应急广播总平台建设方案

应急广播总平台建设方案/1774、安全系统设计1各应用系统安全保护等级确定根据国家相关法律、法规和《广播电视相关信息系统安全等级保护定级指南》(GD/J037-2011)要求，福建省突发事件预警发布系统对接服务平台、省级应急广播总平台、福建省广播电视分平台、福建省级应急广播无线分系统、福建省应急广播有线分系统定为等级保护第三级。2网络安全域设计安全域的设计是以信息系统为核心，分析信息系统的存储、交换和使用环境，确定信息的共享范围、交换路径和存储区域，原则上同一类信息存储、交换和使用的信息设备(包括终端设备、存储设备、网络设备和应用服务器等)都应该划分为同一个安全域。所有安全域可以再细分，划分成安全子域。3跨安全域信息交换设计跨安全域的数据交换是安全防护的重点，福建省应急广播系统建设项目在跨安全域交换方面的安全设计按照《GB/T22239-2019信息安全技术网络安全等级保护基本要求》和《GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求》以及广播电视相关标准设计如下：4.3.1跨平台、跨系统的数据交换1、网络区域边界访问控制与边界完整性保护在平台和系统网络边界处设立DMZ区，建立内部网络和外部网络之间缓冲地带。在DMZ区内部署网络安全防护设备，对进出DMZ区的数据进行访问控制和检测，实现区域边界的访问控制与完整性保护。2、 网络区域边界包过滤DMZ区的网络安全设备可根据会话状态信息对进出数据流提供明确的访问控制能力，并可对源地址、目的地址、源端口、目的端口和协议进行检查以确定是否允许数据进出该区域边界。3、 建立通信协议和地址的白名单机制建立通信协议和地址的白名单机制，在实际的运行过程中可根据安全需要只允许应急广播数据所使用的专属协议通过网络设备，避免攻击者通过其他服务和端口对网络进行攻击。4、 网络区域边界安全审计开启区域边界处网络安全设备的审计机制，及时收集审计日志,且审计日志保存时长不低于六个月。5、 应急广播数据保护使用密码技术对应急广播数据进行数字签名，保证其完整性、不可否认性和抗抵赖性。3.2平台与系统内部跨域数据交换1、网络区域边界访问控制与完整性保护在总平台、分平台和分系统网络内部，按照业务功能的不同划分不同的安全域，在安全域汇聚的网络设备上通过策略路由和流量牵引等方式将流量导入相应的安全设备（如防火墙、入侵检测），实现对跨安全域数据的检测和访问控制。2、 网络区域边界包过滤安全设备可根据会话状态信息对进出数据流提供明确的访问控制能力，并可对源地址、目的地址、源端口、目的端口和协议进行检查以确定是否允许数据进出该区域边界。3、 网络区域边界安全审计开启区域边界处网络安全设备的审计机制，及时收集审计日志，且审计日志保存时长不低于六个月。4、 跨安全域远程运维使用堡垒机对远程运维进行集中管控，通过录屏、文本记录等方式对远程运维进行集中审计。4安全设计依据标准及相关规范本项目依据的国家及广播电视行业相关标准与技术规范如下：GB/T22239-2019信息安全技术网络安全等级保护基本要求；GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求；GM/T0054-2018信息系统密码应用基本要求；GD/J0037-2011广播电视相关信息系统安全等级保护定级指南;GDJ079-2018应急广播系统总体技术规范；GDJ081-2018应急广播安全保护技术规范数字签名；4.5安全系统设计原则4.5.1构建分区分域的控制体系原则在总体架构上按照分区分域保护方式进行，从结构上划分为不同的安全区域，各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施；从保护计算环境、保护边界、保护网络基础设施三个层面进行设计，并通过统一的安全管理平台来实现对基础安全设施的集中管理，构建分域的控制体系。