江苏广电总台播出系统信息安全实践

陆正军 江苏省广播电视总台

江苏广电总台播出系统信息安全实践

陆正军 江苏省广播电视总台

传统媒体的技术系统越来越呈现IT化、网络化，传统媒体自身对信息安全越来越依赖，此外国家和行业监管部门对信息安全也有要求。本文简要介绍了国际和国内信息安全相关标准，并参考广电总局信息安全等级保护相关要求，首先介绍了江苏广电总台播出系统原有信息安全保护措施，然后针对系统中存在的信息安全薄弱点，介绍了在不采购新设备和服务的情况下，自行对江苏广电总台播出系统实施的一些信息安全保护措施。

信息安全 等级保护 播出系统

一、引言

随着社会的发展进步，各类新兴媒体形态层出不穷，融合媒体发展是大势所趋，在此过程中，传统媒体的技术系统也越来越呈现IT化、网络化，传统媒体自身对信息安全越来越依赖。

此外，国家和行业监管部门对信息安全也有要求。国家于2016年11月7日通过了《中华人民共和国网络安全法》，此外还出台了很多信息安全相关标准。广电总局于2014年对《广播电视安全播出管理规定》（国家广电总局62号令）进行修订，在各专业实施细则中修订“信息安全管理”章节。

本文简述了国际和国内信息安全相关标准，并参考广电总局信息安全等级保护相关要求，介绍江苏广电总台播出系统信息安全相关实践。

二、信息安全标准

2.1 国际标准

在信息安全领域，国际上有三个最知名的标准：信息及相关技术控制目标（COBIT）、美国国家标准与技术研究院（NIST）标准、国际标准化组织（ISO）27000系列标准。

COBIT由ISACA（信息系统审计与控制协会）发布。ISACA是一个被广泛认可的独立IT治理组织，其COBIT被众多的IT组织所采用，基于成熟度模型（如能力成熟度模型CMM）来定义和管理过程。COBIT不是关于信息安全的——它是一般的IT标准，但某些安全实践嵌入在其中。

NIST提供了一组“特定出版物”，以协助业界、政府和学术机构提供最佳实践。称为“800系列”的指定安全特定出版物，针对每项技术都介绍得很具体。

ISO 27000系列的信息安全标准提供了一套框架，结合熟悉的风险控制与评估，遵循典型的法规及信息安全通用最佳实践。其中ISO 27002是一套详细的信息安全控制手册，主要包含14个安全控制措施的章节、35个主要安全类别、135个具体安全控制项。

这三个国际标准各有侧重点，笔者认为ISO 27000系列标准中的ISO 27002对我们实际信息安全工作有很大的参考价值，主要内容如表1所示，详见其标准文档。

表1 ISO 27002中35个主要安全控制类别

2.2 国内标准

国内有很多信息安全相关标准，如GB 17859-1999、GB/T 25058-2010、GB/T 22240-2008、GB/T 22239-2008、GB/T 20271-2006、GB/T 25070-2010、GB/T 28448-2012、GB/T 28449-2012、GB/T 20269-2006、GB/T 20282-2006，其中大多数标准是关于信息系统等级保护的。目前国内各个行业都在推进信息安全等级保护工作，各行业也参照国标出台了行业指导文件，本小节主要介绍广电总局关于信息安全等级保护的相关要求。

广电总局2014年修订的《广播电视安全播出管理规定》，其中《电视中心实施细则》第81条有如下规定“应按照《广播电视相关信息系统安全等级保护定级指南》（GD/J037）的要求，划分播出相关信息系统的安全保护等级。播出相关信息系统应符合《广播电视相关信息系统安全等级保护基本要求》（GD/J038）的相关规定，并按照相应等级要求进行规划、设计、建设、评估和整改。”。

根据GB/J037[2]文件要求，江苏广电总台播出系统属于信息系统三级安全保护等级（省级台播出系统），GB/J038[3]中“第三级防护要求”列出了具体防护要求，如表2所示，此外该文件还有独立于具体等级的“通用物理安全要求”和“通用管理安全要求”，如表3所示。

表2 GD/J038“第三级防护要求”

表3 GD/J038“通用物理安全要求”和“通用管理安全要求”

