經(jīng)國(guó)煒

（揚(yáng)州廣播電視臺(tái)，江蘇 揚(yáng)州 225000）

0 引 言

為加快廣電內(nèi)容生產(chǎn)傳播與新一代信息技術(shù)、互聯(lián)網(wǎng)技術(shù)的深度融合，將融合理念貫穿并體現(xiàn)在內(nèi)容生產(chǎn)的全過程、各環(huán)節(jié)，努力實(shí)現(xiàn)新聞的快速反應(yīng)、高效采集、多元分發(fā)，揚(yáng)州廣播電視臺(tái)引入中臺(tái)概念，打造了基于云架構(gòu)的融合媒體生產(chǎn)平臺(tái)。作為平臺(tái)賦能的窗口，以瀏覽器/服務(wù)器（Browser/Server，B/S）形式打造的融合工作平臺(tái)應(yīng)運(yùn)而生。這是一個(gè)可以提供多種應(yīng)用工具、數(shù)據(jù)資源以及互聯(lián)網(wǎng)信息顯示等內(nèi)容的工具集合，可以跨安全域，在業(yè)務(wù)內(nèi)網(wǎng)、辦公網(wǎng)及互聯(lián)網(wǎng)提供幾乎相同的服務(wù)和工具。然而，開放、便捷、高效就意味著安全性的降低，物理邊界的模糊以及減弱了對(duì)安全的控制，使得整個(gè)云平臺(tái)都面臨愈發(fā)嚴(yán)峻的風(fēng)險(xiǎn)。對(duì)此，本文以安全模型基礎(chǔ)，以現(xiàn)有平臺(tái)為例，從體系設(shè)計(jì)關(guān)聯(lián)平臺(tái)架構(gòu)，盡可能構(gòu)建出一套具有自身特色的、防護(hù)有效的融合工作平臺(tái)。

1 融合工作平臺(tái)安全管理模型

安全管理模型是對(duì)安全管理的一種抽象化的描述。創(chuàng)建一個(gè)有效的安全管理模型，對(duì)于實(shí)現(xiàn)安全目標(biāo)至關(guān)重要。安全管理模型的發(fā)展從靜態(tài)防護(hù)思想到動(dòng)態(tài)防御理念轉(zhuǎn)變，持續(xù)加強(qiáng)了監(jiān)測(cè)在安全防護(hù)中的重要作用[1]。

揚(yáng)州廣播電視臺(tái)的融合工作平臺(tái)雖然只是一個(gè)能力的集合、一項(xiàng)賦能的窗口，但是由于依托云平臺(tái)，相較于傳統(tǒng)的制播平臺(tái)，具有更加開放的網(wǎng)絡(luò)環(huán)境、更加廣泛的業(yè)務(wù)連接、更加多樣的內(nèi)容呈現(xiàn)、更加靈活及復(fù)雜的業(yè)務(wù)流程等特點(diǎn)，網(wǎng)絡(luò)安全與內(nèi)容安全風(fēng)險(xiǎn)也相較傳統(tǒng)平臺(tái)大了很多。在前期設(shè)計(jì)上，技術(shù)人員結(jié)合兄弟臺(tái)項(xiàng)目實(shí)例以及等保合規(guī)白皮書的相關(guān)要求，遵循事前防御、事中監(jiān)測(cè)、事后響應(yīng)的原則，設(shè)計(jì)打造一個(gè)相對(duì)安全的生產(chǎn)平臺(tái)。

2 平臺(tái)防護(hù)體系設(shè)計(jì)

防護(hù)體系是提升安全壁壘最直接有效的手段。防護(hù)體系主要包括架構(gòu)安全、應(yīng)用安全、通道保護(hù)、邊界防護(hù)、用戶鑒別及權(quán)限管理。

