高 虎
(天津電視臺(tái) 網(wǎng)絡(luò)管理部,天津 300070)
天津電視臺(tái)網(wǎng)絡(luò)制播系統(tǒng)經(jīng)歷了以下階段:
1)非編單機(jī)階段,臺(tái)內(nèi)制作節(jié)目的設(shè)備在傳統(tǒng)線形對(duì)編設(shè)備的基礎(chǔ)上開始出現(xiàn)非線性編輯單機(jī);
2)局部網(wǎng)絡(luò)化階段,為提高節(jié)目編輯效率,天津電視臺(tái)自2001年開始建設(shè)非編網(wǎng)參與節(jié)目制播,但網(wǎng)間的節(jié)目傳輸仍需依托磁帶介質(zhì),形成“孤島”式網(wǎng)絡(luò)系統(tǒng);
3)全臺(tái)網(wǎng)階段,天津電視臺(tái)以搬遷新大樓為契機(jī),構(gòu)建了在全臺(tái)一個(gè)基礎(chǔ)網(wǎng)絡(luò)下實(shí)現(xiàn)辦公、節(jié)目制作、節(jié)目管理和節(jié)目播出等業(yè)務(wù)的全臺(tái)網(wǎng)制播網(wǎng)架構(gòu)。
隨著全國(guó)各大電視臺(tái)網(wǎng)絡(luò)化工作的普遍推進(jìn)和日益廣泛的應(yīng)用,全臺(tái)網(wǎng)信息安全建設(shè)與完善逐漸被電視臺(tái)所重視。
國(guó)家廣電總局于2011年發(fā)布了《廣播電視安全播出管理規(guī)定》(總局令第62號(hào))[1],明確提出要開展信息系統(tǒng)等級(jí)保護(hù)工作。為進(jìn)一步貫徹落實(shí)相關(guān)要求,廣電總局先后制定了《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》[2]和《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》[3]等相關(guān)標(biāo)準(zhǔn)與規(guī)范,作為規(guī)范全行業(yè)信息安全等級(jí)保護(hù)工作,提升安全播出保障能力的基礎(chǔ)性標(biāo)準(zhǔn)。
天津電視臺(tái)的全臺(tái)制播網(wǎng)支撐日常辦公的多項(xiàng)業(yè)務(wù),參與多個(gè)頻道節(jié)目制作、播出以及多檔新聞節(jié)目的直播工作,承擔(dān)了正確輿論導(dǎo)向的宣傳工作,不容有失。
信息安全建設(shè)作為天津電視臺(tái)新臺(tái)址的重要組成部分,在保障全臺(tái)網(wǎng)的穩(wěn)定運(yùn)行和核心制播業(yè)務(wù)的安全高效方面意義重大。天津電視臺(tái)自2009年開始有序規(guī)劃、分步推進(jìn)全臺(tái)網(wǎng)的信息安全建設(shè),構(gòu)建支撐辦公外網(wǎng)接入、辦公內(nèi)網(wǎng)業(yè)務(wù)和節(jié)目制播核心業(yè)務(wù)等多項(xiàng)功能的全臺(tái)網(wǎng)系統(tǒng)。
天津電視臺(tái)全臺(tái)信息安全建設(shè)以實(shí)現(xiàn)并保障安全播出為核心思想,基于此要求分步實(shí)現(xiàn)以下4個(gè)建設(shè)目標(biāo):
1)構(gòu)建天津電視臺(tái)信息安全基礎(chǔ)防護(hù)體系,劃分清晰的安全域,確保辦公和制播業(yè)務(wù)的正常進(jìn)行;
2)對(duì)天津電視臺(tái)的核心業(yè)務(wù)系統(tǒng)——播出系統(tǒng)的邊界部署符合國(guó)家及國(guó)家廣電總局相關(guān)命令與規(guī)定的安全防護(hù)措施;
3)根據(jù)國(guó)家廣電總局等保要求細(xì)則,完善天津電視臺(tái)三級(jí)制播系統(tǒng)的信息安全防護(hù)體系,并通過(guò)相關(guān)機(jī)構(gòu)測(cè)評(píng);
4)建立全臺(tái)統(tǒng)一信息安全監(jiān)控平臺(tái),實(shí)現(xiàn)對(duì)臺(tái)內(nèi)信息安全的狀態(tài)可控、可管。
天津電視臺(tái)基礎(chǔ)網(wǎng)絡(luò)采用核心、匯聚、接入3層架構(gòu),核心、匯聚都采用雙機(jī)架構(gòu),在新大樓不同區(qū)域內(nèi)構(gòu)建4對(duì)匯聚交換機(jī),通過(guò)萬(wàn)兆上聯(lián)核心交換機(jī),并通過(guò)萬(wàn)兆端口連接樓層接入交換機(jī)。
辦公網(wǎng)絡(luò)接入層可以使用有線接入和無(wú)線接入兩種模式。
