电视台播出系统安全保护等级三级等保实施研究.docx

电视台播出系统安全保护等级三级等保实施研究文 / 国家新闻出版广电总局广播科学研究院王晓艳 梁晋春全数字化、流程化的快速运转。全台 网环境下，电视台播出系统主要包括 播出控制、节目备播、节目播出、安 全管理等模块，它承担着节目、广告、 资讯等业务的多项播出任务，是网络化制播链的最后环节。播出系统通过 全台主干网与节目生产、节目生产管 理等领域进行数据与文件交互。全台网环境下，播出系统基本架构示意图1 广播电视相关信息系统安全等级保护三级基本要求广播电视相关信息系统安全等级 保护基本要求（以下简称基本要求） 是对广播电视相关信息系统安全等级 保护基本要求进行规范的标准，播出 系统具有相应等级安全保护能力的前 提是需要满足基本要求中三级以上基本安全防护要求。基本要求中第三级安全防护基本要求框架如图 1 所 示。 如图 2 所示。基本要求中三级以上要求建立安全管理中心，从系统管理、安全管理及审 计管理三个方面，实现对系统中各安 全机制的统一管理。3 三级电视台播出系统等级保护实施流程三级电视台播出系统等级保护实 施应以国家和广电行业等级保护相关 标准为基础，依据基本要求开展等级 保护工作，有效保证电视台播出系统 的安全、可靠运行。等级保护实施基 本流程如图 3 所示。信息安全等级保护是国家信息 安全保障工作的基本制度和基本方法， 根据广播电视相关信息系统安全等级保护定级指南 ，电视台播出系统 安全保护等级全部为三级以上，属于 国家重要信息系统。电视台播出系统是广电行业信息系统的重要组成部分， 是电视节目播出的核心部门，承担全台节目的播出任务。对电视台播出系 统实施信息安全等级保护，从技术和 管理等方面提高播出系统的安全防护能力，确保电视节目安全、稳定的播出。 本文将着重研究电视台播出系统安全保护等级三级系统等保实施流程及方法。2 电视台播出系统全台网将电视台内的各个独立的 节目生产网络连接起来，消除网络孤岛，使台内的节目制作流程能够实现. 责任编辑：李玉薇邮箱：图 1 三级基本要求摘要 ：本文首先介绍了广播 电视相关信息系统安全等级保护 三级系统基本要求，依据三级基 本要求，结合电视台播出系统特 点，探讨了电视台播出系统信息 安全等级保护三级系统实施流程 及方法。关键词 ：电视台播出系统 三级系统 等级保护实施Technology Subject技术专题 能力和防止内部人员攻击的能力，不仅要对安全事件有审计纪录，还要能 追踪、能响应处理，要实现多重保护 制度。在三级电视台播出系统安全等 级保护实施中，依据基本要求，从管 理方面落实信息安全责任制，建立并 落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作 ；从技术方面落实物理安全、基础网络安全、边界安全、终端系统 安全、服务端系统安全、应用安全和 数据安全等安全保护技术措施。4.1 等级保护安全管理制度电视台播出系统三级等级保护实 施按照国家及行业等保相关标准规范 要求，建立健全并落实符合三级等级 要求的安全管理制度。通过等级保护 安全管理制度建设工作，形成完善的 安全管理体系，在具体工作实施过程 中，可逐项建立管理制度，也可以进 行整合，将管理制度与管理技术措施 有机结合，确保安全管理制度得到有效落实，同时建立并落实监督检查机制。4.2 等级保护安全技术措施依据国家及行业等保相关标准规 范要求，结合广电行业特点和安全需 求，制定符合三级等级要求的播出系 统安全技术建设整改方案，开展播出系统安全等级保护安全技术措施建设。 