4.5.2构建立体防御体系原则对系统的通信网络、区域边界、计算环境，综合采用访问控制、入侵检测、恶意代码防范、安全审计、防病毒、集中数据备份等多种技术和措施，实现业务应用的可用性、完整性和保密性保护，并在此基础上实现综合集中的安全管理，充分考虑各种技术的组合和功能的互补，合理利用措施，从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力。4.5.3保证一致的安全强度原则系统采用分级保障的办法，采取强度一致的安全措施，并采取统一的防护策略。4.5.4系统可扩展性和可伸缩性原则安全系统采用模块化、标准化设计，可以根据未来业务性能以及安全需求的变化而变化，实现较为平滑的扩容和升级。4.5.5风险与成本合理化原则在设计信息系统安全时，保障系统安全的情况下，需在安全需求、安全风险和安全成本之间进行平衡和折衷。4.5.6内外并重原则在进行信息系统安全设计时，既重视边界的安全防护，也重视内部安全防护，内外并重。4.6安全系统总体设计应急广播系统的整体安全体系设计遵循国家信息安全等级保护安全设计第三级以及商用密码应用等国家及行业标准的相关要求，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理10个方面来保证应急广播系统的整体安全。6.1安全物理环境本项目中应急广播系统所部署的机房已具备电子门禁、视频监控、防盗报警、防震、防风和防雨、防潮、防盗窃、防破坏、防雷击、防火、温湿度控制、防静电等安全防护措施。6.2安全通信网络应急广播系统在安全通信网络方面的设计包括网络及安全设备的能力冗余、纵深防御、安全审计、数据保护等。安全通信网络通过防火墙、入侵检测、密码服务系统等安全设备实现，具体设计内容如下：网络及安全设备的能力冗余福建省应急广播系统中总平台、分平台和分系统中关键网络设备的业务处理能力和网络带宽具备能力冗余，可满足业务高峰期需要,保证系统的可用性。分区分域、纵深防御应急广播系统内部按照功能划分不同的安全区域，区域之间采取物理或逻辑隔离。其中，应急广播核心设备和系统按照纵深防御原则,部署在内部核心网络，与其他网络之间部署访问控制设备，保证其安全性。通信网络的安全审计应急广播系统中网络和安全设备都具有安全审计机制和能力，安全管理中心负责审计日志的集中管理和分析。通信网络数据传输完整性保护应急广播系统使用密码技术对应急广播数据进行数字签名，保证其传输过程中的完整性、不可否认性和抗抵赖性4.6.3安全区域边界福建省应急广播系统建设项目中，区域边界指的是省突系统与省级应急广播总平台、总平台与分平台和分系统网络区域边界，以及总平台、分平台和分系统内部安全域之间的区域边界。安全区域边界通过防火墙、网络设备、入侵检测系统、堡垒机、审计系统等安全设备实现。应急广播系统在安全区域边界方面的设计包括对网络的区域边界访问控制、区域边界包过滤、区域边界安全审计、远程访问和审计等，具体设计内容如下：区域边界访问控制在总平台、分平台和分系统的网络边界处设立DMZ区，建立内部网络和外部网络之间缓冲地带。在DMZ区内部部署网络安全防护设备，对内部设备访问外部网络以及外部网络访问内部设备的数据进行访问控制。在平台和系统内部，使用防火墙和网络设备对不同安全域之间的访问行为进行访问控制。区域边界包过滤应急广播系统边界处的网络安全设备可根据会话状态信息对进出数据流提供明确的访问控制能力，并可对源地址、目的地址、源端口、目的端口和协议进行检查以确定是否允许数据进出该区域边界。同时，可实现基于应用协议和应用内容的访问控制，在实际的运行过程中可根据安全需要只允许应急广播数据所使用的专属协议通过网络设备，避免攻击者通过其他服务和端口对网络进行攻击。区域边界安全审计应急广播系统区域边界处的网络安全设备都具有审计机制，并可通过接口发送审计日志到安全管理中心，由安全管理中心进行日志的集中管理和分析。区域边界完整性保护a） 在总平台、分平台和分系统的网络边界以及关键节点处部署入侵防范设备，可检测外部和内部发起的网络攻击行为，并提供告警;边界处的网络安全设备可对进出网络的数据流实现基于协议和内容的访问控制。b） 在平台和系统内部边界关键节点处部署入侵防范设备，检测网络攻击及恶意代码，并提供告警。入侵防范设备可对进出网络的数据流实现基于协议和内容的访问控制。