自动化编播系统核心安全维护

马 骏

吉林省延边广播电视台 吉林 延吉 133000

安全体系建设包括:操作系统安全,数据库安全,访问控制,入侵检测,密码管理和应急响应等方面。

对于音视频制播网上的工作站的相应外设,如光驱、软驱等必须摘除,并在BIOS中封闭这些端口。对于非网络上连接使用的UBS、RS232等端口也必须封闭,以防止外来文件可能附带的病毒等,对网咯上的所有计算机设备造成感染。

1 操作系统

操作系统是整套自动化编播系统的核心。它控制和管理自动化编播系统的硬件和软件资源。运行状态良好与否,直接关系到安全播出问题。加强操作系统的安全管理维护格外重要。在管理维护过程中,应经常注意一下方面:

(1)加强操作系统的用户账号管理；

(2)勤查日志；

(3)安装补丁程序

(4)关闭不必要的端口,关闭不必要的服务,禁止建立空连接

许多时候,编播人员以节目制作的需要为由,在本地工作站内存放大量的音视频文件,占据许多的硬盘空间,应当适时清理和移除,避免新制作的节目无法保存。

2 数据库安全

数据库系统记载自动化编播系统的节目单、广告单、播出节目等编播信息。维护数据库安全就是要保障数据库信息的完整、保密可用。工作中,主要通过一下方面来保证:

(1)安全管理采用集中控制和分散使用的方式,集中管理就是用管理员来控制全台数据库的安全维护,分散使用就是不同的频率、频道节目部门使用自己的本频率、本频道节目部门的数据库。这样既避免了不同节目部门在编播节目时出现相互干扰,而且也提高了各频率、频道节目安全性。

(2)由存取控制策略保护数据安全。用户只能了解与自己工作有关信息,其他信息被屏蔽的最小特权策略。通过这些策略的使用,编辑们就只能在自己的授权范围内进行正常的节目录编操作。而不会因为误操作或非法操作影响数据库的安全。

(3)维护日志管理和及时安装补丁程序。自动化编播系统是构建在网络平台上,因此,必须将网络的维护日志管理作为重要内容。我们认为,系统日志可以解决一下几个方面的问题:

首先是有助于网络维护经验的积累和总结。对管理维护者是一笔难得的经验财富,因为故障本身往往提示网络上存在漏洞和危险,在解决的过程和方法中对其他的故障有很好的借鉴作用。

其次是有助于网络管理人员的技术交流。自动化播出网工作的全天侯特征决定了网管人员只能在有限的时间周期内分段完成维护,对事务的处理也具有鲜明的时段性特征,为保持网络管理策略和水平的一致性,系统日志是有效地途径。

和操作系统一样,这些工作可以使我们及早发现和处理问题,增强数据库的安全性。

3 访问控制

自动化编播系统每天都要经过不同使用者的访问、操作,如管理员、编辑等。他们对整套自动化编播系统的使用要求各不相同,赋予不同使用者相应的对自动化编播系统访问、控制权力。

(1)强化管理。尽量避免编播人员对自动化编播系统误操作带来的数据、系统的错误或破坏,从而使自动化编播系统更加稳固。

(2)合理划分职责。用户只有其所应具有权限,避免越权行为。出现问题时,可以者权分明。

(3)防止权限滥用和密码丢失,及时变更或重新赋名。

4 网络入侵检测

入侵检测是对入侵行为进行监控,通过对网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象。利用实时入侵检测,可以对特定网段、主机和服务器建立攻击监控体系,有效阻止入侵和攻击,避免了入侵和攻击造成自动化编播系统的瘫痪和停播。

5 合理的网络结构

设备的选择,应遵循被广泛使用。可靠性高、质量好、关键部位采用冗余设计,杜绝单点故障所造成的网络瘫痪,软件有良好的纠错、容错能力。与外界物理隔绝的内部局域网。对局域网结构进行优化:

(1)划分VLAN。考虑到不同部门对自己节目的安全性和私密性要求,同时为了便于不同部门之间的协调和指令,给每个部门划分一个VLAN。同时,为了提高资源的利用率,把共享资源划为一个公共VLAN。节目部门之间的VLAN 不能相互访问,节目部门的VLAN 都可以访问公共VLAN。这样各节目部门可以放心地在属于自己的编播环境中进行节目的剪辑、存放、发播等操作。当然VLAN 的划分还可以隔离、缩小网络的风险几率,提高网络的整体性能和安全。

(2)IP地址绑定。IP地址是计算机终端在网络中的身份证明。划分VLAN 后,给节目不同部门的计算机终端指定IP。为防止非法计算机的闯入,要指定的IP 地址与计算机终端的MAC 地址,以及与交换机的MAC地址绑定。这样可以清楚地了解到整套自动化编播系统中的计算机终端是否是合法计算机。IPV6出现后,对于这个问题的解决会更容易,监测也更方便,带的系统可以更大。

(3)使用网管工具。随着发展,网络中的设备也在不断地增加,管理难度、故障排查的难度也相应地增加。使用网管软件,可以清楚地、直观地了解现在网络中运行的设备,IP地址、端口、故障点等信息,及大地方便了网络管理人员对网络的维护工作。

6 密码保护

合理地设置密码可以有效地防范来自外界的破坏,系统管理员、网络管理员的重要密码要采取专人负责措施,不可将它们告诉别人。定义密码时,尽可能采取长字段、多字符的措施。同时,密码要定期更换,避免一个密码使用时间过长。

7 应急响应和数据备份

自动化编播系统在运行过程中可能会出现各种情况,如系统故障、自然灾害,人为破坏等等。为了保障安全播出,应建立数据备份和应急播出系统。通过这套数据备份和应急播出系统,可以最大限度地保障系统和数据的连续性和可靠性。

数据备份不仅可以在自动化编播系统出现不可逆转的情况下,及时恢复编播数据信息,避免出现重大事故,同时也可以将播出节目作为历史资料保存。

在自动化编播系统安全维护实践中我们发现系统的异常和故障具有这样的特点,那就是往往以小规模、低危害的形式发生。如果不能从系统异常的蛛丝马迹中敏锐地发现潜在的危险,或者在处理系统网络异常的过程中没有集中足够的注意力,甚至对处理手段可能引起的后果缺乏必要的预见性,那么小异常往往会演变成大故障,造成重大播出事故。

制订有效地安全和维护方案及定期演练,才能保证系统发生故障时维护人员可以做到处惊不变,心中有数。同时,系统的软硬件配置环境也会随着不断发展和应用深入而改变。作为安全维护管理人员也需要定期验证安全和维护方案的可行性。一方面可以加深维护人员对系统故障处理的理解和认识,另一方面也可以根据实际环境的变化对系统安全维护方案予以必要的补充和完善。