淺談電臺融媒體業務的安全體系建設

吳俊生 錢軍 胡磊

【摘要】融媒體業務是現在電臺技術建設的熱點問題，面對互聯網環境中的各種潛在威脅，在融媒體平臺建設初期就要著重考慮平臺的安全體系建設。

【關鍵詞】 數據 邊界 防護

一、概述

隨著互聯網、云計算、物聯網等網絡技術快速發展，驅動著整個媒體行業邁入融媒體時代。融媒體技術的發展和應用，電臺在傳統音頻業務的基礎上，必須開展多種業務、增加新的利益增長點的根本。2016年《中華人民共和國網絡安全法》高票通過，成為我國首部網絡安全領域的法律文件。隨著信息安全各項政策的出臺，廣電行業的網絡信息安全也上升到了前所未有的高度。為應對融媒體時代的挑戰，必須加強安全與隱私管理，從體系建設上確保融媒體平臺安全運行。

二、安全隱患分析

隨著融媒體的應用的增長，數據激增推動存儲、網絡及計算機技術的發展，同時也引發了的安全問題。

1.成為攻擊目標

開放的網絡化社會，對于攻擊者而言，相對低的成本可以獲更多收益。電臺大量音視頻版權資料都非常具有價值，一旦遭受攻擊，失竊的數據會造成巨大的經濟損失。

2.出現技術短板

融媒體一般采用非關系型數據庫技術，與當前廣泛應用的關系型數據庫技術不同，沒有經過長期改進和完善，在維護數據安全方面也未設置嚴格的訪問控制和隱私管理，缺乏保密性和完整性特質。

3.打破安全邊界

融媒體的處理和存儲離不開云，其運營環境的特殊性打破了傳統的網絡邊界，使得傳統的安全技術手段無法做到有效的安全防護。雖然云計算對大數據提供了便利，但對大數據的安全控制力度仍然不夠。

三、安全體系建設

融媒體業務是電臺業務生產作業系統，為保障系統安全穩定的運行，體系建設上需要嚴格按照《廣播電視相關信息系統安全等級保護定級指南》、《廣播電視相關信息系統安全等級保護基本要求》和其他相關的標準和規范的要求進行系統安全性設計。

1.存儲安全

大量的數據產生、存儲和分析，數據安全存儲問題將在都是必須預先考慮的問題。體系建設中必須盡快盡早規劃和布局融媒體安全存儲防護措施。安全存儲是融媒體安全的最基本需求，可以從集中存儲、加密存儲、加密傳輸、認證授權和日志審計等方面來對融媒體的安全存儲環境加大保護力度。根據電臺業務特點，存儲文件大多為文字、音頻、圖片和小部分視頻。音頻文件包括錄音素材和音頻慢錄，具有內容較多，種類復雜，更新頻率快的特點，其數據屬于非結化文件型數據，因此需要選擇一款高安全性和高可用性的存儲產品。

由于數據量增長迅速，橫向擴展存儲系統一般是首選。這樣擴展和升級起來非常方便，像搭積木的方式進行存儲的擴展。當有需求的時候，隨時添加，而不會影響現有存儲的使用。另外可以負載均衡，性能效率高。前端訪問集群存儲的操作，通過幾種負載均衡策略，將訪問分散到集群存儲的各個存儲節點上，大大減輕了每個節點的負載。后端訪問數據，通過開放式的架構和后端網絡，數據會分布在所有節點上進行存放和讀取，每個讀寫操作都由更多的磁盤參與，因此將大大的提高讀寫操作的性能。還要易于管理、維護。

2.結構安全

在規劃融媒體發展的同時，建立并完善信息安全體系很有必要。結合傳統信息安全技術和考慮數據收集、處理和應用時的實際環境安全需求，建立面向數據信息安全的事件監測機制，及時發現信息系統安全問題，當大數據運營環境遭到攻擊前或已經遭到攻擊時，快速、準確地發現攻擊行為，并迅速啟動處置和應急機制。融媒體業務平臺在網絡架構上分為兩個部分，一個是支撐應用的數據服務器組，一個是可以接受外部訪問的外網應用服務器組，而核心交換機有足夠大的帶寬和吞吐量，因此將兩臺核心交換機都劃分了兩個VLAN，使其數據服務器組和外網應用服務器組兩個網絡同時架設在核心交換機上，并且在路由上完全隔離互不干擾。

