电视台网络安全监测系统建设技术白皮书
电视台网络安全监测系统建设技术白皮书
(2017)
国家新闻出版广电总局科技司
2017年5月
版权声明
?国家新闻出版广电总局科技司所有,2017年。
本文档是国家新闻出版广电总局科技司关于电视台网络安全监测系统建设的技术指导性文件,任何组织、机构或自然人均不得篡改或转意。
前言
互联网和信息化浪潮已经遍及全球,正在颠覆性地改变着人类的生活和生产方式,形成了独立于陆地、海洋、航空、航天之外的第五维网络空间。随着网络技术的发展,安全环境日趋复杂,网络安全已经成为各国共同关注的问题。十八大以来,党中央将网络安全上升至国家战略的高度,成立了中央网络安全和信息化领导小组,习近平总书记亲自担任组长,指出“没有网络安全就没有国家安全,没有信息化就没有现代化”。2016年11月全国人大审议通过了《中华人民共和国网络安全法》,为整体推进网络安全保障体系建设提供了法律依据,其中明确要求“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度”、“网络运营者应当采取监测、记录网络运行状态、网络安全事件的技术措施,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。
在传统媒体与新兴媒体加速融合的新形势下,广电行业已进入一个新的历史变革时期。全台网、新媒体、云计算、大数据的发展既带来机遇,又带来前所未有的挑战。业务系统架构正在由传统的竖井式向云平台转变,媒体融合导致业务形态发生变化,过去相对独立、分散的网络已经融合为深度关联、相互依赖的整体,网络安全形势愈发严峻,安全威胁多样化、攻击手段隐蔽化的特征日益明显,危害范围和程度不断加剧。为提升全行业的网络安全保障水平,国家新闻出版广电总局于2017年1月颁布了《新闻出版广播影视网络安全管理办法(试行)》,其中明确要求各运行机构“建立本单位的网络安全监测系统,实时监测信息系统的运行状态,对可能引发网络安全事件的信息进行收集、分析和判断,发现异常情况及时处置和报告”。
电视台是舆论宣传的主阵地,其网络安全关系着国家文化安全。为有效应
1
对各类新型安全威胁,防范不断变化的安全风险,落实相关法律法规要求,国家新闻出版广电总局科技司组织北京电视台、总局广播科学研究院、上海文化广播影视集团有限公司、深圳广播电影电视集团编制了《电视台网络安全监测系统建设技术白皮书》(以下简称白皮书),旨在为各级电视台开展网络安全监测系统规划、建设提供技术指导,为构建广电行业网络安全监测预警体系提供支撑。
白皮书根据电视台信息系统分类、业务特征和相应风险,梳理网络安全需求,提出一个支撑、两个维度、三个转变的工作思路,即以安全数据为支撑,从网络安全等级保护和网络安全监测两个维度,实现从安全态势难以掌握到可视化感知、从被动防御到主动对抗、从注重局部措施落实到聚焦全面成效获取的跨越式转变。依托大数据、态势感知、数据可视化等先进技术,规划网络安全监测系统架构和能力要素,在此基础上设计出状态监测、管理支持、威胁防御三类功能,为电视台网络安全运维和管理提供工具和手段。
白皮书编制过程中,一方面追随网络安全发展趋势,一方面适配电视台特定需求场景,规划架构、设计功能,并给出实施参考建议。对于社会、行业发展过程中不断涌现的新架构、新业态,如云平台、融媒体等,电视台网络安全监测系统建设的思路、原则和框架是基本一致的,所不同的是具体实现方式和技术手段,需要在后续版本中逐步修订、更新。
白皮书指导单位:国家新闻出版广电总局科技司
白皮书主要起草单位:北京电视台、国家新闻出版广电总局广播科学研究院、上海文化广播影视集团有限公司、深圳广播电影电视集团
白皮书主要指导专家:孙苏川、关丽霞、田方
白皮书主要起草人:毕江、周旭辉、王立冬、李程、张伟、赵为纲、张建、王燕清、何晶、陈奇、张宁、胡恺、刘助翔、马海龙、马爽、翟林
2
目录
1编写说明 (1)
1.1 适用范围 (1)
