■ 山東 馬帥

編者按： 傳統(tǒng)企業(yè)的網(wǎng)絡(luò)安全防護一般并不十分到位，隨著等保2.0的正式出臺，傳統(tǒng)企業(yè)IT系統(tǒng)安全建設(shè)必須隨之重視起來。本文作為媒體行業(yè)企業(yè)，信息系統(tǒng)安全建設(shè)也必須予以高度重視。

筆者單位的廣播電視臺媒資管理系統(tǒng)于2014年中試運行、年底正式上線運行，自運行以來網(wǎng)絡(luò)安全情況穩(wěn)定得益于設(shè)計之初便將安全問題列為首位。

媒資系統(tǒng)作為播前媒資銜接了全臺制作網(wǎng)和播出端，這樣所有文件化播出的節(jié)目和廣告則必須通過媒資系統(tǒng)到達播控，由此可見其重要性，自然其安全穩(wěn)定問題顯得尤為重要，媒資系統(tǒng)以行業(yè)相關(guān)規(guī)定以及網(wǎng)絡(luò)安全等級保護管理辦法為指導辦法進行設(shè)計。

單位媒資系統(tǒng)除了要完成文件化送播業(yè)務(wù)外，還要完成視音頻素材的入庫存儲、磁帶的采集和數(shù)字化，收錄業(yè)務(wù)，播出節(jié)目的播前整備、廣告磁帶的數(shù)字化及播前整備、播出節(jié)目單預編排和審核業(yè)務(wù)，以下僅就媒資系統(tǒng)的網(wǎng)絡(luò)安全方面為主進行分析。

媒資系統(tǒng)目前主要由單位媒資運維科進行日常管理維護，自上線以來部門成立了網(wǎng)絡(luò)安全小組，對日常的網(wǎng)絡(luò)安全進行檢查，日常綜合性安全網(wǎng)關(guān)的升級、病毒庫的更新、系統(tǒng)的加固等等工作。像2018年較為活躍的勒索病毒爆發(fā)后，部門及時對操作系統(tǒng)進行了加固，封閉了高危端口，升級了系統(tǒng)補丁。

網(wǎng)絡(luò)情況概述

媒資系統(tǒng)網(wǎng)絡(luò)采用星型結(jié)構(gòu)，以兩臺核心交換機為中心，分別連接媒資子系統(tǒng)、收錄子系統(tǒng)、備播子系統(tǒng)、播出單預編排子系統(tǒng)、安全管理系統(tǒng)以及DMZ區(qū)。與播出系統(tǒng)邊界使用防火墻、UTM和網(wǎng)閘安全設(shè)備，對雙向訪問進行策略控制。與制作系統(tǒng)的邊界，使用迪普深度綜合安全網(wǎng)關(guān)設(shè)備進行防御，包含了防病毒、防火墻、IPS模塊，進行安全策略配置，保障系統(tǒng)安全。系統(tǒng)分為內(nèi)部業(yè)務(wù)區(qū)域和高安全區(qū)域（DMZ）。安全管理中心配置了安恒日志審計平臺，負責搜集操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用軟件日志，并對其進行分析。交換機和安全設(shè)備使用虛擬化方式冗余，服務(wù)器設(shè)備使用集群方式或熱備方式進行冗余。

設(shè)計要點分析

1.基礎(chǔ)網(wǎng)絡(luò)安全

網(wǎng)絡(luò)始終是服務(wù)于業(yè)務(wù)，必須要滿足能夠安全穩(wěn)定的進行業(yè)務(wù)流程的需求，媒資系統(tǒng)在正式上線前應(yīng)對業(yè)務(wù)流量滿載壓力測試，網(wǎng)絡(luò)帶寬可滿足業(yè)務(wù)高峰期需求。

媒資系統(tǒng)的高安全區(qū)交換機、核心交換機、綜合性安全網(wǎng)關(guān)均使用虛擬化技術(shù)主備同時運行避免出現(xiàn)單點故障。根據(jù)媒資系統(tǒng)功能、業(yè)務(wù)流程、網(wǎng)絡(luò)結(jié)構(gòu)層次、業(yè)務(wù)服務(wù)對象等劃分網(wǎng)絡(luò)安全域，安全域內(nèi)根據(jù)業(yè)務(wù)類型劃分不同的網(wǎng)段，便于日后的管理維護。對交換機和安全設(shè)備的安全設(shè)備管理員登錄地址均進行了ACL限定，僅允許媒資運維值班室中的管理機進行登錄操作。

2.邊界安全

任何一個信息系統(tǒng)要想保證安全，必須明確邊界在哪，如何保證好邊界安全是做好網(wǎng)絡(luò)安全工作的重中之重。

媒資系統(tǒng)網(wǎng)絡(luò)向上承接全臺各個制作網(wǎng)，向下銜接播控系統(tǒng)，這倆個進出口則為媒資系統(tǒng)的邊界。在與制作系統(tǒng)邊界處設(shè)置了深度綜合安全網(wǎng)關(guān)，其涵蓋了IPS、病毒庫，以及防火墻，雙板卡分別對進出會話進行訪問控制，所有來自于外部制作網(wǎng)的流量均要通過綜合性安全網(wǎng)關(guān)，由媒資到播控系統(tǒng)的流量則要經(jīng)過UTM、網(wǎng)閘、防火墻。

