管理和控制的原则划分不同的子网或网段,为各子网、网段分配地址段,业务边界应清晰;各安全域应当按照面临的风险,采用不同的安全防护策略和措施;后台管理、数据库、播出等相关系统与其他系统之间应有可靠的隔离防护措施。
第七条应采取措施使管理链路和数据交换链路隔离,通过专用内部管理网络访问管理设备,防止密码和管理信息泄露;采取可靠措施防止来自非授权IP地址的用户登陆管理网络设备;采取安全防护措施实现数据安全交互。
任何用户的终端设备不应直接接入核心层网络设备;第八条当与外部网络互联时,应在网络边界系统设置病毒防范和防止网络攻击装置;应采取网络入侵防范和访问控制措施实现对进、出内部网络的服务和访问的审计和控制;内容制作系统、内容分发系统和内容传输分发网络之间应通过(虚拟)专网建立连接,以形成相对封闭的专用线路。
高标清播出传输系统改造方案设计与实现
1 概述近年来超高清电视技术快速发展,高清电视节目越来越普及。
贵州广播电视台制定了统一规划、分步实施的全频道高清化步骤。
从2018年开始陆续完成了“超高清全媒体转播车”“超高清全媒体演播室”“超高清制作网”等项目,制作系统已具备全频道高清播出条件。
按照计划,2020年对播控传输系统进行了升级改造,以实现全频道、全流程高清化播出。
2 播出系统改造我台播出系统于2017年5月投入使用,在系统建设时基础架构已按照全高清播出流程设计及实施,系统周边硬件设备已支持高清播出。
基于基础架构已按照全高清播出设计建设,自办节目、电视剧、垫片宣传片、购摘要:本文主要介绍了2020年贵州广播电视台对播出传输系统进行高清化改造,在改造中通过引入智能值机等新技术,并对设备功能模块性能提升,系统优化整合,具备了全频道高清播出、传输能力,同时进一步提升了安全播出保障能力。
关键词:播出系统 传输系统 高清改造 智能值机物节目和广告五类。
结合节目播出的实际播出需求,避免重复上载,保证节目播出质量。
购物节目、广告和垫片宣传片长期保留在二级存储中,部分重播率高的电视剧也长期保留在二级存储中。
目前使用二级存储为80T,维持在20%水位线下稳定运行。
全高清播出后,节目码率由15Mbps提升至50Mbps,节目存储空间提升3倍以上,本次改造新增一套有效存储空间300T播出二级存储。
(2)同步迁移服务器新增4台同步迁移服务器,用于外系统与高清播出系统之间的素材迁移、拷贝,并对二级存储里的素材进行管理。
同时用于二级存储在视频服务器之间的素材迁移、拷贝等,并对视频服务器素材进行管理,提升素材迁移效率,保证素材迁移效率在5倍速以上。
(3)自动技审服务器新增4台自动技审服务器,用于对外系统过来的素材进行MD5校验,并对素材进行相关技术审核,如封装、编码、黑场、静帧等。
保证素材技审效率在5倍速以上。
(4)接口管理服务器新增2台GMP服务器,用于实现与外系统(广告、制作、新闻)之间的消息交互,通过接口消息以及节目单实现节目的自动备播。
20131029 基于TR-069协议的终端管理系统设计与应用
基于TR-069协议的终端管理系统设计与应用摘要:为了实现对江苏有线60余万台云媒体电视终端设备进行统一管理、远程运维,以提高服务质量,我们设计并开发了基于TR-069协议的广电网络终端设备管理系统。
该系统采用TR-069作为管理通信协议构架,根据广电有线数字电视运营管理的需求,对原有的数据模型、功能方法、安全控制等进行了继承、扩展和创新,使其满足广电终端的软件远程升级、远程配置、状态监控、故障诊断及修复等需求,降低设备运维成本;同时, 该系统还可以采集全样本终端用户行为数据,为分析用户行为习惯,建立用户兴趣模型,提供个性化的服务提供了数据支持。
关键词:TR-069协议、终端管理、用户行为分析,用户兴趣模型1 引言随着广电业务的发展,终端设备的数量、种类急剧增加,传统的SNMP(Simple Network Management Protocol,简单网络管理协议)已经不能完全满足需要。
TR-0691是由DSL(Digital Subscriber Line,数字用户专线)论坛开发的技术规范之一,其全称为“CPE(Customer Premise Equipment,用户端)广域网管理协议”。
它是一种为宽带网关,机顶盒设备提供了一种新的管理标准2。
本系统即采用TR-069作为基本通信协议,实现对江苏有线的云媒体机顶盒进行远程状态监控、设备维护、设备升级、用户行为采集等功能,其中,采集到的用户收视行为数据,为进一步根据用户历史行为记录研究用户兴趣模型3提供了一手的原始材料。