在播出系统安全技术建设整改中，可以采取“一个中心、三重防护”的防 护策略，实现三级系统的安全保护技 术要求，建立并完善播出系统综合防 护体系。电视台已经定级并备案单位需开 展播出系统安全保护现状分析，以基本要求中三级要求为基本目标，对播播出系统在完成系统定级与备案工作后，依据定级结果和国家及行业 信息安全等级保护系列标准，结合电 视台播出系统安全防护的特殊性，对 电视台播出系统信息安全工作进行整 体规划，制定安全防护策略，按照基 本要 求，组织开展电视台播出系统 能力。4 三级电视台播出系统等级保护实施方法电视台播出系统三级系统保护环 境总体设计的核心目标就是构建符合等级保护三级标准要求的系统，保障安全等级符合性检查和安全建设整改， 播出系统安全可靠地运行，系统要具有效提高电视台播出系统的安全保护有抵御来自外部有组织的恶意攻击的. 96责任编辑：李玉薇邮箱：图 3 等级保护实施基本流程图 2 电视台播出系统基本架构示意图2015年1月 月刊 总第273期出系统安全现状进行安全评估和差距分析，制定播出系统安全技术建设整备播计算环境控制直送节目文件和介质的接收，协调媒体文件的整备、存 全区域边界与播出系统内部网络相连。全台主干网不属于播出系统范围。（3）安全管理中心安全管理中心指提供系统管 理、改方案，组织实施安全建设整改工程， 储、迁移、同步、容灾和归档，对于 开展安全自查和等级测评，及时发现播出系统中存在安全隐患和威胁，进 一步开展安全建设整改工作。下面主要介绍落实播出系统安全保护技术措施中的几个主要内容，分媒体文件的格式进行归一化处理 ；在线播出计算环境负责各频道在线播出， 安全管理、审计管理等功能的安全管主要包括主备视频服务器阵列 ；播出控制计算环境配备主备播出控制机和 相应的监测切换软件，实现主备播出理平台。4.2.2 计算环境安全（1）用户身份鉴别三级系统计算环境用户身份鉴别 依靠操作系统和数据库管理系统自身 功能实现，应设置用户身份鉴别安全 策略，设置登录失败处理功能，可采 取结束会话、限制非法登录次数和登别是系统安全域划分、计算环境安全、 控制机的自动或手动倒换，同时备有区域边界安全、通信网络安全以及安全管理中心设计等。4.2.1 系统安全域划分安全域以播出系统所支撑的业务 应用的安全需求为基本依据，以播出 系统的数据信息和系统服务的保护需 求为中心划分和确定。电视台播出系 统结构按“一个中心”管理下的“三 重保护”体系框架划分安全域，结构 如图 4 所示。（1）安全计算环境播出系统安全计算环境主要包 括播出备播计算环境、在线播出计算 环境、播出控制计算环境、系统支撑 计算环境和对外接口计算环境。播出人机交互的上级机、下级机、节目文 件及通知单管理、头尾检测、共享编 单、广告管理等播出公共设备 ；系统 支撑计算环境提供统一的数据库、消息等基础服务，以及对系统相关设备、 录连接超时自动退出等措施。在每次流程和数据进行监控及报警 ；对外接口计算环境提供播出系统与全台网之用户登录和重新连接系统时，采用双因素认证措施。在操作系统和数据库间的专用信息接口，包括接口服务器、 管理系统的远程管理中，采用 HTTPS、防病毒网关等。（2）通信网络与区域边界通信网络包括播出系统内部网络 和全台主干网，播出系统内部网络负 责播出系统媒体和各类信息的核心交 换，并通过外部安全区域边界与全台 主干网相连，各计算环境通过内部安SSH 等安全的远程管理手段，防止用户身份鉴别信息在网络传输过程中被 窃听。（2）标记与强制访问控制在对安全管理员进行身份鉴别和 权限控制的基础上，应由安全管理员 通过特定操作界面对播出系统主、客 体进行安全标记，用户进行业务操作 时实行强制访问控制安全机制。