3.終端系統(tǒng)安全

由制作網(wǎng)提交至媒資的素材或節(jié)目入庫后需要媒資內(nèi)容工作人員進行質(zhì)量審核以及編目工作，媒資終端工作站采用域賬戶和動態(tài)口令登錄操作系統(tǒng)。每個動態(tài)口令設(shè)備均有唯一的序列號，因此規(guī)避了多人使用同一用戶名的安全風險。在域控服務(wù)器中啟用了賬戶口令復雜度要求，為大小寫字母和數(shù)字的組合，口令最長期限為180天，最短密碼長度為8位，用戶名和口令不相同。每臺終端均安裝正版殺毒軟件，由媒資運維同事負責定時更新病毒庫并禁用了USB口和光驅(qū)。

4.服務(wù)端系統(tǒng)安全

媒資系統(tǒng)內(nèi)所有應(yīng)用服務(wù)器及數(shù)據(jù)庫均為主備或集群模式，不存在任何單點故障，使用域賬戶統(tǒng)一管理，并部署具有統(tǒng)一管理功能的防惡意代碼軟件。采用主機加固軟件通過主機安全環(huán)境系統(tǒng)設(shè)置了白名單，控制了服務(wù)器的客體（文件夾目錄資源）和主體（業(yè)務(wù)應(yīng)用進程），只有指定的業(yè)務(wù)進程才能夠訪問對應(yīng)的文件夾目錄。對“.exe”、“.msi”、“.sys”、“.reg”等12類客體文件僅賦予只讀權(quán)限，對于本地的USB注冊表和光驅(qū)驅(qū)動設(shè)置為禁止訪問，關(guān)閉了不必要的服務(wù)和端口，能對影響到應(yīng)用程序的操作系統(tǒng)重要程序的完整性進行檢測，在檢測到完整性受到破壞后手動恢復。

5.應(yīng)用安全

使用主機加固軟件部署應(yīng)用安全保護域，只有指定用戶才可訪問應(yīng)用軟件進行操作。在域中啟用了訪問控制功能，為不同崗位分配了不同角色，限制了用戶可使用的業(yè)務(wù)功能，刪除了臨時賬戶和測試賬戶，使用網(wǎng)管系統(tǒng)對網(wǎng)絡(luò)鏈路狀態(tài)和核心交換機、匯聚交換機、接入交換機的設(shè)備狀態(tài)、端口狀態(tài)、IP地址、網(wǎng)絡(luò)流量等信息進行監(jiān)控。部署FTP監(jiān)控，當FTP應(yīng)用斷開時可及時報警。

6.數(shù)據(jù)安全

媒資存儲采用RAID5+主備鏡像模式，保證了數(shù)據(jù)的安全，數(shù)據(jù)庫采用集群+第三備模式，每日定時備份數(shù)據(jù)庫文件，確保數(shù)據(jù)庫安全。

7.安全管理中心

部署了日志審計服務(wù)器可采集各應(yīng)用服務(wù)器日志數(shù)據(jù)并上報日志審計管理中心，對監(jiān)控的異常情況進行報警，并對審計記錄進行統(tǒng)計、查詢、分析及生成審計報表。對已集中管理的設(shè)備審計日志進行保存，并手動歸檔。部署流程監(jiān)管系統(tǒng)，對由制作網(wǎng)到達播控系統(tǒng)的業(yè)務(wù)流程進行全程監(jiān)控。

8.系統(tǒng)運維管理體系

制定了相關(guān)安全管理規(guī)定及廣播電視臺人員上崗規(guī)定，規(guī)范人員上崗，明確人員審查和考核等內(nèi)容，成立網(wǎng)絡(luò)安全小組并簽訂了保密協(xié)議。制定了單位外部人員安全管理辦法規(guī)定，對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容進行規(guī)定。建立了各機房的安全管理制度，規(guī)范機房物理訪問、機房環(huán)境安全、工作人員行為等。

總結(jié)

安全大于天，安全問題是首要問題，使用各種安全手段讓系統(tǒng)平穩(wěn)健壯的運行是每一名系統(tǒng)運維人員的使命。目前單位媒資系統(tǒng)已通過廣電總局的三級信息系統(tǒng)安全等級保護測評，身為一名技術(shù)人員務(wù)必要保證好系統(tǒng)網(wǎng)絡(luò)安全以及數(shù)據(jù)的安全。隨著全國廣播電視行業(yè)高清化的進程，帶寬、計算資源以及存儲容量的要求越來要越高，這需要我們積極學習前沿技術(shù)，掌握各種新型設(shè)備的發(fā)展趨勢，未雨綢繆才能為新的業(yè)務(wù)形態(tài)做好技術(shù)支撐。