馬 駿

吉林省延邊廣播電視臺 吉林 延吉 133000

安全體系建設包括:操作系統安全,數據庫安全,訪問控制,入侵檢測,密碼管理和應急響應等方面。

對于音視頻制播網上的工作站的相應外設,如光驅、軟驅等必須摘除,并在BIOS中封閉這些端口。對于非網絡上連接使用的UBS、RS232等端口也必須封閉,以防止外來文件可能附帶的病毒等,對網咯上的所有計算機設備造成感染。

1 操作系統

操作系統是整套自動化編播系統的核心。它控制和管理自動化編播系統的硬件和軟件資源。運行狀態(tài)良好與否,直接關系到安全播出問題。加強操作系統的安全管理維護格外重要。在管理維護過程中,應經常注意一下方面:

(1)加強操作系統的用戶賬號管理；

(2)勤查日志；

(3)安裝補丁程序

(4)關閉不必要的端口,關閉不必要的服務,禁止建立空連接

許多時候,編播人員以節(jié)目制作的需要為由,在本地工作站內存放大量的音視頻文件,占據許多的硬盤空間,應當適時清理和移除,避免新制作的節(jié)目無法保存。

2 數據庫安全

數據庫系統記載自動化編播系統的節(jié)目單、廣告單、播出節(jié)目等編播信息。維護數據庫安全就是要保障數據庫信息的完整、保密可用。工作中,主要通過一下方面來保證:

(1)安全管理采用集中控制和分散使用的方式,集中管理就是用管理員來控制全臺數據庫的安全維護,分散使用就是不同的頻率、頻道節(jié)目部門使用自己的本頻率、本頻道節(jié)目部門的數據庫。這樣既避免了不同節(jié)目部門在編播節(jié)目時出現相互干擾,而且也提高了各頻率、頻道節(jié)目安全性。

(2)由存取控制策略保護數據安全。用戶只能了解與自己工作有關信息,其他信息被屏蔽的最小特權策略。通過這些策略的使用,編輯們就只能在自己的授權范圍內進行正常的節(jié)目錄編操作。而不會因為誤操作或非法操作影響數據庫的安全。

(3)維護日志管理和及時安裝補丁程序。自動化編播系統是構建在網絡平臺上,因此,必須將網絡的維護日志管理作為重要內容。我們認為,系統日志可以解決一下幾個方面的問題:

首先是有助于網絡維護經驗的積累和總結。對管理維護者是一筆難得的經驗財富,因為故障本身往往提示網絡上存在漏洞和危險,在解決的過程和方法中對其他的故障有很好的借鑒作用。

其次是有助于網絡管理人員的技術交流。自動化播出網工作的全天侯特征決定了網管人員只能在有限的時間周期內分段完成維護,對事務的處理也具有鮮明的時段性特征,為保持網絡管理策略和水平的一致性,系統日志是有效地途徑。

和操作系統一樣,這些工作可以使我們及早發(fā)現和處理問題,增強數據庫的安全性。

3 訪問控制

自動化編播系統每天都要經過不同使用者的訪問、操作,如管理員、編輯等。他們對整套自動化編播系統的使用要求各不相同,賦予不同使用者相應的對自動化編播系統訪問、控制權力。

(1)強化管理。盡量避免編播人員對自動化編播系統誤操作帶來的數據、系統的錯誤或破壞,從而使自動化編播系統更加穩(wěn)固。

(2)合理劃分職責。用戶只有其所應具有權限,避免越權行為。出現問題時,可以者權分明。

(3)防止權限濫用和密碼丟失,及時變更或重新賦名。

4 網絡入侵檢測

入侵檢測是對入侵行為進行監(jiān)控,通過對網絡或計算機系統中的若干關鍵點收集信息并進行分析,從中發(fā)現網絡或系統中是否有違反安全策略的行為或被攻擊的跡象。利用實時入侵檢測,可以對特定網段、主機和服務器建立攻擊監(jiān)控體系,有效阻止入侵和攻擊,避免了入侵和攻擊造成自動化編播系統的癱瘓和停播。

5 合理的網絡結構

設備的選擇,應遵循被廣泛使用?？煽啃愿?、質量好、關鍵部位采用冗余設計,杜絕單點故障所造成的網絡癱瘓,軟件有良好的糾錯、容錯能力。與外界物理隔絕的內部局域網。對局域網結構進行優(yōu)化:

(1)劃分VLAN?？紤]到不同部門對自己節(jié)目的安全性和私密性要求,同時為了便于不同部門之間的協調和指令,給每個部門劃分一個VLAN。同時,為了提高資源的利用率,把共享資源劃為一個公共VLAN。節(jié)目部門之間的VLAN 不能相互訪問,節(jié)目部門的VLAN 都可以訪問公共VLAN。這樣各節(jié)目部門可以放心地在屬于自己的編播環(huán)境中進行節(jié)目的剪輯、存放、發(fā)播等操作。當然VLAN 的劃分還可以隔離、縮小網絡的風險幾率,提高網絡的整體性能和安全。

(2)IP地址綁定。IP地址是計算機終端在網絡中的身份證明。劃分VLAN 后,給節(jié)目不同部門的計算機終端指定IP。為防止非法計算機的闖入,要指定的IP 地址與計算機終端的MAC 地址,以及與交換機的MAC地址綁定。這樣可以清楚地了解到整套自動化編播系統中的計算機終端是否是合法計算機。IPV6出現后,對于這個問題的解決會更容易,監(jiān)測也更方便,帶的系統可以更大。

(3)使用網管工具。隨著發(fā)展,網絡中的設備也在不斷地增加,管理難度、故障排查的難度也相應地增加。使用網管軟件,可以清楚地、直觀地了解現在網絡中運行的設備,IP地址、端口、故障點等信息,及大地方便了網絡管理人員對網絡的維護工作。

6 密碼保護

合理地設置密碼可以有效地防范來自外界的破壞,系統管理員、網絡管理員的重要密碼要采取專人負責措施,不可將它們告訴別人。定義密碼時,盡可能采取長字段、多字符的措施。同時,密碼要定期更換,避免一個密碼使用時間過長。

7 應急響應和數據備份

自動化編播系統在運行過程中可能會出現各種情況,如系統故障、自然災害,人為破壞等等。為了保障安全播出,應建立數據備份和應急播出系統。通過這套數據備份和應急播出系統,可以最大限度地保障系統和數據的連續(xù)性和可靠性。

數據備份不僅可以在自動化編播系統出現不可逆轉的情況下,及時恢復編播數據信息,避免出現重大事故,同時也可以將播出節(jié)目作為歷史資料保存。

在自動化編播系統安全維護實踐中我們發(fā)現系統的異常和故障具有這樣的特點,那就是往往以小規(guī)模、低危害的形式發(fā)生。如果不能從系統異常的蛛絲馬跡中敏銳地發(fā)現潛在的危險,或者在處理系統網絡異常的過程中沒有集中足夠的注意力,甚至對處理手段可能引起的后果缺乏必要的預見性,那么小異常往往會演變成大故障,造成重大播出事故。

制訂有效地安全和維護方案及定期演練,才能保證系統發(fā)生故障時維護人員可以做到處驚不變,心中有數。同時,系統的軟硬件配置環(huán)境也會隨著不斷發(fā)展和應用深入而改變。作為安全維護管理人員也需要定期驗證安全和維護方案的可行性。一方面可以加深維護人員對系統故障處理的理解和認識,另一方面也可以根據實際環(huán)境的變化對系統安全維護方案予以必要的補充和完善。