前言:想要寫出一篇引人入勝的文章?我們特意為您整理了廣播電視臺(tái)播出系統(tǒng)網(wǎng)絡(luò)安全建設(shè)范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。
摘要:本文以市級(jí)廣播電視臺(tái)播出網(wǎng)為例,主要介紹了安全防護(hù)設(shè)計(jì)思路與架構(gòu)和重點(diǎn)功能模塊——防火墻、EDR、網(wǎng)絡(luò)審計(jì)、日志審計(jì)、堡壘機(jī)等的具體功能設(shè)計(jì),為廣播電視播出系統(tǒng)的網(wǎng)絡(luò)安全提供基礎(chǔ)保障。
關(guān)鍵詞:播出系統(tǒng);網(wǎng)絡(luò)安全;系統(tǒng)設(shè)計(jì);等級(jí)保護(hù)
1引言
人工智能、大數(shù)據(jù)迅猛發(fā)展背景下,新技術(shù)、新應(yīng)用讓傳統(tǒng)廣播電視正從傳統(tǒng)的拍攝、編輯、播出的封閉式生產(chǎn)流程,全面轉(zhuǎn)向全媒體內(nèi)容匯聚、全時(shí)空合作生產(chǎn)、多渠道內(nèi)容同發(fā)。新的生產(chǎn)流程和全媒體傳播給安全播出和網(wǎng)絡(luò)安全帶來了新問題和新挑戰(zhàn)。從國家到廣電行業(yè)對(duì)網(wǎng)絡(luò)安全有更高的要求。2017年,《中華人民共和國網(wǎng)絡(luò)安全法》開始實(shí)施。2019年12月,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0國家標(biāo)準(zhǔn)正式實(shí)施。2020年,國家廣播電視總局制定了《廣播電視網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》,按照指南要求,廣播電視播出網(wǎng)應(yīng)符合三級(jí)等級(jí)保護(hù)要求。[1]2011年,國家廣播電視總局發(fā)布《廣播電視安全播出管理?xiàng)l例》,要求各級(jí)廣播電視機(jī)構(gòu)必須開展信息系統(tǒng)等級(jí)保護(hù)工作。為貫徹落實(shí)各級(jí)各部門信息安全等級(jí)保護(hù)的各項(xiàng)要求,德州市廣播電視臺(tái)(以下簡稱“德州臺(tái)”)于2021年5月啟動(dòng)播出系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)。
2建設(shè)分析
傳統(tǒng)廣播電視一直強(qiáng)調(diào)的是硬件的物理隔離,安全手段比較傳統(tǒng)。隨著各類云平臺(tái)的使用,各種類型的網(wǎng)絡(luò)接入,AI、大數(shù)據(jù)的廣泛應(yīng)用,安全形勢(shì)發(fā)生了巨大改變。廣播電視安全不只需要一個(gè)初級(jí)的安全防護(hù),更需要一個(gè)系統(tǒng)的企業(yè)級(jí)的安全保護(hù)和一個(gè)新的網(wǎng)絡(luò)安全防護(hù)體系。德州臺(tái)播出系統(tǒng)安全建設(shè)項(xiàng)目整體包含4個(gè)部分的安全:物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算機(jī)、數(shù)據(jù)和安全。這4個(gè)方面覆蓋了物理和環(huán)境信息安全、網(wǎng)絡(luò)技術(shù)架構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全管理審計(jì)、網(wǎng)絡(luò)訪問內(nèi)部控制、邊界完整性檢查、網(wǎng)絡(luò)入侵防御??刹扇〉闹饕踩胧┖图夹g(shù)包括但不限于防火墻、入侵防御系統(tǒng)、安全審計(jì)系統(tǒng)、防病毒網(wǎng)關(guān)等。本次安全建設(shè)要全面構(gòu)建完整的數(shù)據(jù)安全保護(hù)能力,為廣播電視播出系統(tǒng)提供全面完整的安全保障。本次安全建設(shè)涉及的是廣播電視播出網(wǎng),播出網(wǎng)含2個(gè)子網(wǎng):一是廣播播出子網(wǎng),二是電視播出子網(wǎng)。廣播播出子網(wǎng)的服務(wù)器和工作站等均直接連接到一臺(tái)24口的交換機(jī),星形結(jié)構(gòu)。本系統(tǒng)目前有播出服務(wù)器2臺(tái)、工作站10臺(tái)、主備核心交換機(jī)2臺(tái)。