全媒体监管平台网络安全预警系统的设计

【本文献信息】周丽.全媒体监管平台网络安全预警系统的设计[J].广播与电视技术，2018,Vol.45(10).全媒体监管平台

网络安全预警系统的设计

周丽

（河南省广播电视监测中心，河南 450002）

【摘 要】本文按照广电总局网络安全及等级保护要求，针对河南全媒体监管平台设计了网络安全预警系统，以实现高可靠的网络行为安全预警。【关键词】网络安全预警，全媒体监管平台，网络安全 TN94 【文献标识码】 B 【DOI 10.16171/j.cnki.rtbe.20180010019【中图分类号】 编码】Design of Network Security Early Warning System

for Omni-media Supervision Platform

Zhou Li　

（Henan Radio and TV Monitoring Center，Henan 450002，China）

Abstract In view of Henan omni-media integrated supervision platform , this paper gives a design of network security early warning system. Keywords Early warning，Omni-media supervision platform, Network security

保密要求高，是国家机关信息化建设的重要支撑和保障，因

0 引言

鉴于网络具有显著的特点，分布广泛、交换共享、开放协议等都给人们的生活工作带来了许多便利，如今互联网已经渗透到了世界的各个角落，带给人类无限的生机与活力，然而，伴随网络技术的迅猛发展，其建设之初所具有的开放性、共享性、身份追踪性，以及“尽力而为”的安全防护理念，已经给网络安全造成了巨大的威胁，也为研究网络安全防护提出了许多新的难题。网上应用的丰富，同时也带来了一系列的安全问题，如网络黑客、网络犯罪、病毒爆发等等，这些问题严重制约了广电信息化建设的步伐，成为系统建设重点考虑的环节。在应对安全问题方面，传统的防火墙、入侵检测、信息审计、漏洞扫描等设备和措施已经显得力不从心，暴露出许多问题，同时基于目前广电信息化网络涉及面广、

此机关对网络安全的要求也远高于一般网络。这就要求在网络建设的过程中，必须把网络安全的建设放在首要位置，建设“安全广电”是国家广电总局在十三五规划中给广电行业发展指出的明确目标之一。

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的积极作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展起到重要的推动作用。信息安全等级保护制度成为我国信息安全的一项基本制度，建

广播与电视技术 〔2018年·第45卷·第10期〕

114

安全播出与监测监管Safe Broadcasting & Monitoring and Supervision ︳

设和落实信息安全等级保护是广电行业信息安全的基础。

3 网络安全预警实现的原理

网络安全预警系统主要是根据从网络上采集的流量数据进行分析，发现病毒、木马的攻击入侵行为等，在攻击行为未奏效之前，即与特征数据库或预先设置的阀值进行比对，从而判断其使用行为的安全性，对危险行为提前阻断。如果攻击行为已经造成伤害，在及时进行阻断的同时，对所造成的影响和伤害采取评价与记录两种方式进行处理。网络安全预警程序存在的意义在于相关入侵事件影响继续恶化时，可以有效的完成阻断和抵制，快速合理的通过应急处理设备解决。

网络入侵通常具有一定的时间和空间顺序，同时他们是在一定的时间和空间范围内进行入侵的。他们的攻击过程分为三个阶段：第一步采集相关信息，是对网络进行相应的扫描，通过常用的上网方式、系统资源、网络接口、视频会议等建立完整的信息库，得到攻击目标的具体地址，第二步是收集数据信息阶段，详细的了解网络防护的具体构造，查找、判断系统的弱点，寻找该系统的漏洞，找到攻击的出入口；第三步是实施攻击阶段，破坏系统的安全防护屏障，摧毁目标盗取网络信息。

因此，要破解黑客的攻击，主要的方法就是在黑客侵入系统前，对其进行侦测和预警，在第一和第二阶段采取措施。通过在各个网口点安插监测点，实时观察网络数据传输的动态，以达到及早发现黑客攻击意图的目的。