1.2 规范性引用文件 (1)
1.3 术语和定义 (2)
1.3.1网络安全 (2)
1.3.2网络安全监测 (2)
1.3.3网络安全事态 (2)
1.3.4网络安全事件 (2)
1.3.5网络数据 (3)
1.3.6安全事态数据 (3)
1.3.7网络安全态势感知 (3)
1.3.8数据可视化 (3)
1.4 缩略语 (3)
1.5 内容说明 (4)
2背景概述 (4)
2.1 互联网网络安全发展态势 (4)
2.2 行业网络安全发展局面 (5)
2.3 电视台网络安全管理状况 (5)
3需求分析 (6)
3.1 系统分类及业务特征 (6)
3.1.1制播业务系统 (6)
3.1.2新媒体应用系统 (6)
3.1.3办公管理系统 (7)
3
3.2 安全风险和存在问题 (7)
3.2.1技术性风险 (7)
3.2.2业务性风险 (9)
3.2.3通用性风险 (10)
3.2.4存在问题 (11)
3.3 应对思路与总体需求 (13)
4框架规划 (15)
4.1 规划原则 (15)
4.2 系统架构 (15)
4.3 数据类型 (16)
4.4 能力要素 (17)
4.4.1数据采集 (17)
4.4.2数据处理 (18)
4.4.3数据分析 (18)
4.4.4数据呈现 (18)
4.5 运行机制 (19)
4.6 系统接口 (20)
4.7 自身安全 (21)
4.8 关键技术 (21)
4.8.1网络流量采集检测 (21)
4.8.2复合型数据库架构 (21)
4.8.3威胁情报 (22)
4.8.4安全大数据 (22)
4.8.5安全事件关联分析 (23)
4.8.6安全基线 (23)
4.8.7安全态势感知 (24)
4.8.8安全数据可视化 (24)
4
5功能设计 (25)
5.1 状态监测类功能 (25)
5.1.1设备状态监测 (26)
5.1.2应用状态监测 (27)
5.1.3配置状态监测 (28)
5.1.4措施状态监测 (29)
5.2 管理支持类功能 (30)
5.2.1等保措施自查 (31)
5.2.2安全资产管理 (32)
5.2.3安全态势评估 (33)
5.2.4安全运维协同 (34)
5.3 威胁防御类功能 (35)
5.3.1漏洞补丁监测 (35)
5.3.2威胁预警分析 (37)
5.3.3安全事件告警 (38)
5.3.4威胁攻击追溯 (40)
5.3.5未知态势挖掘 (41)
6实施参考 (42)
6.1 建设原则 (42)
6.2 典型模式 (43)
6.3 关注要点 (45)
5
6
1编写说明
1.1适用范围
本白皮书主要用于规范各级电视台网络安全监测系统规划和建设,并可供其它广电媒体及相关行业参考。
1.2规范性引用文件
《中华人民共和国网络安全法》
《新闻出版广播影视网络安全管理办法(试行)》(新广办发 [2017] 4号)《广播电视安全播出管理规定》(广电总局令第62号)
《广播电视相关信息系统安全等级保护定级指南 GD/J 037-2011》
《广播电视相关信息系统安全等级保护基本要求 GD/J 038-2011》
《信息技术安全技术信息安全事件管理指南 GB/Z 20985-2007》
《网络安全事件描述和交换格式 GB/T 28517-2012》
《信息技术云计算概览与词汇 GB/T 32400-2015》
《信息安全技术信息安全事件分类分级指南 GB/Z 20986-2007》
《信息安全技术安全漏洞标识与描述规范GB/T 28458-2012》
《信息安全技术网络安全风险评估规范GB/T 20984-2007》
《信息安全技术信息系统安全等级保护基本要求 GB/T 22239-2008》
《信息安全技术术语 GB/T 25069-2010》
《信息安全技术网络安全风险评估实施指南GB/T 31509-2015》
1
1.3术语和定义
下列术语和定义适用于本白皮书。
1.3.1网络安全