强制 访问控制主体的粒度为用户级，客体 的粒度为文件或数据库表级。对由多 个计算节点组成的并需要实施相同强 制访问控制策略的计算环 境，应确 保所有主、客体具有一致的标记信息， 并实施相同的强制访问控制规则。（3）系统安全审计记录 系统 相关 安全 事件。审 计记 录包括安全事件的主体、客体、时间、 类型和结果等内容。应提供审计记录查询、分类、分析和存储保护，能对 特定安全事件进行报警，确保审计记. 97责任编辑：李玉薇邮箱：图 4 电视台播出系统安全域划分台内技术与应用 Application of StationsTechnology Subject技术专题 录不被破坏或非授权访问。应为安全管理中心提供接口，对不能由系统独 立处理的安全事件，提供由授权主体 调用的接口。（4）数据完整性保护采用密码机制支持的完整性校验 机制或其他具有相应安全强度的完整 性校验机制，检验存储和处理的用户 数据的完整性，以发现其完整性是否 被破坏，且在其受到破坏时能对重要 数据进行恢复。（5）程序可信执行保护构建从操作系统到上层应用的信 任链，其中可采用可信计算技术，以 实现系统运行过程中可执行程序的完 整性检验，防范恶意代码等攻击，并 在检测到其完整性受到破坏时采取有 效的恢复措施。（6）恶意代码防范对所有主机和终端部署具有统一 集中管理功能的防恶意代码软件或配 置具有相应安全功能的操作系统，及 时更新和升级防恶意代码软件版本及 恶意代码库 ；对于由于系统不支持而 未安装恶意代码防范软件的主机，采 取其它恶意代码防范措施。4.2.3 区域边界安全（1）访问控制在安全区域边界设置自主和强制 访问控制机制，实施相应的访问控制 策略，对进出安全区域边界的数据信 息进行控制，阻止非授权访问。在外 部安全区域边界部署双路防火墙，仅 允许节目媒体文件、节目单文件及相 关的操作指令通过，且仅在指定的地 址范围内传输 ；对进出网络的信息进 行过滤，实现对应用层协议命令级的 控 制， 仅 允 许 HTTP、FTP、TEL-NET、SMTP、SSH 等协议命令级的控制，禁止一切未使用的通信协议和端 口，重要网段采用 IP 与 MAC 地址绑 定或其它网络准入控制措施等技术手 段防止地址欺骗。（2）安全数据交换播出系统与其他信息系统之间进 行数据交换时，对文件类型及格式进 行限定。部署访问控制设备或防火墙 等 安 全 设 备， 设 置 IP 地 址、MAC 地 址，限定可以通过移动介质交换数据 的主机，所有通过移动介质上载的内 容应经过两种以上的防恶意代码产品 进行恶意代码检查后，方可正式上载 到内部网络。对蓝光、P2 等专业移动 介质可通过特定的防护机制进行上载 ； 与外部网络进行数据交换时，应通过 数据交换区或专用数据交换设备等完 成内外网数据的安全交换。数据交换 区对外应通过访问控制设备与外部网 络进行安全隔离，对内应采用安全的 方式进行数据交换，必要时可通过协 议转换的手段，以信息摆渡的方式实 现数据交换。（3）安全审计对 网络设 备、安 全设 备开启 审计 功能，在与外部网络连接的网络边界 处设置对区域边界状况等的审计，产 生审计日志记录。通过安全管理中心 集中管理，对确认的违规行为及时报 警并做出相应处置。（4）完整性保护在网络边界和重要区域边界设 攻击等攻击行为，对监测到的非法外联和入侵等行为，记录并及时报告安 全管理中心。4.2.4 通信网络安全（1）网络结构安全播出系统与其他业务系统之间的 通信通过全台主干网实现。播出系统 位于纵深结构内部，系统内部不通过 无线方式进行组网。关键网络设备配置冗余，避免关键节点存在单点故障。