安全播出管理體系下的新媒體建設

彭 競

四川網絡廣播電視臺（以下簡稱“我臺”）含IPTV四川播控平臺、四川手機電視平臺、直播信源發布系統、點播文件系統、網站系統、監播系統、郵件系統、視頻生產系統、視頻發布系統、EPG系統等多個系統。四川廣播電視臺在網絡廣播電視臺在建設的過程中，對安全問題非常重視，本文從總體原則、總體設計和具體部署等方面對四川廣播電視臺網絡廣播電視臺建設中的相關體會進行簡單介紹。

安全播出是廣電行業的生命線。四川廣播電視臺自2007年成立臺安全播出指揮部以來，堅持對安全播出工作常抓不懈。一方面從硬件設施方面著手，嚴格按照《安全播出管理實施細則》（總局令第62號）的要求，確保播出傳輸鏈路全面實現主備雙路熱備份、外電雙路專線供電、與外網隔離等，另一方面從人員管理持續發力，定期進行安全播出檢查，每月進行安全播出評審考核，不斷完善規章制度，提升管理能力。經過不斷完善，四川廣播電視臺近10年均圓滿完成安全播出工作任務。

但隨著新媒體業務的開展，其開放快捷、遠程訪問、快捷接入、快速搭建等需求，與原有安全播出管理中盡量封閉、多重隔離等要求產生沖突。如何在確保安全播出的前提下，完成新媒體網絡建設，是媒體人近期不斷摸索的課題，本文就建設中的相關問題進行探討。

1 網絡設計總體原則

網絡設計中的總體原則是安全，在此基礎上，主要按照如下四個原則進行建設。

1.1 同步建設原則

不符合安全播出要求的系統絕不能投入使用，始終確保系統與安全保障系統同步建設、同步投入使用；也避免建設后期再因為安全問題修改業務流程而造成建設工期延誤、增大成本。

1.2 符合標準原則

互聯網行業、廣電行業都對網絡安全、播出安全提出了相關標準，等級保護是我國對于網絡信息系統安全的基本要求。我臺網絡廣播電視臺在建設過程中，嚴格按照有關標準，對系統進行定級和上報，對播出、制作、媒資、交互等業務重點模塊進行重點安全保障。

1.3 動態調整原則

安全建設不是一勞永逸的。隨著攻擊方式的改變，不僅防御措施要及時更新，安全策略也應隨著新業務系統的建成、新技術的出現而不斷調整。

1.4 技管互動原則

安全技術措施只是安全保障的工具與基礎，安全保障是人與人的對抗，是入侵者與防護者智慧的較量，安全防護的具體實施效果最終還是依賴于安全人員的具體操作。縱觀近8年來國家新聞出版廣電總局通報的重大事故及四川廣播電視臺自身發生的事故，基本都存在人為操作失誤、處置不力等因素。因此，建立一只強有力并可隨時到位的安全技術維護團隊，是網絡廣播電視臺安全保障落實到位的根本。

2 總體設計

2.1 業務需求

不同于傳統媒體單向的采、編、播模式，網絡廣播電視臺更加注重新媒體的時效性、互動性及用戶體驗；首先，編輯人員可通過各種方式在線編輯，并可隨時在手機、互聯網等多種媒體上發布。其次，要確保多種新媒體之間，甚至新媒體與傳統媒體均可以充分互動與互聯。最后，還要建立與用戶之間的各種互動模式，讓用戶既是媒體的使用者，又是媒資的貢獻者、參與者。所以，從業務需求角度，網絡與安全結構的設計要實現如下的業務模式。

第一，播控業務只允許該播控區域的終端進行管理和控制。

第二，除播控業務控制終端外，其他區域的終端均可訪問互聯網。

第三，內容生產業務、門戶網站業務、辦公業務的訪問，可以是網絡廣播電視臺各個區域的終端，也可以是通過VPN通道進行訪問的移動終端。

第四，可控的終端（固定終端與移動終端）通過采用動態口令卡、密碼雙因子認證可登錄內容編輯、門戶網站、辦公等業務系統；非可控終端（筆記本、手機、平板電腦等）可通過VPN進行接入，上載指定格式的媒資素材，但不可訪問業務系統。

