■ 山東 馬帥

編者按： 傳統(tǒng)企業(yè)的網(wǎng)絡(luò)安全防護(hù)一般并不十分到位，隨著等保2.0的正式出臺(tái)，傳統(tǒng)企業(yè)IT系統(tǒng)安全建設(shè)必須隨之重視起來。本文作為媒體行業(yè)企業(yè)，信息系統(tǒng)安全建設(shè)也必須予以高度重視。

筆者單位的廣播電視臺(tái)媒資管理系統(tǒng)于2014年中試運(yùn)行、年底正式上線運(yùn)行，自運(yùn)行以來網(wǎng)絡(luò)安全情況穩(wěn)定得益于設(shè)計(jì)之初便將安全問題列為首位。

媒資系統(tǒng)作為播前媒資銜接了全臺(tái)制作網(wǎng)和播出端，這樣所有文件化播出的節(jié)目和廣告則必須通過媒資系統(tǒng)到達(dá)播控，由此可見其重要性，自然其安全穩(wěn)定問題顯得尤為重要，媒資系統(tǒng)以行業(yè)相關(guān)規(guī)定以及網(wǎng)絡(luò)安全等級(jí)保護(hù)管理辦法為指導(dǎo)辦法進(jìn)行設(shè)計(jì)。

單位媒資系統(tǒng)除了要完成文件化送播業(yè)務(wù)外，還要完成視音頻素材的入庫(kù)存儲(chǔ)、磁帶的采集和數(shù)字化，收錄業(yè)務(wù)，播出節(jié)目的播前整備、廣告磁帶的數(shù)字化及播前整備、播出節(jié)目單預(yù)編排和審核業(yè)務(wù)，以下僅就媒資系統(tǒng)的網(wǎng)絡(luò)安全方面為主進(jìn)行分析。

媒資系統(tǒng)目前主要由單位媒資運(yùn)維科進(jìn)行日常管理維護(hù)，自上線以來部門成立了網(wǎng)絡(luò)安全小組，對(duì)日常的網(wǎng)絡(luò)安全進(jìn)行檢查，日常綜合性安全網(wǎng)關(guān)的升級(jí)、病毒庫(kù)的更新、系統(tǒng)的加固等等工作。像2018年較為活躍的勒索病毒爆發(fā)后，部門及時(shí)對(duì)操作系統(tǒng)進(jìn)行了加固，封閉了高危端口，升級(jí)了系統(tǒng)補(bǔ)丁。

網(wǎng)絡(luò)情況概述

媒資系統(tǒng)網(wǎng)絡(luò)采用星型結(jié)構(gòu)，以兩臺(tái)核心交換機(jī)為中心，分別連接媒資子系統(tǒng)、收錄子系統(tǒng)、備播子系統(tǒng)、播出單預(yù)編排子系統(tǒng)、安全管理系統(tǒng)以及DMZ區(qū)。與播出系統(tǒng)邊界使用防火墻、UTM和網(wǎng)閘安全設(shè)備，對(duì)雙向訪問進(jìn)行策略控制。與制作系統(tǒng)的邊界，使用迪普深度綜合安全網(wǎng)關(guān)設(shè)備進(jìn)行防御，包含了防病毒、防火墻、IPS模塊，進(jìn)行安全策略配置，保障系統(tǒng)安全。系統(tǒng)分為內(nèi)部業(yè)務(wù)區(qū)域和高安全區(qū)域（DMZ）。安全管理中心配置了安恒日志審計(jì)平臺(tái)，負(fù)責(zé)搜集操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用軟件日志，并對(duì)其進(jìn)行分析。交換機(jī)和安全設(shè)備使用虛擬化方式冗余，服務(wù)器設(shè)備使用集群方式或熱備方式進(jìn)行冗余。