（5）远程访问和审计应急广播系统部署安全运维设备（堡垒机），对通过外部网络访问本地设备的用户进行身份鉴别，保障其合法性；通过对远程过程中对设备的操作行为进行视频和文字的全面审计，保证事后可追溯。4.6.4安全计算环境应急广播系统在安全计算环境方面的设计包括访问控制、身份鉴别、安全审计、恶意代码防范、数据机密性与完整性、客体安全重用、入侵检测和恶意代码防范等内容。安全计算环境通过数字证书系统、密码服务系统、防病毒系统、堡垒机、审计系统等安全设备实现，具体设计如下：（1）用户身份鉴别应急广播系统支持用户标识和用户身份鉴别。在对每一个用户注册到系统时，采用用户名和用户标识符标识用户身份，并且可确保在系统整个生存周期用户标识的唯一性。应急广播系统可使用密码技术对鉴别信息进行机密性和完整性保护。（2） 访问控制应急广播系统采用基于角色的权限模型，实现管理用户的权限分离，为不同的角色授予不同的访问权限，禁止特权账户的使用。用户权限的粒度为文件或数据库表级。（3） 系统安全审计应急广播业务系统可对登录用户的操作行为进行审计。审计内容包括日期和时间、事件类型、用户身份和操作行为等。审计记录存储在数据库中，通过数据库身份鉴别机制保护数据不被非授权用户访问和更改。（4） 数据完整性保护应急广播数据在生成、传输、存储全生命周期通过密码技术保证其完整性、不可否认性和抗抵赖性。用户身份鉴别数据使用密码技术加密后存储在数据库中，保证其完整性。（5） 用户鉴别数据机密性保护用户身份鉴别数据使用密码技术加密后存储在数据库中，保证其机密性，即使数据泄露，攻击者也无法通过鉴别数据获得有价值信息。（6） 剩余信息保护和重用对于应急广播系统内记录了敏感数据的存储设备，在进行重用前,都将使用专用的数据擦写工具将敏感数据完全清除后再重新使用。（7） 入侵检测和恶意代码防范应急广播系统使用的主机和服务器内安装杀毒软件，使其具有恶意代码攻击的技术防护能力。同时，应急广播系统使用的主机和服务器将遵循最小安装的原则，仅安装必要的组件和应用，关闭不需要的系统服务、默认共享和高危端口。4.6・5安全管理中心应急广播系统在安全管理中心方面的设计包括系统管理、审计管理、安全管理、集中管控等。具体设计内容如下：应急广播业务系统可按照权限分离原则对管理用户、审计用户和操作用户进行身份鉴别，并可对其操作行为进行审计。应急广播系统使用集中管控设备对系统的主机和服务器等设备进行集中管理。应急广播系统使用安全管理中心设备对网络内相关设备产生的审计数据进行收集汇总和集中分析。审计记录的留存时间不少于六个月。应急广播系统设立专有通道对系统内的安全设备和组件进行管控。4.6.6安全管理制度应急广播系统运行单位结合本单位实际情况，在现有安全制度的基础上，详细制定网络安全工作的总体方针和安全策略，完善制度体系建设，具体内容如下：制定和完善各项安全管理制度，形成由安全策略、管理制度、操作规程、记录表单构成的安全管理制度体系。（2） 制定和完善密码设备的安全管理制度及操作规范。（3） 明确相关管理制度发布流程，定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。4.6.7安全管理机构应急广播系统的安全管理机构方面的设计包括岗位设置、人员配备、授权和审批、沟通和合同、审核检查等。具体设计内容如下：（1） 应急广播系统运行单位明确相关部门和人员在应急广播系统日常运行过程中的职责和权限，对关键岗位建立权限分离机制。（2） 配备的系统管理员、审计管理员和安全管理员可满足应急广播日常运行需要。（3） 建立应急广播系统变更、重要操作、物理访问等事项审批程序，涉及到应急广播系统的变更，需按照程序办理。（4） 该项目将建立单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息。加强各部门、各单位之间的合作与沟通，定期召开协调会议。（5） 安全与系统管理人员定期对系统日常运行、系统漏洞等情况进行安全检查。4.6.8安全管理人员应急广播系统在安全管理人员方面的设计包括人员录用、离岗、考核、培训等。