2.1 架構(gòu)安全

融合工作平臺(tái)的底層支撐系統(tǒng)采用了分布式技術(shù)，利用HAProxy+Keepalived 實(shí)現(xiàn)了服務(wù)的高可用和負(fù)載均衡，使用Zookeeper對(duì)服務(wù)集群進(jìn)行管理。Zookeeper 實(shí)現(xiàn)了一種服務(wù)注冊(cè)與感知機(jī)制，能夠?qū)崿F(xiàn)服務(wù)注冊(cè)、服務(wù)監(jiān)管、服務(wù)加載和服務(wù)通信等4 個(gè)重要組件[2]，對(duì)于多個(gè)業(yè)務(wù)平臺(tái)能力的調(diào)用管理、流程管理更加安全、高效。借助Docker 技術(shù)將各類服務(wù)容器化，多項(xiàng)開源技術(shù)的引入，充分保證了系統(tǒng)架構(gòu)的去中心化、開放化，使得系統(tǒng)兼顧安全性的同時(shí)，也具備充分的伸縮性和擴(kuò)展性。

2.2 應(yīng)用安全

融合工作平臺(tái)作為一個(gè)中臺(tái)能力的主要輸出窗口，各類應(yīng)用都可以接入進(jìn)來。但由于各種應(yīng)用工具的使用場(chǎng)景、使用方式不同，在側(cè)重便捷和高效時(shí)，卻減弱了對(duì)安全的重視。如何通過技術(shù)手段進(jìn)行完善和提升，是技術(shù)工作者一直要努力的課題。

以內(nèi)容庫(kù)（云盤）模塊舉例。內(nèi)容庫(kù)業(yè)務(wù)模塊是基于B/S 架構(gòu)的一個(gè)資源共享庫(kù)，是全臺(tái)實(shí)現(xiàn)融合生產(chǎn)、敏捷化生產(chǎn)的核心，可以提供素材的存放、獲取、交互、語(yǔ)音轉(zhuǎn)寫、人工智能（Artificial Intelligence，AI）識(shí)別及送播等能力。用戶通過Web 方式即可將視頻、圖文進(jìn)行上傳并遷移至各個(gè)目標(biāo)系統(tǒng)。起初，在設(shè)計(jì)上，技術(shù)人員并沒有對(duì)入庫(kù)的素材文件進(jìn)行病毒查殺，或者在上傳前先進(jìn)行物理網(wǎng)閘的擺渡，因?yàn)槊刻烊雰?nèi)容庫(kù)的素材相當(dāng)之多，如此設(shè)計(jì)會(huì)嚴(yán)重影響資源流轉(zhuǎn)的速度，且增加了故障點(diǎn)。因此，在安全硬件無法滿足需求后，技術(shù)人員通過提升軟性安全來實(shí)現(xiàn)一定的防護(hù)。首先限定上傳文件的格式類型。對(duì)于偽裝后綴的文件，利用內(nèi)容庫(kù)自帶的抽幀功能，以是否可以獲取抽幀畫面和圖文的預(yù)覽為依據(jù)，對(duì)文件進(jìn)行明顯標(biāo)記，以提示用戶文件異常，且此文件無法進(jìn)行遷移下載。修改后的素材入庫(kù)流程如圖1 所示。軟性功能上的簡(jiǎn)單修改，在保證素材高效流轉(zhuǎn)的同時(shí)，也強(qiáng)化了安全。

圖1 修改后的素材入庫(kù)流程圖

2.3 通道保護(hù)

網(wǎng)絡(luò)通道好比一條條馬路，沒有紅綠燈以及規(guī)則的管理和保護(hù)，就會(huì)造成不可估量的阻塞和事故。針對(duì)目前揚(yáng)州廣播電視臺(tái)對(duì)融合工作平臺(tái)和云桌面非編的重度使用，技術(shù)部門提出服務(wù)端、終端雙保護(hù)原則，即服務(wù)端通過多重反向代理，使得工作平臺(tái)在業(yè)務(wù)內(nèi)網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)無差別化使用；用戶終端通過超文本傳輸安全協(xié)議（Hypertext Transfer Protocol Secure，HTTPS）加密協(xié)議對(duì)平臺(tái)以及云桌面進(jìn)行安全訪問，中間未過多地增加硬件防護(hù)設(shè)備，提升了安全性的同時(shí)，對(duì)網(wǎng)絡(luò)帶寬、響應(yīng)延遲都做到了很好的平衡。