网络安全预警系统对网络安全进行高智能的分析、评估网络存在的威胁、分析威胁产生的根源及威胁可能波及的方位，实时检测系统中可能出现的入侵现象，根据检测的情况及时地向系统做出相应回应，并对网络可能出现的安全状况

1 目标与方向

设计出基于网络行为的网络安全预警与应急响应系统，在确保用户正常使用网络的同时，实时监测网络数据，及时发现异常行为，发出警告并及时处置是本文涉及的重点内容。

河南省全媒体监管平台已规划完成，信息化建设已经完成了基础网络系统的搭建及重要业务应用系统与基础网络系统的集成，但是整个全媒体网络的信息安全建设还在初步规划阶段，按照广电总局网络安全要求及等级保护建设要求，亟需规划一套针对性的解决方案，严格执行国家网络安全相关规定的同时，结合国家信息系统安全等级保护的相关标准，本着“实用、耐用、急用”的原则规划建设新一代信息安全体系。

系统设计本着多层面、多角度的原则，从理论到实际，从软件到硬件，从组件到人员，都要进行周密的安全策略，避免遗漏。河南省全媒体监管平台网络安全预警系统设计遵循的原则：系统设计不改变原有网络结构和设备，具有高可用性；可靠性是平台运行的首保保证，系统设计具备较高的可靠性和安全性，保证网络故障尽可能小的影响内部业务系统；系统采用的软硬件产品具有通用性，采用标准的技术、结构、系统组件和用户接口，支持流行的网络标准协议，采用先进的技术设备，便于网络规模和业务的扩展，网络平台建设统一规划、分步实施、逐步完善，充分考虑其可扩展性，便于系统扩展；信息系统设计规范同时具备较高的资源利用率并便于管理和维护。

2 网络安全的标准

网络安全主要包含以下几个方面：

1．机密性：依靠加密手段防止数据的泄露、通信量的被分析。

2．完整性：重点是避免数据遭到清理、更改、伪装等处理。3．实用性：数据资源收到相应的保护，只有权限允许的使用者才能进行有关操作。

4．不可抵赖性：数据的提供者、获取方以及操作人员在使用之后保留痕迹，可以实现合理的认证。

稳定性是网络安全有效运用的前提。若是网络不稳定，就不能正常通信、不能正常使用网络上提供的各类服务。但是如果网络稳定，也可能出现数据被泄露、篡改、删除、破坏等，也可能出现通信双方存在欺骗和抵赖现象，因此，除了网络要可靠之外，其他几个安全因素也很重要。

广播与电视技术 〔2018 年·第45卷·第10期〕

进行分析，预测将要发生的网络安全状况。系统主要是以入侵检测系统为主，通过高速信息捕获能力、数据综合能力、数据关联性分析、数据挖掘技术等提前隐藏在网络中的攻击行为，然后向全系统进行报警。

工作流程：首先网络预警中心对网络进行数据采集，将网络的攻击对象进行相应的判断，将检测到的信息上传给预警中心，通过相应的处理预测网络存在的威胁，向系统管理员提供相应的报警信息，系统管理员做出相应的响应，并对已经破坏的系统进行实质性的修复，防止病毒再次入侵。网络安全预警系统模型如图1所示。

4 全媒体监管平台分布式网络安全预警系统设计

1.监控网络系统：网络需要网络安全预警系统能够随时

115

安全播出与监测监管 ︳ Safe Broadcasting & Monitoring and Supervision

监听流入网络区域中的各种数据信息，根据当前网络的具体情况，能够控制进出网络系统的数据流量，能够对系统进行正常的访问。同时能够对特定的IP地址进行相应的系统访问，对广泛使用高层协议能够进行相应的实质性的分析和进行系统过滤，能够通过相应的技术手段查询出当前系统的网络的正常情况。

2.检测入侵对象的功能：网络安全预警系统通过对不同时间段的数据流进行匹配得到各种不同的数据结论，同时能够通过具体的分析得到相应的入侵方式，通过不断扫描网络的具体位置，得到网络的缺点，有效避免网络遭受攻击。

