媒体播出信息安全系统设计

杨开红

摘 要：重庆广播电视集团新播出系统顺应当前媒体融合发展思路，将办公网云技术和播出专网相结合，通过媒体播出信息安全系统设计，实现了跨安全域的节目播出管理和应用，有效防控了安全风险，保障了播出系统高效安全运行。

关键词：访问控制;入侵防范;身份鉴别;安全审计

中图分类号：TP393 文献标识码：A 文章编号：1671-2064（2019）08-0049-03

0 引言

作为信息技术与广电行业技术相结合的产物，网络化制播环境有着明显的信息技术本身的特点，既带来了传统系统未有的优势，也带来了传统系统没有的安全难题，因此信息安全工作的重要性日益彰顯。结合新一代媒体播出的基本本要求，并依据相关行业已发布的其它技术标准、规范等，设计了重庆广播电视集团（总台）播出系统信息安全保护方案。

1 媒体信息安全分析与需求

1.1 系统概况

重庆广电视集团播出系统包括节目编排系统、播出系统、备播系统、监控系统等。播出系统网络为以太网络架构，拥有自己独立的以太网络体系，通过播出网络核心交换机系统实现送播系统到播出网络的跨系统连接。该网络主要承担节目元数据、节目单信息、备播素材数据的传输，备播素材浏览播放，控制信息及对外互联互通。

1.2 网络现状分析

重庆广播电视集团（总台）系统网络分为广电大厦（播出核心区域）和彩电中心，异地双网的网络结构模式，双中心通过10GE专线和播出系统应急专线相连。播出系统的应用终端分布于两个地点，通过办公网核心交换机和办公网汇聚交换机与播出系统核心相连。播出系统网络拓扑结构如图1所示。

1.3 关键业务流程风险分析

1.3.1 节目编排流程

节目编排分为播出节目单编单、广告串播编单和字幕编单三个节目编单流程。每个流程的编排都会涉及到编单工作站与播出系统内部计算服务器的业务访问过程和数据交互。

播出节目单编单和广告编单流程中，采用WEB服务方式实现节目编排业务，通过播出网的隔离网闸设备的访问控制方可访问至播出编排系统内的服务器，服务方式为B/S 结构。

字幕编单的业务流程是在办公网部署字幕编单前置服务器，采用专机专用并结合访问ACL和802.1X准入的方式进行访问控制，只允许访问办公网字幕编单前置服务器，服务器提供WEB服务，外网字幕编单服务器与播出网采用XML文件导入的的方式进行交互，并通过USB隔离交换系统进行文件单向同步，方能达到数据同步的应用效果。

该业务流程主要安全风险包括：（1）节目单信息被恶意代码感染的风险;（2）节目单信息被黑客窃取和篡改的风险;（3）消息接口使用的协议（如WebService）可能存在的安全漏洞带来的风险;（4）节目单交互的以太网链路，存在蠕虫病毒传播的风险;（5）节目单交互的以太网链路，存在被黑客渗透的风险。

1.3.2 节目素材整备流程

制作网通过媒资系统中的节目成片整备业务模块完成的节目成片由制作系统向播出系统迁移，迁移服务器将媒体文件信息迁移至播出素材整备存储区域，并将媒体文件的元数据信息同步至播控服务器;应急上载工作站将媒体文件及元数据信息通过USB摆渡的方式上载至应急播出系统中，作为应急播出文件上载。在节目素材整备流程中，存在两种业务流：信息元数据信息和媒体文件。

该业务流程主要安全风险包括：（1）传输的元数据信息被恶意代码感染的风险;（2）传输的元数据信息被黑客窃取和篡改的风险;（3）传输的媒体文件完整性被破坏的风险;（4）媒体文件迁移过程中使用协议（如FTP）可能存在的安全漏洞带来的风险;（5）媒体交换的以太网链路，存在蠕虫病毒传播的风险;（6）媒体交换以太网链路，存在被黑客渗透的风险;（7）来自于团伙和敌对势力发起漏洞攻击和拒绝服务攻击的风险。