2.2 網絡與安全設計思路

2.2.1 基于等級保護的安全體系架構

網絡廣播電視臺的安全保障從三個角度考慮。

等級保護要求：從物理安全、網絡安全、主機安全、業務安全、數據安全五大技術角度，與管理安全綜合進行考慮，進行全方位的安全保障。

IATF框架：從安全基礎設施、人員組織與職責、安全管理流程與規范三方面，將安全貫穿于技術支持的維護工作中，在動態的攻防事件中，提高網絡廣播電視臺的安全防御能力。

花瓶模型：安全基礎設施的建設參照“花瓶模型”的防護、監控、信任三條線建設，隨著網絡廣播電視臺的業務發展，按照需求逐步增強安全防御與掌控的能力，既要避免安全的“不足建設”，又要避免“過度建設”。

2.2.2 安全技術措施的建設

安全技術措施的建設根據安全防護的思路發展而來，分為邊界防護、動態監控、對內部人員的信任體系三道安全措施。

邊界防護：把入侵者防護在邊界外。這個邊界的范圍既是網絡的對外邊界，也可以是網絡內部不同安全區域之間的邊界，或是不同業務與資源的管理邊界。在邊界上部署合適的安全措施，實現設計的安全策略是安全防護的第一道大門。

動態監控：對于入侵者來說，邊界是初級的防護。入侵者偽裝成“合法”用戶，很可以騙過邊界的防護進入到網絡內部，這時就需要嚴密的監控系統，一旦發現異常，能及時控制，或將其限制在一定的小區域范圍，減小自己的所受的影響，確保其無法竊取重要信息，確保其不影響其他用戶、其他業務的正常運行。

信任體系：可進入網絡業務的用戶都是“合法”用戶，但他們可能是入侵者，即使是內部人員，也可能進行一些不符合要求的業務行為。這時就需要用戶信任體系，根據用戶的身份、權限、行為記錄去分析，發現違規立即終止其行為，并進行其行為記錄。

以上三道安全措施是相互補充和配合的。從目前情況來看，在我臺網絡安全管理中，每道措施可以不一定要很強，但缺一不可。目前，安全播出防范的形勢是網絡入侵力度逐漸增大，可在后續系統調整中，根據具體情況，逐步升級、加強三道措施的技術能力。

3 功能設計

3.1 功能需求

網絡廣播電視臺從邏輯功能劃分，具體可分為幾個重點區域：內容生產服務區、新媒資管理區、上載分發區、門戶網站區、安全交互區、播控區（IPTV播控、手機電視播控、網絡電視播控）。其安全的重點部分包括以下幾方面。

外邊界：第一，是與傳統媒資的邊界，我臺建立的融媒體系統中，傳統媒體與新媒體相互交織，針對這一情況，既不能讓對方安全問題影響本網絡，更不能讓本網絡的安全擴散到對方。第二，與互聯網的邊界，重點是防護外來的入侵與病毒。針對現已發生的事故分析，尤其要杜絕遠程維護等手段。

播控邊界：播控環節在傳統媒體中，就是安全核心環節，要求進行隔離控制。網絡廣播電視臺包含多種播出形式，但隔離控制好播控環節，仍然是整個網絡廣播電視臺的重中之重。

內容生產：是網絡廣播電視臺工作的核心，由于媒資數量巨大，一旦感染病毒，將造成節目生產停止。因此對進入內部網絡的連接都要進行嚴格的病毒過濾。同時，針對制作、審核過的節目要嚴格禁止未經許可和審核的再次篡改。

3.2 網絡層設計

3.2.1 網絡與安全架構設計

網絡安全區域劃分設計的要點。

區域隔離：上載分發區用來實現播控區域的隔離。播控區(門戶網站、IPTV播控、手機電視播控、互聯網電視播控)是網絡廣播電視臺的最終輸出控制區域，該區域的播出控制業務必須限定在本區域的終端，不允許其他區域的終端遠程控制；本區域的終端可以訪問內容生產區等一定的外部業務。