是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
1.3.2网络安全监测
以网络安全事件为核心,通过采集网上数据并以关联分析等方式对监测对象进行风险识别、威胁发现、安全事件实时告警及可视化展示,根据监测结果实时报警、响应,达到主动发现入侵活动的目的。
1.3.3网络安全事态
被识别的一种系统、服务或网络状态的发生,表明一次可能的网络安全策略违规或某些防护措施失效,或者一种可能与安全相关但以前不为人知的情况。
1.3.4网络安全事件
由单个或一系列意外或有害的网络安全事态所组成,极有可能危害业务运行和威胁网络安全。
2
1.3.5网络数据
通过网络收集、存储、传输、处理和产生的各种电子数据。
1.3.6安全事态数据
与系统、服务或网络安全状态有关的数据。
1.3.7网络安全态势感知
大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、分析、图形化显示以及预测未来一段时间内的发展趋势。
1.3.8数据可视化
运用计算机图形学和图像处理技术,将数据转换为图形或图像在屏幕上显示出来,并进行交互处理。
1.4缩略语
下列缩略语适用于本白皮书
0-day 漏洞是指被发现后立即被恶意利用的安全漏洞(Zero-Day)
0-day 攻击零时差攻击 (Zero-Day Attack)
APT 高级持续性威胁(Advanced Persistent Threat)
SOC 安全管理中心(Security Operations Center )
TTPs 战术、技术和步骤(Tactics, Techniques, and Procedures)
ETL 抽取转化加载(Extract-Transform-Load)
SNMP 简单网络管理协议(Simple Network Management Protocol)
APP 应用(Application)
3
1.5内容说明
本白皮书第2章概述网络安全领域发展背景,包括互联网、行业发展形势和电视台安全管理状况。第3章通过梳理电视台信息系统分类及业务特征、安全风险和存在问题,推导出应对思路和监测需求。第4章阐述电视台网络安全监测系统的总体框架,明确系统定位和规划原则,并规划系统架构、数据类型、能力要素、运行机制、系统接口、自身安全、关键技术。第5章对电视台网络安全监测系统功能进行分类详细设计,给出设计目标、功能描述、实现效果和依赖条件。第6章提供电视台网络安全监测系统的实施参考建议,包括建设原则、典型模式和关注要点。
2背景概述
2.1互联网网络安全发展态势
全球互联网发展态势迅猛。截至2016年6月,中国网民规模已达7.1亿。“互联网+”行动计划推动中国政企服务多元化、移动化进程,物联网应用逐渐渗透到制造业、传媒业和人们工作生活的各个角落,网络安全威胁与日俱增。以规模化商业牟利为目的,成为木马和僵尸网络、恶意程序、服务攻击等传统网络安全威胁的新特征。大规模个人信息泄露事件频发,针对行业重要信息系统的高强度、高水平、有组织攻击屡见不鲜,工控网络面临的安全威胁显著增加。各种攻击技术手段逐渐呈现大规模、分布式、协同化、持久化、隐蔽化特点,传统安防模式难以应对。同时,业务应用环境发生显著变化,媒体业务互联网化、终端移动化趋势使得安全攻击入口日趋多样;云计算、大数据、物联网等新技术的广泛应用,使得安全边界日渐模糊;诸如微软Windows XP系统停止维护等系统软件供应链安全问题日益凸显。
4
2.2行业网络安全发展局面
国内广电行业技术体系主要包括视音频系统和信息系统两类。
视音频系统发展时间较长,在系统设计、维护使用、技术标准等方面已经构建了比较完整的安全保障体系,相继出台了包括《广播电视安全播出管理规定》在内的一系列规章制度和技术标准,有效指导了系统建设和运行维护。相对而言,网络安全的威胁可以被有效控制。