反向代理是一種軟性安全防護(hù)，可以對(duì)服務(wù)器進(jìn)行隱匿，也可以攔截傳入請(qǐng)求，對(duì)高峰期的大流量負(fù)載均衡，給后端服務(wù)帶來更高層次的保護(hù)。Nginx 是一款優(yōu)秀的反向代理工具，具有高可靠性、低宕機(jī)率、低內(nèi)存消耗，還支持熱部署[3]。針對(duì)融合工作平臺(tái)這樣的Web 服務(wù)形式，技術(shù)人員通過搭建兩臺(tái)Nginx 服務(wù)器，充分將后端服務(wù)器匿名，分別為內(nèi)網(wǎng)用戶、辦公網(wǎng)用戶以及公網(wǎng)用戶提供各不相同的服務(wù)地址，以提升訪問安全。對(duì)公網(wǎng)用戶的訪問請(qǐng)求，也提供HTTPS 服務(wù)，安全接入。在代理服務(wù)器添加相應(yīng)監(jiān)測(cè)模塊，定位IP，即可阻止可疑流量。

2.4 邊界防護(hù)

除了軟件性的防護(hù)外，硬件防護(hù)設(shè)備也是必不可少的。融合工作平臺(tái)作為中臺(tái)能力的輸出窗口，必然會(huì)串聯(lián)起相關(guān)的內(nèi)外網(wǎng)業(yè)務(wù)。對(duì)透出公網(wǎng)的Web 服務(wù)，通過架設(shè)Web 應(yīng)用防火墻（Web Application Firewall，WAF）來提升安全性；安全域之間，通過防火墻根據(jù)實(shí)際業(yè)務(wù)進(jìn)行訪問控制權(quán)限設(shè)定；高安全域如播出域，則增加物理網(wǎng)閘設(shè)備進(jìn)行安全隔離。邊界防護(hù)架構(gòu)如圖2 所示。

圖2 網(wǎng)絡(luò)安全邊界防護(hù)示意圖

2.5 用戶管理

工作平臺(tái)作為全臺(tái)的業(yè)務(wù)匯聚點(diǎn)，除去行政、財(cái)會(huì)部門，幾乎所有與內(nèi)容生產(chǎn)相關(guān)的人員都會(huì)注冊(cè)使用。對(duì)于工作平臺(tái)，參照組織架構(gòu)，對(duì)個(gè)人、工作組、公共維度進(jìn)行業(yè)務(wù)及資源的分域管理，依據(jù)需求進(jìn)行訪問權(quán)限組的設(shè)置，保障資源訪問使用的安全性。

對(duì)多業(yè)務(wù)板塊用戶管理進(jìn)行整合，基于Token的認(rèn)證模式，用戶在工作平臺(tái)中可以使用個(gè)人工號(hào)進(jìn)行多個(gè)業(yè)務(wù)系統(tǒng)的統(tǒng)一登陸。

3 平臺(tái)監(jiān)測(cè)體系設(shè)計(jì)

監(jiān)測(cè)是安全生產(chǎn)中不可或缺的一個(gè)手段。監(jiān)測(cè)體系的建立，是技術(shù)保障的重要任務(wù)。強(qiáng)化監(jiān)測(cè)先行、監(jiān)測(cè)準(zhǔn)確、監(jiān)測(cè)回溯，使被動(dòng)防御變?yōu)橹鲃?dòng)出擊，可以將技術(shù)故障提前消除。監(jiān)測(cè)體系主要包括數(shù)據(jù)監(jiān)測(cè)、業(yè)務(wù)監(jiān)測(cè)及智能分析等功能模塊。

3.1 數(shù)據(jù)監(jiān)測(cè)