設(shè)計(jì)要點(diǎn)分析

1.基礎(chǔ)網(wǎng)絡(luò)安全

網(wǎng)絡(luò)始終是服務(wù)于業(yè)務(wù)，必須要滿足能夠安全穩(wěn)定的進(jìn)行業(yè)務(wù)流程的需求，媒資系統(tǒng)在正式上線前應(yīng)對(duì)業(yè)務(wù)流量滿載壓力測(cè)試，網(wǎng)絡(luò)帶寬可滿足業(yè)務(wù)高峰期需求。

媒資系統(tǒng)的高安全區(qū)交換機(jī)、核心交換機(jī)、綜合性安全網(wǎng)關(guān)均使用虛擬化技術(shù)主備同時(shí)運(yùn)行避免出現(xiàn)單點(diǎn)故障。根據(jù)媒資系統(tǒng)功能、業(yè)務(wù)流程、網(wǎng)絡(luò)結(jié)構(gòu)層次、業(yè)務(wù)服務(wù)對(duì)象等劃分網(wǎng)絡(luò)安全域，安全域內(nèi)根據(jù)業(yè)務(wù)類型劃分不同的網(wǎng)段，便于日后的管理維護(hù)。對(duì)交換機(jī)和安全設(shè)備的安全設(shè)備管理員登錄地址均進(jìn)行了ACL限定，僅允許媒資運(yùn)維值班室中的管理機(jī)進(jìn)行登錄操作。

2.邊界安全

任何一個(gè)信息系統(tǒng)要想保證安全，必須明確邊界在哪，如何保證好邊界安全是做好網(wǎng)絡(luò)安全工作的重中之重。

媒資系統(tǒng)網(wǎng)絡(luò)向上承接全臺(tái)各個(gè)制作網(wǎng)，向下銜接播控系統(tǒng)，這倆個(gè)進(jìn)出口則為媒資系統(tǒng)的邊界。在與制作系統(tǒng)邊界處設(shè)置了深度綜合安全網(wǎng)關(guān)，其涵蓋了IPS、病毒庫(kù)，以及防火墻，雙板卡分別對(duì)進(jìn)出會(huì)話進(jìn)行訪問控制，所有來自于外部制作網(wǎng)的流量均要通過綜合性安全網(wǎng)關(guān)，由媒資到播控系統(tǒng)的流量則要經(jīng)過UTM、網(wǎng)閘、防火墻。

3.終端系統(tǒng)安全

由制作網(wǎng)提交至媒資的素材或節(jié)目入庫(kù)后需要媒資內(nèi)容工作人員進(jìn)行質(zhì)量審核以及編目工作，媒資終端工作站采用域賬戶和動(dòng)態(tài)口令登錄操作系統(tǒng)。每個(gè)動(dòng)態(tài)口令設(shè)備均有唯一的序列號(hào)，因此規(guī)避了多人使用同一用戶名的安全風(fēng)險(xiǎn)。在域控服務(wù)器中啟用了賬戶口令復(fù)雜度要求，為大小寫字母和數(shù)字的組合，口令最長(zhǎng)期限為180天，最短密碼長(zhǎng)度為8位，用戶名和口令不相同。每臺(tái)終端均安裝正版殺毒軟件，由媒資運(yùn)維同事負(fù)責(zé)定時(shí)更新病毒庫(kù)并禁用了USB口和光驅(qū)。

4.服務(wù)端系統(tǒng)安全

媒資系統(tǒng)內(nèi)所有應(yīng)用服務(wù)器及數(shù)據(jù)庫(kù)均為主備或集群模式，不存在任何單點(diǎn)故障，使用域賬戶統(tǒng)一管理，并部署具有統(tǒng)一管理功能的防惡意代碼軟件。采用主機(jī)加固軟件通過主機(jī)安全環(huán)境系統(tǒng)設(shè)置了白名單，控制了服務(wù)器的客體（文件夾目錄資源）和主體（業(yè)務(wù)應(yīng)用進(jìn)程），只有指定的業(yè)務(wù)進(jìn)程才能夠訪問對(duì)應(yīng)的文件夾目錄。對(duì)“.exe”、“.msi”、“.sys”、“.reg”等12類客體文件僅賦予只讀權(quán)限，對(duì)于本地的USB注冊(cè)表和光驅(qū)驅(qū)動(dòng)設(shè)置為禁止訪問，關(guān)閉了不必要的服務(wù)和端口，能對(duì)影響到應(yīng)用程序的操作系統(tǒng)重要程序的完整性進(jìn)行檢測(cè)，在檢測(cè)到完整性受到破壞后手動(dòng)恢復(fù)。

