高 虎

（天津電視臺(tái) 網(wǎng)絡(luò)管理部，天津 300070）

1 天津電視臺(tái)全臺(tái)網(wǎng)的發(fā)展歷程

天津電視臺(tái)網(wǎng)絡(luò)制播系統(tǒng)經(jīng)歷了以下階段：

1）非編單機(jī)階段，臺(tái)內(nèi)制作節(jié)目的設(shè)備在傳統(tǒng)線形對(duì)編設(shè)備的基礎(chǔ)上開始出現(xiàn)非線性編輯單機(jī)；

2）局部網(wǎng)絡(luò)化階段，為提高節(jié)目編輯效率，天津電視臺(tái)自2001年開始建設(shè)非編網(wǎng)參與節(jié)目制播，但網(wǎng)間的節(jié)目傳輸仍需依托磁帶介質(zhì)，形成“孤島”式網(wǎng)絡(luò)系統(tǒng)；

3）全臺(tái)網(wǎng)階段，天津電視臺(tái)以搬遷新大樓為契機(jī)，構(gòu)建了在全臺(tái)一個(gè)基礎(chǔ)網(wǎng)絡(luò)下實(shí)現(xiàn)辦公、節(jié)目制作、節(jié)目管理和節(jié)目播出等業(yè)務(wù)的全臺(tái)網(wǎng)制播網(wǎng)架構(gòu)。

2 全臺(tái)網(wǎng)環(huán)境下信息安全建設(shè)的必要性

隨著全國(guó)各大電視臺(tái)網(wǎng)絡(luò)化工作的普遍推進(jìn)和日益廣泛的應(yīng)用，全臺(tái)網(wǎng)信息安全建設(shè)與完善逐漸被電視臺(tái)所重視。

國(guó)家廣電總局于2011年發(fā)布了《廣播電視安全播出管理規(guī)定》（總局令第62號(hào)）[1]，明確提出要開展信息系統(tǒng)等級(jí)保護(hù)工作。為進(jìn)一步貫徹落實(shí)相關(guān)要求，廣電總局先后制定了《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》[2]和《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》[3]等相關(guān)標(biāo)準(zhǔn)與規(guī)范，作為規(guī)范全行業(yè)信息安全等級(jí)保護(hù)工作，提升安全播出保障能力的基礎(chǔ)性標(biāo)準(zhǔn)。

天津電視臺(tái)的全臺(tái)制播網(wǎng)支撐日常辦公的多項(xiàng)業(yè)務(wù)，參與多個(gè)頻道節(jié)目制作、播出以及多檔新聞節(jié)目的直播工作，承擔(dān)了正確輿論導(dǎo)向的宣傳工作，不容有失。

3 天津電視臺(tái)信息安全建設(shè)的規(guī)劃和實(shí)現(xiàn)目標(biāo)

信息安全建設(shè)作為天津電視臺(tái)新臺(tái)址的重要組成部分，在保障全臺(tái)網(wǎng)的穩(wěn)定運(yùn)行和核心制播業(yè)務(wù)的安全高效方面意義重大。天津電視臺(tái)自2009年開始有序規(guī)劃、分步推進(jìn)全臺(tái)網(wǎng)的信息安全建設(shè)，構(gòu)建支撐辦公外網(wǎng)接入、辦公內(nèi)網(wǎng)業(yè)務(wù)和節(jié)目制播核心業(yè)務(wù)等多項(xiàng)功能的全臺(tái)網(wǎng)系統(tǒng)。

天津電視臺(tái)全臺(tái)信息安全建設(shè)以實(shí)現(xiàn)并保障安全播出為核心思想，基于此要求分步實(shí)現(xiàn)以下4個(gè)建設(shè)目標(biāo)：

1）構(gòu)建天津電視臺(tái)信息安全基礎(chǔ)防護(hù)體系，劃分清晰的安全域，確保辦公和制播業(yè)務(wù)的正常進(jìn)行；

2）對(duì)天津電視臺(tái)的核心業(yè)務(wù)系統(tǒng)——播出系統(tǒng)的邊界部署符合國(guó)家及國(guó)家廣電總局相關(guān)命令與規(guī)定的安全防護(hù)措施；

3）根據(jù)國(guó)家廣電總局等保要求細(xì)則，完善天津電視臺(tái)三級(jí)制播系統(tǒng)的信息安全防護(hù)體系，并通過(guò)相關(guān)機(jī)構(gòu)測(cè)評(píng)；

4）建立全臺(tái)統(tǒng)一信息安全監(jiān)控平臺(tái)，實(shí)現(xiàn)對(duì)臺(tái)內(nèi)信息安全的狀態(tài)可控、可管。

4 天津電視臺(tái)信息安全建設(shè)的主要內(nèi)容

4.1 構(gòu)建信息安全基礎(chǔ)防護(hù)體系

天津電視臺(tái)基礎(chǔ)網(wǎng)絡(luò)采用核心、匯聚、接入3層架構(gòu)，核心、匯聚都采用雙機(jī)架構(gòu)，在新大樓不同區(qū)域內(nèi)構(gòu)建4對(duì)匯聚交換機(jī)，通過(guò)萬(wàn)兆上聯(lián)核心交換機(jī)，并通過(guò)萬(wàn)兆端口連接樓層接入交換機(jī)。