三、具体实践

本节参照《广播电视相关信息系统安全等级保护基本要求》（GD/J038），介绍江苏广电总台播出系统原有安全措施及本次实施的安全措施。

3.1 系统概况

在进行具体工作前，我们对播出系统进行了梳理，包括网络拓扑、业务划分、设备清单等。播出系统网络拓扑如图1所示，为全万兆光纤链路网络，分接入网络跟汇聚网络两层架构。播出系统业务主要分为整备系统、上载系统、播控系统。

图1 江苏广电总台播出系统网络拓扑图

3.2 基础网络安全

参考总局等保三级要求，我台播出系统已有如下一些安全保护措施：

（1）设备冗余：所有网络设备均有冗余备份，不存在单一溃点；双网卡终端的两个网卡接入不同的接入交换机（堆叠），单网卡终端的主、备设备接入不同的接入交换机；接入交换机上联汇聚交换机采用热备路由器协议（HSRP）实现各VLAN冗余网关地址；汇聚交换机上联主干核心交换机采用EIGRP路由协议实现了冗余备份。

（2）带宽冗余：所有网络链路均为万兆光纤，播出内部为万兆带宽，播出汇聚交换机上联主干平台核心交换机为两根万兆链路绑定，满足了台里高清化送播需求，并留有带宽余量。

（3）安全域划分：播出系统内部根据业务划分为VLAN101～VLAN105五个网段，其中VLAN101和VLAN105为对外交互网段，VLAN102为上载系统网段，VLAN103和VLAN104为播控系统网段，VLAN102～VLAN104不允许对外交互。

本次针对播出系统在基础网络安全方面存在的不足，通过以下几点进行了加强：

（1）原先网络日志分散且无备份，本次自行搭建了一台日志服务器，该日志服务器基于Linux系统中rsyslog软件实现，系统内所有交换机通过logging命令将日志归集至该服务器，所有日志保留90天，日志服务器中所有日志通过Web形式进行分类展示。（2）本次禁用了所有网络设备Telnet登录，启用了SSH安全登录协议。

（3）在网络设备上设置了ACL，限制远程登录终端的IP地址。

3.3 边界安全

参考总局等保三级要求，我台播出系统已有如下一些安全保护措施：

（1）边界部署访问控制设备：我台播出系统边界配置了2台防火墙，仅允许播出系统VLAN101和VLAN105网段对外交互，但未做进一步细化。

（2）安全数据交换：播出系统对外数据交互，采用台里荔枝云提供的“荔枝快传”功能，“荔枝快传”底层采取infiniband线缆进行物理隔离，所有交互文件必须通过防病毒检测。

本次针对播出系统在边界安全方面存在的不足，通过以下几点进行了加强：

（1）细化防火墙控制策略，所有控制项精确到端口，禁用一切未使用的协议和端口。

（2）本次针对核心机房外所有终端，基于交换机端口进行了MAC地址绑定，防止核心机房外有非法设备接入。

3.4 终端及服务器系统安全

参考总局等保三级要求，我台播出系统已有如下一些安全保护措施：

（1）所有终端及服务器遵循最小化安装原则，仅安装了必须的组件和应用程序。

（2）所有终端及服务器部署了赛门铁克防病毒软件，每周进行病毒库更新。

（3）流程驱动引擎、数据库、时钟等核心服务器配置了冗余设备，不存在单一溃点。

（4）核心机房内所有设备禁用了USB、光驱等外设。

本次针对播出系统在终端及服务器系统安全方面存在的不足，通过以下几点进行了加强：

（1）原有终端及服务器口令较简单，很多系统使用相同的密码，本次改掉了系统内所有简单密码，新密码要求具备一定的复杂度（长度10位以上，包含大写字母、小写字母、数字），制定了密码使用规范，要求定期修改系统密码。

（2）有些位于核心机房外的终端未禁用USB、光驱等外设，本次进行了统一禁用。

（3）原先系统内所有终端和服务器未开启本地审计策略（Windows中“管理工具”=》“本地安全策略”=》“本地策略”=》“审核策略”，Linux中的auditd或rsyslogd进程），为防止开启本地审计策略影响应用，本次由次要服务器开始，分批开启了本地审计策略。

