設計媒資系統網絡安全架構

■ 山東 馬帥

編者按： 傳統企業的網絡安全防護一般并不十分到位，隨著等保2.0的正式出臺，傳統企業IT系統安全建設必須隨之重視起來。本文作為媒體行業企業，信息系統安全建設也必須予以高度重視。

筆者單位的廣播電視臺媒資管理系統于2014年中試運行、年底正式上線運行，自運行以來網絡安全情況穩定得益于設計之初便將安全問題列為首位。

媒資系統作為播前媒資銜接了全臺制作網和播出端，這樣所有文件化播出的節目和廣告則必須通過媒資系統到達播控，由此可見其重要性，自然其安全穩定問題顯得尤為重要，媒資系統以行業相關規定以及網絡安全等級保護管理辦法為指導辦法進行設計。

單位媒資系統除了要完成文件化送播業務外，還要完成視音頻素材的入庫存儲、磁帶的采集和數字化，收錄業務，播出節目的播前整備、廣告磁帶的數字化及播前整備、播出節目單預編排和審核業務，以下僅就媒資系統的網絡安全方面為主進行分析。

媒資系統目前主要由單位媒資運維科進行日常管理維護，自上線以來部門成立了網絡安全小組，對日常的網絡安全進行檢查，日常綜合性安全網關的升級、病毒庫的更新、系統的加固等等工作。像2018年較為活躍的勒索病毒爆發后，部門及時對操作系統進行了加固，封閉了高危端口，升級了系統補丁。

網絡情況概述

媒資系統網絡采用星型結構，以兩臺核心交換機為中心，分別連接媒資子系統、收錄子系統、備播子系統、播出單預編排子系統、安全管理系統以及DMZ區。與播出系統邊界使用防火墻、UTM和網閘安全設備，對雙向訪問進行策略控制。與制作系統的邊界，使用迪普深度綜合安全網關設備進行防御，包含了防病毒、防火墻、IPS模塊，進行安全策略配置，保障系統安全。系統分為內部業務區域和高安全區域（DMZ）。安全管理中心配置了安恒日志審計平臺，負責搜集操作系統、網絡設備、應用軟件日志，并對其進行分析。交換機和安全設備使用虛擬化方式冗余，服務器設備使用集群方式或熱備方式進行冗余。

設計要點分析

1.基礎網絡安全

網絡始終是服務于業務，必須要滿足能夠安全穩定的進行業務流程的需求，媒資系統在正式上線前應對業務流量滿載壓力測試，網絡帶寬可滿足業務高峰期需求。

媒資系統的高安全區交換機、核心交換機、綜合性安全網關均使用虛擬化技術主備同時運行避免出現單點故障。根據媒資系統功能、業務流程、網絡結構層次、業務服務對象等劃分網絡安全域，安全域內根據業務類型劃分不同的網段，便于日后的管理維護。對交換機和安全設備的安全設備管理員登錄地址均進行了ACL限定，僅允許媒資運維值班室中的管理機進行登錄操作。

2.邊界安全

任何一個信息系統要想保證安全，必須明確邊界在哪，如何保證好邊界安全是做好網絡安全工作的重中之重。

媒資系統網絡向上承接全臺各個制作網，向下銜接播控系統，這倆個進出口則為媒資系統的邊界。在與制作系統邊界處設置了深度綜合安全網關，其涵蓋了IPS、病毒庫，以及防火墻，雙板卡分別對進出會話進行訪問控制，所有來自于外部制作網的流量均要通過綜合性安全網關，由媒資到播控系統的流量則要經過UTM、網閘、防火墻。

3.終端系統安全

由制作網提交至媒資的素材或節目入庫后需要媒資內容工作人員進行質量審核以及編目工作，媒資終端工作站采用域賬戶和動態口令登錄操作系統。每個動態口令設備均有唯一的序列號，因此規避了多人使用同一用戶名的安全風險。在域控服務器中啟用了賬戶口令復雜度要求，為大小寫字母和數字的組合，口令最長期限為180天，最短密碼長度為8位，用戶名和口令不相同。每臺終端均安裝正版殺毒軟件，由媒資運維同事負責定時更新病毒庫并禁用了USB口和光驅。

4.服務端系統安全

媒資系統內所有應用服務器及數據庫均為主備或集群模式，不存在任何單點故障，使用域賬戶統一管理，并部署具有統一管理功能的防惡意代碼軟件。采用主機加固軟件通過主機安全環境系統設置了白名單，控制了服務器的客體（文件夾目錄資源）和主體（業務應用進程），只有指定的業務進程才能夠訪問對應的文件夾目錄。對“.exe”、“.msi”、“.sys”、“.reg”等12類客體文件僅賦予只讀權限，對于本地的USB注冊表和光驅驅動設置為禁止訪問，關閉了不必要的服務和端口，能對影響到應用程序的操作系統重要程序的完整性進行檢測，在檢測到完整性受到破壞后手動恢復。

5.應用安全

使用主機加固軟件部署應用安全保護域，只有指定用戶才可訪問應用軟件進行操作。在域中啟用了訪問控制功能，為不同崗位分配了不同角色，限制了用戶可使用的業務功能，刪除了臨時賬戶和測試賬戶，使用網管系統對網絡鏈路狀態和核心交換機、匯聚交換機、接入交換機的設備狀態、端口狀態、IP地址、網絡流量等信息進行監控。部署FTP監控，當FTP應用斷開時可及時報警。

6.數據安全

媒資存儲采用RAID5+主備鏡像模式，保證了數據的安全，數據庫采用集群+第三備模式，每日定時備份數據庫文件，確保數據庫安全。

7.安全管理中心

部署了日志審計服務器可采集各應用服務器日志數據并上報日志審計管理中心，對監控的異常情況進行報警，并對審計記錄進行統計、查詢、分析及生成審計報表。對已集中管理的設備審計日志進行保存，并手動歸檔。部署流程監管系統，對由制作網到達播控系統的業務流程進行全程監控。

8.系統運維管理體系

制定了相關安全管理規定及廣播電視臺人員上崗規定，規范人員上崗，明確人員審查和考核等內容，成立網絡安全小組并簽訂了保密協議。制定了單位外部人員安全管理辦法規定，對外部人員允許訪問的區域、系統、設備、信息等內容進行規定。建立了各機房的安全管理制度，規范機房物理訪問、機房環境安全、工作人員行為等。

總結

安全大于天，安全問題是首要問題，使用各種安全手段讓系統平穩健壯的運行是每一名系統運維人員的使命。目前單位媒資系統已通過廣電總局的三級信息系統安全等級保護測評，身為一名技術人員務必要保證好系統網絡安全以及數據的安全。隨著全國廣播電視行業高清化的進程，帶寬、計算資源以及存儲容量的要求越來要越高，這需要我們積極學習前沿技術，掌握各種新型設備的發展趨勢，未雨綢繆才能為新的業務形態做好技術支撐。