辦公網(wǎng)絡(luò)接入層可以使用有線接入和無(wú)線接入兩種模式。

Internet接入?yún)^(qū)域是天津電視臺(tái)新臺(tái)址辦公網(wǎng)和生產(chǎn)網(wǎng)的對(duì)外出口，分別接入聯(lián)通、電信2條百兆光纖專線，如圖1所示。

根據(jù)具體的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)運(yùn)行特點(diǎn)，天津電視臺(tái)詳細(xì)規(guī)劃了信息安全基礎(chǔ)防護(hù)體系：

圖1 天津電視臺(tái)現(xiàn)有辦公網(wǎng)架構(gòu)

首先，根據(jù)天津電視臺(tái)全臺(tái)網(wǎng)實(shí)際運(yùn)行情況，明確劃分網(wǎng)絡(luò)安全域，并分別針對(duì)互聯(lián)網(wǎng)接入?yún)^(qū)、辦公網(wǎng)、生產(chǎn)網(wǎng)絡(luò)以及內(nèi)外網(wǎng)交互區(qū)制定相應(yīng)的安全方案。

針對(duì)互聯(lián)網(wǎng)接入?yún)^(qū)，選擇了防火墻、鏈路負(fù)載均衡、入侵防御、安全網(wǎng)關(guān)、流量控制、SSL VPN等設(shè)備；針對(duì)辦公安全域構(gòu)建了漏洞掃描、防病毒軟件、終端安全管理等系統(tǒng)；針對(duì)生產(chǎn)網(wǎng)安全域架設(shè)了防火墻和入侵檢測(cè)設(shè)備；針對(duì)內(nèi)外網(wǎng)交互安全域設(shè)置了安全網(wǎng)關(guān)和網(wǎng)閘設(shè)備，從而初步建設(shè)起天津電視臺(tái)全臺(tái)網(wǎng)基礎(chǔ)防護(hù)體系。

面臨眾多安全產(chǎn)品和管理手段，構(gòu)建統(tǒng)一的安全管理中心勢(shì)在必行，因而建立了安全運(yùn)維管理中心，實(shí)現(xiàn)了對(duì)安全設(shè)備的集中監(jiān)控和管理。網(wǎng)絡(luò)安全一期項(xiàng)目架構(gòu)如圖2所示。

圖2 網(wǎng)絡(luò)安全一期項(xiàng)目架構(gòu)

4.2 構(gòu)建播出系統(tǒng)邊界安全防護(hù)體系

根據(jù)國(guó)家廣電總局62號(hào)令及廣電相關(guān)系統(tǒng)信息安全等級(jí)保護(hù)相關(guān)要求，天津電視臺(tái)著力對(duì)播出系統(tǒng)網(wǎng)絡(luò)邊界部署信息安全防護(hù)措施。改造前播出系統(tǒng)如圖3所示。

圖3 天津電視臺(tái)播出系統(tǒng)改造前拓?fù)鋱D

按照播出系統(tǒng)現(xiàn)有的邊界，全臺(tái)備播系統(tǒng)和播出系統(tǒng)之間通過(guò)3臺(tái)交換機(jī)進(jìn)行互聯(lián)。

全臺(tái)備播系統(tǒng)和播出系統(tǒng)之間的控制信息和視頻數(shù)據(jù)均通過(guò)交換機(jī)轉(zhuǎn)發(fā)，控制信息數(shù)據(jù)用百兆以太網(wǎng)電口線路傳輸，視頻數(shù)據(jù)用千兆以太網(wǎng)光纖傳輸。

因?yàn)閭洳ヅc播出系統(tǒng)間存在直接的網(wǎng)絡(luò)連接，因此播出系統(tǒng)面臨安全威脅，還包括未授權(quán)訪問(wèn)、惡意代碼擴(kuò)散等各種各樣的攻擊。通過(guò)備播系統(tǒng)對(duì)播出系統(tǒng)進(jìn)行惡意訪問(wèn)請(qǐng)求、非法訪問(wèn)行為，以及通過(guò)網(wǎng)絡(luò)傳播的病毒、蠕蟲將對(duì)安全播出帶來(lái)巨大的負(fù)面影響，這些安全風(fēng)險(xiǎn)造成的后果無(wú)法用經(jīng)濟(jì)損失來(lái)估算。

部署在播出系統(tǒng)對(duì)外鏈路上的訪問(wèn)控制系統(tǒng)及安全隔離系統(tǒng)是必不可少的。備播系統(tǒng)通過(guò)主干平臺(tái)與臺(tái)內(nèi)其他業(yè)務(wù)系統(tǒng)相連，可能存在的病毒、木馬都將威脅播出系統(tǒng)，而播出邊界各個(gè)網(wǎng)絡(luò)及安全設(shè)備、操作系統(tǒng)終端自身存在的漏洞也是外部威脅所攻擊、利用的薄弱點(diǎn)。

