中央電視臺(tái)實(shí)施可信制播環(huán)境建設(shè)
在現(xiàn)代化電視臺(tái)制播體系中,如何確保節(jié)目文件在制作和播出的整體流程中安全交付不被篡改,并對(duì)每個(gè)環(huán)節(jié)的責(zé)任人進(jìn)行有效的追蹤定位,對(duì)于提升電視臺(tái)安全級(jí)別,保障安全播出有著極其重要的意義。
電視臺(tái)實(shí)施可信制播,打破了原來(lái)一味的封堵、查殺的被動(dòng)防御方式,走向主動(dòng)防御??尚胖撇ブ饕獜?qiáng)調(diào)構(gòu)建一個(gè)安全的執(zhí)行環(huán)境,保護(hù)計(jì)算及其對(duì)象的完整性、真實(shí)性、機(jī)密性和不可抵賴性,基于可信計(jì)算技術(shù),以不變應(yīng)萬(wàn)變,保障節(jié)目播出更安全??尚呕粌H能做到防病毒、防黑客,還能保證整個(gè)業(yè)務(wù)流程有據(jù)可查、不被破壞,是解決制播環(huán)境安全問(wèn)題的有效途徑,為業(yè)務(wù)安全和運(yùn)行安全提供了堅(jiān)實(shí)的保障。
中央電視臺(tái)是中國(guó)國(guó)家電視臺(tái),播出42個(gè)頻道高清、標(biāo)清電視節(jié)目,包括公共收視節(jié)目和付費(fèi)收視節(jié)目;除國(guó)內(nèi)服務(wù)外,還向全球提供中、英、西、法、俄、阿等語(yǔ)言的電視節(jié)目。
中央電視臺(tái)制播環(huán)境安全建設(shè)項(xiàng)目根據(jù)國(guó)家信息安全等級(jí)保護(hù)相關(guān)要求,結(jié)合中央電視臺(tái)網(wǎng)絡(luò)制播業(yè)務(wù)安全需求,梳理中央電視臺(tái)網(wǎng)絡(luò)制播系統(tǒng)業(yè)務(wù)流程,構(gòu)建了中央電視臺(tái)網(wǎng)絡(luò)制播環(huán)境下基于可信計(jì)算的信息安全技術(shù)體系、管理體系和運(yùn)行體系,建立了可信、可控、可管的網(wǎng)絡(luò)制播環(huán)境。
中央電視臺(tái)網(wǎng)絡(luò)制播系統(tǒng)采用信息技術(shù)支撐業(yè)務(wù)管理、節(jié)目制作、節(jié)目播出等全業(yè)務(wù)流程,具備“全程網(wǎng)絡(luò)化、文件化和高清化”的特點(diǎn)。系統(tǒng)龐大復(fù)雜,不同等級(jí)保護(hù)級(jí)別的多個(gè)定級(jí)系統(tǒng)之間需要高速互聯(lián)互通;制播業(yè)務(wù)具備“大流量、高帶寬、低延遲”等區(qū)別于其他行業(yè)的顯著特點(diǎn);由于新聞媒體行業(yè)的特性,為了實(shí)現(xiàn)快速而高效的采/編/播業(yè)務(wù),面向互聯(lián)網(wǎng)的業(yè)務(wù)需求日益增多。
因此,中央電視臺(tái)網(wǎng)絡(luò)制播系統(tǒng)必須采用基于可信計(jì)算的技術(shù),一方面要滿足高強(qiáng)度的安全要求:保證高安全等級(jí)制播系統(tǒng)的安全運(yùn)行,尤其是四級(jí)系統(tǒng)的安全播出、保證復(fù)雜外聯(lián)環(huán)境下的安全。另一方面要滿足強(qiáng)烈的業(yè)務(wù)訴求:保證節(jié)目的時(shí)效性、保證大流量、高帶寬全高清制播環(huán)境下節(jié)目的快速高效制作、交換及播出。
中央電視臺(tái)構(gòu)建這樣一個(gè)可信化制播環(huán)境,能夠從根本上確保制作、播出節(jié)目的安全、正確,播出內(nèi)容或業(yè)務(wù)內(nèi)容的完整性、可追蹤責(zé)任者等等。針對(duì)中央電視臺(tái)網(wǎng)絡(luò)制播系統(tǒng)提出了以先進(jìn)的可信計(jì)算技術(shù)為基礎(chǔ),以有效的訪問(wèn)控制為核心,操作系統(tǒng)安全支持應(yīng)用系統(tǒng)安全,構(gòu)造完整可信的信息安全立體防護(hù)體系的設(shè)計(jì)思路。主要技術(shù)措施及實(shí)現(xiàn)如下:
1.創(chuàng)建了網(wǎng)絡(luò)制播環(huán)境下“一個(gè)中心、三重防護(hù)”的縱深防御架構(gòu)
