构建高安全管控下的全台制播网

高 虎

（天津电视台 网络管理部，天津 300070）

1 天津电视台全台网的发展历程

天津电视台网络制播系统经历了以下阶段：

1）非编单机阶段，台内制作节目的设备在传统线形对编设备的基础上开始出现非线性编辑单机；

2）局部网络化阶段，为提高节目编辑效率，天津电视台自2001年开始建设非编网参与节目制播，但网间的节目传输仍需依托磁带介质，形成“孤岛”式网络系统；

3）全台网阶段，天津电视台以搬迁新大楼为契机，构建了在全台一个基础网络下实现办公、节目制作、节目管理和节目播出等业务的全台网制播网架构。

2 全台网环境下信息安全建设的必要性

随着全国各大电视台网络化工作的普遍推进和日益广泛的应用，全台网信息安全建设与完善逐渐被电视台所重视。

国家广电总局于2011年发布了《广播电视安全播出管理规定》（总局令第62号）[1]，明确提出要开展信息系统等级保护工作。为进一步贯彻落实相关要求，广电总局先后制定了《广播电视相关信息系统安全等级保护定级指南》[2]和《广播电视相关信息系统安全等级保护基本要求》[3]等相关标准与规范，作为规范全行业信息安全等级保护工作，提升安全播出保障能力的基础性标准。

天津电视台的全台制播网支撑日常办公的多项业务，参与多个频道节目制作、播出以及多档新闻节目的直播工作，承担了正确舆论导向的宣传工作，不容有失。

3 天津电视台信息安全建设的规划和实现目标

信息安全建设作为天津电视台新台址的重要组成部分，在保障全台网的稳定运行和核心制播业务的安全高效方面意义重大。天津电视台自2009年开始有序规划、分步推进全台网的信息安全建设，构建支撑办公外网接入、办公内网业务和节目制播核心业务等多项功能的全台网系统。

天津电视台全台信息安全建设以实现并保障安全播出为核心思想，基于此要求分步实现以下4个建设目标：

1）构建天津电视台信息安全基础防护体系，划分清晰的安全域，确保办公和制播业务的正常进行；

2）对天津电视台的核心业务系统——播出系统的边界部署符合国家及国家广电总局相关命令与规定的安全防护措施；

3）根据国家广电总局等保要求细则，完善天津电视台三级制播系统的信息安全防护体系，并通过相关机构测评；

4）建立全台统一信息安全监控平台，实现对台内信息安全的状态可控、可管。

4 天津电视台信息安全建设的主要内容

4.1 构建信息安全基础防护体系

天津电视台基础网络采用核心、汇聚、接入3层架构，核心、汇聚都采用双机架构，在新大楼不同区域内构建4对汇聚交换机，通过万兆上联核心交换机，并通过万兆端口连接楼层接入交换机。

办公网络接入层可以使用有线接入和无线接入两种模式。

Internet接入区域是天津电视台新台址办公网和生产网的对外出口，分别接入联通、电信2条百兆光纤专线，如图1所示。

根据具体的网络结构和业务运行特点，天津电视台详细规划了信息安全基础防护体系：

图1 天津电视台现有办公网架构

首先，根据天津电视台全台网实际运行情况，明确划分网络安全域，并分别针对互联网接入区、办公网、生产网络以及内外网交互区制定相应的安全方案。

针对互联网接入区，选择了防火墙、链路负载均衡、入侵防御、安全网关、流量控制、SSL VPN等设备；针对办公安全域构建了漏洞扫描、防病毒软件、终端安全管理等系统；针对生产网安全域架设了防火墙和入侵检测设备；针对内外网交互安全域设置了安全网关和网闸设备，从而初步建设起天津电视台全台网基础防护体系。