1.4 信息安全需求

1.4.1技术需求

（1）基础网络安全需求。1）合理划分安全域和安全分区，加强VLAN间的访问控制;2）网络设备本身开启安全审计功能，并将审计数据发送至安全管理平台进行集中管理和分析;3）登录网络设备采用双因素认证方式进行身份鉴别，对设备运维要有审计记录;4）对网络设备进行安全加固配置，规范账号管理、关闭不必要的服务和端口，对登录失败有处理机制。

（2）边界安全需求。1）播出系统与外部交互系统网络边界部署防火墙系统，对进入播出网络的数据流进行细粒度的访问控制;2）播出系统与外部交互系统网络边界的信息链路部署网闸系统，进行安全的协议过滤;3）播出系统与外部交互系统网络边界的媒体文件链路部署USB协议摆渡文件交换系统，进行安全的文件类型和文件内容的过滤和摆渡;4）播出核心交换机部署入侵检测系统（IDS），对所有的流量进行检测，发现入侵行为进行告警并阻断;5）播出系统网络设备进行IP-MAC绑定或基于802.1X的准入控制技术，禁止非授权或未达到播出系统配置基线的终端接入到播出系统网络;6）播出系统内部通过终端安全管理系统，对违规外联行为进行检测并阻断。

（3）终端安全需求。1）播出系统终端制定安全配置基线，定期进行脆弱性检查，并根据评估结果进行安全加固增强;2）播出系统重要终端开启安全审计功能，并对审计信息进行集中管理;3）播出系统终端部署防病毒和终端安全管理系统，进行统一恶意代码防护、资产管理、补丁分发和外设封禁。

（4）服务器安全需求。1）播出系统的相关服务器采用双因素的方式登录操作系统;2）播出系统的接口服务器对操作系统进行安全加固;3）播出系统的相关服务器制定安全配置基线，定期进行脆弱性检查，并根据评估结果进行安全加固增强;4）播出系统的相关服务器开启安全审计功能，并对审计信息进行集中管理;5）播出系统的相关服务器部署防病毒和终端安全管理系统，进行统一恶意代码防护、资产管理、补丁分发和外设封禁。

（5）应用安全需求。1）通过业务系统软件，加强应用软件的身份鉴别能力;2）通过业务系统软件，加强应用软件登录失败处理机制;3）通过业务系统软件自身访问控制，加强应用软件的用户和权限管理能力，要求控制粒度为文件、数据库表级;4）根据安全管理平台要求，将审计日志通过固定格式发送到安全管理中心进行集中审计管理;5）通过安全监控系统实现服务水平检测和保障。

（6）数据安全需求。播出系统制定数据备份计划，建立灾难恢复应急预案并定期进行演练。

1.4.2 管理需求

根据信息安全等级保护的通用安全管理要求，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个层面进行细化设计，需考虑括部门和人员的配备，制度的继承来建设符合重庆电视台播出系统的安全管理体系建设。

2 安全保障体系结构设计

业信息安全域划分以播出系统的组成为基础，以数据信息分类或服务功能为基本依据，根据应用系统业务处理的需要和同类数据信息的流动范围确定。本次安全域主要分为播出系统子域、节目编排系统子域、应急备播统子域、监控管理子域和安全管理中心。其中播出系统子域中的媒体业务域又根据服务功能进一步划分为素材整备区、应急备播区、播出区;信息业务域又分成终端区和应用与数据区。播出系统安全域划分如2图所示。

2.1 网络结构冗余

播出系统网络现采用核心+接入两层架构，核心层的功能主要是负责各个接入层交换机的汇聚，承担着整个播出系统内部的数据交换以及与全台网各个业务系统的互联。根据重庆播出系统业务划分，分为四个逻辑核心网络，媒体类业务由于传输带宽要求比较高，采用双核心交换负载均衡结构;系统接口服务器和重要服务器双上连至接入交换设备，能够在网络或設备出现故障时自动切换，以满足高可用性的要求。

2.1.1 硬件冗余

核心层交换机是整个播出系统的数据交换核心，管理和保存所有的网络配置信息和路由信息，采用冗余电源和冗余交换引擎为了提高核心交换机自身的稳定性和安全性。

2.1.2 链路冗余

对于链路冗余，主要是通过交换机配置来管理，根据前面的核心层承载业务系统的划分，采用交换机的捆绑技术来实现和提高核心交换机的稳定性，防止一条链路的中断引起的网络收敛。