5.應(yīng)用安全

使用主機(jī)加固軟件部署應(yīng)用安全保護(hù)域，只有指定用戶才可訪問應(yīng)用軟件進(jìn)行操作。在域中啟用了訪問控制功能，為不同崗位分配了不同角色，限制了用戶可使用的業(yè)務(wù)功能，刪除了臨時(shí)賬戶和測(cè)試賬戶，使用網(wǎng)管系統(tǒng)對(duì)網(wǎng)絡(luò)鏈路狀態(tài)和核心交換機(jī)、匯聚交換機(jī)、接入交換機(jī)的設(shè)備狀態(tài)、端口狀態(tài)、IP地址、網(wǎng)絡(luò)流量等信息進(jìn)行監(jiān)控。部署FTP監(jiān)控，當(dāng)FTP應(yīng)用斷開時(shí)可及時(shí)報(bào)警。

6.數(shù)據(jù)安全

媒資存儲(chǔ)采用RAID5+主備鏡像模式，保證了數(shù)據(jù)的安全，數(shù)據(jù)庫(kù)采用集群+第三備模式，每日定時(shí)備份數(shù)據(jù)庫(kù)文件，確保數(shù)據(jù)庫(kù)安全。

7.安全管理中心

部署了日志審計(jì)服務(wù)器可采集各應(yīng)用服務(wù)器日志數(shù)據(jù)并上報(bào)日志審計(jì)管理中心，對(duì)監(jiān)控的異常情況進(jìn)行報(bào)警，并對(duì)審計(jì)記錄進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表。對(duì)已集中管理的設(shè)備審計(jì)日志進(jìn)行保存，并手動(dòng)歸檔。部署流程監(jiān)管系統(tǒng)，對(duì)由制作網(wǎng)到達(dá)播控系統(tǒng)的業(yè)務(wù)流程進(jìn)行全程監(jiān)控。

8.系統(tǒng)運(yùn)維管理體系

制定了相關(guān)安全管理規(guī)定及廣播電視臺(tái)人員上崗規(guī)定，規(guī)范人員上崗，明確人員審查和考核等內(nèi)容，成立網(wǎng)絡(luò)安全小組并簽訂了保密協(xié)議。制定了單位外部人員安全管理辦法規(guī)定，對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容進(jìn)行規(guī)定。建立了各機(jī)房的安全管理制度，規(guī)范機(jī)房物理訪問、機(jī)房環(huán)境安全、工作人員行為等。

總結(jié)

安全大于天，安全問題是首要問題，使用各種安全手段讓系統(tǒng)平穩(wěn)健壯的運(yùn)行是每一名系統(tǒng)運(yùn)維人員的使命。目前單位媒資系統(tǒng)已通過廣電總局的三級(jí)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)，身為一名技術(shù)人員務(wù)必要保證好系統(tǒng)網(wǎng)絡(luò)安全以及數(shù)據(jù)的安全。隨著全國(guó)廣播電視行業(yè)高清化的進(jìn)程，帶寬、計(jì)算資源以及存儲(chǔ)容量的要求越來要越高，這需要我們積極學(xué)習(xí)前沿技術(shù)，掌握各種新型設(shè)備的發(fā)展趨勢(shì)，未雨綢繆才能為新的業(yè)務(wù)形態(tài)做好技術(shù)支撐。