一、項目概況

    為了提升中央電視臺信息網絡安全的整體水平，有效防止各種病毒侵害、黑客攻擊以及人為操作不當引起的安全隱患，逐步形成“用戶意識加技術防範”的信息網絡安全立體防禦體系，信息通信處按照臺領導指示精神，組織實施了“全臺信息網絡安全技術項目”。

    信息網絡安全技術項目涉及全臺網絡安全改造、終端安全管理和系統安全管理。項目啟動後，信息網絡安全項目組對中央電視臺網絡、系統、應用及安全管理做了較為充分、詳細的需求調研，對項目需求、相關技術及市場動態作了分析，編制了需求分析文檔和技術實施方案。在此基礎上，依據項目計劃，開始項目實施工作，于2007年12月25日完成所有硬體的實施。

    二、項目實際完成情況

    全臺信息網絡安全技術項目的改造包括網絡安全改造、桌面終端管理、安全管理平臺、統一認證增強、安全加固等五個部分。改造範圍涉及全臺網絡設備、服務器和臺外終端。並通過開發安全管理平臺軟體，實現故障信息的匯總、顯示和統計。實施工作是以《中央電視臺信息網絡安全諮詢項目規劃報告》為目標，以《中央電視臺信息網絡安全技術方案》為依據，以不影響現有應用和業務為原則。改造後實現全臺核心網絡無單點故障、服務器和網絡設備配置得到有效加固併為終端用戶提供有效的管理、監控和維護手段。

    2007年3月26日，項目正式啟動，確定了工作目標，分配了任務，工作全面展開。4月16日，完成網絡安全改造項目的初步設計方案和網絡安全改造需求書，進行需求書的討論和確認。4月～5月，項目組針對項目所涉及候選網絡設備、網絡安全設備及軟體進行了全面測試，撰寫産品測試報告，並於5月初正式提交《測試報告》。5月～6月，撰寫詳細的設計方案，對全網進行了重新規劃，並提交産品報價清單。6月24日，通過四級審批。7月～8月，進入設備招標階段，撰寫招標文件；同時進行了實施割接方案撰寫、討論、確認工作；8月，完成所有産品招標，進入設備採購階段；9月底，採購設備到貨。10月～12月，系統全面進入實施部署階段，為提高工作效率，各子項目並行實施。

    1. 網絡改造工作

    網絡安全改造按照現有系統分為綜合新聞系統、體育廣經系統、SATA系統、數據中心繫統、IDS入侵檢測系統、防火墻系統，共6個部分。改造範圍是中央電視臺全臺網絡系統。具體工作包括：

    （1）全臺綜合業務終端統一DHCP改造工作；

    （2）整理並完善了中央電視臺IP地址規劃；

    （3）實現了綜合業務網的核心設備冗余、網絡結構調整、重構網絡路由；

    （4）新聞共享系統與綜合業務系統剝離；

    （5）新建新聞共享系統核心網絡交換機、實現核心冗余、調整網絡結構；

    （6）SATA系統核心設備冗余、重構網絡路由；

    （7）體育/廣經系統內外網核心設備冗余、網絡結構優化；

    （8）數據中心繫統核心設備冗余、替換四層交換機、調整防火墻和關鍵服務器雙上聯；

    （9）IDS系統部署；

    （10）整理並完善了中央電視臺採用新購防火墻替換了現有的3個外網出口，並對外聯平臺和外網隔離區現有的單防火墻作雙冗余。

    2. 安全加固措施

    安全加固按照設備類型，分為服務器安全加固和網絡設備安全加固。具體工作包括：

    （1）50臺Linux、Windows、Solaris、AIX等操作系統的服務器安全加固工作；

    （2）179臺網絡設備的安全加固工作，設備類型涵蓋所有三層、二層的交換機；

    （3）防火墻設備安全加固和策略統計；

    （4）整理出4類服務器操作系統安全加固手冊（Linux、AIX、Windows、Solaris）、7類交換機的安全加固手冊（Cisco3750、Cisco4506-6509、北電1600、北電8600-8100、北電BPS2000、北電BS450、北電BS470），為日後新設備的安全配置提供指導意見。

    3. 統一認證系統密碼增強改造

    在不破壞原認證系統的工作模式的原則下，修改了現有綜合業務門戶登錄認證方式，在口令設置、登錄、口令恢復、賬戶審核等四個方面進行強化，從而提供更加安全、合理的登錄控制、密碼控制等功能。

    4. 終端安全管理

    為了提高終端維護工作的效率，增強終端系統的安全性，在項目中對臺外地區使用的綜合信息網終端部署了終端管理軟體。終端管理系統可根據全網終端安全管理需求制定安全管理策略，對所有終端設備實施安全應用管理，具體包括：安全策略管理、終端資産管理（軟、硬體）、進程管理、阻斷非法內聯、監控非法外聯行為、終端運維管理、終端安全及行為審計、報警處理等功能。

    同時，為了保護已有投資，減少對業務系統正常運行的影響，在新聞共享系統原有300個點LANDesk終端管理系統的基礎上，針對新聞共享系統新增終端，以及體育/廣經製作系統的粗編工作站部署了100個點。

    5. 安全管理平臺

    集成商根據中央電視臺的業務特點和需求，對原有産品進行二次開發，採用集成化的管理平臺技術實現對中央電視臺的服務器、網絡設備、應用服務等運行狀態的實時監測，並對故障進行分析和報警。實現網絡運行、維護管理一體化，利用管理平台中提供的分析工具、管理工具提高了系統維護的效率。項目經過詳細需求分析、軟體功能開發、軟體黑盒測試、軟體部署配置等工作，目前已經進入試運行階段。

    （技術管理辦公室信息通信處提供）

    技術管理辦公室2007年委託維護項目安全播出會

責編：周子皓