本文共有5部分,剩下的部分主要是简单阐述TR_069通信协议,系统的设计与实现,系统在实际运营中的改进与创新,最后是本文的结论。
2TR-069协议简介TR-069定义了一套全新的网管体系结构,它的协议栈主要是基于SOAP (Simple Object Access Protocol, 简单对象访问协议)、SSL/TLS(Secure SocketsLayer/ Transport Layer Security, 安全套接层/传输层安全)、HTTP1.1 (Hyper Text Transfer Protocol 1.1 , 超文本传输协议1.1)等成熟的网络通信协议,其协议栈构成如图1。
广播电视无线发射台站智能管理系统研究
广播电视无线发射台站智能管理系统研究摘要:广播电视局积极推进广播电视无线发射台站智慧运维建设工作,充分运用大数据、人工智能、物联网等新一代信息技术,通过地图监控、设备面板监控等方式,直观显示发射台站系统及设备信息。
发射台站智慧管理系统能够实现无线发射台站信号源、发射机、供配电系统、机房环境及传输网络等的智慧运维与集中监管监控,具备智能告警分析、智能工单派发、智能报表分析、智能设备及备件管理、大数据分析挖掘等功能,有效节省广播电视单位发射台站运维成本,推动广播电视发射台站智慧化、智能化、自动化发展。
关键词:广播电视;无线发射台站;智能管理系统引言广播电视无线传输覆盖业务、利用卫星方式传输广播电视节目业务、广播电视无线传输覆盖网频率的使用、无线广播电视发射设备的订购以及无线广播电视设施的迁建和保护等。
各地方广播电视无线管理中心加强无线传输覆盖网的管理工作,广播电视无线发射台站智能管理系统的迭代升级,有助于中波、短波、电视、调频、微波和卫星等无线传输覆盖网业务的开展。
1广播电视无线发射台站智慧安播系统概述智慧安播系统在实际进行数据管理的过程中,主要依靠非结构化数据管理功能,依托于科学技术以及信息技术,实现对数据进行管理的目的,其功能强大,可以对大量数据进行管理,并保证管理质量,为后续工作的稳定运行奠定了坚实的基础。
与此同时智慧安播系统还可以实现实时流计算的目的,可以在很大程度上帮助台站了解实际情况,并进行全面的分析和探究。
除此之外,智慧安播系统在实际构建的过程中还设置了构架服务体系,且随着技术的发展,其体系更加成熟,可以有效解决台站出现的各种技术问题,改善优化当前的技术。
智慧安播系统在很大程度上避免了台站数据泄露,其内部认证、权限以及审计功能能够全面保证各部门以及系统产生的数据安全性,从而保证了数据的私密性。
2广播电视发射台站智慧化建设关键技术2.1RFID技术射频识别(RadioFrequencyIdentification,RFID)技术,即无线射频识别,是通信技术的一种,通过无线射频完成数据的双向传递,RFID技术具备穿透性强、非接触式数据采集、快速并发扫描、标签信息容量大、保密性强、耐久性强等优势。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
·桂广网技专栏·乐晋德 刘至洋 黄广宇 张坤 广西广播电视信息网络股份有限公司摘要:本文介绍安全管控平台在解决广播电视设备管理方面的运维安全及审计监管问题,实现用户账号管理、授权管理、访问控制、日志审计等功能,消除系统安全隐患,提升企业效益,并结合实际应用情况进行了说明。
关键词:访问控制 安全管控 日志审计随着广播电视系统的迅速发展和信息化建设的不断推进,各种管理系统、应用服务不断普及,网络规模也迅速扩大,维护人员对账号管理、终端接入、安全保障、维护效率等也应该得到提升。
广播电视业务发展面临着这些新问题,怎样在发展中提高信息安全监管?怎样通过资源融合实现业务的稳定拓展?怎样实现创新的管理发展模式和管理效率?……潮涌般的呈现在运维管理人员面前,如何转变、如何提升正成为他们亟待解决的问题。
1 设备管理存在的问题1.1 维护效率低下广电网络公司在广电行业的快速发展过程中获得了机遇,业务种类也从原来传统广播电视业务延伸到行业外的多业务发展,对各业务支撑的系统平台也随着业务的增长形成多种技术体系的支撑。
面对众多的系统和网络设备以及支撑保障要求的不断提高,维护人员如果还停留在原始单一的维护方式,在不同的系统网管之间,或者从一个系统切换到另一系统时,每次都需要输入用户名和口令进行登录,这样明显不是信息网络技术发展所赋予最佳选择,给维护人员的工作带来不便,也严重影响了工作效率。
