媒體播出信息安全系統(tǒng)設(shè)計

楊開紅

摘 要：重慶廣播電視集團新播出系統(tǒng)順應(yīng)當前媒體融合發(fā)展思路，將辦公網(wǎng)云技術(shù)和播出專網(wǎng)相結(jié)合，通過媒體播出信息安全系統(tǒng)設(shè)計，實現(xiàn)了跨安全域的節(jié)目播出管理和應(yīng)用，有效防控了安全風險，保障了播出系統(tǒng)高效安全運行。

關(guān)鍵詞：訪問控制;入侵防范;身份鑒別;安全審計

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-2064（2019）08-0049-03

0 引言

作為信息技術(shù)與廣電行業(yè)技術(shù)相結(jié)合的產(chǎn)物，網(wǎng)絡(luò)化制播環(huán)境有著明顯的信息技術(shù)本身的特點，既帶來了傳統(tǒng)系統(tǒng)未有的優(yōu)勢，也帶來了傳統(tǒng)系統(tǒng)沒有的安全難題，因此信息安全工作的重要性日益彰顯。結(jié)合新一代媒體播出的基本本要求，并依據(jù)相關(guān)行業(yè)已發(fā)布的其它技術(shù)標準、規(guī)范等，設(shè)計了重慶廣播電視集團（總臺）播出系統(tǒng)信息安全保護方案。

1 媒體信息安全分析與需求

1.1 系統(tǒng)概況

重慶廣電視集團播出系統(tǒng)包括節(jié)目編排系統(tǒng)、播出系統(tǒng)、備播系統(tǒng)、監(jiān)控系統(tǒng)等。播出系統(tǒng)網(wǎng)絡(luò)為以太網(wǎng)絡(luò)架構(gòu)，擁有自己獨立的以太網(wǎng)絡(luò)體系，通過播出網(wǎng)絡(luò)核心交換機系統(tǒng)實現(xiàn)送播系統(tǒng)到播出網(wǎng)絡(luò)的跨系統(tǒng)連接。該網(wǎng)絡(luò)主要承擔節(jié)目元數(shù)據(jù)、節(jié)目單信息、備播素材數(shù)據(jù)的傳輸，備播素材瀏覽播放，控制信息及對外互聯(lián)互通。

1.2 網(wǎng)絡(luò)現(xiàn)狀分析

重慶廣播電視集團（總臺）系統(tǒng)網(wǎng)絡(luò)分為廣電大廈（播出核心區(qū)域）和彩電中心，異地雙網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)模式，雙中心通過10GE專線和播出系統(tǒng)應(yīng)急專線相連。播出系統(tǒng)的應(yīng)用終端分布于兩個地點，通過辦公網(wǎng)核心交換機和辦公網(wǎng)匯聚交換機與播出系統(tǒng)核心相連。播出系統(tǒng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

1.3 關(guān)鍵業(yè)務(wù)流程風險分析

1.3.1 節(jié)目編排流程

節(jié)目編排分為播出節(jié)目單編單、廣告串播編單和字幕編單三個節(jié)目編單流程。每個流程的編排都會涉及到編單工作站與播出系統(tǒng)內(nèi)部計算服務(wù)器的業(yè)務(wù)訪問過程和數(shù)據(jù)交互。

播出節(jié)目單編單和廣告編單流程中，采用WEB服務(wù)方式實現(xiàn)節(jié)目編排業(yè)務(wù)，通過播出網(wǎng)的隔離網(wǎng)閘設(shè)備的訪問控制方可訪問至播出編排系統(tǒng)內(nèi)的服務(wù)器，服務(wù)方式為B/S 結(jié)構(gòu)。

字幕編單的業(yè)務(wù)流程是在辦公網(wǎng)部署字幕編單前置服務(wù)器，采用專機專用并結(jié)合訪問ACL和802.1X準入的方式進行訪問控制，只允許訪問辦公網(wǎng)字幕編單前置服務(wù)器，服務(wù)器提供WEB服務(wù)，外網(wǎng)字幕編單服務(wù)器與播出網(wǎng)采用XML文件導入的的方式進行交互，并通過USB隔離交換系統(tǒng)進行文件單向同步，方能達到數(shù)據(jù)同步的應(yīng)用效果。

該業(yè)務(wù)流程主要安全風險包括：（1）節(jié)目單信息被惡意代碼感染的風險;（2）節(jié)目單信息被黑客竊取和篡改的風險;（3）消息接口使用的協(xié)議（如WebService）可能存在的安全漏洞帶來的風險;（4）節(jié)目單交互的以太網(wǎng)鏈路，存在蠕蟲病毒傳播的風險;（5）節(jié)目單交互的以太網(wǎng)鏈路，存在被黑客滲透的風險。