外部接入邊界隔離，各區域核心安全監控。全網用戶采用雙因子身份認證，互聯網用戶通過VPN或專線訪問，非雙因子認證用戶可訪問非控制終端上載區。

具體建設情況如下。

第一，內容生產、新媒資、上載分發三個區屬于日常工作區，相互間流量大，采用萬兆骨干，其余區域采用千兆連接；第二，骨干聯通區屬于各功能區的聯通區域，主要功能是鏈路聯通通道；第三，所有接入層交換機支持802.1x協議，與身份鑒別與權限系統一起實現用戶網絡登錄時的身份認證；第四，IPTV播控區域內有一個轉錄區，轉錄的媒資可直接存入內容生產存儲，但為了安全考慮，部署一體化網關；第五，門戶網站設有互動工作區，對網站上的評論、熱議等信息可以直接抓取，作為資源存入內容生產區；第六，非控終端上載區設置在辦公區內，針對不可控終端的上載信息，部署防病毒網關；第七，信息采集區設置在接入管理區，是通過爬蟲從互聯網上搜索的媒資，可存入內容生產存儲。

3.2.2 存儲架構設計

存儲架構主要采用單獨的存儲網絡設計，有如下優點。

服務器與存儲設備直接連通，不經過中間的安全過濾與訪問控制設備，實現高效率訪問；用戶訪問數據時，服務器端不會形成單筆雙倍流量瓶頸；增強系統架構的安全性，存儲網絡獨立，入侵者無法直接攻擊；存儲網絡上，數據流單一，不需要部署安全網關過濾；可采用IP網絡與FC網絡等多種方式，提前為適應將來高碼流、大帶寬業務需求做好布局；適合于存儲集中管理，有利于數據的統一備份與容災管理。

3.2.3 機房與物理位置設計

存儲、服務器、網絡與安全設備主要集中在中心機房。同時，另設立管理機房，作為IT運維人員的工作區。管理機房設一個夜間工作區，方便少數加班人員臨時工作使用；設立應急指揮區，為重大事件協調指揮的領導工作區，配有全網絡的安全動態展示、控制管理終端；為最大限度地確保安全播出，我們為播控系統（IPTV播控、門戶網站等）建立了單獨的管理機房，保障播控系統的管理終端有單獨的工作區域。

3.2.4 門戶網站的IDC機房結構設計

IDC機房是面對互聯網的“一線重地”，重點是用戶體驗的流暢與Web應用防護。

IDC機房的本地存儲主要采用了SAN與NAS存儲結構；網站公共安全方面，我們部署了包括防火墻、抗DDOS攻擊、入侵檢測、行為審計、WAF、服務器加固等多重安全措施；用戶體驗在本地使用服務器實現負載均衡、單邊Web加速，在全網范圍采用運營商的CDN分發網絡。

3.3 系統層安全設計

業務核心的網絡架構是提升業務服務能力的關鍵，針對不同的存儲設計方案提供了不同的數據中心結構設計，采用獨立存儲網絡，專用負載均衡設備方案。

3.3.1 主機層安全設計

主機層面的安全涉及服務器與終端兩方面，根據服務器承擔的業務情況，選擇安全措施，主要采取了如下措施。

第一，服務器。

主機安全加固：針對木馬、入侵等重點安全加固，包括刪除不需要的服務、關閉多余的服務員端口等。補丁管理：針對操作系統、數據庫、安全監控系統的補丁自動升級管理。

主機狀態監控：操作系統、數據庫等基礎系統的狀態監控；網絡流量監控；管理人員登錄情況監控等。建立服務器用戶身份認證與權限管理，建立與SOC平臺完成主機日志審計。

第二，終端中高度重視系統與主要業務軟件安全補丁管理。

第三，部署防病毒與木馬監控系統與查殺系統。

第四，移動終端采用VPN系統訪問。

第五，部署主機行為審計系統。

3.3.2 業務層安全設計

業務層面的安全涉及用戶訪問業務的身份、業務權限、可訪問資源等，主要采用如下幾類安全措施：身份認證與業務權限管理、用戶訪問體驗、服務質量、業務服務狀態（在線人數、并發人數、用戶在線平均時間、存儲空間等狀態信息）、業務合規性審計（對用戶業務的合規性進行審計）。

