摘要：本文介紹了北京市懷柔區融媒體中心新媒體系統網絡安全防護的系統設計、網絡架構、安全域的劃分，結合實際闡述了如何對新媒體系統的外網出口和系統內各個域之間實施網絡安全防護，以達到保障網絡安全和播出安全并通過相關法律、法規要求的網絡安全等級保護二級測評的目的。

　　關鍵詞：DMZ；網絡安全；防火墻；安全域；冗余

　　1引言

　　隨著北京市懷柔區融媒體中心新媒體、移動端業務的快速開展和不斷推進，需要進一步強化新媒體平臺的安全性。如何確保平臺安全穩定運行，以及重要信息完整、可靠、不泄漏，保障安全播出，已成為當前亟需解決的問題。本中心參照《網絡安全法》和《信息系統安全等級保護基本要求》的相關規定，結合中心的實際情況，在機房物理環境安全、服務器主機安全、網絡安全、數據安全和安全制度管理等方面進行整改建設，排除安全隱患，以提高系統抵御攻擊能力，從整體上提升中心新媒體平臺系統的安全防護水平。

　　2物理安全防護

　　懷柔區融媒體中心采取的物理安全防護措施包括五個方面。

　　一是中心機房配備防盜報警器，能夠清晰錄下現場作案者的圖像、語音，遠程遙控布防撤防或緊急報警，外接喇叭接口能聲光報警。

　　二是設置自動氣體滅火消防系統，自動監測火情，自動報警，并自動噴灑七氟丙烷滅火；機房、工作場所建筑材料采用耐火材料；機房采用耐火阻燃隔離設施，將重要設備與其他設備隔離開。

　　三是配備專用機房空調，保障設備運行在適宜的溫濕度環境下，防止設備在非正常環境下運行造成安全隱患；采取必要的防水防滲保護措施，并安裝了溫濕度傳感報警設備。

　　3網絡安全防護

　　3.1安全域劃分

　　安全域是由實施共同安全策略的主體和客體組成的集合。安全域的劃分可以理順系統架構，最大程度地為系統防護提供依據。網絡安全域是指同一系統內有相同的安全防護護需求，計算機彼此間建立了信任關系，并具有相同的邊界控制策略、安全訪問控制和安全策略的網絡。新媒體平臺的安全域可分為核心區縱向系統（互聯網接入區及核心交換）、公共服務區（DMZ區）、三級業務區、視頻服務區（Sobey視頻編輯系統）、安全管理區、內部辦公區等6個部分。對于安全域的邊界整合問題，根據組織結構和業務的相似性可以對安全域有選擇地進行整體性保護，其基本原則是在保障業務系統的前提下，在安全域放置高效防火墻進行邊界隔離，且防火墻必須具備負載均衡、雙機熱備的能力。

　　3.2通信安全網絡防護

　　按照等級保護三級的要求，平臺通常需要設置兩個或兩個以上來自不同運營商的外網出口，并且這些外網不能來自于同一根光纖線纜，如一條移動線路和一條聯通線路。當一條線路故障時，數據自動快速切換，把用戶導向服務器質量最好的一條線路上，保證對外應用與內網辦公用戶訪問互聯網資源不受影響。為實現這一需求，中心選用了鏈路負載均衡解決方案，在其靜態和動態的就近判斷以及鏈路帶寬檢測策略的基礎上，定制特定的路由策略，能夠基于源地址、目的地址以及應用業務來命中特定鏈路。一些用戶的服務器被現有移動運營商IP限制，即使在增加聯通鏈路后，訪問這些特定服務器仍然必須使用移動鏈路。而使用負載均衡，能夠通過路由策略來解決上述問題。

　　4安全管理制度

　　除了采用信息安全技術措施抵御信息安全威脅外，安全管理制度也是本中心新媒體平臺網絡安全保護建設中十分重要的一部分，所謂“三分技術，七分管理”就是這個道理。安全技術措施和安全管理制度可以相互補充，共同構建全面、有效的信息安全保障體系。為此，本中心建立健全了安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等體系制度。

　　5總結

　　自2018年建成以來，懷柔區融媒體中心網絡安全保護項目對中心的平臺系統起到了很好的保護效果，保障了本中心主要節假日和重要安全播出保障期的安全播出，為中心更好地宣傳黨和的大政方針，加強輿論導向，服務廣大人民群眾發揮了重要作用。

　　任杰