對(duì)外完全物理隔離,文件輸入輸出通過隔離網(wǎng)閘,音頻輸入輸出是AES和模擬音頻。電視播出網(wǎng)核心設(shè)備是主備播出服務(wù)器、數(shù)據(jù)庫、存儲(chǔ)服務(wù)器、應(yīng)用服務(wù)器等,周邊設(shè)備為第三備播出服務(wù)器、墊片服務(wù)器、一致性比對(duì)服務(wù)器和各類工作站等。上游網(wǎng)絡(luò)邊界和節(jié)目制作系統(tǒng)通過2臺(tái)主備防火墻隔離,上游制作系統(tǒng)用千兆光纖連接2臺(tái)電視播出系統(tǒng)網(wǎng)主備防火墻,2臺(tái)防火墻之間、2臺(tái)防火墻與播出交換機(jī)之間均為萬兆光纖直連。本次安全建設(shè)需要包含2個(gè)子網(wǎng),目標(biāo)拓?fù)鋱D如圖1所示。
3方案設(shè)計(jì)
本安全規(guī)劃需要充分考慮長遠(yuǎn)發(fā)展需求,整體規(guī)劃、一體化布局、統(tǒng)一標(biāo)準(zhǔn)、規(guī)范化設(shè)計(jì),并根據(jù)實(shí)際需要及預(yù)算,突出重點(diǎn)、分步實(shí)施,保證系統(tǒng)建設(shè)的完整性和安全投入的有效性。
3.1安全防護(hù)設(shè)計(jì)思路與架構(gòu)
按照等級(jí)保護(hù)政策、標(biāo)準(zhǔn)、指南等文件要求,對(duì)播出系統(tǒng)進(jìn)行三級(jí)安全防護(hù)設(shè)計(jì)。基于項(xiàng)目投入與等保合規(guī)的綜合考量,本方案采用等保一體機(jī)配合防火墻硬件設(shè)備的方案設(shè)計(jì)。同時(shí),等保一體機(jī)平臺(tái)建立統(tǒng)一管理中心保障安全管理措施和防護(hù)的有效協(xié)同及一體化管理,并且借助等保一體機(jī)平臺(tái)實(shí)現(xiàn)安全事件的統(tǒng)一分析,從而聯(lián)動(dòng)各安全組件進(jìn)行持續(xù)的防護(hù),設(shè)計(jì)思路如圖2所示。安全防護(hù)架構(gòu)核心主要基于等級(jí)保護(hù)2.0相關(guān)標(biāo)準(zhǔn),在快速合規(guī)的同時(shí)保證播出系統(tǒng)業(yè)務(wù)能夠安全高效的運(yùn)行。其中,安全態(tài)勢(shì)模板整合了不同的安全組件,實(shí)現(xiàn)了安全事件的態(tài)勢(shì)分析和聯(lián)動(dòng)防御,部署示意如圖3所示。
3.2能力建設(shè)
3.2.1防火墻方案設(shè)計(jì)。為了解決播出系統(tǒng)與制作系統(tǒng)之間的邊界訪問控制與隔離手段,提高廣播電視播出系統(tǒng)的防御保護(hù)能力,確保播出系統(tǒng)邊界處可實(shí)現(xiàn)訪問控制、入侵防御、流殺毒、Web防護(hù)、惡意URL識(shí)別、流量管理等功能;為切實(shí)保護(hù)業(yè)務(wù)流量傳輸安全,考慮網(wǎng)絡(luò)流量承載問題,故采用硬件設(shè)備部署。防火墻由操作系統(tǒng)核心和多種可配置的安全引擎模塊構(gòu)成。安全管理引擎主要包括抗DoS攻擊引擎、網(wǎng)絡(luò)防火墻引擎、IDS/IPS引擎、Web防護(hù)引擎等。防火墻還需要支持企業(yè)級(jí)的應(yīng)用、APT防御、入侵防御、URL過濾、Web安全進(jìn)行防護(hù)、流量可視化、用戶訪問內(nèi)部控制、惡意程序代碼防護(hù)、基于數(shù)據(jù)應(yīng)用的流量成本控制、文件信息過濾、關(guān)鍵字過濾、內(nèi)容相關(guān)審計(jì)等功能。解決網(wǎng)絡(luò)攻擊,包括系統(tǒng)漏洞、溢出攻擊、木馬、RPC攻擊、蠕蟲、WebCGI攻擊、拒絕服務(wù)等。完善的防火墻功能為廣播電視播出系統(tǒng)提供全面的安全防護(hù)解決方案。3.2.2云EDR方案設(shè)計(jì)。為了解決播出系統(tǒng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制,設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍,對(duì)通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制,發(fā)現(xiàn)可能存在的已知漏洞,并在經(jīng)過充分測試評(píng)估后及時(shí)修補(bǔ)漏洞等防護(hù)要求,故在等保一體機(jī)中設(shè)置EDR子系統(tǒng)。