1.3.2 節(jié)目素材整備流程

制作網(wǎng)通過媒資系統(tǒng)中的節(jié)目成片整備業(yè)務(wù)模塊完成的節(jié)目成片由制作系統(tǒng)向播出系統(tǒng)遷移，遷移服務(wù)器將媒體文件信息遷移至播出素材整備存儲區(qū)域，并將媒體文件的元數(shù)據(jù)信息同步至播控服務(wù)器;應(yīng)急上載工作站將媒體文件及元數(shù)據(jù)信息通過USB擺渡的方式上載至應(yīng)急播出系統(tǒng)中，作為應(yīng)急播出文件上載。在節(jié)目素材整備流程中，存在兩種業(yè)務(wù)流：信息元數(shù)據(jù)信息和媒體文件。

該業(yè)務(wù)流程主要安全風險包括：（1）傳輸?shù)脑獢?shù)據(jù)信息被惡意代碼感染的風險;（2）傳輸?shù)脑獢?shù)據(jù)信息被黑客竊取和篡改的風險;（3）傳輸?shù)拿襟w文件完整性被破壞的風險;（4）媒體文件遷移過程中使用協(xié)議（如FTP）可能存在的安全漏洞帶來的風險;（5）媒體交換的以太網(wǎng)鏈路，存在蠕蟲病毒傳播的風險;（6）媒體交換以太網(wǎng)鏈路，存在被黑客滲透的風險;（7）來自于團伙和敵對勢力發(fā)起漏洞攻擊和拒絕服務(wù)攻擊的風險。

1.4 信息安全需求

1.4.1技術(shù)需求

（1）基礎(chǔ)網(wǎng)絡(luò)安全需求。1）合理劃分安全域和安全分區(qū)，加強VLAN間的訪問控制;2）網(wǎng)絡(luò)設(shè)備本身開啟安全審計功能，并將審計數(shù)據(jù)發(fā)送至安全管理平臺進行集中管理和分析;3）登錄網(wǎng)絡(luò)設(shè)備采用雙因素認證方式進行身份鑒別，對設(shè)備運維要有審計記錄;4）對網(wǎng)絡(luò)設(shè)備進行安全加固配置，規(guī)范賬號管理、關(guān)閉不必要的服務(wù)和端口，對登錄失敗有處理機制。

（2）邊界安全需求。1）播出系統(tǒng)與外部交互系統(tǒng)網(wǎng)絡(luò)邊界部署防火墻系統(tǒng)，對進入播出網(wǎng)絡(luò)的數(shù)據(jù)流進行細粒度的訪問控制;2）播出系統(tǒng)與外部交互系統(tǒng)網(wǎng)絡(luò)邊界的信息鏈路部署網(wǎng)閘系統(tǒng)，進行安全的協(xié)議過濾;3）播出系統(tǒng)與外部交互系統(tǒng)網(wǎng)絡(luò)邊界的媒體文件鏈路部署USB協(xié)議擺渡文件交換系統(tǒng)，進行安全的文件類型和文件內(nèi)容的過濾和擺渡;4）播出核心交換機部署入侵檢測系統(tǒng)（IDS），對所有的流量進行檢測，發(fā)現(xiàn)入侵行為進行告警并阻斷;5）播出系統(tǒng)網(wǎng)絡(luò)設(shè)備進行IP-MAC綁定或基于802.1X的準入控制技術(shù)，禁止非授權(quán)或未達到播出系統(tǒng)配置基線的終端接入到播出系統(tǒng)網(wǎng)絡(luò);6）播出系統(tǒng)內(nèi)部通過終端安全管理系統(tǒng)，對違規(guī)外聯(lián)行為進行檢測并阻斷。

（3）終端安全需求。1）播出系統(tǒng)終端制定安全配置基線，定期進行脆弱性檢查，并根據(jù)評估結(jié)果進行安全加固增強;2）播出系統(tǒng)重要終端開啟安全審計功能，并對審計信息進行集中管理;3）播出系統(tǒng)終端部署防病毒和終端安全管理系統(tǒng)，進行統(tǒng)一惡意代碼防護、資產(chǎn)管理、補丁分發(fā)和外設(shè)封禁。

（4）服務(wù)器安全需求。1）播出系統(tǒng)的相關(guān)服務(wù)器采用雙因素的方式登錄操作系統(tǒng);2）播出系統(tǒng)的接口服務(wù)器對操作系統(tǒng)進行安全加固;3）播出系統(tǒng)的相關(guān)服務(wù)器制定安全配置基線，定期進行脆弱性檢查，并根據(jù)評估結(jié)果進行安全加固增強;4）播出系統(tǒng)的相關(guān)服務(wù)器開啟安全審計功能，并對審計信息進行集中管理;5）播出系統(tǒng)的相關(guān)服務(wù)器部署防病毒和終端安全管理系統(tǒng)，進行統(tǒng)一惡意代碼防護、資產(chǎn)管理、補丁分發(fā)和外設(shè)封禁。

