廣播電視臺播出系統(tǒng)網(wǎng)絡安全建設

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了廣播電視臺播出系統(tǒng)網(wǎng)絡安全建設范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：本文以市級廣播電視臺播出網(wǎng)為例，主要介紹了安全防護設計思路與架構和重點功能模塊——防火墻、EDR、網(wǎng)絡審計、日志審計、堡壘機等的具體功能設計，為廣播電視播出系統(tǒng)的網(wǎng)絡安全提供基礎保障。

關鍵詞：播出系統(tǒng)；網(wǎng)絡安全；系統(tǒng)設計；等級保護

1引言

人工智能、大數(shù)據(jù)迅猛發(fā)展背景下，新技術、新應用讓傳統(tǒng)廣播電視正從傳統(tǒng)的拍攝、編輯、播出的封閉式生產(chǎn)流程，全面轉向全媒體內容匯聚、全時空合作生產(chǎn)、多渠道內容同發(fā)。新的生產(chǎn)流程和全媒體傳播給安全播出和網(wǎng)絡安全帶來了新問題和新挑戰(zhàn)。從國家到廣電行業(yè)對網(wǎng)絡安全有更高的要求。2017年，《中華人民共和國網(wǎng)絡安全法》開始實施。2019年12月，網(wǎng)絡安全等級保護制度2.0國家標準正式實施。2020年，國家廣播電視總局制定了《廣播電視網(wǎng)絡安全等級保護定級指南》，按照指南要求，廣播電視播出網(wǎng)應符合三級等級保護要求。[1]2011年，國家廣播電視總局發(fā)布《廣播電視安全播出管理條例》，要求各級廣播電視機構必須開展信息系統(tǒng)等級保護工作。為貫徹落實各級各部門信息安全等級保護的各項要求，德州市廣播電視臺（以下簡稱“德州臺”）于2021年5月啟動播出系統(tǒng)的網(wǎng)絡安全建設。

2建設分析

傳統(tǒng)廣播電視一直強調的是硬件的物理隔離，安全手段比較傳統(tǒng)。隨著各類云平臺的使用，各種類型的網(wǎng)絡接入，AI、大數(shù)據(jù)的廣泛應用，安全形勢發(fā)生了巨大改變。廣播電視安全不只需要一個初級的安全防護，更需要一個系統(tǒng)的企業(yè)級的安全保護和一個新的網(wǎng)絡安全防護體系。德州臺播出系統(tǒng)安全建設項目整體包含4個部分的安全：物理和環(huán)境、網(wǎng)絡和通信、設備和計算機、數(shù)據(jù)和安全。這4個方面覆蓋了物理和環(huán)境信息安全、網(wǎng)絡技術架構安全、網(wǎng)絡系統(tǒng)安全管理審計、網(wǎng)絡訪問內部控制、邊界完整性檢查、網(wǎng)絡入侵防御?？刹扇〉闹饕踩胧┖图夹g包括但不限于防火墻、入侵防御系統(tǒng)、安全審計系統(tǒng)、防病毒網(wǎng)關等。本次安全建設要全面構建完整的數(shù)據(jù)安全保護能力，為廣播電視播出系統(tǒng)提供全面完整的安全保障。本次安全建設涉及的是廣播電視播出網(wǎng)，播出網(wǎng)含2個子網(wǎng)：一是廣播播出子網(wǎng)，二是電視播出子網(wǎng)。廣播播出子網(wǎng)的服務器和工作站等均直接連接到一臺24口的交換機，星形結構。本系統(tǒng)目前有播出服務器2臺、工作站10臺、主備核心交換機2臺。對外完全物理隔離，文件輸入輸出通過隔離網(wǎng)閘，音頻輸入輸出是AES和模擬音頻。電視播出網(wǎng)核心設備是主備播出服務器、數(shù)據(jù)庫、存儲服務器、應用服務器等，周邊設備為第三備播出服務器、墊片服務器、一致性比對服務器和各類工作站等。上游網(wǎng)絡邊界和節(jié)目制作系統(tǒng)通過2臺主備防火墻隔離，上游制作系統(tǒng)用千兆光纖連接2臺電視播出系統(tǒng)網(wǎng)主備防火墻，2臺防火墻之間、2臺防火墻與播出交換機之間均為萬兆光纖直連。本次安全建設需要包含2個子網(wǎng)，目標拓撲圖如圖1所示。

3方案設計

本安全規(guī)劃需要充分考慮長遠發(fā)展需求，整體規(guī)劃、一體化布局、統(tǒng)一標準、規(guī)范化設計，并根據(jù)實際需要及預算，突出重點、分步實施，保證系統(tǒng)建設的完整性和安全投入的有效性。