1.2 账号无序管理维护人员需要面对大量的系统及设备,为便于记忆,用户名及密码多会采用不太安全的简单密码或有规律的密码,且将多个系统的密码设置成相同,这类密码比较容易破解,从而危害到系统的安全。
1.3 跨平台难管理在不同的业务系统中,不同厂商的网络设备、主机系统、网管系统,以及系统结构也各不相同,有采用B/S结构或C/S结构,访问方式也各不相同,如Http、Telnet、SSH、FTP等,无法简单的整合。
1.4 无法审计监管各系统的主机、网管等基本上都提供了部分审计功能,但日志分散,而且审计不完整,部分维护操作无法审计(比如Telnet、Relogin、FTP、Http、数据库的访问等),也无法直接与操作者关联,这对事后的取证分析和责任界定带来了很大困难。
1.5 权限管控性差系统管理层者无法对全局网管系统、应用系统的整体用户信息、账号信息、权限分配等信息了解和掌控,管理工作缺乏透明度和可审计性。
1.6 终端安全性低终端用户行为无法管控,且网络接入存在不规范,如部分主机存在通过安装双网卡、无线网卡等网络设备非法接入外部网络,造成播出客户端等存在被病毒、蠕虫感染的可能性,内、外部网络隔离形同虚设,外部黑客、木马、病毒、恶意代码很容易通过这样的通道,感染内部主机或遥控主机,·桂广网技专栏·《有线电视技术》 2018年第4期 总第340期严重威胁生产设备的稳定运行。
2 安全管控平台的设计工欲善其事,必先利其器。
想要实现对账号、授权、认证的集中管控,实现对日常运维访问和操作审计,建立安全管控平台是关键。
通过建设安全管控平台,实现对各运行系统实现统一管理,健全和完善对用户账号管理、授权管理、访问控制、日志审计等相关的安全策略要求,并对潜在违规行为形成有效威慑。
同时,通过落实分级分权管理提供技术支撑手段,大大提升网络管理维护效率。
要实现这一目标,应从以下几个方面考虑。
2.1 平台设计思路安全管控平台采用分层服务架构进行设计,分为展现层、应用服务层、数据服务层和接口层,同时考虑良好的可扩展性和低耦合特性。
安全管控平台功能架构如图1所示。
展现层:为用户访问提供统一呈现,平台会根据用户的来源、角色为用户呈现不同的展现界面,功能划分上逻辑清晰。
应用服务层:是系统的核心功能模块,包括用户管理、资源管理、授权管理、认证管理、审计管理等核心服务。
服务层通过被管系统接口层实现对被管资源的管理控制,同时通过展现层,向管理展现层提供管理界面,为普通用户提供资源访问服务。
数据服务层:为应用服务层提供数据访问和存储服务,包括账号库、管理库和日志审计库。
接口层:被管系统接口提供对资源的账号、认证、授权和审计的适配层。
系统通过接口层对不同应用系统、设备的管理维护动作,以一致的方式对异构的应用系统、设备进行管理。
2.2 平台部署框架安全管控平台由7台物理服务器及1台存储设备通过虚拟化软件组成虚拟化群集,再划分虚拟化资源建立虚拟机部署各个应用服务器。
配置多台Web 服务器虚拟机实现主备冗余,主数据库服务器定期自动备份数据至备数据库服务器。
平台框架示意如图2所示。
Web 服务器采用Apache Tomcat+Java Development Kit 方式,数据库服图2 平台框架示意图图1 安全管控平台功能架构·桂广网技专栏·务器采用MySQL 作为数据库并部署数据库引擎,媒体、域控、TS 服务器采用Windows 2008操作系统并安装相应的Active Directory 域服务、Terminal Service 终端服务、FTP 服务等。
平台业务流程如图3所示。
安全管理平台流程说明如下。
(1)用户从Portal 发起对资源的访问,Portal 通过终端插件调用虚拟化平台的TS 服务,启动事先发布的代填应用,由代填启动客户端工具,并且完成登录资源。
(2)客户端连接资源时,依靠预装的网络重定向装置(SPI)将事中控制模块串到网络通信中,由事中控制模块对流量加以解析,还原用户真实操作,审计日志由数据引擎存入数据库中。
(3)事中控制模块还承载了访问控制的功能,例如鉴权阻断、黑白名单阻断等。
(4)新的会话建立时,由代填触发录像的启动,对用户的运维操作进行录像审计,同时将录像上传至媒体服务器,录像日志通过数据引擎入库,并和操作日志形成关联。
2.3 平台展现及管控2.3.1 访问门户为运维人员提供统一的访问门户,避免因多入口造成安全风险及难以管理控制,访问门户包含管理员门户及普通用户门户。
管理员门户提供账号、资源、授权、审计管理入口。
普通用户门户提供授权资源展现、资源单点登录、用户自助服务。