（5）應(yīng)用安全需求。1）通過業(yè)務(wù)系統(tǒng)軟件，加強應(yīng)用軟件的身份鑒別能力;2）通過業(yè)務(wù)系統(tǒng)軟件，加強應(yīng)用軟件登錄失敗處理機制;3）通過業(yè)務(wù)系統(tǒng)軟件自身訪問控制，加強應(yīng)用軟件的用戶和權(quán)限管理能力，要求控制粒度為文件、數(shù)據(jù)庫表級;4）根據(jù)安全管理平臺要求，將審計日志通過固定格式發(fā)送到安全管理中心進行集中審計管理;5）通過安全監(jiān)控系統(tǒng)實現(xiàn)服務(wù)水平檢測和保障。

（6）數(shù)據(jù)安全需求。播出系統(tǒng)制定數(shù)據(jù)備份計劃，建立災(zāi)難恢復應(yīng)急預(yù)案并定期進行演練。

1.4.2 管理需求

根據(jù)信息安全等級保護的通用安全管理要求，從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五個層面進行細化設(shè)計，需考慮括部門和人員的配備，制度的繼承來建設(shè)符合重慶電視臺播出系統(tǒng)的安全管理體系建設(shè)。

2 安全保障體系結(jié)構(gòu)設(shè)計

業(yè)信息安全域劃分以播出系統(tǒng)的組成為基礎(chǔ)，以數(shù)據(jù)信息分類或服務(wù)功能為基本依據(jù)，根據(jù)應(yīng)用系統(tǒng)業(yè)務(wù)處理的需要和同類數(shù)據(jù)信息的流動范圍確定。本次安全域主要分為播出系統(tǒng)子域、節(jié)目編排系統(tǒng)子域、應(yīng)急備播統(tǒng)子域、監(jiān)控管理子域和安全管理中心。其中播出系統(tǒng)子域中的媒體業(yè)務(wù)域又根據(jù)服務(wù)功能進一步劃分為素材整備區(qū)、應(yīng)急備播區(qū)、播出區(qū);信息業(yè)務(wù)域又分成終端區(qū)和應(yīng)用與數(shù)據(jù)區(qū)。播出系統(tǒng)安全域劃分如2圖所示。

2.1 網(wǎng)絡(luò)結(jié)構(gòu)冗余

播出系統(tǒng)網(wǎng)絡(luò)現(xiàn)采用核心+接入兩層架構(gòu)，核心層的功能主要是負責各個接入層交換機的匯聚，承擔著整個播出系統(tǒng)內(nèi)部的數(shù)據(jù)交換以及與全臺網(wǎng)各個業(yè)務(wù)系統(tǒng)的互聯(lián)。根據(jù)重慶播出系統(tǒng)業(yè)務(wù)劃分，分為四個邏輯核心網(wǎng)絡(luò)，媒體類業(yè)務(wù)由于傳輸帶寬要求比較高，采用雙核心交換負載均衡結(jié)構(gòu);系統(tǒng)接口服務(wù)器和重要服務(wù)器雙上連至接入交換設(shè)備，能夠在網(wǎng)絡(luò)或設(shè)備出現(xiàn)故障時自動切換，以滿足高可用性的要求。

2.1.1 硬件冗余

核心層交換機是整個播出系統(tǒng)的數(shù)據(jù)交換核心，管理和保存所有的網(wǎng)絡(luò)配置信息和路由信息，采用冗余電源和冗余交換引擎為了提高核心交換機自身的穩(wěn)定性和安全性。

2.1.2 鏈路冗余

對于鏈路冗余，主要是通過交換機配置來管理，根據(jù)前面的核心層承載業(yè)務(wù)系統(tǒng)的劃分，采用交換機的捆綁技術(shù)來實現(xiàn)和提高核心交換機的穩(wěn)定性，防止一條鏈路的中斷引起的網(wǎng)絡(luò)收斂。

2.2 訪問控制

根據(jù)重慶電視臺播出系統(tǒng)的業(yè)務(wù)功能區(qū)分，按照不同的子系統(tǒng)在網(wǎng)絡(luò)設(shè)備上進行Vlan劃分，并對Vlan間的訪問行為進行細粒度的訪問控制;在播出系統(tǒng)與外部系統(tǒng)具有數(shù)據(jù)交互的應(yīng)用，在播出系統(tǒng)邊界部署2臺防火墻，對進入系統(tǒng)的訪問請求進行IP地址段及端口級訪問控制;對于需要進行協(xié)議隔離類的訪問請求，在播出邊界部署2臺隔離網(wǎng)閘徹底阻斷各種網(wǎng)絡(luò)協(xié)議，保證信任網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)之間鏈路層的斷開，徹底阻斷TCP/IP協(xié)議以及其他網(wǎng)絡(luò)協(xié)議;對應(yīng)急播出上載邊界采用2套USB文件擺渡系統(tǒng)，對媒體素材文件、廣告素材文件以及辦公字幕編單服務(wù)器與播出編單的文件同步，通過USB文件擺渡系統(tǒng)進行進行白名單控制和病毒查殺，與播出網(wǎng)惡意代碼防范系統(tǒng)病毒庫異構(gòu)。重要終端和服務(wù)器的外設(shè)進行封禁和操作系統(tǒng)加固等配置操作，以保證終端和服務(wù)器的訪問控制。

