央视国际内网安全联动系统建设

转播奥运节目5500小时；网站访问量超越历史峰值，开幕式当晚便突破5.5亿次——这是奥运史上首次独立于电视之外的唯一转播新媒体央视国际（央视网、CCTV.com）在北京奥运会上创造的奇迹。这一奇迹背后，离不开高性能高安全网络解决方案的科技助力。

应用背景：

中央国际网络有线公司（以下简称央视网 CCTV.COM）是集新闻、信息、娱乐、服务为一体，具有视听、互动特色的综合网络媒体。利用全新的技术手段和多媒体平台，为网民提供权威、全面、迅速、准确的网络直播、轮播、点播节目，是央视网建设的目标和追求。

为保证高效、安全的完成奥运转播任务，央视网针对网络大容量、高可靠性传输需求，先进行了外网安全改造。但同时，央视国际内网仍面临着系列内网的问题，例如外协人员通过HUB或者桌面路由器随意接入网络，网络带宽被P2P或者视频流占用，设备各自为政，管理员无法掌控全局形势并快速定位网络事故等。在奥运转播期间，节目制作和网络维护人员都在内网办公，一旦内网出现问题，势必影响上亿人通过网络平台实时观看奥运信息，内网安全改造迫在眉睫。改造目的主要是提高内网的安全防护水平、带宽资源的合理利用，网络日志行为审计等需求，提高整个内网的安全防御与统一管理。

解决方案：

整个方案以部署“内网控制解决方案”为主。首先，在内网核心区采用两台高性能的万兆交换机S7500，保证内网交换稳定可靠。

其次，通过部署防火墙、ACG应用控制网关和EAD终端准入控制系统，实现了对内网的三重防护，全面安全。防火墙抵御来自外网的网络攻击和病毒过滤；ACG可以基于IP/IP组/用户/时间/应用/带宽等实现精细化带宽管理，帮助用户全面了解网络应用，优化其带宽资源，并通过EAD联动，直接识别用户名，而不用针对IP地址进行管理，有效进行事后审计，保证内网出口带宽；EAD避免非法用户接入的同时，确保每一个接入端点的健康性，预防内网病毒、蠕虫的泛滥，通过身份认证—安全认证—动态授权—行为审计四步骤，确保内网用户接入安全。

第三，部署SecCenter，通过其强大的日志管理和报表功能，为用户提供整网安全审计报告，帮助网管快速定位网络安全问题；同时，结合iMC精细的设备管理和灵活的拓扑管理，极大降低了网络管理的强度。

第四，通过EAD进行事前预防，通过防火墙、EAD、SecCenter、iMC进行安全联动，可以对威胁进行追根溯源，变被动防御为主动预防；防火墙安全防护设备对内网攻击进行实时阻断，并上报安全管理平台，由安全管理平台分析后与网络和安全设备联动，控制攻击来源，避免威胁的再次发生，并且为用户提供整网安全审计报告。通过事前的预防、事中的响应和事后的审计实现智能联动、主动防御。

实施效果：

通过对终端安全状态进行评估，使得只有符合策略的终端才能准许访问网络，使过去的单点防御，变为完整的立体安全防御；同时由于对终端的软件使用情况进行了监控和管理，提高用户的办公效率；通过精细化的带宽管理保证了正常办公业务的有效带宽，并与EAD相结合实现基于用户名的事后审计；同时管理员通过智能的统一管理，有效减轻了工作量；央视国际内部网络实现了从简单防范到系统化管理的转变。奥运期间，央视国际网络运行稳定，高效、圆满的完成了奥运转播的任务。