EDR要能達(dá)到播出系統(tǒng)實(shí)際防護(hù)需求且合規(guī)。(1)保護(hù)主機(jī)和虛擬機(jī)安全。需要包含惡意行為檢測、漏洞保護(hù)、系統(tǒng)強(qiáng)化、病毒查殺、終端設(shè)備實(shí)時(shí)監(jiān)控等多種保護(hù)手段,為廣播電視播出系統(tǒng)的各類終端構(gòu)建全面、安全的防護(hù)架構(gòu),確保播出服務(wù)器和工作站等終端的安全。[2](2)強(qiáng)大的管理能力。首先需要便于操作的交互界面,還需要有豐富的管理功能,能夠展示整個(gè)播出網(wǎng)的安全態(tài)勢(shì)、各種虛擬機(jī)的發(fā)現(xiàn)、全面精準(zhǔn)直觀的統(tǒng)計(jì)報(bào)表,提高播出網(wǎng)安全管理效率,降低安全風(fēng)險(xiǎn)。(3)滿足合規(guī)要求。需要快速準(zhǔn)確地在系統(tǒng)內(nèi)發(fā)現(xiàn)惡意代碼的傳播,檢測出播出網(wǎng)內(nèi)各個(gè)終端或者主機(jī)的所有的惡意行為,對(duì)惡意行為及時(shí)判斷并進(jìn)行處置,最終保護(hù)終端安全。EDR主要目的就是實(shí)現(xiàn)虛擬機(jī)和主機(jī)終端的統(tǒng)一和一致的管理,降低虛擬機(jī)的安全威脅。3.2.3云數(shù)據(jù)庫/網(wǎng)絡(luò)審計(jì)方案設(shè)計(jì)。為了解決播出系統(tǒng)和全媒體制作網(wǎng)之間的網(wǎng)絡(luò)邊界,對(duì)播出網(wǎng)和有線電視覆蓋網(wǎng)、發(fā)射臺(tái)、IPTV等的重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)。審計(jì)需要覆蓋到每個(gè)用戶,針對(duì)重要的用戶行為、重要安全事件,要能夠滿足對(duì)內(nèi)網(wǎng)進(jìn)行遠(yuǎn)程訪問的用戶行為,對(duì)內(nèi)網(wǎng)訪問外網(wǎng)和互聯(lián)網(wǎng)的用戶行為單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析等防護(hù)要求,故在等保一體機(jī)中設(shè)置云數(shù)據(jù)庫/網(wǎng)絡(luò)審計(jì)子系統(tǒng)。云數(shù)據(jù)庫/網(wǎng)絡(luò)審計(jì)系統(tǒng)要能達(dá)到播出系統(tǒng)實(shí)際防護(hù)需求且合規(guī)。例如,為技術(shù)人員提供在業(yè)務(wù)環(huán)境下對(duì)數(shù)據(jù)庫的安全審計(jì),審計(jì)對(duì)數(shù)據(jù)庫的各種操作行為(訪問行為、訪問途徑、讀取、寫入和刪除行為等)進(jìn)行全面的安全審計(jì),評(píng)估數(shù)據(jù)庫面臨的所有風(fēng)險(xiǎn)。云數(shù)據(jù)庫/網(wǎng)絡(luò)審計(jì)系統(tǒng)需通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識(shí)別,實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)庫的所有訪問操作,同時(shí)支持自定義內(nèi)容關(guān)鍵字、自定義協(xié)議監(jiān)測、自定義端口監(jiān)測,實(shí)現(xiàn)數(shù)據(jù)庫操作的內(nèi)容監(jiān)測識(shí)別,發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為。3.2.4云日志審計(jì)方案設(shè)計(jì)。按照三級(jí)等?;疽?,廣播電視播出系統(tǒng)需要對(duì)審計(jì)管理員進(jìn)行身份鑒別。審計(jì)人員只被允許通過一個(gè)特定的命令或操作系統(tǒng)界面操作,并對(duì)這些操作方法進(jìn)行內(nèi)部審計(jì)。審計(jì)系統(tǒng)對(duì)審計(jì)記錄進(jìn)行研究分析,依據(jù)分析結(jié)果有針對(duì)性地進(jìn)行快速高效的處理。審計(jì)系統(tǒng)對(duì)播出網(wǎng)所有設(shè)備記錄的分散的審計(jì)數(shù)據(jù)進(jìn)行整合匯總、分析,以驗(yàn)證所有匯總的審計(jì)記錄是否符合要求。日志審計(jì)需要對(duì)播出網(wǎng)內(nèi)所有的用戶行為和重要的安全事件進(jìn)行審計(jì)。