而真正實現路由功能的是鏈路層防火墻，該防火墻將融媒體系統接入臺內辦公網系統，使得辦公網用戶能直接訪問，并且能夠透過辦公網與互聯網連接，在保證安全的情況下使得互聯網用戶也能訪問到多媒體信息系統提供的服務。同時防火墻還將融媒體系統內的兩個區域（數據服務器組和外網應用服務器組）隔離并聯通。利用合理的規則使得三個區域協同工作。如圖1所示：

3.邊界安全

融媒體系統是建立在臺辦公網上的應用服務系統，與臺辦公網直接相連，可直接對全臺辦公網用戶提供服務。既要提供正常的服務又要使其更加安全，利用防火墻的安全規則才能實現。最重要的安全區域是數據服務器組，這里包含了服務器和存儲，為保證安全，辦公網用戶不能夠直接訪問該區域，需要通過外網應用服務器組間接調用其中的數據。

一方面要求外網應用服務器組接受用戶要求從數據服務器組提取數據或者將數據寫入數據服務器組。另一方面要求用戶不得通過頁面或者其他數據連接方式直接從數據服務器組提取數據或者寫入數據。還有就是必須使用防火墻規則實現各個區域的安全訪問，還需要防止不法用戶或者惡意代碼病毒等破壞網絡的安全性，所以部署WAF提升外網應用服務器組的安全性，部署IPS提升了數據服務器組的安全性。當用戶或管理員對網絡設備發起訪問時，網絡設備應采取結束會話、限制非法登錄次數和連接超時自動退出等措施來進行登錄失敗處理。關閉網絡設備上不必要的服務和端口，當運維工作站通過遠程管理地址訪問被管理設備時，應通過HTTPS、SSH等安全的通信協議進行，并對運維工作站的IP地址進行限制。如圖2所示。

融媒體系統還要為外出辦公的臺內用戶以及各地市級用戶服務，所以系統邊界擴大到與互聯網的連接。臺辦公網同樣部署了相應的安全防護設備（如：防火墻、訪問控制、IDS、網絡防毒、日志審計、數據庫審計等），在辦公網防火墻上建立端口映射，既能夠保證頁面正常訪問又能起到一定的安全防護作用。僅開放http，ftp，mms等必要的端口，其他訪問一律阻斷。

4.規范用戶權限

融媒體的跨平臺傳輸應用在一定程度上會帶來內在風險，可以根據數據的密級程度和用戶需求的不同，用戶設定不同的權限等級，并嚴格控制訪問權限。而且，通過單點登錄的統一身份認證與權限控制技術，對用戶訪問進行嚴格的控制，有效地保證大數據應用安全。

融媒體業務系統是面向互聯網的信息系統，因此使用連互聯網的辦公電腦即可登陸本系統，為保障安全有效地使用本系統，終端需要安裝防病毒軟件，并定期升級病毒庫，及時進行操作系統更新。當用戶登錄網絡設備進行設備維護、狀態查看等操作時，應采用用戶名和具有一定復雜度的口令方式進行身份鑒別，復雜度要求長度在8位以上，同時由數字、字母、特殊字符等兩種或兩種以上符號組成。除網絡設備本身的口令認證外，對網絡設備進行遠程管理和運維時，應通過指定設備以HTTPS或SSH方式訪問。

5.云安全

融媒體的數據存儲一般都需要在云中實現上傳、下載及交互，在吸引越來越多黑客和病毒攻擊的云端及客戶端做好安全保護必不可少。這時就必須考慮可基于虛擬化的云數據中心提供系統性的安全解決方案，以安全虛擬器件代替原有硬件設備的產品交付方式，確保物理、虛擬和云環境中服務器的應用程序和數據的安全，可以為云和虛擬化環境提供主動防御、自動安全保護，將傳統數據中心的安全策略擴展到云計算平臺上。

四、總結

融媒體平臺的安全性建設是實施結合電臺實際網絡環境和工作需要，面對互聯網環境中的各種潛在威脅，在融媒體平臺建設初期就要著重考慮安全體系建設。只有充分考慮、細化規則、加強重視，才能有效地確保融媒體系統安全運行。B&P;