廣播電視臺播出系統(tǒng)網(wǎng)絡(luò)安全建設(shè)

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了廣播電視臺播出系統(tǒng)網(wǎng)絡(luò)安全建設(shè)范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：本文以市級廣播電視臺播出網(wǎng)為例，主要介紹了安全防護(hù)設(shè)計(jì)思路與架構(gòu)和重點(diǎn)功能模塊——防火墻、EDR、網(wǎng)絡(luò)審計(jì)、日志審計(jì)、堡壘機(jī)等的具體功能設(shè)計(jì)，為廣播電視播出系統(tǒng)的網(wǎng)絡(luò)安全提供基礎(chǔ)保障。

關(guān)鍵詞：播出系統(tǒng)；網(wǎng)絡(luò)安全；系統(tǒng)設(shè)計(jì)；等級保護(hù)

1引言

人工智能、大數(shù)據(jù)迅猛發(fā)展背景下，新技術(shù)、新應(yīng)用讓傳統(tǒng)廣播電視正從傳統(tǒng)的拍攝、編輯、播出的封閉式生產(chǎn)流程，全面轉(zhuǎn)向全媒體內(nèi)容匯聚、全時(shí)空合作生產(chǎn)、多渠道內(nèi)容同發(fā)。新的生產(chǎn)流程和全媒體傳播給安全播出和網(wǎng)絡(luò)安全帶來了新問題和新挑戰(zhàn)。從國家到廣電行業(yè)對網(wǎng)絡(luò)安全有更高的要求。2017年，《中華人民共和國網(wǎng)絡(luò)安全法》開始實(shí)施。2019年12月，網(wǎng)絡(luò)安全等級保護(hù)制度2.0國家標(biāo)準(zhǔn)正式實(shí)施。2020年，國家廣播電視總局制定了《廣播電視網(wǎng)絡(luò)安全等級保護(hù)定級指南》，按照指南要求，廣播電視播出網(wǎng)應(yīng)符合三級等級保護(hù)要求。[1]2011年，國家廣播電視總局發(fā)布《廣播電視安全播出管理?xiàng)l例》，要求各級廣播電視機(jī)構(gòu)必須開展信息系統(tǒng)等級保護(hù)工作。為貫徹落實(shí)各級各部門信息安全等級保護(hù)的各項(xiàng)要求，德州市廣播電視臺（以下簡稱“德州臺”）于2021年5月啟動(dòng)播出系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)。

2建設(shè)分析

傳統(tǒng)廣播電視一直強(qiáng)調(diào)的是硬件的物理隔離，安全手段比較傳統(tǒng)。隨著各類云平臺的使用，各種類型的網(wǎng)絡(luò)接入，AI、大數(shù)據(jù)的廣泛應(yīng)用，安全形勢發(fā)生了巨大改變。廣播電視安全不只需要一個(gè)初級的安全防護(hù)，更需要一個(gè)系統(tǒng)的企業(yè)級的安全保護(hù)和一個(gè)新的網(wǎng)絡(luò)安全防護(hù)體系。德州臺播出系統(tǒng)安全建設(shè)項(xiàng)目整體包含4個(gè)部分的安全：物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算機(jī)、數(shù)據(jù)和安全。這4個(gè)方面覆蓋了物理和環(huán)境信息安全、網(wǎng)絡(luò)技術(shù)架構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全管理審計(jì)、網(wǎng)絡(luò)訪問內(nèi)部控制、邊界完整性檢查、網(wǎng)絡(luò)入侵防御?？刹扇〉闹饕踩胧┖图夹g(shù)包括但不限于防火墻、入侵防御系統(tǒng)、安全審計(jì)系統(tǒng)、防病毒網(wǎng)關(guān)等。本次安全建設(shè)要全面構(gòu)建完整的數(shù)據(jù)安全保護(hù)能力，為廣播電視播出系統(tǒng)提供全面完整的安全保障。本次安全建設(shè)涉及的是廣播電視播出網(wǎng)，播出網(wǎng)含2個(gè)子網(wǎng)：一是廣播播出子網(wǎng)，二是電視播出子網(wǎng)。廣播播出子網(wǎng)的服務(wù)器和工作站等均直接連接到一臺24口的交換機(jī)，星形結(jié)構(gòu)。本系統(tǒng)目前有播出服務(wù)器2臺、工作站10臺、主備核心交換機(jī)2臺。對外完全物理隔離，文件輸入輸出通過隔離網(wǎng)閘，音頻輸入輸出是AES和模擬音頻。電視播出網(wǎng)核心設(shè)備是主備播出服務(wù)器、數(shù)據(jù)庫、存儲服務(wù)器、應(yīng)用服務(wù)器等，周邊設(shè)備為第三備播出服務(wù)器、墊片服務(wù)器、一致性比對服務(wù)器和各類工作站等。上游網(wǎng)絡(luò)邊界和節(jié)目制作系統(tǒng)通過2臺主備防火墻隔離，上游制作系統(tǒng)用千兆光纖連接2臺電視播出系統(tǒng)網(wǎng)主備防火墻，2臺防火墻之間、2臺防火墻與播出交換機(jī)之間均為萬兆光纖直連。本次安全建設(shè)需要包含2個(gè)子網(wǎng)，目標(biāo)拓?fù)鋱D如圖1所示。

