CNTV央视国际网络有限公司网络安全建设

央视国际网络无锡有限公司，是中国网络电视台唯一一家全资子公司、是央视网南方基地、中国国家网络播出机构的新媒体产业基地。基于CNTV一云多屏全球传播的新媒体发展战略和品牌优势，CNTV以“和谐网络、丰富视听”为公司使命，致力打造中国最具影响力的新媒体海量数据云平台，促进新媒体产业跨越性发展，缔造新媒体产业云服务提供商。

需求分析

中国网络电视台需要经常直播全民关注的各种国内外重大事件，在线访问流量经常会呈现突发性大幅度跃升态势，面临来自网络的攻击也会因重大事件的不同性质而呈现不同的威胁类型，威胁数量和攻击强度。如2016年9月3日的国庆大阅兵，CVTV春晚，里约奥运会等在线直播业务，网络安全设备都面临海量业务访问的环境。但是央视国际网络无锡有限公司的原有安全设备在并发会话、新建链接处理能力上都已经到了瓶颈期，不能承载越来越多的业务。与此同时央视国际的IDC业务的上线，也导致了东西向流量突增，承载大量内部流量的防火墙吞吐性能也已达到了瓶颈，功能也出现了局限性。再者，由于CNTV有大量的移动办公人员，需要安全的接入中心内网。因此CNTV要求新的网络安全架构至少满足未来5年发展需求：

● 从容应对海量访问，确保关键业务万无一失：

CNTV原有的网络基础架构是单一部署，业务承载能力已达到上限。新的安全网络架构必须要能够应对海量访问，同时可以抵御各种大规模网络攻击带来的威胁，例如拒绝服务攻击、大量扫描、漏洞利用、应用渗透等。CNTV流量峰值最高可达7~8Gbps，并发也有千万级别，这就需要部署在互联网出口的防火墙性能达到高端万兆处理能力的要求，并且具有较高的稳定性。

●IDC东西向流量安全管控,内网安全不成为瓶颈：

CNTV的IDC包括三个内部大网，其之间互相传输的业务重要程度、流量大小、突发性、安全性等都有较大的区别。但是单一的核心交换网络却没有办法将其进行很好的区分，更没有办法进行细化的安全检测和管理控制。

● 全面的安全防护需求：

由于北京业务服务器南移至无锡中心，大量的分公司员工、外部服务商等都需要由外部互联网接入内网业务，这造成了CNTV的办公网络业务环境复杂。因此不仅需要成熟稳定安全高效的VPN接入技术，同时也需要保证其数据接入的可视和可控性，并且能够对抗网络攻击、病毒木马、渗透等因素导致的业务运行异常的情况。

●可视化轻松运维和审计要求：

由于CNTV业务繁多，网络管理员需要全面的可视化监管工具对全网以及重要、特定的业务进行易操作、易维护的监管。不论是针对等保或者82号令等合规性的要求，还是遇到恶意入侵、紧急故障等安全问题时，都需要做到有据可查。

解决方案

经过在办公网和互联网出口的严格测试，山石网科为CNTV央视国际提供了一整套安全解决方案：

●在互联网边界区域，数台具有高性能、高可靠且可扩展的山石网科下一代防火墙替换了原有厂商的防火墙形成HA架构，加上创新的PeerMode处理技术，使得其获得了业界一流的针对非对称流量的冗余加固措施，在可预见的5年发展期间内领先于业界同行水平。

●作为在互联网出口、IDC一期、IDC二期和办公网内部的核心转发设备，开启了防病毒和入侵防御功能的同时，将所有区域进行了严格地逻辑隔离，部署了细化的安全策略，高性能的并行安全处理架构承载了巨大流量的转发、分析与可视化呈现等业务，针对东西南北向的流量都做到了安全可控。

●在办公网边界部署了山石网科下一代防火墙，为全公司办公人员提供上网服务、内部非核心业务的发布以及VPN接入服务，山石网科下一代防火墙开启了入侵防御，防病毒，流控和URL过滤功能。

●在不同区域的下一代防火墙都配置了针对性的审计和监控策略，对重要的业务和访问行为都进行了严格的审计和监控措施。符合等保和后期建设要求基础的同时，一旦遭遇恶意入侵和安全事件也可以进行快速定位和行为取证。

运行效果

山石网科安全设备无论是在前期的测试阶段，还是在后期互联网出口和核心网业务突增时，都表现出了出色的测试效果，其极强的性能和稳定性都受到了用户的高度认可。从2015年开始，山石网科安全设备日均阻断互联网发起的攻击超过2亿5千万次，现网流量峰值超过7Gbps。 稳定支撑了CNTV春晚、奥运会、欧洲杯、阅兵礼等大型活动的直播和直播中国等相关媒体业务的运行，为央视网络媒体业务的发展做出了突出的贡献。时至今日，已经无故障稳定运行了2年多。