3.1安全防護設計思路與架構

按照等級保護政策、標準、指南等文件要求，對播出系統(tǒng)進行三級安全防護設計?；陧椖客度肱c等保合規(guī)的綜合考量，本方案采用等保一體機配合防火墻硬件設備的方案設計。同時，等保一體機平臺建立統(tǒng)一管理中心保障安全管理措施和防護的有效協(xié)同及一體化管理，并且借助等保一體機平臺實現(xiàn)安全事件的統(tǒng)一分析，從而聯(lián)動各安全組件進行持續(xù)的防護，設計思路如圖2所示。安全防護架構核心主要基于等級保護2.0相關標準，在快速合規(guī)的同時保證播出系統(tǒng)業(yè)務能夠安全高效的運行。其中，安全態(tài)勢模板整合了不同的安全組件，實現(xiàn)了安全事件的態(tài)勢分析和聯(lián)動防御，部署示意如圖3所示。

3.2能力建設

3.2.1防火墻方案設計。為了解決播出系統(tǒng)與制作系統(tǒng)之間的邊界訪問控制與隔離手段，提高廣播電視播出系統(tǒng)的防御保護能力，確保播出系統(tǒng)邊界處可實現(xiàn)訪問控制、入侵防御、流殺毒、Web防護、惡意URL識別、流量管理等功能；為切實保護業(yè)務流量傳輸安全，考慮網(wǎng)絡流量承載問題，故采用硬件設備部署。防火墻由操作系統(tǒng)核心和多種可配置的安全引擎模塊構成。安全管理引擎主要包括抗DoS攻擊引擎、網(wǎng)絡防火墻引擎、IDS/IPS引擎、Web防護引擎等。防火墻還需要支持企業(yè)級的應用、APT防御、入侵防御、URL過濾、Web安全進行防護、流量可視化、用戶訪問內部控制、惡意程序代碼防護、基于數(shù)據(jù)應用的流量成本控制、文件信息過濾、關鍵字過濾、內容相關審計等功能。解決網(wǎng)絡攻擊，包括系統(tǒng)漏洞、溢出攻擊、木馬、RPC攻擊、蠕蟲、WebCGI攻擊、拒絕服務等。完善的防火墻功能為廣播電視播出系統(tǒng)提供全面的安全防護解決方案。3.2.2云EDR方案設計。為了解決播出系統(tǒng)能夠對內部用戶非授權聯(lián)到外部網(wǎng)絡的行為進行檢查或限制，設定終端接入方式或網(wǎng)絡地址范圍，對通過網(wǎng)絡進行管理的管理終端進行限制，發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后及時修補漏洞等防護要求，故在等保一體機中設置EDR子系統(tǒng)。EDR要能達到播出系統(tǒng)實際防護需求且合規(guī)。（1）保護主機和虛擬機安全。需要包含惡意行為檢測、漏洞保護、系統(tǒng)強化、病毒查殺、終端設備實時監(jiān)控等多種保護手段，為廣播電視播出系統(tǒng)的各類終端構建全面、安全的防護架構，確保播出服務器和工作站等終端的安全。[2]（2）強大的管理能力。首先需要便于操作的交互界面，還需要有豐富的管理功能，能夠展示整個播出網(wǎng)的安全態(tài)勢、各種虛擬機的發(fā)現(xiàn)、全面精準直觀的統(tǒng)計報表，提高播出網(wǎng)安全管理效率，降低安全風險。（3）滿足合規(guī)要求。需要快速準確地在系統(tǒng)內發(fā)現(xiàn)惡意代碼的傳播，檢測出播出網(wǎng)內各個終端或者主機的所有的惡意行為，對惡意行為及時判斷并進行處置，最終保護終端安全。EDR主要目的就是實現(xiàn)虛擬機和主機終端的統(tǒng)一和一致的管理，降低虛擬機的安全威脅。3.2.3云數(shù)據(jù)庫/網(wǎng)絡審計方案設計。為了解決播出系統(tǒng)和全媒體制作網(wǎng)之間的網(wǎng)絡邊界，對播出網(wǎng)和有線電視覆蓋網(wǎng)、發(fā)射臺、IPTV等的重要網(wǎng)絡節(jié)點進行安全審計。審計需要覆蓋到每個用戶，針對重要的用戶行為、重要安全事件，要能夠滿足對內網(wǎng)進行遠程訪問的用戶行為，對內網(wǎng)訪問外網(wǎng)和互聯(lián)網(wǎng)的用戶行為單獨進行行為審計和數(shù)據(jù)分析等防護要求，故在等保一體機中設置云數(shù)據(jù)庫/網(wǎng)絡審計子系統(tǒng)。云數(shù)據(jù)庫/網(wǎng)絡審計系統(tǒng)要能達到播出系統(tǒng)實際防護需求且合規(guī)。例如，為技術人員提供在業(yè)務環(huán)境下對數(shù)據(jù)庫的安全審計，審計對數(shù)據(jù)庫的各種操作行為（訪問行為、訪問途徑、讀取、寫入和刪除行為等）進行全面的安全審計，評估數(shù)據(jù)庫面臨的所有風險。云數(shù)據(jù)庫/網(wǎng)絡審計系統(tǒng)需通過網(wǎng)絡數(shù)據(jù)的采集、分析、識別，實時監(jiān)控網(wǎng)絡數(shù)據(jù)庫的所有訪問操作，同時支持自定義內容關鍵字、自定義協(xié)議監(jiān)測、自定義端口監(jiān)測，實現(xiàn)數(shù)據(jù)庫操作的內容監(jiān)測識別，發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為。3.2.4云日志審計方案設計。按照三級等保基本要求，廣播電視播出系統(tǒng)需要對審計管理員進行身份鑒別。審計人員只被允許通過一個特定的命令或操作系統(tǒng)界面操作，并對這些操作方法進行內部審計。審計系統(tǒng)對審計記錄進行研究分析，依據(jù)分析結果有針對性地進行快速高效的處理。審計系統(tǒng)對播出網(wǎng)所有設備記錄的分散的審計數(shù)據(jù)進行整合匯總、分析，以驗證所有匯總的審計記錄是否符合要求。日志審計需要對播出網(wǎng)內所有的用戶行為和重要的安全事件進行審計。審計系統(tǒng)需要對所有的審計記錄進行有效的安全保護，需要對審計數(shù)據(jù)進行定期的備份，故在等保一體機中設置云日志審計子系統(tǒng)。[3]云日志審計系統(tǒng)要能滿足播出系統(tǒng)實際防護需求且合規(guī)，可對多種不同類型資產(chǎn)特有日志格式進行解析，經(jīng)過收集、分析、展示等過程協(xié)助管理者及時獲悉全網(wǎng)整體運行態(tài)勢?？商峁┖弦?guī)審計、統(tǒng)計分析、全文檢索、告警分析等功能，同時對原始數(shù)據(jù)進行留存。3.2.5云堡壘機方案設計。為了解決在播出系統(tǒng)管理終端進行限制等防護要求，故在等保一體機中設置云堡壘機子系統(tǒng)。堡壘機在安全系統(tǒng)中的作用就是在物理和邏輯上都把人和對應的目標設備進行解綁和分開，完全阻隔了外網(wǎng)對播出內網(wǎng)的直接通聯(lián)和訪問。堡壘機要對用戶進行嚴格的身份鑒別，鑒別方式要達到2種以上，包括并不僅限于應用口令、生物特征、密碼等。驗證身份后，外網(wǎng)對播出內網(wǎng)資源的訪問采用協(xié)議轉發(fā)代理的方式實現(xiàn)。云堡壘機系統(tǒng)要能達到播出系統(tǒng)實際防護需求且合規(guī)。（1）使堡壘機成為運維的唯一入口，主機連接都必須經(jīng)過堡壘機的統(tǒng)一身份管理，并基于IP地址、賬號、命令進行控制，防止越權操作，而且整個操作過程都可以實現(xiàn)全程的審計記錄。（2）在協(xié)議轉發(fā)代理的基礎上，系統(tǒng)同時記錄Windows遠程桌面、SFTP、SSH等通用運維協(xié)議的數(shù)據(jù)流，在需要的時候可以通過重組協(xié)議數(shù)據(jù)流進行視頻回放，實現(xiàn)運維審計的目的。（3）統(tǒng)一代理各類IT設備的運維接口，方便管理員的運維工作?；谖ㄒ簧矸輼俗R的全局管理，統(tǒng)一賬號管理。對運維人員從登錄到退出的操作行為全程審計，實時阻斷危險操作。[4]