近年来信息系统的应用正呈现加速发展态势,但由于起步时间较晚,针对性的指导文件相对欠缺,网络安全建设、运维、管理主要参照《广播电视相关信息系统安全等级保护基本要求》、《广播电视相关信息系统安全等级保护定级指南》。对此,国家新闻出版广电总局明确提出显著提高融合媒体安全保障能力的目标,同时将全面升级广播影视信息和网络安全技术体系和系统,进一步提升广播影视融合媒体安全播出、监测监管和网络安全保障能力列为十三五期间的重点工作任务。
2.3电视台网络安全管理状况
随着网络安全重要性的日益提升,各电视台相继成立了专门管理机构,在等级保护要求指导下,制定网络安全管理制度、建立纵深防护体系。通过一系列措施的落实,有效提升了网络安全防护能力。但随着信息系统规模的扩展和业务交互的不断增加,一些问题也逐渐显现,主要包括:现有信息系统安全管理主要通过合规性检查追求安全措施的覆盖率,对于这些安全措施的运行效果和整体安全态势却难以量化掌握;安全事件的处置处于被动响应状态,各种策略部署和漏洞检查以静态、人工方式为主,对外部威胁基本无主动预警能力,安全策略也难以实现动态调整;各种网络安全日志庞大而繁杂,不能从多个角度对安全事件进行分析,不少攻击无法及时发现,更不易快速追溯。
5
3需求分析
近年来,电视台技术系统已初步完成了数字化、网络化改造,与互联网深度协同的融合生产、传播模式开始呈现,信息系统对于业务的重要程度不断上升。网络安全是保障信息系统稳定运行的重要环节,信息系统的业务范围、技术特点决定了网络安全关注点。本节依据业务性质对电视台信息系统进行分类,同时针对其业务特征梳理安全风险,在明确主要问题的基础上,提出了遵从等级保护要求和加强安全监测双管齐下的应对思路。
3.1系统分类及业务特征
电视台信息系统从网络安全监测角度,依据其所承载的业务性质,可以分为制播业务、新媒体应用和办公管理三个主要类型,后续将针对不同类型的监测对象进行风险分析,并在功能设计中有所体现。
3.1.1制播业务系统
制播业务系统是电视台的核心业务承载平台,以计算机网络为核心,实现电视节目的采集、编辑、存储、播出、交换以及相关管理等辅助功能,主要包括播出系统、新闻制播系统、播出整备系统、媒资系统、综合制作系统和业务支撑系统等。
3.1.2新媒体应用系统
新媒体应用系统是电视台为扩充业务形态、主导网络话语权而建设的信息系统,相较于传统的节目制作方式,其内容的生产不再是一个单向封闭的流程,而是一个开放的汇聚和加工过程,同一主题的内容面向不同渠道时有不同的展现方式,主要包括两微一端发布平台、内容生产制作系统、门户网站系统、移动APP、IPTV集成播控平台等。
6
3.1.3办公管理系统
办公管理系统是满足电视台行政办公、业务管理并开展辅助生产业务的综合信息系统,主要包括互联互通业务系统、办公OA系统、财务系统、广告系统、节目生产管理系统、技术资源管理系统等。
上述电视台信息系统分类的依据是其承载业务。近年来,制播业务的触角已逐步跨越系统边界进入办公管理系统,两者之间的界限日益模糊。未来随着云平台架构应用和业务融合的脚步,各类系统之间的一体化进程将逐步显现,“统一资源平台+不同类型应用”模式将成为主流。即使如此,上述针对应用的分类继续有效,不同类型业务相应的网络安全风险依然存在。
3.2安全风险和存在问题
电视台信息系统安全风险根据其业务特征和安全关注点的不同,主要分为技术性、业务性和通用性三类。
3.2.1技术性风险
技术性风险主要来源于信息系统的技术层面,参照等级保护要求主要可以分为物理风险、网络风险、边界风险、终端风险、服务器风险、应用风险、数据风险等。
物理风险:机房的位置选择不符合相关规定,物理访问控制不完善,机房环境(包括温湿度、防尘、防静电、电磁防护、接地、布线等)不符
合规范要求,消防设施未配置或配置不符合规范要求等;
网络风险:网络结构没有按照层次化进行设计,未形成纵深的网络安全防护体系;制播系统中的直播演播室系统、播出系统不是位于纵深结
构内部;信息系统网络层面的核心、汇聚交换机等关键网络设备未进