Internet接入?yún)^(qū)域是天津電視臺(tái)新臺(tái)址辦公網(wǎng)和生產(chǎn)網(wǎng)的對(duì)外出口,分別接入聯(lián)通、電信2條百兆光纖專線,如圖1所示。
根據(jù)具體的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)運(yùn)行特點(diǎn),天津電視臺(tái)詳細(xì)規(guī)劃了信息安全基礎(chǔ)防護(hù)體系:
圖1 天津電視臺(tái)現(xiàn)有辦公網(wǎng)架構(gòu)
首先,根據(jù)天津電視臺(tái)全臺(tái)網(wǎng)實(shí)際運(yùn)行情況,明確劃分網(wǎng)絡(luò)安全域,并分別針對(duì)互聯(lián)網(wǎng)接入?yún)^(qū)、辦公網(wǎng)、生產(chǎn)網(wǎng)絡(luò)以及內(nèi)外網(wǎng)交互區(qū)制定相應(yīng)的安全方案。
針對(duì)互聯(lián)網(wǎng)接入?yún)^(qū),選擇了防火墻、鏈路負(fù)載均衡、入侵防御、安全網(wǎng)關(guān)、流量控制、SSL VPN等設(shè)備;針對(duì)辦公安全域構(gòu)建了漏洞掃描、防病毒軟件、終端安全管理等系統(tǒng);針對(duì)生產(chǎn)網(wǎng)安全域架設(shè)了防火墻和入侵檢測(cè)設(shè)備;針對(duì)內(nèi)外網(wǎng)交互安全域設(shè)置了安全網(wǎng)關(guān)和網(wǎng)閘設(shè)備,從而初步建設(shè)起天津電視臺(tái)全臺(tái)網(wǎng)基礎(chǔ)防護(hù)體系。
面臨眾多安全產(chǎn)品和管理手段,構(gòu)建統(tǒng)一的安全管理中心勢(shì)在必行,因而建立了安全運(yùn)維管理中心,實(shí)現(xiàn)了對(duì)安全設(shè)備的集中監(jiān)控和管理。網(wǎng)絡(luò)安全一期項(xiàng)目架構(gòu)如圖2所示。
圖2 網(wǎng)絡(luò)安全一期項(xiàng)目架構(gòu)
根據(jù)國(guó)家廣電總局62號(hào)令及廣電相關(guān)系統(tǒng)信息安全等級(jí)保護(hù)相關(guān)要求,天津電視臺(tái)著力對(duì)播出系統(tǒng)網(wǎng)絡(luò)邊界部署信息安全防護(hù)措施。改造前播出系統(tǒng)如圖3所示。
圖3 天津電視臺(tái)播出系統(tǒng)改造前拓?fù)鋱D
按照播出系統(tǒng)現(xiàn)有的邊界,全臺(tái)備播系統(tǒng)和播出系統(tǒng)之間通過(guò)3臺(tái)交換機(jī)進(jìn)行互聯(lián)。
全臺(tái)備播系統(tǒng)和播出系統(tǒng)之間的控制信息和視頻數(shù)據(jù)均通過(guò)交換機(jī)轉(zhuǎn)發(fā),控制信息數(shù)據(jù)用百兆以太網(wǎng)電口線路傳輸,視頻數(shù)據(jù)用千兆以太網(wǎng)光纖傳輸。
因?yàn)閭洳ヅc播出系統(tǒng)間存在直接的網(wǎng)絡(luò)連接,因此播出系統(tǒng)面臨安全威脅,還包括未授權(quán)訪問(wèn)、惡意代碼擴(kuò)散等各種各樣的攻擊。通過(guò)備播系統(tǒng)對(duì)播出系統(tǒng)進(jìn)行惡意訪問(wèn)請(qǐng)求、非法訪問(wèn)行為,以及通過(guò)網(wǎng)絡(luò)傳播的病毒、蠕蟲將對(duì)安全播出帶來(lái)巨大的負(fù)面影響,這些安全風(fēng)險(xiǎn)造成的后果無(wú)法用經(jīng)濟(jì)損失來(lái)估算。
部署在播出系統(tǒng)對(duì)外鏈路上的訪問(wèn)控制系統(tǒng)及安全隔離系統(tǒng)是必不可少的。備播系統(tǒng)通過(guò)主干平臺(tái)與臺(tái)內(nèi)其他業(yè)務(wù)系統(tǒng)相連,可能存在的病毒、木馬都將威脅播出系統(tǒng),而播出邊界各個(gè)網(wǎng)絡(luò)及安全設(shè)備、操作系統(tǒng)終端自身存在的漏洞也是外部威脅所攻擊、利用的薄弱點(diǎn)。
基于以上風(fēng)險(xiǎn)和需求分析,最終確定在播出系統(tǒng)邊界假設(shè)防火墻、網(wǎng)閘和安全網(wǎng)關(guān)設(shè)備。改造后的播出系統(tǒng)如圖4所示。
圖4 播出系統(tǒng)改造后邊界拓?fù)鋱D
根據(jù)國(guó)家廣電總局關(guān)于信息安全等級(jí)保護(hù)等保基本要求,廣播電視臺(tái)的網(wǎng)絡(luò)系統(tǒng)等級(jí)劃分有其特殊性,安全要求最高的信息系統(tǒng)是播出系統(tǒng),然后是全臺(tái)備播系統(tǒng)和具備演播室直播性質(zhì)的新聞制播網(wǎng),最后是不涉及播出的綜合制播網(wǎng)和辦公網(wǎng)。