3.系统预警：通过不断地对网络的具体情况进行实时的分析，并对网络中已经出现的系统行为进行相应的自动识别处理和响应。通过对网络的具体情况进行实时的监听，识别，记录入侵等，寻找出网络中出现的违规情况和出现的未经过授权的网络访问，当发现网络中出现相应的异常模式时，能够进行网络的实时预警，预警系统能够根据网络中的情况提出相应的网络安全策略。

4.追踪入侵对象：分布式网络安全预警系统能够通过相应的手段追踪出网络入侵的具体根源，推断出攻击者在网络中的攻击轨迹。

5.后台服务管理：后台数据库具有保存各种数据信息的能力，可以根据用户的具体需要提供相应的数据信息的统计、分析和查询的功能。

2. 能够实时监视网络的流量和会话情况。

3. 能够在最短的时间内发现网络的入侵行为，并且及时报警。

4. 通过收集得到的数据，经过相应的手段分析后能够为网络安全管理提供决策。

根据国家相关信息系统等级保护网络安全方面的建设要求进行河南全媒体监管平台网络安全防护建设，包括边界访问控制、入侵防御、物理安全隔离、安全管理、病毒防护、数据库审计、日志审计、上网行为审计、入侵检测、私有云安全管理、安全管理平台监控、态势感知及安全运营系统、准入控制、虚拟化防护等系统，建立统一、完善的网络安全体系，达到国家相关部门的相关要求。

河南省全媒体监管平台的网络系统划分为部分、内网部分与专网部分。由于资产重要程度、网络划分、使用主体、安全目标等属性的不同，它们属于不同的网络安全域，因此不同安全域之间应采用相对应的访问控制策略，来实现不同安全域之间的有效隔离。

部分存在的安全风险有：对于终端接入没有控制手段，不能避免非法接入内联；对于未知威胁的入侵行为，不能及时的发现和记录；针对互联网服务器的数据库，需要进行审计和监控；针对远程访问、移动办公人员的访问，需要采用加密方式形成加密的管道进行安全访问。

内网部分存在的安全风险有：对于未知威胁、特种木马、APT攻击，不能及时的发现和记录；对于终端接入没有控制手段，不能避免非法接入内联；虚拟化平台存在的问题，包

5 全媒体综合监管平台网络安全风险分析

全媒体综合监管平台网络安全预警系统应具备如下重要功能：

1. 能够在规定的时间内分析对网络的攻击行为。

括病毒查杀风暴、虚拟机之间的攻击、虚拟机的补丁修复，以及宿主机的防护问题；针对终端日常办公软件安装部署，无法统一升级、统一管理，需要避免安装存在隐患的应用软件。

专网部分存在的安全风险有：对于未知威胁、特种木马、APT攻击，不能及时的发现和记录；对于终端接入没有控制手段，不能避免非法接入内联；虚拟化平台存在的问题，包

网络预警系统括病毒查杀风暴、虚拟机之间的攻击、虚拟机的补丁修复，以及宿主机的防护问题；针对终端日常办公软件安装部署，无法统一升级、统一管理，需要避免安装存在隐患的应用软件。

针对河南全媒体监管平台信息网络，我们看到，其主要的信息资产包括网络中的应用系统；承载应用系统的重要服

监控网络检测入侵对象系统预警追踪入侵后台服务务器（数据库和应用服务器）；承载访问和数据交换的网络设备和物理线路等等，针对这些信息资产，对系统正常安全运营形成威胁的来源主要包括：来自于互联网上的黑客攻击，不同业务单元员工的非法访问，内部一般员工的越权访问，

图1󰀡󰀡系统总体功能分析设备运行故障，重要数据泄密，为了全面地对安全威胁进行

广播与电视技术 〔2018年·第45卷·第10期〕

116

安全播出与监测监管Safe Broadcasting & Monitoring and Supervision ︳

云端感知协助终端、边界设备进行攻击检测，为终端、云端提供检测能力的补充终端协同对落地的文件与通信进行安全监测，同时接收来自云端与边界的检测结果协同防御边界控制对流经边界的网络流量进行全流量检测，通过沙箱技术发现其中的攻击行为，并通过与云端、终端的协同阻击渗透行为数据管理数据挖掘图2󰀡󰀡下一代安全体系框架