3.5 应用安全

参考总局等保三级要求，我台播出系统已有如下一些安全保护措施：

（1）播出系统内所有应用对用户进行了权限划分，为不同的用户分配了最小操作权限，如只有领班岗位用户可以执行素材删除操作。

（2）应用能够记录用户操作日志，如某用户在某个时间点针对某个素材进行了迁移或删除操作等。

本次针对播出系统在应用安全方面存在的不足，通过以下几点进行了加强：

（1）原先应用登录密码较简单，本次修改掉应用所有简单密码，密码使用规范同3.4小节。

（2）编单项目中采购有U-KEY设备，本次将这些U-KEY设备部署到位，实现了编单业务密码+U-KEY双因子认证。

3.6 数据安全与备份恢复

参考总局等保三级要求，我台播出系统已有如下一些安全保护措施：

（1）播出系统业务流程中包含MD5校验环节，保证了数据传输安全。

（2）播出系统内所有数据库服务器采取NEC集群软件实现了双机热备，能够保证数据库应用本身及数据的热备。

（3）播出系统采取多级存储，播出素材在整备存储、播出缓存、播出服务器中存在三份拷贝，实现了素材的冗余备份。

本次未对数据安全与备份恢复部分进行加强。3.7安全管理中心

总局等保三级要求配备安全管理中心，实现系统运行状况的集中监测，并提供集中管理和集中审计功能，本次通过自行搭建的日志服务器和堡垒机，完成了部分安全管理中心功能。

（1）如3.2小节所述，本次播出系统自行搭建了一台日志服务器，该日志服务器基于Linux系统中rsyslog软件实现，交换机通过logging命令进行日志归集，Linux服务器通过rsyslog进行日志归集（⋆.⋆ @＜ip address＞:514），Windows服务器通过Datagram SyslogAgent插件进行日志归集，日志服务器采用Web形式将所有日志分类展现。

（2）播出项目中采购有一台网神堡垒机，本次进行了配置，将系统内所有网络设备、重要服务器纳入堡垒机管理，堡垒机为不同的用户分配了不同的权限，审计员可对所有用户操作进行审计。

3.8 物理及管理安全

参考总局等保三级要求，我台播出系统已有如下一些安全保护措施：

（1）设备机房配备精密空调，N+1备份，温湿度有任何异常会进行短信报警。

（2）播出系统配备两路外电，均为专线，另外配备柴油发电机，重点保障期还会协调应急供电车到场保障。

（3）播出机房UPS系统采用单机双总线供电方式，主备播出设备、双电源播出设备分别接入不同的供电回路，任一UPS故障不影响设备正常工作，UPS电池组可持续供电超60分钟。

本次未对物理及管理安全部分进行加强。

四、 后续工作

本次仅在不采购新设备和服务的情况下，自行对江苏广电总台播出系统实施了一些信息安全保护措施，但由于缺少专业设备和考虑现网实施的安全性和复杂度，等保要求中还有很多安全措施未能实施，后续将针对以下几个方面进行再加强：

（1）本次播出系统自行搭建了一台日志服务器，实现了所有网络设备、Window/Linux主机的日志归集及展示，但未对应用日志进行归集，后续考虑跟应用建立接口。

（2）目前播出系统内所有Web应用采取http方式登录，后续会跟厂商探讨利用openssl实现我们Web应用自签名证书的可行性，如果可行，管理终端浏览器仅需将该证书设为“受信任”，即可完成Web应用向https的迁移。

（3）播出系统边界未部署IPS与IDS等入侵防范设备，后续系统改造过程中，将会将这些安全设备纳入考虑。

（4） 目前播出系统内所有服务器均未更新系统补丁，主要是考虑安全性和兼容性问题，后续可以尝试在非核心服务器上更新系统补丁。

（5）本次仅对编单应用实施了双因子认证，后续可采购U-KEY等设备，对播出系统内其他应用实施双因子认证。

（6）播出系统未根据安全策略控制用户对资源的访问（控制颗粒度为文件、数据库表级），这点在现网实施有一定的困难，后续项目在设计之初就要考虑这方面的安全策略。

五、总结

本文简要介绍了国际和国内信息安全相关标准，并参考总局等保相关要求，在不采购新设备和服务的情况下，自行对江苏广电总台播出系统实施的一些信息安全保护措施。本文仅实施了部分安全措施，还有一些方面未达到等保要求，有待进一步探索实践。

[1] ISO/IEC 27002:2013,https://www.iso.org/ standard/54533.html.

[2] GD/J 037—2011《广播电视相关信息系统安全等级保护定级指南》。

[3] GD/J 038—2011《广播电视相关信息系统安全等级保护基本要求》。