基于安全管理模型的融合工作平臺實例

經國煒

（揚州廣播電視臺，江蘇 揚州 225000）

0 引 言

為加快廣電內容生產傳播與新一代信息技術、互聯網技術的深度融合，將融合理念貫穿并體現在內容生產的全過程、各環節，努力實現新聞的快速反應、高效采集、多元分發，揚州廣播電視臺引入中臺概念，打造了基于云架構的融合媒體生產平臺。作為平臺賦能的窗口，以瀏覽器/服務器（Browser/Server，B/S）形式打造的融合工作平臺應運而生。這是一個可以提供多種應用工具、數據資源以及互聯網信息顯示等內容的工具集合，可以跨安全域，在業務內網、辦公網及互聯網提供幾乎相同的服務和工具。然而，開放、便捷、高效就意味著安全性的降低，物理邊界的模糊以及減弱了對安全的控制，使得整個云平臺都面臨愈發嚴峻的風險。對此，本文以安全模型基礎，以現有平臺為例，從體系設計關聯平臺架構，盡可能構建出一套具有自身特色的、防護有效的融合工作平臺。

1 融合工作平臺安全管理模型

安全管理模型是對安全管理的一種抽象化的描述。創建一個有效的安全管理模型，對于實現安全目標至關重要。安全管理模型的發展從靜態防護思想到動態防御理念轉變，持續加強了監測在安全防護中的重要作用[1]。

揚州廣播電視臺的融合工作平臺雖然只是一個能力的集合、一項賦能的窗口，但是由于依托云平臺，相較于傳統的制播平臺，具有更加開放的網絡環境、更加廣泛的業務連接、更加多樣的內容呈現、更加靈活及復雜的業務流程等特點，網絡安全與內容安全風險也相較傳統平臺大了很多。在前期設計上，技術人員結合兄弟臺項目實例以及等保合規白皮書的相關要求，遵循事前防御、事中監測、事后響應的原則，設計打造一個相對安全的生產平臺。

2 平臺防護體系設計

防護體系是提升安全壁壘最直接有效的手段。防護體系主要包括架構安全、應用安全、通道保護、邊界防護、用戶鑒別及權限管理。

2.1 架構安全

融合工作平臺的底層支撐系統采用了分布式技術，利用HAProxy+Keepalived 實現了服務的高可用和負載均衡，使用Zookeeper對服務集群進行管理。Zookeeper 實現了一種服務注冊與感知機制，能夠實現服務注冊、服務監管、服務加載和服務通信等4 個重要組件[2]，對于多個業務平臺能力的調用管理、流程管理更加安全、高效。借助Docker 技術將各類服務容器化，多項開源技術的引入，充分保證了系統架構的去中心化、開放化，使得系統兼顧安全性的同時，也具備充分的伸縮性和擴展性。

2.2 應用安全

融合工作平臺作為一個中臺能力的主要輸出窗口，各類應用都可以接入進來。但由于各種應用工具的使用場景、使用方式不同，在側重便捷和高效時，卻減弱了對安全的重視。如何通過技術手段進行完善和提升，是技術工作者一直要努力的課題。

以內容庫（云盤）模塊舉例。內容庫業務模塊是基于B/S 架構的一個資源共享庫，是全臺實現融合生產、敏捷化生產的核心，可以提供素材的存放、獲取、交互、語音轉寫、人工智能（Artificial Intelligence，AI）識別及送播等能力。用戶通過Web 方式即可將視頻、圖文進行上傳并遷移至各個目標系統。起初，在設計上，技術人員并沒有對入庫的素材文件進行病毒查殺，或者在上傳前先進行物理網閘的擺渡，因為每天入內容庫的素材相當之多，如此設計會嚴重影響資源流轉的速度，且增加了故障點。因此，在安全硬件無法滿足需求后，技術人員通過提升軟性安全來實現一定的防護。首先限定上傳文件的格式類型。對于偽裝后綴的文件，利用內容庫自帶的抽幀功能，以是否可以獲取抽幀畫面和圖文的預覽為依據，對文件進行明顯標記，以提示用戶文件異常，且此文件無法進行遷移下載。修改后的素材入庫流程如圖1 所示。軟性功能上的簡單修改，在保證素材高效流轉的同時，也強化了安全。

圖1 修改后的素材入庫流程圖

2.3 通道保護

網絡通道好比一條條馬路，沒有紅綠燈以及規則的管理和保護，就會造成不可估量的阻塞和事故。針對目前揚州廣播電視臺對融合工作平臺和云桌面非編的重度使用，技術部門提出服務端、終端雙保護原則，即服務端通過多重反向代理，使得工作平臺在業務內網、辦公網、互聯網無差別化使用；用戶終端通過超文本傳輸安全協議（Hypertext Transfer Protocol Secure，HTTPS）加密協議對平臺以及云桌面進行安全訪問，中間未過多地增加硬件防護設備，提升了安全性的同時，對網絡帶寬、響應延遲都做到了很好的平衡。

反向代理是一種軟性安全防護，可以對服務器進行隱匿，也可以攔截傳入請求，對高峰期的大流量負載均衡，給后端服務帶來更高層次的保護。Nginx 是一款優秀的反向代理工具，具有高可靠性、低宕機率、低內存消耗，還支持熱部署[3]。針對融合工作平臺這樣的Web 服務形式，技術人員通過搭建兩臺Nginx 服務器，充分將后端服務器匿名，分別為內網用戶、辦公網用戶以及公網用戶提供各不相同的服務地址，以提升訪問安全。對公網用戶的訪問請求，也提供HTTPS 服務，安全接入。在代理服務器添加相應監測模塊，定位IP，即可阻止可疑流量。