分析和归类，根据安全风险的来源，针对目前状况来具体分析所面对的安全风险和需求。

分布式网络安全预警中心将网络划分为不同的几个区域，在每一个区域中设立区域网络安全预警中心，分区域采用相应的数据关联技术，找到入侵数据之间的联系，降低数据的复杂度，能够有效的减少数据的误报和漏报现象的产生。融合报警技术能够采用有效的手段，发现系统防护体系中不能发现的网络攻击，并将以往的攻击历史存储到网络数据知识库中，作为日后对网络攻击目的的准确判断。

终端、边界和云端三者必须有机统一，进行有效协同，才能带给用户真正的安全。通过对边界网络流量的全流量的感知和分析，来发现边界威胁。通过对终端的文件与通信进行安全监控， 利用云端威胁感知数据来发现终端威胁。无论是网络内部产生的威胁，还是由带入的威胁，通过联动接口，利用边界和终端的检测结果， 利用云端的威胁感知数据和大数据分析能力，利用边界和终端的安全控制能力，实现对整个网络威胁的联合感知和协同防御。

域进行划分：边界接入区、核心交换区、核心业务区、内网云安全中心、管理区。

通过划分网络区域整合网络安全系统建设，围绕主要的IPTV监管系统、内容广告监管系统、互三个核心业务系统：

联网监管系统通过内网部署下一代防火墙系统、入侵防御IPS系统、网络入侵检测IDS系统、SSL VPN安全接入网关、物理隔离网闸系统、安全管理与审计系统、准入控制系统、安全管理平台、抗DDOS服务攻击系统、态势感知与安全运营平台、威胁情报、准入控制系统、虚拟化安全管理平台、部署数据库审计系统、安全接入SSL VPN等系统，实现河南省全媒体监管平台信息网络安全的立体可控。

1.核心交换区：包含入侵检测系统、准入控制系统、安全接入网关SSL VPN系统、物理隔离网闸系统、威胁感知流量传感器。

1）内网部分

入侵检测：在核心交换机处通过端口镜像方式，旁路部署入侵检测系统，对核心交换层进出的数据进行行为分析，一旦发现安全威胁包括黑客攻击、蠕虫病毒、木马病毒会第一时间报警通知管理员，并且会有非常详细和精准的访问日志过程。

准入控制：为了实现内网的安全，通过接入认证、客户端安全检查等方式控制接入客户端非法接入和非法外联的问题。

物理隔离网闸：在内网交换机与交换机之间部署网闸系统，对互联网内网服务器和互联网服务器之间的数

6 河南省全媒体监管平台信息安全的整体解决方案

内网应围绕着网络边界访问控制、核心业务入侵防御、网络边界防病毒、内网入侵检测、数据库审计、安全管理与审计、安全管理平台、威胁的发现感知、虚拟化环境带来的问题防护、终端的准入控制以及企业软件管理等方面实施和防护；主要以网络边界访问控制、核心业务入侵防御、数据库审计、安全接入SSL VPN等进行建设。我们对网络区

广播与电视技术 〔2018 年·第45卷·第10期〕

117

118

IPTV监测点各地市专线接入专网接入区接入区云威胁情报中心路由器下一代防火墙（含防病毒功能）下一代防火墙（含防病毒功能）入侵防御入侵防御边界接入区入侵检测流量采集探针交换机安全播出与监测监管 ︳ Safe Broadcasting & Monitoring and Supervision

图3󰀡󰀡全媒体综合监管平台网络安全架构网闸数据库审计核心交换区安全管理平台日志审计运维审计漏洞扫描私有云管理系统内网终端安全管理系统业务服务器互联网服务器内网终端安日志全管理系统审计运维审计安全管理平台准入控制虚拟化防护新一代威胁感知系统分析平台数据库审计广播与电视技术 〔2018年·第45卷·第10期〕