面临众多安全产品和管理手段，构建统一的安全管理中心势在必行，因而建立了安全运维管理中心，实现了对安全设备的集中监控和管理。网络安全一期项目架构如图2所示。

图2 网络安全一期项目架构

4.2 构建播出系统边界安全防护体系

根据国家广电总局62号令及广电相关系统信息安全等级保护相关要求，天津电视台着力对播出系统网络边界部署信息安全防护措施。改造前播出系统如图3所示。

图3 天津电视台播出系统改造前拓扑图

按照播出系统现有的边界，全台备播系统和播出系统之间通过3台交换机进行互联。

全台备播系统和播出系统之间的控制信息和视频数据均通过交换机转发，控制信息数据用百兆以太网电口线路传输，视频数据用千兆以太网光纤传输。

因为备播与播出系统间存在直接的网络连接，因此播出系统面临安全威胁，还包括未授权访问、恶意代码扩散等各种各样的攻击。通过备播系统对播出系统进行恶意访问请求、非法访问行为，以及通过网络传播的病毒、蠕虫将对安全播出带来巨大的负面影响，这些安全风险造成的后果无法用经济损失来估算。

部署在播出系统对外链路上的访问控制系统及安全隔离系统是必不可少的。备播系统通过主干平台与台内其他业务系统相连，可能存在的病毒、木马都将威胁播出系统，而播出边界各个网络及安全设备、操作系统终端自身存在的漏洞也是外部威胁所攻击、利用的薄弱点。

基于以上风险和需求分析，最终确定在播出系统边界假设防火墙、网闸和安全网关设备。改造后的播出系统如图4所示。

图4 播出系统改造后边界拓扑图

4.3 建立等保三级制播系统信息安全防护体系

根据国家广电总局关于信息安全等级保护等保基本要求，广播电视台的网络系统等级划分有其特殊性，安全要求最高的信息系统是播出系统，然后是全台备播系统和具备演播室直播性质的新闻制播网，最后是不涉及播出的综合制播网和办公网。

根据《广播电视相关信息系统安全等级保护定级指南》（GD/J 037—2011）[2]，天津电视台全台网信息系统（见图5）分为以下4类：

1）播出系统：主要是全台播出系统。

2）新闻制播系统：包括新闻部高清新闻网、都市频道新闻网、体育频道新闻网、滨海&文艺频道新闻网和全台备播系统。

3）综合制作系统：包括主干平台、Avid高清编辑网络系统、苹果高清编辑网络系统、公共&科教频道制作网络系统、中心媒资系统和全台收录系统、全台广告网。

4）办公系统：主要是办公网的相关信息系统。

图5 全台制播网络示意图

根据GD/J 037—2011，天津电视台全台网信息系统的定级结果如表1所示。

表1 天津电视台全台网信息系统定级结果

根据以上定级结果，天津电视台信息安全建设的主要目标是保障第三级制播系统的安全，同时兼顾第二级信息系统的安全。

通过详细的业务调研和梳理分析，对天津电视台所有的三级制播系统从以下5个方面进行完善：

1）系统关键设备的安全审计管理、数据库软件审计功能；

2）三级系统的双因素登陆认证管理；

3）三级系统的边界访问控制管理；

4）加固入侵防范体系；

5）完善原有安全管理中心关于运行检测、审计管理、统一身份认证等功能。

5 结束语

天津电视台信息安全系统经过多次分步建设后，在国家广电总局信息安全等级保护相关标准政策的指导下，通过对物理、网络、系统、数据、应用和安全管理方面的合规性整改，将建立起符合天津电视台自身特点的全台网信息安全管理策略、技术防护手段、运维体系和服务机制，有望在省级电视台内首批实现整体达到国家广电总局信息安全等级保护要求并通过国家广电总局等级保护三级系统的安全测评。

通过构建较为完善的信息安全管理、技术、运维、管理体系，将有效助力天津电视台网络化制播工作的顺利进行，全面提升天津电视台综合竞争能力，极大地提高安全播出保障能力。

[1]广播电台、电视台数字化网络化建设白皮书[EB/OL].[2012-11-22].http：//wenku.baidu.com/view/77796d2d7375a417866f 8f55.html.

[2]广播电视相关信息系统安全等级保护定级指南[EB/OL].[2012-11-22].http：//wenku.baidu.com/view/98c9726f1eb91a37f1115 c8b.html.

[3]广播电视相关信息系统安全等级保护基本要求[EB/OL].[2012-11-22].http：//wenku.baidu.com/view/d488d1c59ec3d5bbfb0a7495.html.