设计媒资系统网络安全架构

■ 山东 马帅

编者按： 传统企业的网络安全防护一般并不十分到位，随着等保2.0的正式出台，传统企业IT系统安全建设必须随之重视起来。本文作为媒体行业企业，信息系统安全建设也必须予以高度重视。

笔者单位的广播电视台媒资管理系统于2014年中试运行、年底正式上线运行，自运行以来网络安全情况稳定得益于设计之初便将安全问题列为首位。

媒资系统作为播前媒资衔接了全台制作网和播出端，这样所有文件化播出的节目和广告则必须通过媒资系统到达播控，由此可见其重要性，自然其安全稳定问题显得尤为重要，媒资系统以行业相关规定以及网络安全等级保护管理办法为指导办法进行设计。

单位媒资系统除了要完成文件化送播业务外，还要完成视音频素材的入库存储、磁带的采集和数字化，收录业务，播出节目的播前整备、广告磁带的数字化及播前整备、播出节目单预编排和审核业务，以下仅就媒资系统的网络安全方面为主进行分析。

媒资系统目前主要由单位媒资运维科进行日常管理维护，自上线以来部门成立了网络安全小组，对日常的网络安全进行检查，日常综合性安全网关的升级、病毒库的更新、系统的加固等等工作。像2018年较为活跃的勒索病毒爆发后，部门及时对操作系统进行了加固，封闭了高危端口，升级了系统补丁。

网络情况概述

媒资系统网络采用星型结构，以两台核心交换机为中心，分别连接媒资子系统、收录子系统、备播子系统、播出单预编排子系统、安全管理系统以及DMZ区。与播出系统边界使用防火墙、UTM和网闸安全设备，对双向访问进行策略控制。与制作系统的边界，使用迪普深度综合安全网关设备进行防御，包含了防病毒、防火墙、IPS模块，进行安全策略配置，保障系统安全。系统分为内部业务区域和高安全区域（DMZ）。安全管理中心配置了安恒日志审计平台，负责搜集操作系统、网络设备、应用软件日志，并对其进行分析。交换机和安全设备使用虚拟化方式冗余，服务器设备使用集群方式或热备方式进行冗余。

设计要点分析

1.基础网络安全

网络始终是服务于业务，必须要满足能够安全稳定的进行业务流程的需求，媒资系统在正式上线前应对业务流量满载压力测试，网络带宽可满足业务高峰期需求。

媒资系统的高安全区交换机、核心交换机、综合性安全网关均使用虚拟化技术主备同时运行避免出现单点故障。根据媒资系统功能、业务流程、网络结构层次、业务服务对象等划分网络安全域，安全域内根据业务类型划分不同的网段，便于日后的管理维护。对交换机和安全设备的安全设备管理员登录地址均进行了ACL限定，仅允许媒资运维值班室中的管理机进行登录操作。

2.边界安全

任何一个信息系统要想保证安全，必须明确边界在哪，如何保证好边界安全是做好网络安全工作的重中之重。

媒资系统网络向上承接全台各个制作网，向下衔接播控系统，这俩个进出口则为媒资系统的边界。在与制作系统边界处设置了深度综合安全网关，其涵盖了IPS、病毒库，以及防火墙，双板卡分别对进出会话进行访问控制，所有来自于外部制作网的流量均要通过综合性安全网关，由媒资到播控系统的流量则要经过UTM、网闸、防火墙。

3.终端系统安全

由制作网提交至媒资的素材或节目入库后需要媒资内容工作人员进行质量审核以及编目工作，媒资终端工作站采用域账户和动态口令登录操作系统。每个动态口令设备均有唯一的序列号，因此规避了多人使用同一用户名的安全风险。在域控服务器中启用了账户口令复杂度要求，为大小写字母和数字的组合，口令最长期限为180天，最短密码长度为8位，用户名和口令不相同。每台终端均安装正版杀毒软件，由媒资运维同事负责定时更新病毒库并禁用了USB口和光驱。

4.服务端系统安全

媒资系统内所有应用服务器及数据库均为主备或集群模式，不存在任何单点故障，使用域账户统一管理，并部署具有统一管理功能的防恶意代码软件。采用主机加固软件通过主机安全环境系统设置了白名单，控制了服务器的客体（文件夹目录资源）和主体（业务应用进程），只有指定的业务进程才能够访问对应的文件夹目录。对“.exe”、“.msi”、“.sys”、“.reg”等12类客体文件仅赋予只读权限，对于本地的USB注册表和光驱驱动设置为禁止访问，关闭了不必要的服务和端口，能对影响到应用程序的操作系统重要程序的完整性进行检测，在检测到完整性受到破坏后手动恢复。

5.应用安全

使用主机加固软件部署应用安全保护域，只有指定用户才可访问应用软件进行操作。在域中启用了访问控制功能，为不同岗位分配了不同角色，限制了用户可使用的业务功能，删除了临时账户和测试账户，使用网管系统对网络链路状态和核心交换机、汇聚交换机、接入交换机的设备状态、端口状态、IP地址、网络流量等信息进行监控。部署FTP监控，当FTP应用断开时可及时报警。

6.数据安全

媒资存储采用RAID5+主备镜像模式，保证了数据的安全，数据库采用集群+第三备模式，每日定时备份数据库文件，确保数据库安全。

7.安全管理中心

部署了日志审计服务器可采集各应用服务器日志数据并上报日志审计管理中心，对监控的异常情况进行报警，并对审计记录进行统计、查询、分析及生成审计报表。对已集中管理的设备审计日志进行保存，并手动归档。部署流程监管系统，对由制作网到达播控系统的业务流程进行全程监控。

8.系统运维管理体系

制定了相关安全管理规定及广播电视台人员上岗规定，规范人员上岗，明确人员审查和考核等内容，成立网络安全小组并签订了保密协议。制定了单位外部人员安全管理办法规定，对外部人员允许访问的区域、系统、设备、信息等内容进行规定。建立了各机房的安全管理制度，规范机房物理访问、机房环境安全、工作人员行为等。

总结

安全大于天，安全问题是首要问题，使用各种安全手段让系统平稳健壮的运行是每一名系统运维人员的使命。目前单位媒资系统已通过广电总局的三级信息系统安全等级保护测评，身为一名技术人员务必要保证好系统网络安全以及数据的安全。随着全国广播电视行业高清化的进程，带宽、计算资源以及存储容量的要求越来要越高，这需要我们积极学习前沿技术，掌握各种新型设备的发展趋势，未雨绸缪才能为新的业务形态做好技术支撑。