審計(jì)系統(tǒng)需要對(duì)所有的審計(jì)記錄進(jìn)行有效的安全保護(hù),需要對(duì)審計(jì)數(shù)據(jù)進(jìn)行定期的備份,故在等保一體機(jī)中設(shè)置云日志審計(jì)子系統(tǒng)。[3]云日志審計(jì)系統(tǒng)要能滿足播出系統(tǒng)實(shí)際防護(hù)需求且合規(guī),可對(duì)多種不同類型資產(chǎn)特有日志格式進(jìn)行解析,經(jīng)過收集、分析、展示等過程協(xié)助管理者及時(shí)獲悉全網(wǎng)整體運(yùn)行態(tài)勢(shì)。可提供合規(guī)審計(jì)、統(tǒng)計(jì)分析、全文檢索、告警分析等功能,同時(shí)對(duì)原始數(shù)據(jù)進(jìn)行留存。3.2.5云堡壘機(jī)方案設(shè)計(jì)。為了解決在播出系統(tǒng)管理終端進(jìn)行限制等防護(hù)要求,故在等保一體機(jī)中設(shè)置云堡壘機(jī)子系統(tǒng)。堡壘機(jī)在安全系統(tǒng)中的作用就是在物理和邏輯上都把人和對(duì)應(yīng)的目標(biāo)設(shè)備進(jìn)行解綁和分開,完全阻隔了外網(wǎng)對(duì)播出內(nèi)網(wǎng)的直接通聯(lián)和訪問。堡壘機(jī)要對(duì)用戶進(jìn)行嚴(yán)格的身份鑒別,鑒別方式要達(dá)到2種以上,包括并不僅限于應(yīng)用口令、生物特征、密碼等。驗(yàn)證身份后,外網(wǎng)對(duì)播出內(nèi)網(wǎng)資源的訪問采用協(xié)議轉(zhuǎn)發(fā)代理的方式實(shí)現(xiàn)。云堡壘機(jī)系統(tǒng)要能達(dá)到播出系統(tǒng)實(shí)際防護(hù)需求且合規(guī)。(1)使堡壘機(jī)成為運(yùn)維的唯一入口,主機(jī)連接都必須經(jīng)過堡壘機(jī)的統(tǒng)一身份管理,并基于IP地址、賬號(hào)、命令進(jìn)行控制,防止越權(quán)操作,而且整個(gè)操作過程都可以實(shí)現(xiàn)全程的審計(jì)記錄。(2)在協(xié)議轉(zhuǎn)發(fā)代理的基礎(chǔ)上,系統(tǒng)同時(shí)記錄Windows遠(yuǎn)程桌面、SFTP、SSH等通用運(yùn)維協(xié)議的數(shù)據(jù)流,在需要的時(shí)候可以通過重組協(xié)議數(shù)據(jù)流進(jìn)行視頻回放,實(shí)現(xiàn)運(yùn)維審計(jì)的目的。(3)統(tǒng)一代理各類IT設(shè)備的運(yùn)維接口,方便管理員的運(yùn)維工作。基于唯一身份標(biāo)識(shí)的全局管理,統(tǒng)一賬號(hào)管理。對(duì)運(yùn)維人員從登錄到退出的操作行為全程審計(jì),實(shí)時(shí)阻斷危險(xiǎn)操作。[4]
4結(jié)語
建設(shè)完成后,德州臺(tái)圓滿完成了慶祝中國共產(chǎn)黨成立100周年重要播出期這一重要政治任務(wù)。我們將繼續(xù)嚴(yán)格對(duì)標(biāo)《新聞出版廣播影視網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案(試行)》《新聞出版廣播影視網(wǎng)絡(luò)安全管理辦法(試行)》《廣播電視網(wǎng)絡(luò)安全管理辦法》《廣播電視安全播出管理規(guī)定》等法律法規(guī)及行業(yè)規(guī)范要求,堅(jiān)決貫徹落實(shí)各級(jí)網(wǎng)絡(luò)安全的要求,為廣播電視安全工作提供有力保障。
參考文獻(xiàn)
[1]全國廣播電影電視標(biāo)準(zhǔn)化委員會(huì).廣播電視網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南:GY/T337—2020[S].北京:國家廣播電視總局,2020.
[2]楊心強(qiáng).數(shù)據(jù)通信與計(jì)算機(jī)網(wǎng)絡(luò)教程[M].3版.北京:清華大學(xué)出版社,2021.
[3]全國廣播電影電視標(biāo)準(zhǔn)化委員會(huì).廣播電視網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求:GY/T352—2021[S].北京:國家廣播電視總局,2021.
[4]張靚,裔雋,等.企業(yè)遷云之路[M].北京:機(jī)械工業(yè)出版社,2019.
作者:田鵬 單位:德州市廣播電視臺(tái)