(1)授权资源以属地管理方式展现用户授权范围内可以访问的资源。
(2)资源单点登录实现Windows 平台网管、Linux 平台网管、交换机、专用设备及自维护平台。
(3)用户自助服务用于账号密码的信息维护及定期密码修改计划。
2.3.2 访问控制安全管控平台通过安全网关模块构建访问资源的统一接入点,隔离终端对系统设备的直接访问。
安全网关提供客户端应用发布、日志记录等功能。
统一接入并采取隔离,使系统减少后门或不可控接入方式,并可进行统一审计。
安全网关逻辑架构和访问关系,如图4所示。
2.3.3 认证管理认证方式支持账户和静态密码认证、短信动态口令认证等方式并集成第三方认证组件,将认证请求转发至外部第三方认证组件来完成认证,如数字证书认证、令牌认证,尽可能的杜绝了危险连接。
在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使它们之图3 平台业务流程示意图图4 安全网关逻辑架构和访问关系·桂广网技专栏·《有线电视技术》 2018年第4期 总第340期间相互制约、相互监督,共同保证信息系统的安全。
针对创建用户和修改权限等重要操作,采用工作流技术实现分权制衡,消除了“监守自盗”的安全隐患;系统采用不可逆加密算法存储主账号密码,密码重置必须通过业务流程来进行,管理员无法获取普通用户的密码,普通用户也不能随意重置自己的密码;系统还可集成短信审批模块,针对主账号认证、从账号登录、高危操作等场景提供金库模式的分权制衡。
2.3.4 权限最小化受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在相关安全策略允许的前提下,为满足工作需要,仅被授予其访问信息的适当权限。
系统通过3个维度,对用户访问过程中的权限进行控制。
(1)从账号权限:以自定义脚本的方式创建从账号,或回收资源中已经完成权限控制的从账号。
(2)端口权限:对资源所提供的全部服务,限制访问范围。
(3)指令权限:通过黑白名单,限定操作范围。
2.3.5 日志审计日志审计提供日志内容、基础关联分析、日志查询,确保了运维人员与资源的操作关联,利于事后审计,日志至少保留6个月,并可根据实际需求延长,对于超过期限的日志,采用导出离线保存的方式长期存档。
(1)日志内容提供网管系统、主机、网络设备的登录日志并对Telnet、SSH、FTP 协议以文本方式记录日志,日志信息应包括账号名、时间、源IP地址、目标IP 地址、操作内容信息。
(2)基础关联分析,日志审计信息关联到主账号,以实现基于运维人员审计分析;日志审计信息关联到资产,以实现资产关联分析呈现。
(3)日志查询条件包含操作账号、时间范围、源IP、目的IP、资源对象等操作关键词。
2.3.6 策略管理策略管理主要是账号密码策略、密码策略、访问策略,可以根据行业标准进行强度调整,满足各种安全要求。
(1)账号密码定期清洗,根据密码策略、定期自动为从账号随机生成新的高强度密码,更新设备侧从账号密码。
(2)密码策略管理实现密码策略的增加、删除、查询、修改管理并可灵活定义密码的有效期、长度、历史次数和密码组成规则。
(3)访问策略能增加、删除、查询、修改管理操作并可灵活定义访问时间范围、访问源IP 地址段。
3 安全管控平台的防护3.1 平台的安全防护将安全管控平台的主机、存储、交换机、防火墙设备统一规划为安全管理区,同时整个网络划分为办公网络、网管网络和安全管理区三个区域。
区域间采用安全隔离,防火墙开启IPS、Web 应用防护以保护服务器避免SQL 注入、网站扫描、目录遍历等攻击,设置相应的访问控制策略,以提高系统安全性,如图5所示。
防火墙应用控制策略如表1所示。
3.2 终端的安全防护运维人员使用的终端设备安装终端安全管理软件,通过终端安全管理软件代理进行身份认证、终端安全检图5 安全管理区示意图·桂广网技专栏·查(检查防病毒软件的安装、运行和更新情况)等,安全认证以便接入安全管控平台,避免终端存在多网卡访问网络资源,还可以限制终端设备外接USB等设备,可全面防护系统数据安全。
4 安全管控平台的应用广西广电网络公司搭建安全管控平台,实现对各运行系统管控及运行维护。
在实施安全管控平台初始化数据时,按组织机构树的形式,以区中心、地市、县级分公司三级分类方式批量导入维护人员的账号,账号包含主账号、用户名、所属组织机构、岗位角色等。
在资源管理中以批量导入设备资源列表,设备资源包含Linux主机、Windows主机、数据库、网络设备、广电专用设备、应用系统等。