具体设计内容如下：（1） 应急广播系统运行单位对系统中密码设备的日常使用和运维人员的身份、背景和相关资格进行审查，并与关键岗位人员签署保密协议。（2） 人员离岗时应终止该岗位的所有访问权限，收回各种证件及软硬件设备。（3） 定期组织对人员进行培训和技能考核。（4） 对于外部访问人员，将按照运行单位的管理制度执行。4.6.9安全建设管理应急广播系统在安全建设管理方面的设计包括定级和备案、安全方案设计、产品采购和使用、软件开发、工程实施、验收、交付等。具体设计内容如下：（1） 按照国家及广播电视行业相关标准，应急广播系统总平台及省级分平台定位三级。（2） 在项目进行中，组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定。并将定级结果和相关材料报送主管部门的相应公安机关备案。（3） 依据应急广播系统保护对象的安全保护等级以及于其他级别保护对象的关系进行安全整体规划和方案设计，该方案中包括了网络安全方案和密码技术应用方案。（4） 本次建设中网络安全产品采购和使用符合国家的有关规定,密码产品与服务的采购和使用符合国家密码管理部门以及广播电视行业相关标准的要求。（5） 本次建设中的软件系统需由开发单位提供软件使用指南和相关说明。（6） 应急广播系统在上线前将进行安全测试和商用密码应用安全性评估，并出具测试报告。（7） 系统上线后将按照国家相关要求定期开展等级保护测评，测评机构的选择符合国家有关规定。4.6.10安全运维管理应急广播系统在安全运维管理方面的设计包括资产管理、设备维护管理、介质管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、安全事件处理等，具体设计内容如下：（1） 应急系统建设单位指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度、消防设施进行维护管理。（2） 建立机房安全管理制度。（3） 依据资产重要程度对应急广播系统中资产进行标识管理，根据资产的价值选择相应的管理措施。（4） 应急广播系统介质实行使用和存储专人管理。存储介质报废或重用前，依据相关管理制度，进行信息的完全清除或覆盖。定期对系统开展安全检查，对发现的漏洞和隐患及时进行修补。记录和保存基本配置信息，包括网络拓扑、设备安装组件、软件版本和补丁信息。密码产品及服务应使用国家密码管理部门认证核准的密码技术和产品，其技术参数应符合广播电视应急广播相关标准。制定应急广播系统应急预案安全框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训。4.7安全系统详细设计福建省应急广播总平台安全按照国家网络安全等级保护设计技术要求标准进行设计，其通过电子政务外网接收来自预警发布平台的应急消息，同时通过电子政务外网将应急广播数据发送至分平台和分系统。下图是总平台安全部署示意图：

图47福建省应急广播总平台示意图依据应急广播总平台的业务情况，按照网络安全等级保护第三级标准进行设计，通过使用防火墙、数据库审计、堡垒机、云安全管理系统、虚拟化防火墙、防病毒系统、密码安全系统、安全管理中心等安全设备保障系统的安全稳定运行。1、边界防火墙访问控制边界防火墙用于对进出应急广播总平台网络的数据进行访问控制，阻止非授权访问行为。防火墙可实施访问的白名单功能，仅允许与应急广播总平台有数据交换的系统进行访问，对于非白名单中的访问行为一律阻止，可最大程度保护应急广播总平台的安全。数据包检测边界防火墙具有数据包深度检测功能，可对进出网络的数据流量进行深度分析，可检测其中的恶意攻击和恶意代码。2、核心交换机分区分域应急广播总平台使用核心交换机通过使用vlan技术对网络内部进行安全区域划分，将总平台划分为监视大屏区、系统及安全服务区和应急广播应用服务区，应急广播应用服务区按照业务内容的不同可进一步划分为信息接入区、资源管理区、运维管理区、分发传输区等子区域。访问控制对于区域之间的访问行为，按照业务需求开放网络的互访权限。