構建高安全管控下的全臺制播網

高 虎

（天津電視臺 網絡管理部，天津 300070）

1 天津電視臺全臺網的發展歷程

天津電視臺網絡制播系統經歷了以下階段：

1）非編單機階段，臺內制作節目的設備在傳統線形對編設備的基礎上開始出現非線性編輯單機；

2）局部網絡化階段，為提高節目編輯效率，天津電視臺自2001年開始建設非編網參與節目制播，但網間的節目傳輸仍需依托磁帶介質，形成“孤島”式網絡系統；

3）全臺網階段，天津電視臺以搬遷新大樓為契機，構建了在全臺一個基礎網絡下實現辦公、節目制作、節目管理和節目播出等業務的全臺網制播網架構。

2 全臺網環境下信息安全建設的必要性

隨著全國各大電視臺網絡化工作的普遍推進和日益廣泛的應用，全臺網信息安全建設與完善逐漸被電視臺所重視。

國家廣電總局于2011年發布了《廣播電視安全播出管理規定》（總局令第62號）[1]，明確提出要開展信息系統等級保護工作。為進一步貫徹落實相關要求，廣電總局先后制定了《廣播電視相關信息系統安全等級保護定級指南》[2]和《廣播電視相關信息系統安全等級保護基本要求》[3]等相關標準與規范，作為規范全行業信息安全等級保護工作，提升安全播出保障能力的基礎性標準。

天津電視臺的全臺制播網支撐日常辦公的多項業務，參與多個頻道節目制作、播出以及多檔新聞節目的直播工作，承擔了正確輿論導向的宣傳工作，不容有失。

3 天津電視臺信息安全建設的規劃和實現目標

信息安全建設作為天津電視臺新臺址的重要組成部分，在保障全臺網的穩定運行和核心制播業務的安全高效方面意義重大。天津電視臺自2009年開始有序規劃、分步推進全臺網的信息安全建設，構建支撐辦公外網接入、辦公內網業務和節目制播核心業務等多項功能的全臺網系統。

天津電視臺全臺信息安全建設以實現并保障安全播出為核心思想，基于此要求分步實現以下4個建設目標：

1）構建天津電視臺信息安全基礎防護體系，劃分清晰的安全域，確保辦公和制播業務的正常進行；

2）對天津電視臺的核心業務系統——播出系統的邊界部署符合國家及國家廣電總局相關命令與規定的安全防護措施；

3）根據國家廣電總局等保要求細則，完善天津電視臺三級制播系統的信息安全防護體系，并通過相關機構測評；

4）建立全臺統一信息安全監控平臺，實現對臺內信息安全的狀態可控、可管。

4 天津電視臺信息安全建設的主要內容

4.1 構建信息安全基礎防護體系

天津電視臺基礎網絡采用核心、匯聚、接入3層架構，核心、匯聚都采用雙機架構，在新大樓不同區域內構建4對匯聚交換機，通過萬兆上聯核心交換機，并通過萬兆端口連接樓層接入交換機。

辦公網絡接入層可以使用有線接入和無線接入兩種模式。

Internet接入區域是天津電視臺新臺址辦公網和生產網的對外出口，分別接入聯通、電信2條百兆光纖專線，如圖1所示。

根據具體的網絡結構和業務運行特點，天津電視臺詳細規劃了信息安全基礎防護體系：

圖1 天津電視臺現有辦公網架構

首先，根據天津電視臺全臺網實際運行情況，明確劃分網絡安全域，并分別針對互聯網接入區、辦公網、生產網絡以及內外網交互區制定相應的安全方案。

針對互聯網接入區，選擇了防火墻、鏈路負載均衡、入侵防御、安全網關、流量控制、SSL VPN等設備；針對辦公安全域構建了漏洞掃描、防病毒軟件、終端安全管理等系統；針對生產網安全域架設了防火墻和入侵檢測設備；針對內外網交互安全域設置了安全網關和網閘設備，從而初步建設起天津電視臺全臺網基礎防護體系。