3方案設(shè)計(jì)

本安全規(guī)劃需要充分考慮長遠(yuǎn)發(fā)展需求，整體規(guī)劃、一體化布局、統(tǒng)一標(biāo)準(zhǔn)、規(guī)范化設(shè)計(jì)，并根據(jù)實(shí)際需要及預(yù)算，突出重點(diǎn)、分步實(shí)施，保證系統(tǒng)建設(shè)的完整性和安全投入的有效性。

3.1安全防護(hù)設(shè)計(jì)思路與架構(gòu)

按照等級保護(hù)政策、標(biāo)準(zhǔn)、指南等文件要求，對播出系統(tǒng)進(jìn)行三級安全防護(hù)設(shè)計(jì)。基于項(xiàng)目投入與等保合規(guī)的綜合考量，本方案采用等保一體機(jī)配合防火墻硬件設(shè)備的方案設(shè)計(jì)。同時(shí)，等保一體機(jī)平臺建立統(tǒng)一管理中心保障安全管理措施和防護(hù)的有效協(xié)同及一體化管理，并且借助等保一體機(jī)平臺實(shí)現(xiàn)安全事件的統(tǒng)一分析，從而聯(lián)動(dòng)各安全組件進(jìn)行持續(xù)的防護(hù)，設(shè)計(jì)思路如圖2所示。安全防護(hù)架構(gòu)核心主要基于等級保護(hù)2.0相關(guān)標(biāo)準(zhǔn)，在快速合規(guī)的同時(shí)保證播出系統(tǒng)業(yè)務(wù)能夠安全高效的運(yùn)行。其中，安全態(tài)勢模板整合了不同的安全組件，實(shí)現(xiàn)了安全事件的態(tài)勢分析和聯(lián)動(dòng)防御，部署示意如圖3所示。

3.2能力建設(shè)

