广播电视台播出系统网络安全建设方案

广播电视台播出系统网络安全建设方案

摘要:本文以市级广播电视台播出网为例,主要介绍了安全防护设计思路与架构和重点功能模块——防火墙、EDR、网络审计、日志审计、堡垒机等的具体功能设计,为广播电视播出系统的网络安全提供基础保障。

关键词:播出系统;网络安全;系统设计;等级保护

1引言

人工智能、大数据迅猛发展背景下,新技术、新应用让传统广播电视正从传统的拍摄、编辑、播出的封闭式生产流程,全面转向全媒体内容汇聚、全时空合作生产、多渠道内容同发。新的生产流程和全媒体传播给安全播出和网络安全带来了新问题和新挑战。从国家到广电行业对网络安全有更高的要求。2017年,《中华人民共和国网络安全法》开始实施。2019年12月,网络安全等级保护制度2.0国家标准正式实施。2020年,国家广播电视总局制定了《广播电视网络安全等级保护定级指南》,按照指南要求,广播电视播出网应符合三级等级保护要求。[1]2011年,国家广播电视总局《广播电视安全播出管理条例》,要求各级广播电视机构必须开展信息系统等级保护工作。为贯彻落实各级各部门信息安全等级保护的各项要求,德州市广播电视台(以下简称“德州台”)于2021年5月启动播出系统的网络安全建设。

2建设分析

传统广播电视一直强调的是硬件的物理隔离,安全手段比较传统。随着各类云平台的使用,各种类型的网络接入,AI、大数据的广泛应用,安全形势发生了巨大改变。广播电视安全不只需要一个初级的安全防护,更需要一个系统的企业级的安全保护和一个新的网络安全防护体系。德州台播出系统安全建设项目整体包含4个部分的安全:物理和环境、网络和通信、设备和计算机、数据和安全。这4个方面覆盖了物理和环境信息安全、网络技术架构安全、网络系统安全管理审计、网络访问内部控制、边界完整性检查、网络入侵防御。可采取的主要安全措施和技术包括但不限于防火墙、入侵防御系统、安全审计系统、防病毒网关等。本次安全建设要全面构建完整的数据安全保护能力,为广播电视播出系统提供全面完整的安全保障。本次安全建设涉及的是广播电视播出网,播出网含2个子网:一是广播播出子网,二是电视播出子网。广播播出子网的服务器和工作站等均直接连接到一台24口的交换机,星形结构。本系统目前有播出服务器2台、工作站10台、主备核心交换机2台。对外完全物理隔离,文件输入输出通过隔离网闸,音频输入输出是AES和模拟音频。电视播出网核心设备是主备播出服务器、数据库、存储服务器、应用服务器等,周边设备为第三备播出服务器、垫片服务器、一致性比对服务器和各类工作站等。上游网络边界和节目制作系统通过2台主备防火墙隔离,上游制作系统用千兆光纤连接2台电视播出系统网主备防火墙,2台防火墙之间、2台防火墙与播出交换机之间均为万兆光纤直连。本次安全建设需要包含2个子网,目标拓扑图如图1所示。

3方案设计

本安全规划需要充分考虑长远发展需求,整体规划、一体化布局、统一标准、规范化设计,并根据实际需要及预算,突出重点、分步实施,保证系统建设的完整性和安全投入的有效性。3.1安全防护设计思路与架构按照等级保护政策、标准、指南等文件要求,对播出系统进行三级安全防护设计。基于项目投入与等保合规的综合考量,本方案采用等保一体机配合防火墙硬件设备的方案设计。同时,等保一体机平台建立统一管理中心保障安全管理措施和防护的有效协同及一体化管理,并且借助等保一体机平台实现安全事件的统一分析,从而联动各安全组件进行持续的防护,设计思路如图2所示。安全防护架构核心主要基于等级保护2.0相关标准,在快速合规的同时保证播出系统业务能够安全高效的运行。其中,安全态势模板整合了不同的安全组件,实现了安全事件的态势分析和联动防御,部署示意如图3所示。

3.2能力建设

3.2.1防火墙方案设计

为了解决播出系统与制作系统之间的边界访问控制与隔离手段,提高广播电视播出系统的防御保护能力,确保播出系统边界处可实现访问控制、入侵防御、流杀毒、Web防护、恶意URL识别、流量管理等功能;为切实保护业务流量传输安全,考虑网络流量承载问题,故采用硬件设备部署。防火墙由操作系统核心和多种可配置的安全引擎模块构成。安全管理引擎主要包括抗DoS攻击引擎、网络防火墙引擎、IDS/IPS引擎、Web防护引擎等。防火墙还需要支持企业级的应用、APT防御、入侵防御、URL过滤、Web安全进行防护、流量可视化、用户访问内部控制、恶意程序代码防护、基于数据应用的流量成本控制、文件信息过滤、关键字过滤、内容相关审计等功能。解决网络攻击,包括系统漏洞、溢出攻击、木马、RPC攻击、蠕虫、WebCGI攻击、拒绝服务等。完善的防火墙功能为广播电视播出系统提供全面的安全防护解决方案。