數(shù)據(jù)監(jiān)測(cè)的范圍包括硬件資源和虛擬化資源。其中，硬件資源監(jiān)測(cè)的對(duì)象包括中央處理器（Central Processing Unit，CPU）、內(nèi)存、磁盤及網(wǎng)卡等，虛擬化資源監(jiān)測(cè)對(duì)象除了虛擬的硬件外，還有虛擬化的底層系統(tǒng)以及支撐業(yè)務(wù)的網(wǎng)絡(luò)相關(guān)設(shè)備。

3.2 業(yè)務(wù)監(jiān)測(cè)

平臺(tái)底層使用了微服務(wù)架構(gòu)，將以往龐大混雜的業(yè)務(wù)功能分解為各個(gè)離散的服務(wù)，再利用Docker技術(shù)對(duì)服務(wù)進(jìn)行虛擬化封裝，部署在各類業(yè)務(wù)系統(tǒng)中。通過簡(jiǎn)單的監(jiān)測(cè)指令，即可獲取所有服務(wù)的實(shí)時(shí)狀態(tài)，并通過網(wǎng)頁(yè)進(jìn)行滾動(dòng)展示，如圖3 所示。

前臺(tái)業(yè)務(wù)流程的監(jiān)控是日常使用最頻繁的模塊。該監(jiān)控組件會(huì)對(duì)問題任務(wù)進(jìn)行多方式報(bào)警，根據(jù)設(shè)定的重要程度選擇告警級(jí)別。比如送播任務(wù)失敗，屬于緊急告警級(jí)別，則會(huì)通過短信方式告知相關(guān)人員。

監(jiān)測(cè)只是一個(gè)被動(dòng)手段，控制才是解決問題的根本。運(yùn)維人員可以通過監(jiān)控頁(yè)面對(duì)問題任務(wù)進(jìn)行重定向，及時(shí)介入、及時(shí)解決，將問題無感知處理。

3.3 智能分析

智能分析是通過監(jiān)測(cè)數(shù)據(jù)的收集，使用類ChatGPT 模型對(duì)數(shù)據(jù)進(jìn)行分析處理，生成趨勢(shì)分析報(bào)表，對(duì)平臺(tái)安全風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)，通過大數(shù)據(jù)的持續(xù)導(dǎo)入、分析，使預(yù)測(cè)指標(biāo)接近于實(shí)際。

目前，揚(yáng)州廣播電視臺(tái)技術(shù)部門正在嘗試使用GPT-2 模型進(jìn)行相關(guān)訓(xùn)練，已經(jīng)開始導(dǎo)入歷史運(yùn)維數(shù)據(jù)。前期會(huì)進(jìn)行檢索類問答的測(cè)試，待大量數(shù)據(jù)導(dǎo)入后，再對(duì)其分析能力進(jìn)行提升。

4 平臺(tái)響應(yīng)與恢復(fù)體系設(shè)計(jì)

響應(yīng)與恢復(fù)體系是在查找出或突然出現(xiàn)安全威脅后所采取的一系列措施，包括漏洞修復(fù)、應(yīng)急預(yù)案制定、備份系統(tǒng)搭建、容災(zāi)測(cè)試以及日常培訓(xùn)等。在應(yīng)急與恢復(fù)的同時(shí)，可以動(dòng)態(tài)修補(bǔ)系統(tǒng)缺陷、調(diào)整防護(hù)措施，提高系統(tǒng)平臺(tái)的抵御能力，從而縮短將來應(yīng)對(duì)異常情況所耗費(fèi)的時(shí)間[4]。

4.1 應(yīng)急預(yù)案

基于融合工作平臺(tái)的重要程度，揚(yáng)州廣播電視臺(tái)建立了一套完整的應(yīng)急預(yù)案。平臺(tái)自身的業(yè)務(wù)服務(wù)都是三節(jié)點(diǎn)分布式的，任意兩節(jié)點(diǎn)宕機(jī)，不會(huì)影響主業(yè)務(wù)。其他接入業(yè)務(wù)也都有自身的冗余策略，交換機(jī)及鏈路都是雙線且做虛擬化配置。除了對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行應(yīng)急策略外，技術(shù)人員針對(duì)不同情況下的響應(yīng)流程、人員分工制定了相對(duì)完備的預(yù)案。