2.2 访问控制

根据重庆电视台播出系统的业务功能区分，按照不同的子系统在网络设备上进行Vlan划分，并对Vlan间的访问行为进行细粒度的访问控制;在播出系统与外部系统具有数据交互的应用，在播出系统边界部署2台防火墙，对进入系统的访问请求进行IP地址段及端口级访问控制;对于需要进行协议隔离类的访问请求，在播出边界部署2台隔离网闸彻底阻断各种网络协议，保证信任网络和非信任网络之间链路层的断开，彻底阻断TCP/IP协议以及其他网络协议;对应急播出上载边界采用2套USB文件摆渡系统，对媒体素材文件、广告素材文件以及办公字幕编单服务器与播出编单的文件同步，通过USB文件摆渡系统进行进行白名单控制和病毒查杀，与播出网恶意代码防范系统病毒库异构。重要终端和服务器的外设进行封禁和操作系统加固等配置操作，以保证终端和服务器的访问控制。

2.3 入侵防范

（1）入侵监测。播出系统子域部署1台入侵检测系统，对播出系统子域内部的非法入侵行为进行实时监控，在系统受到危害之前响应和报警。（2）漏洞扫描。部署1套漏洞扫描系统，配合漏扫系统的强大漏洞库，对网内采取主动防御的方法，周期的对网络设备、安全设备、主机设备的脆弱性进行评估，对针对扫描结果给出指导意见。（3）服务器加固。服务器操作系统按照最小配置原则，仅安装必要的组件和应用程序，关闭不必要的服务和端口，并对外设（光驱、USB、串口等）进行限制。

2.4 恶意代码防范

在播出系统子域中部署终端管理和防病毒系统，实现恶意代码防范和基于802.1X的准入控制机制、外设及端口控制、补丁分发等功能。制定安全配置基线，对新入网的终端进行配置检查，达到安全配置基线要求的设备才可以入网并部署应用。

2.5 身份鉴别

部署1套数字证书系统，对重要服务的登录和业务访问结合用户名/密码的方式进行双因素组合鉴别。

2.6 安全审计

2.6.1 日志审计

在安全审计方面，在接口服务器、Web服务器、应用服务器、数据库服务器和重要终端上均开启安全审计策略，通过在服务器上部署Agent结合WMI采集方式（Windows服务器），或Syslog方式（UNIX/LINUX类服务器）统一采集安全审计日志。需要审计的内容包括：（1）对重要用户行为（如用户创建、登录、注销）、系统资源的异常使用情况（如特权使用、文件权限更改）、重要系统命令（如FTP、TELNET）使用情况进行审计;（2）审计记录至少应包括事件的日期、时间、类型、用户名、终端IP地址、访问对象和结果等;（3）审计记录应至少保存90天以上;（4）应保护审计记录，避免受到未预期的删除、修改或覆盖等;（5）应定期对审计记录进行分析，以便及时发现异常行为。

2.6.2 数据库审计

通过部署数据库审计对播出系统域进行安全审计。通过采集器抓取与业务系统数据库操作相关的数据包，实现对数据库操作及用户行为的双重审计;提供丰富的审计查询条件和细致的统计分析条件，供数据管理者查询、分析、取证、决策，及时发现可能危及业务系统运行的数据库风险因素，提供有效的风险控制依据。

3 结语

重庆广播电视播出网络系统采用HTTP、HTTPS通用协议的B/S模式和云技术，将电视业务中代码申请、节目编排功能部署在现有办公云上，利用媒体信息安全设计，和播出专网相结合，实现了跨安全域的节目播出管理和应用。运行两年来，信息安全系统与播出业务系统紧密结合，实时收集和监控网络环境中的系统状态、安全事件、网络活动，实现网络安全态势感知和预警，有效防控安全风险，最大程度保障播出系统高效安全运行。

参考文献

[1] GD/J 037-2011，广播电视相关信息系统安全等级保护定级指南[S].

[2] GD/J 038-2011，广播电视相关信息系统安全等级保护基本要求[S].