行冗余配置,关键节点存在单点故障隐患;未按照信息系统功能、业
7
务流程、网络结构层次、业务服务对象合理划分网络安全域,或网络安全域划分不合理等;
边界风险:未在网络边界部署访问控制设备,或是部署设备但没有根据安全策略进行防护控制,各个区域之间可以进行任意通信;外网访问内部信息系统未按照要求进行安全接入控制,并对用户权限进行管理;没有配套的安全措施对制播业务系统对外数据交互进行恶意代码查杀,或是存在数据非法导入途径等;
终端风险:未对登录终端操作系统的用户进行身份标识和鉴别,系统存在弱口令且没有做到定期更换;未根据安全策略控制用户对资源的访问,重要系统内的终端没有关闭USB、光驱等外设接口以及不必要的服务端口;未按要求通过设置升级服务器等方式定期更新操作系统补丁,未部署集中管理的防恶意代码软件并定期更新等;
服务端风险:未对登录服务端操作系统和数据库系统的用户进行身份标识和鉴别,存在多人使用同一用户名、弱口令等情况;服务器进行远程管理时,未使用HTTPS、SSH等安全访问方式;未根据用户权限最小化原则分配用户权限,操作系统和数据库系统特权用户的权限未分离,存在不安全账户等;
应用风险:未对登录应用系统的用户进行身份标识和鉴别,存在多人共用账户、弱口令、默认账号等问题,重要业务操作未进行双因素认证;用户账户未按要求进行最小化权限设置,未对高风险服务器的重要信息资源设置敏感标记等;
数据风险:未对用户身份鉴别信息、调度信息、播出节目等重要业务数据在传输过程中进行完整性校验,未采用加密或其他有效措施实现用户身份鉴别信息的存储保密性,未对重要信息系统安全数据进行备份,或是数据备份策略不合理等。
8
3.2.2业务性风险
业务性风险主要来源于电视台信息系统业务层面,由于安全级别、防护手段和服务对象的不同,其安全风险关注点也各有侧重,以下根据系统分类进行阐述。
1、制播业务系统安全风险
该类系统在等级保护定级要求中安全保护等级较高,处于系统架构纵深内部,通过多重的安全边界进行防护,防病毒重于防入侵,对由安全问题(如病毒发作等)引起的服务停用较为敏感,同时安全边界的可靠性也是重点关注内容。具体安全风险主要包括以下方面:
业务连续性风险:内容生产连续性关系到播出安全,对于由病毒和木马造成生产能力的大规模中断高度敏感,由于制播业务关联性较强,一
个制作域出现问题就可能会影响到整个生产流程;
数据交换风险:在媒体融合形势下,内容生产业务由内部向外部扩张,各类数据交互快速增长,如果交换边界安全措施不到位,非法文件由
外部进入系统内部,将产生安全隐患。
2、新媒体应用系统安全风险
该类系统涉及提供公众服务的网站、IPTV、APP等业务,以及提供新媒体制作能力的内容生产、发布系统。电视台作为具有社会公信力的媒体机构,新媒体内容生产能力连续性和发布内容正确性是首要关注点,重点防止恶意入侵和内容篡改。具体安全风险主要包括以下方面:
网页篡改风险:由于系统漏洞被恶意利用,导致网站内容被篡改,从而引发信誉和舆论风险;
服务中断风险:公众服务如果因为遭受攻击导致不可用,将引起信誉风险;
网页挂马风险:网站被挂马、盗链,网站DNS解析被劫持,给访问用户带来安全风险,从而导致公信力下降;
9
应用仿冒风险:开发不规范存在安全漏洞,开发过程中被植入后门,或被恶意仿冒等导致公信力下降。
3、办公管理系统安全风险
该类系统有使用人数多、单个应用规模小、系统数量庞杂等特点。同时为满足制播业务外延要求,承担连接制播业务系统和新媒体应用系统职能。由于所处位置的特殊性,既要防范来自外部的病毒、入侵,又要通过审计等措施防止内部人员作案。具体安全风险主要包括以下方面:
APT攻击风险:目标明确、攻击手段多样、隐蔽性高的专业黑客组织持续性地利用多种手段进行入侵攻击,作为第一步攻击目标,传统的安
全措施很难发现并防止此类攻击;
互联网出口攻击风险:对于互联网出口一侧出现的异常流量较为敏感,同时还面对从互联网发起的对内扫描、恶意代码传输、木马控制等多
