安庆电视台信息安全规划方案.doc

安庆电视台信息安全规划方案V3北京XXX科技有限公司20**年7月目录第一章方案背景 3第二章需求分析 4第三章方案设计 5第四章方案介绍 13方案背景电视台每天都要采集、加工、发布许多信息,而对电视台自身来说,每天又有比发布的信息更大量的海量信息需要处理,包括为生产发布信息而需要管理和运营的信息。从某种角度来说,电视自身处理信息能力的高低,决定了其电视节目在社会上受关注和受欢迎的程度。电视台进行数字化、网络化的优势是不言而喻的,也是全球媒体行业的大势所趋。从90开始,国内各级电视台就逐步开始电视台数字化和网络化的建设,增强数字AV设备的网络友好性,实现现有线性生产域中AV设备与新非线性生产域IT网络设备间的双向联通,把节目生产域的网络和办公业务管理域的网络有机联系起来,形成一个层次分明、分工合理、互联互通、全台大网络。数字化、网络化后也随之带来许多新的问题,首当其冲的是网络安全问题、数字化、网络化在给我们电视台带来很多便利的同时,使得电视台愈来愈离不开电脑和网络,一旦电脑或者网络出现故障,轻则给工作带来不便,重则会造成灾难性的后果。在开展数字化和网络化工作之前,必须高度重视计算机及其网络的安全管理事项,只有严格的、周全的安全管理措施,才会有一个良好、有序的、可靠地数字化、网络化电视台。下面针对安庆电视台具体网络情况做出安全建议。需求分析多出口负载均衡需求安庆电视台网络出口有两条ISP线路,分别是电信和网通的,如何合理利用两条线路成为问题,要最大限度的利用起两条线路,防止某一条线路闲置过多,同时还有保障整个网络的稳定。安全区域间的隔离安全区域的划分分为两种,一种是逻辑隔离的,一种是物理隔离的。逻辑隔离:互联网区与内网区、互联网与外网区、互联网与内网区做到逻辑隔离即可,我们建议用防火墙设备隔离。物理隔离:生产制作区是重点保护的区域之一,内网用户区与生产制作区之间应采用物理隔离,即用网闸设备隔离。整体网络安全防御由于安庆电视台直接与公网连接,所以面临着来自公网的各种攻击入侵行为,如DDOS攻击、SQL注入、溢出攻击、漏洞扫描和木马蠕虫等病毒的入侵,所以我们需要在出口处部署入侵防御设备,对攻击和病毒做一个整体的防御。日志审计与分析众多的安全设备、网络设备和服务器都会产生日志,由于各种设备本身存储日志的容量有限,而且日志分散不日查看,所以我们需要一个专业的日志审计与分析系统,将所有设备产生的日志统一存放、统一分析,最后形成报表,便于管理员对网络的维护。方案设计拓扑介绍如下图所示:在网络出口处部署负载均衡设备,实现电信、网通线路的负载均衡,充分利用现有的宽带线路,提高网络访问速度;在入侵防御系统后端部署防火墙,对内网和服务器之间,内外和外网之间,服务器区和外网之间进行访问控制;在内网和新媒体区之间部署网闸设备,实现两个区域的物理隔离。网闸的信息交换主要基于通用的应用协议(如HTTP、FTP、、SMTP、POP3、Oracle等)和用户自定义协议(TCP、UDP)的信息交换。信息交换的功能通过内外端机来实现。根据信息交换的发起源所在位置,信息交换可以分为从内端机向外端机和从外端机向内端机两个方向的数据通道。在网站服务器器区域之前部署WEB安全网关,防止外网对网站服务器,弥补网站程序本身的安全设计缺陷,防止来自网络的一些攻击,如:攻击、DDOS攻击、恶意扫描、跨站攻击和SQL注入等。在在网站服务器上部署网页防篡改软件系统,即使网站被黑客入侵,黑客也无法修改WEB服务器里的内容;,,我们建议将两个系统分开,放在网站服务器本身上面,放在专门的服务器上。生产制作区完全隔离开来,采用光盘等介质传输数据。方案介绍链路负载均衡针对多重链路架构的链路负载均衡。时,单点故障往往会引起整个网络的瘫痪,并导致重要应用无法交付。为了确保网络传输不间断,采用多条广域网链路并与不同的网络服务提供商(ISP)连接的方式得到普遍应用,这种连接方式称为多重链路网络架构。多重链路的架构提供了更可靠、效能更好的网络传输。在此架构下,一旦某一链路发生错误,网络仍能继续运作;另外,由于网络的总带宽来自于各条链路带宽的总和,因此效能更好。图1XXX负载均衡系统TopApp-LB链路备份功能基于策略路由的优化(PolicyBasedRouting),根据目的地网络地址及应用类型选择最有利的网络路径。该功能最典型的应用是根据目