3.3.3 數據層安全設計

數據層面的安全涉及網絡廣播電視臺所有業務系統、管理系統的數據庫管理，主要采用了如下幾類安全措施：重要業務系統數據的備份、數據異地備份、系統備份、系統容災、數據庫存儲加密、數據庫審計。

3.4 安全管理規劃

充分、合理的利用各項安全技術措施，安全管理規劃至關重要。安全管理規劃包括幾方面：安全組織架構與崗位職責、安全管理流程與制度、安全培訓與演練。

3.4.1 安全組織架構

根據等級保護安全管理要求，對安全角色管理有明確的職責分工，我們主要建立如下安全組織。

安全播出領導小組：根據具體情況，安全領導小組包含2個層面。在全臺層面，受臺安全播出指揮部統一領導，負責制定信息安全總體方針，負責緊急安全事件發生后的資源調度與管理。在部門層面，由網絡廣播電視臺主管領導直接管理，由行政、人事、業務、運維等多個部門的人員組成，負責日常信息安全管理工作。

信息安全主管領導：負責網絡廣播電視臺的信息安全管理工作及緊急信息安全事件發生時的現場調度、指揮、決策工作，負責向網絡廣播電視臺領導匯報信息安全狀態，傳達并負責執行有關的領導決策。信息安全主管領導負責系統管理部、網絡管理部、安全管理部、建設部的日常管理工作。

系統管理部：針對每個業務系統（可以兼職）設立系統管理員、系統安全員，負責管理該系統的帳戶管理、權限分配，以及系統的日常委會工作。如業務系統設立在其他業務部門的，可以由業務部門的人兼任。

網絡管理部：負責網絡廣播電視臺網絡平臺的管理與維護，負責業務支撐通道的暢通與安全；同時負責終端的維護與管理工作。

安全管理部：負責系統、業務、網絡的安全策略制定與檢查，也負責對新建設系統的安全策略檢查。安全管理部設立安全審計員，負責對所有系統管理員、系統安全員的工作進行安全審計。

建設部：負責新系統的建設工作，負責提出網絡、系統、業務各方面的需求，根據選擇選擇承建方，并依據需求驗收。建設部設立安全設計人員，負責在系統設計時整理安全需求，并貫穿系統設計的全過程。

3.4.2 安全管理流程與制度

流程與制度是落實安全管理責任的保障，網絡廣播電視臺在臺安全播出指揮部的統一部署下，全面梳理和建立了相關管理流程和制度，與全臺其他安全播出責任部門共同形成《四川廣播電視臺廣電中心安全播出運行管理手冊》。由于安全播出形勢不斷變化，該手冊于2011年8月匯編成冊后，先后根據國家廣電總局《廣播電視安全播出管理規定》（總局令第62號）及相關專業實施細則、《中共四川省委辦公廳省政府辦公廳關于印發〈四川省安全生產“黨政同責”暫行規定〉的通知》（川委辦〔2014〕40號）等相關要求，進行了2次全面修訂。主要包括如下安全管理流程與制度：事件事故管理實施細則（全臺）、上下游單位維護分界劃分和故障處理配合方案（全臺）、業務操作管理流程、配置變更管理流程、新系統建設管理流程、安全事件應急處理流程(應急預案，針對網絡、各業務系統分別建立了應急預案)、安全維護與狀態監控管理制度、安全檢查制度、安全培訓制度、安全演練制度。

4 存在的問題

目前，四川廣播電視臺在IPTV等業務開展方面，仍然存在大量安全隱患。IPTV集成播控平臺業務未實現對EPG完全管理，IPTV業務未實現“雙認證、雙計費”，無用戶和計費核心數據，IPTV集成播控平臺未實現BOSS管理，也未向IPTV集成播控中平臺數據回傳，IPTV播控分平臺未實現統一呼號，正在與央視愛尚總平臺一起與四川電信積極溝通解決“Boss管理”“統一呼號”“雙認證雙計費”問題。