内网云安全中心核心业务区业务区管理区 安全播出与监测监管Safe Broadcasting & Monitoring and Supervision ︳

据传输采用真正的物理隔离方式，加强内网数据的安全性。

威胁感知流量传感器：在内网增加部署一台流量采集探针（态势感知与安全运营平台一部分组件），实时收集全网流量威胁，并将数据推送到态势感知与安全运营分析平台进行威胁溯源分析。

2）部分

SSL VPN安全接入网关：在核心交换区部署安全接入网关SSL VPN系统，一是对远程访问人员的访问控制基于应用级别控制，并且具有更多灵活的用户身份识别功能，并且远程接入用户不需要安装客户端软件，都过浏览器即可访问；对于移动用户使用的Android、IOS、Windows Phone手持设备虚拟化办公。

2.内网云安全中心：主要包含安全管理平台、安全管理与审计系统、终端安全管理系统、漏洞扫描系统、准入控制系统、态势感知与安全运营平台、文件威胁鉴定器、虚拟化安全管理系统。

安全管理平台：在管理维护区域部署一套安全管理平台系统，对全网系统的IT资源状态进行统一监控，一旦设备状态出现异常就会触发告警通知给管理员，能够进行迅速反应和处理，避免事故的发生。

安全管理与审计系统：在管理维护区域部署一台安全管理与审计系统，对所有运维人员进行集中授权、集中身份认证和集中审计，实时记录运维操作人员在整个运维操作过程中的操作记录，并对一些危险的操作进行阻止和告警，通过实时日志查看可以还原整个操作过程，及时发现违规操作以及误操作引起的责任问题。

漏洞扫描系统：在云安全中心区域部署一台漏洞扫描系统，对所有的安全设备、网络设备、主机设备进行计划定期扫描，生成漏洞报表，并针对每个漏洞给出解决方案，及时解决漏洞问题。

准入控制系统：部署准入控制系统，实现办公终端在访问核心业务时进行准入检查，针对未安装一体化终端防护的终端进行强制安装才能正常访问业务。

态势感知与安全运营平台：部署分析平台（态势感知与安全运营平台一部分组件），基于大数据技术和360海量威胁情报数据，对全网流量进行分析监测，发现内网中的APT威胁、特种木马，并溯源攻击过程。

日志采集器：日志采集器主要负责对网络内各业务应用系统、设备、服务器、终端等设备通过主动采集或被动接收等方式对日志进行采集并做归一化处理。同时日志采集器还负责对内网资产进行扫描，收集资产数据。

广播与电视技术 〔2018 年·第45卷·第10期〕

参考文献：

［1］󰀡龚俭.网络安全势态感知综述[J].信息科技.互联网技术,󰀡2017(04):270-286.

关联分析引擎：关联分析引擎主要负责对来自日志采集器的大量日志信息进行实时流解析，并匹配关联规则，对异常行为产生关联告警。

虚拟化安全管理系统：针对目前的虚拟化环境，推荐部署虚拟化安全管理系统，实现虚拟化防病毒、虚拟化防火墙、虚拟补丁防护，解决虚拟化环境的安全问题。

3.管理区：包括数据库审计系统、安全接入SSL VPN。

数据库审计系统：在数据库服务器所在交换机通过端口镜像方式，旁路接入内网数据库审计系统，这样可以将内所有对数据库产生的操作日志都会由数据库审计进行记录，并且可以实现操作过程的日志还原。

安全接入网关：部署SSL VPN安全接入网关，针对远程办公以及移动办公人员的远程访问，提供安全高效的加密方式，保障远程访问业务时数据的安全性。

7 结束语

建设全媒体监管平台网络安全预警系统，及时了解网络行为，分析产生的后果，确保网络稳定运行，减少人为因素造成的影响，为全媒体监管平台的网络安全保驾护航。

作者简介：周丽,女,1974年生,研究生,河南省广播电视监测中心技术科副科长,高级工程师,主要从事广播电视监测工作。119