3.2.1防火墻方案設(shè)計(jì)。為了解決播出系統(tǒng)與制作系統(tǒng)之間的邊界訪問控制與隔離手段，提高廣播電視播出系統(tǒng)的防御保護(hù)能力，確保播出系統(tǒng)邊界處可實(shí)現(xiàn)訪問控制、入侵防御、流殺毒、Web防護(hù)、惡意URL識別、流量管理等功能；為切實(shí)保護(hù)業(yè)務(wù)流量傳輸安全，考慮網(wǎng)絡(luò)流量承載問題，故采用硬件設(shè)備部署。防火墻由操作系統(tǒng)核心和多種可配置的安全引擎模塊構(gòu)成。安全管理引擎主要包括抗DoS攻擊引擎、網(wǎng)絡(luò)防火墻引擎、IDS/IPS引擎、Web防護(hù)引擎等。防火墻還需要支持企業(yè)級的應(yīng)用、APT防御、入侵防御、URL過濾、Web安全進(jìn)行防護(hù)、流量可視化、用戶訪問內(nèi)部控制、惡意程序代碼防護(hù)、基于數(shù)據(jù)應(yīng)用的流量成本控制、文件信息過濾、關(guān)鍵字過濾、內(nèi)容相關(guān)審計(jì)等功能。解決網(wǎng)絡(luò)攻擊，包括系統(tǒng)漏洞、溢出攻擊、木馬、RPC攻擊、蠕蟲、WebCGI攻擊、拒絕服務(wù)等。完善的防火墻功能為廣播電視播出系統(tǒng)提供全面的安全防護(hù)解決方案。3.2.2云EDR方案設(shè)計(jì)。為了解決播出系統(tǒng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制，設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍，對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制，發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后及時(shí)修補(bǔ)漏洞等防護(hù)要求，故在等保一體機(jī)中設(shè)置EDR子系統(tǒng)。EDR要能達(dá)到播出系統(tǒng)實(shí)際防護(hù)需求且合規(guī)。（1）保護(hù)主機(jī)和虛擬機(jī)安全。需要包含惡意行為檢測、漏洞保護(hù)、系統(tǒng)強(qiáng)化、病毒查殺、終端設(shè)備實(shí)時(shí)監(jiān)控等多種保護(hù)手段，為廣播電視播出系統(tǒng)的各類終端構(gòu)建全面、安全的防護(hù)架構(gòu)，確保播出服務(wù)器和工作站等終端的安全。[2]（2）強(qiáng)大的管理能力。首先需要便于操作的交互界面，還需要有豐富的管理功能，能夠展示整個(gè)播出網(wǎng)的安全態(tài)勢、各種虛擬機(jī)的發(fā)現(xiàn)、全面精準(zhǔn)直觀的統(tǒng)計(jì)報(bào)表，提高播出網(wǎng)安全管理效率，降低安全風(fēng)險(xiǎn)。（3）滿足合規(guī)要求。需要快速準(zhǔn)確地在系統(tǒng)內(nèi)發(fā)現(xiàn)惡意代碼的傳播，檢測出播出網(wǎng)內(nèi)各個(gè)終端或者主機(jī)的所有的惡意行為，對惡意行為及時(shí)判斷并進(jìn)行處置，最終保護(hù)終端安全。EDR主要目的就是實(shí)現(xiàn)虛擬機(jī)和主機(jī)終端的統(tǒng)一和一致的管理，降低虛擬機(jī)的安全威脅。3.2.3云數(shù)據(jù)庫/網(wǎng)絡(luò)審計(jì)方案設(shè)計(jì)。為了解決播出系統(tǒng)和全媒體制作網(wǎng)之間的網(wǎng)絡(luò)邊界，對播出網(wǎng)和有線電視覆蓋網(wǎng)、發(fā)射臺、IPTV等的重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)。審計(jì)需要覆蓋到每個(gè)用戶，針對重要的用戶行為、重要安全事件，要能夠滿足對內(nèi)網(wǎng)進(jìn)行遠(yuǎn)程訪問的用戶行為，對內(nèi)網(wǎng)訪問外網(wǎng)和互聯(lián)網(wǎng)的用戶行為單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析等防護(hù)要求，故在等保一體機(jī)中設(shè)置云數(shù)據(jù)庫/網(wǎng)絡(luò)審計(jì)子系統(tǒng)。云數(shù)據(jù)庫/網(wǎng)絡(luò)審計(jì)系統(tǒng)要能達(dá)到播出系統(tǒng)實(shí)際防護(hù)需求且合規(guī)。例如，為技術(shù)人員提供在業(yè)務(wù)環(huán)境下對數(shù)據(jù)庫的安全審計(jì)，審計(jì)對數(shù)據(jù)庫的各種操作行為（訪問行為、訪問途徑、讀取、寫入和刪除行為等）進(jìn)行全面的安全審計(jì)，評估數(shù)據(jù)庫面臨的所有風(fēng)險(xiǎn)。云數(shù)據(jù)庫/網(wǎng)絡(luò)審計(jì)系統(tǒng)需通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)庫的所有訪問操作，同時(shí)支持自定義內(nèi)容關(guān)鍵字、自定義協(xié)議監(jiān)測、自定義端口監(jiān)測，實(shí)現(xiàn)數(shù)據(jù)庫操作的內(nèi)容監(jiān)測識別，發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為。3.2.4云日志審計(jì)方案設(shè)計(jì)。按照三級等?；疽?，廣播電視播出系統(tǒng)需要對審計(jì)管理員進(jìn)行身份鑒別。審計(jì)人員只被允許通過一個(gè)特定的命令或操作系統(tǒng)界面操作，并對這些操作方法進(jìn)行內(nèi)部審計(jì)。審計(jì)系統(tǒng)對審計(jì)記錄進(jìn)行研究分析，依據(jù)分析結(jié)果有針對性地進(jìn)行快速高效的處理。審計(jì)系統(tǒng)對播出網(wǎng)所有設(shè)備記錄的分散的審計(jì)數(shù)據(jù)進(jìn)行整合匯總、分析，以驗(yàn)證所有匯總的審計(jì)記錄是否符合要求。日志審計(jì)需要對播出網(wǎng)內(nèi)所有的用戶行為和重要的安全事件進(jìn)行審計(jì)。審計(jì)系統(tǒng)需要對所有的審計(jì)記錄進(jìn)行有效的安全保護(hù)，需要對審計(jì)數(shù)據(jù)進(jìn)行定期的備份，故在等保一體機(jī)中設(shè)置云日志審計(jì)子系統(tǒng)。[3]云日志審計(jì)系統(tǒng)要能滿足播出系統(tǒng)實(shí)際防護(hù)需求且合規(guī)，可對多種不同類型資產(chǎn)特有日志格式進(jìn)行解析，經(jīng)過收集、分析、展示等過程協(xié)助管理者及時(shí)獲悉全網(wǎng)整體運(yùn)行態(tài)勢?？商峁┖弦?guī)審計(jì)、統(tǒng)計(jì)分析、全文檢索、告警分析等功能，同時(shí)對原始數(shù)據(jù)進(jìn)行留存。3.2.5云堡壘機(jī)方案設(shè)計(jì)。為了解決在播出系統(tǒng)管理終端進(jìn)行限制等防護(hù)要求，故在等保一體機(jī)中設(shè)置云堡壘機(jī)子系統(tǒng)。堡壘機(jī)在安全系統(tǒng)中的作用就是在物理和邏輯上都把人和對應(yīng)的目標(biāo)設(shè)備進(jìn)行解綁和分開，完全阻隔了外網(wǎng)對播出內(nèi)網(wǎng)的直接通聯(lián)和訪問。堡壘機(jī)要對用戶進(jìn)行嚴(yán)格的身份鑒別，鑒別方式要達(dá)到2種以上，包括并不僅限于應(yīng)用口令、生物特征、密碼等。驗(yàn)證身份后，外網(wǎng)對播出內(nèi)網(wǎng)資源的訪問采用協(xié)議轉(zhuǎn)發(fā)代理的方式實(shí)現(xiàn)。云堡壘機(jī)系統(tǒng)要能達(dá)到播出系統(tǒng)實(shí)際防護(hù)需求且合規(guī)。（1）使堡壘機(jī)成為運(yùn)維的唯一入口，主機(jī)連接都必須經(jīng)過堡壘機(jī)的統(tǒng)一身份管理，并基于IP地址、賬號、命令進(jìn)行控制，防止越權(quán)操作，而且整個(gè)操作過程都可以實(shí)現(xiàn)全程的審計(jì)記錄。（2）在協(xié)議轉(zhuǎn)發(fā)代理的基礎(chǔ)上，系統(tǒng)同時(shí)記錄Windows遠(yuǎn)程桌面、SFTP、SSH等通用運(yùn)維協(xié)議的數(shù)據(jù)流，在需要的時(shí)候可以通過重組協(xié)議數(shù)據(jù)流進(jìn)行視頻回放，實(shí)現(xiàn)運(yùn)維審計(jì)的目的。（3）統(tǒng)一代理各類IT設(shè)備的運(yùn)維接口，方便管理員的運(yùn)維工作?；谖ㄒ簧矸輼?biāo)識的全局管理，統(tǒng)一賬號管理。對運(yùn)維人員從登錄到退出的操作行為全程審計(jì)，實(shí)時(shí)阻斷危險(xiǎn)操作。[4]