根據(jù)《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GD/J 037—2011)[2],天津電視臺(tái)全臺(tái)網(wǎng)信息系統(tǒng)(見圖5)分為以下4類:
1)播出系統(tǒng):主要是全臺(tái)播出系統(tǒng)。
2)新聞制播系統(tǒng):包括新聞部高清新聞網(wǎng)、都市頻道新聞網(wǎng)、體育頻道新聞網(wǎng)、濱海&文藝頻道新聞網(wǎng)和全臺(tái)備播系統(tǒng)。
3)綜合制作系統(tǒng):包括主干平臺(tái)、Avid高清編輯網(wǎng)絡(luò)系統(tǒng)、蘋果高清編輯網(wǎng)絡(luò)系統(tǒng)、公共&科教頻道制作網(wǎng)絡(luò)系統(tǒng)、中心媒資系統(tǒng)和全臺(tái)收錄系統(tǒng)、全臺(tái)廣告網(wǎng)。
4)辦公系統(tǒng):主要是辦公網(wǎng)的相關(guān)信息系統(tǒng)。
圖5 全臺(tái)制播網(wǎng)絡(luò)示意圖
根據(jù)GD/J 037—2011,天津電視臺(tái)全臺(tái)網(wǎng)信息系統(tǒng)的定級(jí)結(jié)果如表1所示。
表1 天津電視臺(tái)全臺(tái)網(wǎng)信息系統(tǒng)定級(jí)結(jié)果
根據(jù)以上定級(jí)結(jié)果,天津電視臺(tái)信息安全建設(shè)的主要目標(biāo)是保障第三級(jí)制播系統(tǒng)的安全,同時(shí)兼顧第二級(jí)信息系統(tǒng)的安全。
通過(guò)詳細(xì)的業(yè)務(wù)調(diào)研和梳理分析,對(duì)天津電視臺(tái)所有的三級(jí)制播系統(tǒng)從以下5個(gè)方面進(jìn)行完善:
1)系統(tǒng)關(guān)鍵設(shè)備的安全審計(jì)管理、數(shù)據(jù)庫(kù)軟件審計(jì)功能;
2)三級(jí)系統(tǒng)的雙因素登陸認(rèn)證管理;
3)三級(jí)系統(tǒng)的邊界訪問(wèn)控制管理;
4)加固入侵防范體系;
5)完善原有安全管理中心關(guān)于運(yùn)行檢測(cè)、審計(jì)管理、統(tǒng)一身份認(rèn)證等功能。
天津電視臺(tái)信息安全系統(tǒng)經(jīng)過(guò)多次分步建設(shè)后,在國(guó)家廣電總局信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)政策的指導(dǎo)下,通過(guò)對(duì)物理、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、應(yīng)用和安全管理方面的合規(guī)性整改,將建立起符合天津電視臺(tái)自身特點(diǎn)的全臺(tái)網(wǎng)信息安全管理策略、技術(shù)防護(hù)手段、運(yùn)維體系和服務(wù)機(jī)制,有望在省級(jí)電視臺(tái)內(nèi)首批實(shí)現(xiàn)整體達(dá)到國(guó)家廣電總局信息安全等級(jí)保護(hù)要求并通過(guò)國(guó)家廣電總局等級(jí)保護(hù)三級(jí)系統(tǒng)的安全測(cè)評(píng)。
通過(guò)構(gòu)建較為完善的信息安全管理、技術(shù)、運(yùn)維、管理體系,將有效助力天津電視臺(tái)網(wǎng)絡(luò)化制播工作的順利進(jìn)行,全面提升天津電視臺(tái)綜合競(jìng)爭(zhēng)能力,極大地提高安全播出保障能力。
[1]廣播電臺(tái)、電視臺(tái)數(shù)字化網(wǎng)絡(luò)化建設(shè)白皮書[EB/OL].[2012-11-22].http://wenku.baidu.com/view/77796d2d7375a417866f 8f55.html.
[2]廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南[EB/OL].[2012-11-22].http://wenku.baidu.com/view/98c9726f1eb91a37f1115 c8b.html.
[3]廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[EB/OL].[2012-11-22].http://wenku.baidu.com/view/d488d1c59ec3d5bbfb0a7495.html.