2.4 邊界防護

除了軟件性的防護外，硬件防護設備也是必不可少的。融合工作平臺作為中臺能力的輸出窗口，必然會串聯起相關的內外網業務。對透出公網的Web 服務，通過架設Web 應用防火墻（Web Application Firewall，WAF）來提升安全性；安全域之間，通過防火墻根據實際業務進行訪問控制權限設定；高安全域如播出域，則增加物理網閘設備進行安全隔離。邊界防護架構如圖2 所示。

圖2 網絡安全邊界防護示意圖

2.5 用戶管理

工作平臺作為全臺的業務匯聚點，除去行政、財會部門，幾乎所有與內容生產相關的人員都會注冊使用。對于工作平臺，參照組織架構，對個人、工作組、公共維度進行業務及資源的分域管理，依據需求進行訪問權限組的設置，保障資源訪問使用的安全性。

對多業務板塊用戶管理進行整合，基于Token的認證模式，用戶在工作平臺中可以使用個人工號進行多個業務系統的統一登陸。

3 平臺監測體系設計

監測是安全生產中不可或缺的一個手段。監測體系的建立，是技術保障的重要任務。強化監測先行、監測準確、監測回溯，使被動防御變為主動出擊，可以將技術故障提前消除。監測體系主要包括數據監測、業務監測及智能分析等功能模塊。

3.1 數據監測

數據監測的范圍包括硬件資源和虛擬化資源。其中，硬件資源監測的對象包括中央處理器（Central Processing Unit，CPU）、內存、磁盤及網卡等，虛擬化資源監測對象除了虛擬的硬件外，還有虛擬化的底層系統以及支撐業務的網絡相關設備。

3.2 業務監測

平臺底層使用了微服務架構，將以往龐大混雜的業務功能分解為各個離散的服務，再利用Docker技術對服務進行虛擬化封裝，部署在各類業務系統中。通過簡單的監測指令，即可獲取所有服務的實時狀態，并通過網頁進行滾動展示，如圖3 所示。

前臺業務流程的監控是日常使用最頻繁的模塊。該監控組件會對問題任務進行多方式報警，根據設定的重要程度選擇告警級別。比如送播任務失敗，屬于緊急告警級別，則會通過短信方式告知相關人員。

監測只是一個被動手段，控制才是解決問題的根本。運維人員可以通過監控頁面對問題任務進行重定向，及時介入、及時解決，將問題無感知處理。

3.3 智能分析

智能分析是通過監測數據的收集，使用類ChatGPT 模型對數據進行分析處理，生成趨勢分析報表，對平臺安全風險進行預測，通過大數據的持續導入、分析，使預測指標接近于實際。

目前，揚州廣播電視臺技術部門正在嘗試使用GPT-2 模型進行相關訓練，已經開始導入歷史運維數據。前期會進行檢索類問答的測試，待大量數據導入后，再對其分析能力進行提升。

4 平臺響應與恢復體系設計

響應與恢復體系是在查找出或突然出現安全威脅后所采取的一系列措施，包括漏洞修復、應急預案制定、備份系統搭建、容災測試以及日常培訓等。在應急與恢復的同時，可以動態修補系統缺陷、調整防護措施，提高系統平臺的抵御能力，從而縮短將來應對異常情況所耗費的時間[4]。

4.1 應急預案

基于融合工作平臺的重要程度，揚州廣播電視臺建立了一套完整的應急預案。平臺自身的業務服務都是三節點分布式的，任意兩節點宕機，不會影響主業務。其他接入業務也都有自身的冗余策略，交換機及鏈路都是雙線且做虛擬化配置。除了對業務系統進行應急策略外，技術人員針對不同情況下的響應流程、人員分工制定了相對完備的預案。

當前，核心業務系統均有應急處理能力，以全臺媒資系統為例：當在線存儲不能正常使用時，管理員可在媒資系統中配置啟用臨時存儲區，同時設置并啟用臨時存儲區和存儲路徑，將臨時存儲路徑掛起；提交下載申請時，軟件支持自動提醒用戶“系統存儲區存儲路徑暫時不可用。資源文件將被回遷到臨時存儲區，回遷后請自行取用文件”；執行下載時，正常情況下，媒資系統直接將在線存儲上的資源文件傳輸到目標路徑（如制作系統）即可，如果在線存儲區不可用，媒資系統支持將歸檔系統的資源文件回遷到臨時存儲區，并結束下載流程，用戶自行到臨時存儲區查找所需文件，并導入到所需的業務系統中。

4.2 備份系統

技術人員利用Hyper-V 等虛擬化軟件搭建了一套最小化應急系統，承載了維持基礎業務的相關服務模塊，自帶存儲及數據庫，不依賴原系統，在主系統故障無法短期恢復時切換使用。備份系統采用延時備份模式（可以切換為實時同步模式），雖然會損失10 min 左右的備份內容，但是可以確保在主系統出現故障時應急系統可以相對獨立，能夠規避一些軟性故障，真正發揮應急作用[5]。

4.3 容災測試

平臺響應與恢復體系需定期進行災難恢復測試，以驗證預案和備份系統的有效性。容災測試內容包括存儲及數據庫數據的實時性測試、業務恢復測試以及網絡恢復測試等。

5 結 語

融合工作平臺主要依托私有云及能力中臺，相較于傳統的獨立制作網，網絡上更加開放、邊界上趨于模糊、模式上偏向協作、業務上注重融合。因此，新業態對安全提出了更高的要求。本文只是揚州廣播電視臺在融合媒體生產平臺建設及使用過程中不斷反思、不斷改進的些許實踐和體會，希望能為其他兄弟臺建立可管可控、可審可溯的安全環境起到一定的參考作用。