面臨眾多安全產品和管理手段，構建統一的安全管理中心勢在必行，因而建立了安全運維管理中心，實現了對安全設備的集中監控和管理。網絡安全一期項目架構如圖2所示。

圖2 網絡安全一期項目架構

4.2 構建播出系統邊界安全防護體系

根據國家廣電總局62號令及廣電相關系統信息安全等級保護相關要求，天津電視臺著力對播出系統網絡邊界部署信息安全防護措施。改造前播出系統如圖3所示。

圖3 天津電視臺播出系統改造前拓撲圖

按照播出系統現有的邊界，全臺備播系統和播出系統之間通過3臺交換機進行互聯。

全臺備播系統和播出系統之間的控制信息和視頻數據均通過交換機轉發，控制信息數據用百兆以太網電口線路傳輸，視頻數據用千兆以太網光纖傳輸。

因為備播與播出系統間存在直接的網絡連接，因此播出系統面臨安全威脅，還包括未授權訪問、惡意代碼擴散等各種各樣的攻擊。通過備播系統對播出系統進行惡意訪問請求、非法訪問行為，以及通過網絡傳播的病毒、蠕蟲將對安全播出帶來巨大的負面影響，這些安全風險造成的后果無法用經濟損失來估算。

部署在播出系統對外鏈路上的訪問控制系統及安全隔離系統是必不可少的。備播系統通過主干平臺與臺內其他業務系統相連，可能存在的病毒、木馬都將威脅播出系統，而播出邊界各個網絡及安全設備、操作系統終端自身存在的漏洞也是外部威脅所攻擊、利用的薄弱點。

基于以上風險和需求分析，最終確定在播出系統邊界假設防火墻、網閘和安全網關設備。改造后的播出系統如圖4所示。

圖4 播出系統改造后邊界拓撲圖

4.3 建立等保三級制播系統信息安全防護體系

根據國家廣電總局關于信息安全等級保護等?；疽?，廣播電視臺的網絡系統等級劃分有其特殊性，安全要求最高的信息系統是播出系統，然后是全臺備播系統和具備演播室直播性質的新聞制播網，最后是不涉及播出的綜合制播網和辦公網。

根據《廣播電視相關信息系統安全等級保護定級指南》（GD/J 037—2011）[2]，天津電視臺全臺網信息系統（見圖5）分為以下4類：

1）播出系統：主要是全臺播出系統。

2）新聞制播系統：包括新聞部高清新聞網、都市頻道新聞網、體育頻道新聞網、濱海&文藝頻道新聞網和全臺備播系統。

3）綜合制作系統：包括主干平臺、Avid高清編輯網絡系統、蘋果高清編輯網絡系統、公共&科教頻道制作網絡系統、中心媒資系統和全臺收錄系統、全臺廣告網。

4）辦公系統：主要是辦公網的相關信息系統。

圖5 全臺制播網絡示意圖

根據GD/J 037—2011，天津電視臺全臺網信息系統的定級結果如表1所示。

表1 天津電視臺全臺網信息系統定級結果

根據以上定級結果，天津電視臺信息安全建設的主要目標是保障第三級制播系統的安全，同時兼顧第二級信息系統的安全。

通過詳細的業務調研和梳理分析，對天津電視臺所有的三級制播系統從以下5個方面進行完善：

1）系統關鍵設備的安全審計管理、數據庫軟件審計功能；

2）三級系統的雙因素登陸認證管理；

3）三級系統的邊界訪問控制管理；

4）加固入侵防范體系；

5）完善原有安全管理中心關于運行檢測、審計管理、統一身份認證等功能。

5 結束語

天津電視臺信息安全系統經過多次分步建設后，在國家廣電總局信息安全等級保護相關標準政策的指導下，通過對物理、網絡、系統、數據、應用和安全管理方面的合規性整改，將建立起符合天津電視臺自身特點的全臺網信息安全管理策略、技術防護手段、運維體系和服務機制，有望在省級電視臺內首批實現整體達到國家廣電總局信息安全等級保護要求并通過國家廣電總局等級保護三級系統的安全測評。

通過構建較為完善的信息安全管理、技術、運維、管理體系，將有效助力天津電視臺網絡化制播工作的順利進行，全面提升天津電視臺綜合競爭能力，極大地提高安全播出保障能力。

[1]廣播電臺、電視臺數字化網絡化建設白皮書[EB/OL].[2012-11-22].http：//wenku.baidu.com/view/77796d2d7375a417866f 8f55.html.

[2]廣播電視相關信息系統安全等級保護定級指南[EB/OL].[2012-11-22].http：//wenku.baidu.com/view/98c9726f1eb91a37f1115 c8b.html.

[3]廣播電視相關信息系統安全等級保護基本要求[EB/OL].[2012-11-22].http：//wenku.baidu.com/view/d488d1c59ec3d5bbfb0a7495.html.