利用MPLS VPN將定級(jí)系統(tǒng)劃分在不同的安全域中,以服務(wù)總線/媒體總線的雙總線架構(gòu)連接不同定級(jí)系統(tǒng),設(shè)計(jì)了"一個(gè)中心、三重防護(hù)"的縱深防御架構(gòu),實(shí)現(xiàn)了制播環(huán)境二、三、四級(jí)定級(jí)系統(tǒng)的多級(jí)互聯(lián)和集中管控,不僅確保了制播業(yè)務(wù)系統(tǒng)的安全,而且降低了安全防護(hù)系統(tǒng)的實(shí)施成本和運(yùn)維成本。
2.構(gòu)建了基于可信、可控、可管的主動(dòng)防御體系
運(yùn)用可信計(jì)算技術(shù),構(gòu)建了用戶、平臺(tái)、程序可信的廣播電視業(yè)務(wù)系統(tǒng)運(yùn)行環(huán)境,確保計(jì)算資源和媒體信息可信;以訪問(wèn)控制技術(shù)為核心,構(gòu)建了廣播電視業(yè)務(wù)流程的訪問(wèn)控制鏈,嚴(yán)格限制廣播電視業(yè)務(wù)系統(tǒng)中用戶與程序的訪問(wèn)行為;建立了三權(quán)分立的管理方式,對(duì)安全策略"統(tǒng)一規(guī)劃、統(tǒng)一配置、統(tǒng)一管理",保證系統(tǒng)安全可管,實(shí)現(xiàn)了應(yīng)急情況下播出系統(tǒng)與外系統(tǒng)的物理斷網(wǎng),并可保證持續(xù)性播出,保障了總體的安全播出。
安全傳輸網(wǎng)關(guān)部署示意圖
3.實(shí)現(xiàn)面向廣播電視制播業(yè)務(wù)全流程的強(qiáng)制訪問(wèn)控制機(jī)制
針對(duì)廣播電視制播業(yè)務(wù)“采、編、播、存、管”全業(yè)務(wù)流程,設(shè)計(jì)并實(shí)現(xiàn)了全流程的強(qiáng)制訪問(wèn)控制策略,在制播業(yè)務(wù)流程的關(guān)鍵控制點(diǎn)上對(duì)每個(gè)主體訪問(wèn)客體的行為進(jìn)行控制,保證了廣播電視系統(tǒng)嚴(yán)格按照業(yè)務(wù)預(yù)期流轉(zhuǎn)運(yùn)行,將違反業(yè)務(wù)流程或惡意破壞的行為遏制在最小范圍內(nèi)。
4.設(shè)計(jì)了媒體和信息業(yè)務(wù)相對(duì)獨(dú)立的雙體系安全防護(hù)架構(gòu)
可信制播環(huán)境建設(shè)示意圖
針對(duì)媒體數(shù)據(jù)處理業(yè)務(wù)的流量大、帶寬高,信息數(shù)據(jù)處理業(yè)務(wù)延遲低、數(shù)據(jù)格式多樣等不同業(yè)務(wù)特點(diǎn),對(duì)媒體數(shù)據(jù)和業(yè)務(wù)信息分別部署安全防護(hù)措施,既滿足了媒體數(shù)據(jù)高速交換、業(yè)務(wù)信息高實(shí)時(shí)性的業(yè)務(wù)要求,又實(shí)現(xiàn)了安全可控的目標(biāo)。
中央電視臺(tái)作為中國(guó)規(guī)模最大,影響最廣的電視臺(tái),從實(shí)施可信化制播環(huán)境開(kāi)始到現(xiàn)在,已經(jīng)解決了一些實(shí)際問(wèn)題,并通過(guò)各種方式來(lái)保證實(shí)施可信化制播環(huán)境的安全性。
基于可信的安全措施,解決了中央電視臺(tái)“大流量、高帶寬、低延遲”特點(diǎn)下傳統(tǒng)“查、殺、封、堵”的安全防護(hù)產(chǎn)品無(wú)法解決的安全問(wèn)題和安全風(fēng)險(xiǎn)。中央電視臺(tái)可信化制播環(huán)境實(shí)施以來(lái),系統(tǒng)已安全運(yùn)行三年多,確保了十八大、兩會(huì)、奧運(yùn)會(huì)、紀(jì)念抗戰(zhàn)勝利70周年等重大活動(dòng)的安全播出,為新址40多個(gè)信息系統(tǒng)的安全運(yùn)行提供了基礎(chǔ)保障作用。
中央電視臺(tái)實(shí)施的可信化制播環(huán)境采用了基于可信計(jì)算的定級(jí)系統(tǒng)安全互聯(lián)部件、基于標(biāo)記的強(qiáng)制訪問(wèn)控制、操作系統(tǒng)內(nèi)核加固、未知病毒可信度量防御、節(jié)目?jī)?nèi)容的完整性保護(hù)等多種技術(shù)手段,有效保障了網(wǎng)絡(luò)制播環(huán)境的可信、可控和可管,確保了安全播出。