网络能力冗余应急广播总平台的网络交换设备在设计时可满足数据交换需求,同时其处理能力和网络带宽具备能力冗余，可满足业务高峰期需要,保证系统的可用性。3、 云安全管理平台应急广播总平台中的应急广播业务系统部署在虚拟化平台中，为了更加有效的进行云平台的安全东西向和南北向流量的安全防护，该项目将部署云安全管理平台，云安全管理平台可统一管理部署云平台中的安全资源，对其进行统一调度，并可根据业务的安全防护需求动态调整安全资源，可有效保护云平台中业务系统的安全稳定运行。4、 虚拟化防火墙虚拟化防火墙通过和云平台和云安全管理平台集成，接收云安全管理平台的统一调度，可对云平台内部虚拟机实行访问控制和数据包深度检测，实现云平台内部东西向流量的安全防护。5、 数据库审计系统数据库审计系统通过软件的方式部署于虚拟化平台中，可对应急广播业务系统数据库的相关行为进行审计，及时发现恶意访问及内部人员非授权访问行为，保证数据库的安全。6、 堡垒机（运维审计系统）堡垒机用于为监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，对运维人员进行权限控制与审计，以便集中报警、及时处理及审计定责。7、 防病毒系统防病毒系统由防病毒中心和防病毒客户端组成。防病毒客户端部署在虚拟机中，用于实现虚拟机的病毒防护。防病毒中心用户向防病毒客户端下发病毒特征库。8、 等保工具箱等保工具箱用于日常对网络内的主机、web系统进行漏洞扫描和基线配置核查，及时发现系统内的相关漏洞。9、 密码安全系统密码安全系统用于对应急广播系统中的敏感数据进行加密保护。使用密码算法与密码技术实现对应急广播信息、应急广播消息、应急广播传输覆盖指令等应急广播数据的完整性、真实性和抗抵赖性的保护。使用密码算法与密码技术实现对其他敏感数据（如用户身份验证数据）的保护。10、 安全管理中心应急广播总平台的安全管理中心使用大数据技术，对网络内部的安全运行数据、安全日志、安全设备数据等内容进行集中审计和分析,并通过图形化的方式对网络内的安全态势进行展示。4.8密码技术应用方案4.8.1密码应用工作流程 请求签名7

应急广播消息发送端匕返回签名。硬件密码产品 wmfc Y 签名验证7 应急广播消息接收端匕返回结果卩硬件密码产品 X 图48应急广播系统密码应用简要流程（1） 应急广播消息产生后使用密码技术对其进行数字签名，签名后的数据以及原始应急广播消息经压缩后通过网络传输到应急广播系统中。（2） 应急广播系统接收到应急广播消息后将其解压缩，然后将原消息和签名数据送入硬件密码产品（加密机或者是硬件加密模块）中进行签名验证，验证通过后将消息进行二次签需和封装，发送到下一级应急广播系统。1、应急广播信息的数字签名机制应急广播信息采用数字签名方式实现其真实性、合法性和完整性保护。应急广播节目资源文件的摘要存储在应急广播信息主体文件中,

应急广播信息主体文件采用应急广播平台制作播发系统的私钥进行签名，该签名存储在应急广播信息签名文件中，应急广播信息签名文发送端私钥验证数字签名件中包含了应急广播信息主体文件的标识。发送端私钥验证数字签名发送端数字证书图49应急广播系统密码应用简要流程2、应急广播消息的数字签名机制应急广播各级系统之间的应急广播消息传递采用XML文件签名的方式进行保护，应急广播平台调度控制系统组织好待签名的XML格式应急广播消息后，使用应急广播平台调度控制系统的私钥进行签名,签名结果以XML签名文件形式与应急广播消息文件一起发送。接收时使用应急广播平台调度控制系统数字证书和XML签名文件对应急广播消息文件进行签名验证，确认应急广播消息的真实性、合法性和完整性，应急广播消息的数字签名机制如下图所示。XML消息文件XML消息文件计算数字签名XMLXML消息文件计算数字签名XML签名文件验证数字签名发送端私钥发送端数字证书发送端私钥图50应急广播系统密码应用简要流程3、应急广播传输覆盖指令数字签名机制

应急广播传输覆盖指令采用数字签名机制实现安全保护。应急广播传输覆盖指令发送端将应急广播传输覆盖指令、签名时间等打包，用应急广播传输覆盖指令发送端私钥计算数字签名；应急广播传输覆盖指令发送端将计算出的数字签名与