當(dāng)前，核心業(yè)務(wù)系統(tǒng)均有應(yīng)急處理能力，以全臺(tái)媒資系統(tǒng)為例：當(dāng)在線存儲(chǔ)不能正常使用時(shí)，管理員可在媒資系統(tǒng)中配置啟用臨時(shí)存儲(chǔ)區(qū)，同時(shí)設(shè)置并啟用臨時(shí)存儲(chǔ)區(qū)和存儲(chǔ)路徑，將臨時(shí)存儲(chǔ)路徑掛起；提交下載申請(qǐng)時(shí)，軟件支持自動(dòng)提醒用戶“系統(tǒng)存儲(chǔ)區(qū)存儲(chǔ)路徑暫時(shí)不可用。資源文件將被回遷到臨時(shí)存儲(chǔ)區(qū)，回遷后請(qǐng)自行取用文件”；執(zhí)行下載時(shí)，正常情況下，媒資系統(tǒng)直接將在線存儲(chǔ)上的資源文件傳輸?shù)侥繕?biāo)路徑（如制作系統(tǒng)）即可，如果在線存儲(chǔ)區(qū)不可用，媒資系統(tǒng)支持將歸檔系統(tǒng)的資源文件回遷到臨時(shí)存儲(chǔ)區(qū)，并結(jié)束下載流程，用戶自行到臨時(shí)存儲(chǔ)區(qū)查找所需文件，并導(dǎo)入到所需的業(yè)務(wù)系統(tǒng)中。

4.2 備份系統(tǒng)

技術(shù)人員利用Hyper-V 等虛擬化軟件搭建了一套最小化應(yīng)急系統(tǒng)，承載了維持基礎(chǔ)業(yè)務(wù)的相關(guān)服務(wù)模塊，自帶存儲(chǔ)及數(shù)據(jù)庫(kù)，不依賴原系統(tǒng)，在主系統(tǒng)故障無法短期恢復(fù)時(shí)切換使用。備份系統(tǒng)采用延時(shí)備份模式（可以切換為實(shí)時(shí)同步模式），雖然會(huì)損失10 min 左右的備份內(nèi)容，但是可以確保在主系統(tǒng)出現(xiàn)故障時(shí)應(yīng)急系統(tǒng)可以相對(duì)獨(dú)立，能夠規(guī)避一些軟性故障，真正發(fā)揮應(yīng)急作用[5]。

4.3 容災(zāi)測(cè)試

平臺(tái)響應(yīng)與恢復(fù)體系需定期進(jìn)行災(zāi)難恢復(fù)測(cè)試，以驗(yàn)證預(yù)案和備份系統(tǒng)的有效性。容災(zāi)測(cè)試內(nèi)容包括存儲(chǔ)及數(shù)據(jù)庫(kù)數(shù)據(jù)的實(shí)時(shí)性測(cè)試、業(yè)務(wù)恢復(fù)測(cè)試以及網(wǎng)絡(luò)恢復(fù)測(cè)試等。

5 結(jié) 語(yǔ)

融合工作平臺(tái)主要依托私有云及能力中臺(tái)，相較于傳統(tǒng)的獨(dú)立制作網(wǎng)，網(wǎng)絡(luò)上更加開放、邊界上趨于模糊、模式上偏向協(xié)作、業(yè)務(wù)上注重融合。因此，新業(yè)態(tài)對(duì)安全提出了更高的要求。本文只是揚(yáng)州廣播電視臺(tái)在融合媒體生產(chǎn)平臺(tái)建設(shè)及使用過程中不斷反思、不斷改進(jìn)的些許實(shí)踐和體會(huì)，希望能為其他兄弟臺(tái)建立可管可控、可審可溯的安全環(huán)境起到一定的參考作用。