基于以上風(fēng)險(xiǎn)和需求分析，最終確定在播出系統(tǒng)邊界假設(shè)防火墻、網(wǎng)閘和安全網(wǎng)關(guān)設(shè)備。改造后的播出系統(tǒng)如圖4所示。

圖4 播出系統(tǒng)改造后邊界拓?fù)鋱D

4.3 建立等保三級(jí)制播系統(tǒng)信息安全防護(hù)體系

根據(jù)國(guó)家廣電總局關(guān)于信息安全等級(jí)保護(hù)等保基本要求，廣播電視臺(tái)的網(wǎng)絡(luò)系統(tǒng)等級(jí)劃分有其特殊性，安全要求最高的信息系統(tǒng)是播出系統(tǒng)，然后是全臺(tái)備播系統(tǒng)和具備演播室直播性質(zhì)的新聞制播網(wǎng)，最后是不涉及播出的綜合制播網(wǎng)和辦公網(wǎng)。

根據(jù)《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GD/J 037—2011）[2]，天津電視臺(tái)全臺(tái)網(wǎng)信息系統(tǒng)（見圖5）分為以下4類：

1）播出系統(tǒng)：主要是全臺(tái)播出系統(tǒng)。

2）新聞制播系統(tǒng)：包括新聞部高清新聞網(wǎng)、都市頻道新聞網(wǎng)、體育頻道新聞網(wǎng)、濱海&文藝頻道新聞網(wǎng)和全臺(tái)備播系統(tǒng)。

3）綜合制作系統(tǒng)：包括主干平臺(tái)、Avid高清編輯網(wǎng)絡(luò)系統(tǒng)、蘋果高清編輯網(wǎng)絡(luò)系統(tǒng)、公共&科教頻道制作網(wǎng)絡(luò)系統(tǒng)、中心媒資系統(tǒng)和全臺(tái)收錄系統(tǒng)、全臺(tái)廣告網(wǎng)。

4）辦公系統(tǒng)：主要是辦公網(wǎng)的相關(guān)信息系統(tǒng)。

圖5 全臺(tái)制播網(wǎng)絡(luò)示意圖

根據(jù)GD/J 037—2011，天津電視臺(tái)全臺(tái)網(wǎng)信息系統(tǒng)的定級(jí)結(jié)果如表1所示。

表1 天津電視臺(tái)全臺(tái)網(wǎng)信息系統(tǒng)定級(jí)結(jié)果

根據(jù)以上定級(jí)結(jié)果，天津電視臺(tái)信息安全建設(shè)的主要目標(biāo)是保障第三級(jí)制播系統(tǒng)的安全，同時(shí)兼顧第二級(jí)信息系統(tǒng)的安全。

通過(guò)詳細(xì)的業(yè)務(wù)調(diào)研和梳理分析，對(duì)天津電視臺(tái)所有的三級(jí)制播系統(tǒng)從以下5個(gè)方面進(jìn)行完善：

1）系統(tǒng)關(guān)鍵設(shè)備的安全審計(jì)管理、數(shù)據(jù)庫(kù)軟件審計(jì)功能；

2）三級(jí)系統(tǒng)的雙因素登陸認(rèn)證管理；

3）三級(jí)系統(tǒng)的邊界訪問(wèn)控制管理；

4）加固入侵防范體系；

5）完善原有安全管理中心關(guān)于運(yùn)行檢測(cè)、審計(jì)管理、統(tǒng)一身份認(rèn)證等功能。

5 結(jié)束語(yǔ)

天津電視臺(tái)信息安全系統(tǒng)經(jīng)過(guò)多次分步建設(shè)后，在國(guó)家廣電總局信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)政策的指導(dǎo)下，通過(guò)對(duì)物理、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、應(yīng)用和安全管理方面的合規(guī)性整改，將建立起符合天津電視臺(tái)自身特點(diǎn)的全臺(tái)網(wǎng)信息安全管理策略、技術(shù)防護(hù)手段、運(yùn)維體系和服務(wù)機(jī)制，有望在省級(jí)電視臺(tái)內(nèi)首批實(shí)現(xiàn)整體達(dá)到國(guó)家廣電總局信息安全等級(jí)保護(hù)要求并通過(guò)國(guó)家廣電總局等級(jí)保護(hù)三級(jí)系統(tǒng)的安全測(cè)評(píng)。

通過(guò)構(gòu)建較為完善的信息安全管理、技術(shù)、運(yùn)維、管理體系，將有效助力天津電視臺(tái)網(wǎng)絡(luò)化制播工作的順利進(jìn)行，全面提升天津電視臺(tái)綜合競(jìng)爭(zhēng)能力，極大地提高安全播出保障能力。

[1]廣播電臺(tái)、電視臺(tái)數(shù)字化網(wǎng)絡(luò)化建設(shè)白皮書[EB/OL].[2012-11-22].http：//wenku.baidu.com/view/77796d2d7375a417866f 8f55.html.

[2]廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南[EB/OL].[2012-11-22].http：//wenku.baidu.com/view/98c9726f1eb91a37f1115 c8b.html.

[3]廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[EB/OL].[2012-11-22].http：//wenku.baidu.com/view/d488d1c59ec3d5bbfb0a7495.html.