4結語

建設完成后，德州臺圓滿完成了慶祝中國共產(chǎn)黨成立100周年重要播出期這一重要政治任務。我們將繼續(xù)嚴格對標《新聞出版廣播影視網(wǎng)絡安全事件應急預案（試行）》《新聞出版廣播影視網(wǎng)絡安全管理辦法（試行）》《廣播電視網(wǎng)絡安全管理辦法》《廣播電視安全播出管理規(guī)定》等法律法規(guī)及行業(yè)規(guī)范要求，堅決貫徹落實各級網(wǎng)絡安全的要求，為廣播電視安全工作提供有力保障。

參考文獻

[1]全國廣播電影電視標準化委員會.廣播電視網(wǎng)絡安全等級保護定級指南:GY/T337—2020[S].北京:國家廣播電視總局,2020.

[2]楊心強.數(shù)據(jù)通信與計算機網(wǎng)絡教程[M].3版.北京:清華大學出版社,2021.

[3]全國廣播電影電視標準化委員會.廣播電視網(wǎng)絡安全等級保護基本要求:GY/T352—2021[S].北京:國家廣播電視總局,2021.

[4]張靚,裔雋,等.企業(yè)遷云之路[M].北京:機械工業(yè)出版社,2019.

作者:田鵬 單位:德州市廣播電視臺