3.2.2云EDR方案设计

为了解决播出系统能够对内部用户非授权联到外部网络的行为进行检查或限制,设定终端接入方式或网络地址范围,对通过网络进行管理的管理终端进行限制,发现可能存在的已知漏洞,并在经过充分测试评估后及时修补漏洞等防护要求,故在等保一体机中设置EDR子系统。EDR要能达到播出系统实际防护需求且合规。(1)保护主机和虚拟机安全。需要包含恶意行为检测、漏洞保护、系统强化、病毒查杀、终端设备实时监控等多种保护手段,为广播电视播出系统的各类终端构建全面、安全的防护架构,确保播出服务器和工作站等终端的安全。[2](2)强大的管理能力。首先需要便于操作的交互界面,还需要有丰富的管理功能,能够展示整个播出网的安全态势、各种虚拟机的发现、全面精准直观的统计报表,提高播出网安全管理效率,降低安全风险。(3)满足合规要求。需要快速准确地在系统内发现恶意代码的传播,检测出播出网内各个终端或者主机的所有的恶意行为,对恶意行为及时判断并进行处置,最终保护终端安全。EDR主要目的就是实现虚拟机和主机终端的统一和一致的管理,降低虚拟机的安全威胁。

3.2.3云数据库/网络审计方案设计

为了解决播出系统和全媒体制作网之间的网络边界,对播出网和有线电视覆盖网、发射台、IPTV等的重要网络节点进行安全审计。审计需要覆盖到每个用户,针对重要的用户行为、重要安全事件,要能够满足对内网进行远程访问的用户行为,对内网访问外网和互联网的用户行为单独进行行为审计和数据分析等防护要求,故在等保一体机中设置云数据库/网络审计子系统。云数据库/网络审计系统要能达到播出系统实际防护需求且合规。例如,为技术人员提供在业务环境下对数据库的安全审计,审计对数据库的各种操作行为(访问行为、访问途径、读取、写入和删除行为等)进行全面的安全审计,评估数据库面临的所有风险。云数据库/网络审计系统需通过网络数据的采集、分析、识别,实时监控网络数据库的所有访问操作,同时支持自定义内容关键字、自定义协议监测、自定义端口监测,实现数据库操作的内容监测识别,发现各种违规数据库操作行为。

3.2.4云日志审计方案设计

按照三级等保基本要求,广播电视播出系统需要对审计管理员进行身份鉴别。审计人员只被允许通过一个特定的命令或操作系统界面操作,并对这些操作方法进行内部审计。审计系统对审计记录进行研究分析,依据分析结果有针对性地进行快速高效的处理。审计系统对播出网所有设备记录的分散的审计数据进行整合汇总、分析,以验证所有汇总的审计记录是否符合要求。日志审计需要对播出网内所有的用户行为和重要的安全事件进行审计。审计系统需要对所有的审计记录进行有效的安全保护,需要对审计数据进行定期的备份,故在等保一体机中设置云日志审计子系统。[3]云日志审计系统要能满足播出系统实际防护需求且合规,可对多种不同类型资产特有日志格式进行解析,经过收集、分析、展示等过程协助管理者及时获悉全网整体运行态势。可提供合规审计、统计分析、全文检索、告警分析等功能,同时对原始数据进行留存。

3.2.5云堡垒机方案设计

为了解决在播出系统管理终端进行限制等防护要求,故在等保一体机中设置云堡垒机子系统。堡垒机在安全系统中的作用就是在物理和逻辑上都把人和对应的目标设备进行解绑和分开,完全阻隔了外网对播出内网的直接通联和访问。堡垒机要对用户进行严格的身份鉴别,鉴别方式要达到2种以上,包括并不仅限于应用口令、生物特征、密码等。验证身份后,外网对播出内网资源的访问采用协议转发的方式实现。云堡垒机系统要能达到播出系统实际防护需求且合规。(1)使堡垒机成为运维的唯一入口,主机连接都必须经过堡垒机的统一身份管理,并基于IP地址、账号、命令进行控制,防止越权操作,而且整个操作过程都可以实现全程的审计记录。(2)在协议转发的基础上,系统同时记录Windows远程桌面、SFTP、SSH等通用运维协议的数据流,在需要的时候可以通过重组协议数据流进行视频回放,实现运维审计的目的。(3)统一各类IT设备的运维接口,方便管理员的运维工作。基于唯一身份标识的全局管理,统一账号管理。对运维人员从登录到退出的操作行为全程审计,实时阻断危险操作。

4结语

建设完成后,德州台圆满完成了庆祝中国共产党成立100周年重要播出期这一重要政治任务。我们将继续严格对标《新闻出版广播影视网络安全事件应急预案(试行)》《新闻出版广播影视网络安全管理办法(试行)》《广播电视网络安全管理办法》《广播电视安全播出管理规定》等法律法规及行业规范要求,坚决贯彻落实各级网络安全的要求,为广播电视安全工作提供有力保障。

作者:田鹏 单位:德州市广播电视台