4結(jié)語

建設(shè)完成后，德州臺圓滿完成了慶祝中國共產(chǎn)黨成立100周年重要播出期這一重要政治任務(wù)。我們將繼續(xù)嚴(yán)格對標(biāo)《新聞出版廣播影視網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案（試行）》《新聞出版廣播影視網(wǎng)絡(luò)安全管理辦法（試行）》《廣播電視網(wǎng)絡(luò)安全管理辦法》《廣播電視安全播出管理規(guī)定》等法律法規(guī)及行業(yè)規(guī)范要求，堅(jiān)決貫徹落實(shí)各級網(wǎng)絡(luò)安全的要求，為廣播電視安全工作提供有力保障。

參考文獻(xiàn)

[1]全國廣播電影電視標(biāo)準(zhǔn)化委員會.廣播電視網(wǎng)絡(luò)安全等級保護(hù)定級指南:GY/T337—2020[S].北京:國家廣播電視總局,2020.

[2]楊心強(qiáng).數(shù)據(jù)通信與計(jì)算機(jī)網(wǎng)絡(luò)教程[M].3版.北京:清華大學(xué)出版社,2021.

[3]全國廣播電影電視標(biāo)準(zhǔn)化委員會.廣播電視網(wǎng)絡(luò)安全等級保護(hù)基本要求:GY/T352—2021[S].北京:國家廣播電視總局,2021.

[4]張靚,裔雋,等.企業(yè)遷云之路[M].北京:機(jī)械工業(yè)出版社,2019.

作者:田鵬 單位:德州市廣播電視臺