2.3 入侵防范

（1）入侵監(jiān)測。播出系統(tǒng)子域部署1臺入侵檢測系統(tǒng)，對播出系統(tǒng)子域內(nèi)部的非法入侵行為進行實時監(jiān)控，在系統(tǒng)受到危害之前響應(yīng)和報警。（2）漏洞掃描。部署1套漏洞掃描系統(tǒng)，配合漏掃系統(tǒng)的強大漏洞庫，對網(wǎng)內(nèi)采取主動防御的方法，周期的對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機設(shè)備的脆弱性進行評估，對針對掃描結(jié)果給出指導意見。（3）服務(wù)器加固。服務(wù)器操作系統(tǒng)按照最小配置原則，僅安裝必要的組件和應(yīng)用程序，關(guān)閉不必要的服務(wù)和端口，并對外設(shè)（光驅(qū)、USB、串口等）進行限制。

2.4 惡意代碼防范

在播出系統(tǒng)子域中部署終端管理和防病毒系統(tǒng)，實現(xiàn)惡意代碼防范和基于802.1X的準入控制機制、外設(shè)及端口控制、補丁分發(fā)等功能。制定安全配置基線，對新入網(wǎng)的終端進行配置檢查，達到安全配置基線要求的設(shè)備才可以入網(wǎng)并部署應(yīng)用。

2.5 身份鑒別

部署1套數(shù)字證書系統(tǒng)，對重要服務(wù)的登錄和業(yè)務(wù)訪問結(jié)合用戶名/密碼的方式進行雙因素組合鑒別。

2.6 安全審計

2.6.1 日志審計

在安全審計方面，在接口服務(wù)器、Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器和重要終端上均開啟安全審計策略，通過在服務(wù)器上部署Agent結(jié)合WMI采集方式（Windows服務(wù)器），或Syslog方式（UNIX/LINUX類服務(wù)器）統(tǒng)一采集安全審計日志。需要審計的內(nèi)容包括：（1）對重要用戶行為（如用戶創(chuàng)建、登錄、注銷）、系統(tǒng)資源的異常使用情況（如特權(quán)使用、文件權(quán)限更改）、重要系統(tǒng)命令（如FTP、TELNET）使用情況進行審計;（2）審計記錄至少應(yīng)包括事件的日期、時間、類型、用戶名、終端IP地址、訪問對象和結(jié)果等;（3）審計記錄應(yīng)至少保存90天以上;（4）應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等;（5）應(yīng)定期對審計記錄進行分析，以便及時發(fā)現(xiàn)異常行為。

2.6.2 數(shù)據(jù)庫審計

通過部署數(shù)據(jù)庫審計對播出系統(tǒng)域進行安全審計。通過采集器抓取與業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫操作相關(guān)的數(shù)據(jù)包，實現(xiàn)對數(shù)據(jù)庫操作及用戶行為的雙重審計;提供豐富的審計查詢條件和細致的統(tǒng)計分析條件，供數(shù)據(jù)管理者查詢、分析、取證、決策，及時發(fā)現(xiàn)可能危及業(yè)務(wù)系統(tǒng)運行的數(shù)據(jù)庫風險因素，提供有效的風險控制依據(jù)。

3 結(jié)語

重慶廣播電視播出網(wǎng)絡(luò)系統(tǒng)采用HTTP、HTTPS通用協(xié)議的B/S模式和云技術(shù)，將電視業(yè)務(wù)中代碼申請、節(jié)目編排功能部署在現(xiàn)有辦公云上，利用媒體信息安全設(shè)計，和播出專網(wǎng)相結(jié)合，實現(xiàn)了跨安全域的節(jié)目播出管理和應(yīng)用。運行兩年來，信息安全系統(tǒng)與播出業(yè)務(wù)系統(tǒng)緊密結(jié)合，實時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知和預(yù)警，有效防控安全風險，最大程度保障播出系統(tǒng)高效安全運行。

參考文獻

[1] GD/J 037-2011，廣播電視相關(guān)信息系統(tǒng)安全等級保護定級指南[S].

[2] GD/J 038-2011，廣播電視相關(guān)信息系統(tǒng)安全等級保護基本要求[S].