种攻击威胁;
DMZ区入侵风险:部署在互联网DMZ区的应用面临访问控制、身份验证、高危漏洞等脆弱性风险,被黑客恶意利用的几率较大。
3.2.3通用性风险
通用性安全风险是指电视台信息系统在日常管理、运维和发展中面临的安全风险,这些风险普遍存在于电视台各类信息系统中,主要分为安全管理风险、运行维护风险和技术发展风险等。
1、安全管理风险
态势掌控:未构建集中的网络安全管理中心,未实现恶意代码查杀软件、补丁升级的统一管理,无法对来自网络设备、服务器、应用系
统、安全设备等的安全事件信息进行关联分析及风险预警,难以掌握
组织整体安全态势;
10
措施落实:措施部署以满足合规性要求为主,未能着眼全局进行统一规划,各类安全措施间缺乏协同,全局安全防护能力受限。
2、运行维护风险
运行监测:未构建统一的网络安全监测系统,未实现针对网络设备状态、内部流量信息、业务运行状态等的有效监测,无法及时发现异
常;
运维操作:系统规模大、业务复杂,维护人员水平参差不齐,操作、处置不当将给风险应对带来考验。
3、技术发展风险
随着技术发展,原有的安全措施和手段逐渐无法适应新的运行环境要求,新的业务形态也需要技术支持和适配,同样可能带来新的安全风险。
安全域划分与租户隔离:云平台架构下安全域划分与隔离更加困难,多租户虚拟机和虚拟服务共用物理资源,虚拟机安全和租户间隔离需要
新的技术手段;
流量审计:传统硬件流量采集设备无法直接获取云环境下虚拟机之间的交互数据;
虚拟机防病毒:传统的防病毒软件部署方式会带来启动风暴等问题,导致对系统资源的过度占用;
混合云架构:由于其安全和运维边界不再清晰,为安全管理和运维带来难题。
3.2.4存在问题
近年来,各电视台不断加大网络安全投入力度,网络安全防护体系建设初具成效。但在建设过程中,仍以局部、静态安全措施部署为主,以等级保护符合性为目标,难以从全局视角动态掌控安全态势,安全事件应对时被动防御特
11
征明显,整体安全成效难以掌握。随着业务模式转型、系统规模扩大、技术架构升级,总体而言传统安全防护思路已经无法满足需求。主要体现在:
1、防护措施与安全成效脱节:电视台信息系统普遍参照等级保护要求进行安全建设,部署各类安全设备满足符合性目标,系统规模不断扩张导致安全设备、安全措施部署趋于复杂,由于缺乏安全管理类应用工具和手段,安全管理、运维人员难以及时获悉当前安全态势、攻击分布、防护缺陷,无法结合电视台信息系统业务特征、技术特点采取针对性安全措施;
2、安管平台无法发挥预期:传统安管平台以IT安全资产为核心,通过收集安全设备的事件和告警信息,实现集中式安全管理。由于数据主要来自安全设备,无法对系统可用性、健康状态进行主动、有效监控;
3、静态防御措施难以应对动态威胁:电视台信息系统的安全防护措施往往仍然停留在静态层面,仅能抵御来自某个方面的安全威胁,存在任务执行被动性突出、主动对抗能力薄弱的问题,随着各类APT攻击、0-day漏洞的出现,这种以静态防御为主的安全措施失去应有效果;
4、注重局部措施缺乏整体规划:大量安全事件表明,仅仅根据相关标准要求配置相应安全设备,并不能保证网络安全。网络安全的核心需求是保障IT资源所承载业务的可用性、连续性,需要借助全局视角,从需求分析、安全建模、安全域和资产管理、业务风险和影响性分析等多个维度进行统一规划,实现各类安全措施间的协同,提升全局安全防护能力;
5、安全事件的管理和应对能力不足:虽有网络安全管理机构,并采用自建或服务外包方式构建安全运维团队,但安全事件分析、响应仍然以经验判断、事后处置为主;
6、外部威胁情报获取和利用不充分:目前电视台对外部安全威胁情报的获取限于安全事件通告层面,未能结合内部安全数据进行综合分析,难以从中识别出可能的APT攻击,实现安全事件的有效预警和及时应对;
7、尚未形成行业联动机制:在行业层面对于网络安全缺乏行之有效的监测、预警和处置手段,容易遭受同一类型安全风险威胁,同时电视台之间也未
12