播出内部网络划分不同的子网或网段， 避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与 其他网段之间采取可靠的技术隔离手 段。（2）通信网络安全审计对网 络设 备、安 全设 备开启 审计 功能，设置对网络设备运行状况、网 络流量、用户行为等的审计，产生审 计日志记录。通过安全管理中心集中 管理，对确认的违规行为及时报警并 做出相应处置。（3）通信网络可信接入保护 对通信网络进行可信接入保护设计，可采用由密码技术支持的可信网 络连接机制，通过对连接到通信网络 的设备进行可信检验，确保接入通信 网络的设备真实可信，防止非法设备 的接入。在网络中可能接入的设备通 常包括网络设备、安全设备、服务器 设备和终端设备，可为这些设备发放 相应的设备证书，通过认证的设备才能有效接入网络，或对网络设备的接置外联探测器，探测非法外联等行为， 入端口与接入设备采取 MAC 地址绑在与外部安全区域边界部署入侵检测 /定措施，不允许通过拨号访问内部网防范设施，监视端口扫描、强力攻击、 络。木马后门攻击、拒绝服务攻击、缓冲 区溢出攻击、IP 碎片攻击和网络蠕虫（4）网络设备登录控制通过 网络 设备、 网络 安全设 备提 . 98责任编辑：李玉薇邮箱：2015年1月 月刊 总第273期供的功能设置登录控制，实现对登录用户的身份鉴别，可选择网络设备专 用认证管理系统，实现主要网络设备 应对同一用户选择两种或两种以上组 合的鉴别技术来进行身份鉴别的技术机，并设定恢复操作流程 ；承担主要 业务应用的网络接入设备可采用双机 及负载均衡措施 ；节目制作网与播出 网之间的传输链路采取配置网闸或采 用平台异构方式、设置高安全区等安进行统一标记，对主体进行授权，配 置一致的安全策略。通过审计管理员 对分布在系统各个组成部分的安全审 计机制进行集中管理，并对审计记录 进行分析处理。对系统管理员、安全 员和审计员提供各自操作界面，并按 三级安全要求进行身份鉴别。安全管 理中心设计建设可以选择已有产品进 行集成，并在集成过程中对部分特殊 安全功能进行设计。要求，进行远程管理时，采取 HTTPS、 全措施 ；网络接入设备至核心交换机SSH 等安全连接工具，避免使用 tel-net 等工具，防止用户身份鉴别信息在的连接，应避免出现单点连接，当网 络设备或路径发生故障影响网络系统网络传输过程中被窃听。对网络设备、 运行时，应有备份的设备或路径能够网络安全设备开启设备登录失败处理功能，关闭不必要的服务和端口，对 替换并恢复网络系统运行 ；配置网络管理系统，实现网络和系统提前预警网络设备的管理员登录地址进行限制， 和实时报警，并实时记录网络和系统5 结语研究电视台播出系统安全等级保 护三级系统等保实施方法，可以使电视 台在播出系统安全建设中更加科学合 理、 突 出 重 点、统 一 规 范， 为 建 立 和 实现符合相关等级保护标准的播出系 统、 提高 播出 系统 安 全保 障能 力、保 证系统正常运行提供技术指导，为实 现电视台播出系统安全防护的整体性、仅允许指定 IP 地址或 IP 段访问，网 络及安全设备应具有管理员用户的权 限分离功能。（5）网络备份与恢复重 要设备 和路 径设 置备份， 并留 有一定量的设备接口作为备份，可留 有一定量的通用网络设备的冷备份设 备，播出系统内部网络及用于数据集 中管理的计算环境核心交换机采用双运行日志。4.2.5 安全管理中心安全 管理 中心 从系 统管理、 安全 管理及审计管理三个方面，实现对播 出系统中各安全机制的统一管理，实 现系统管理员、安全员和审计员的三 权分离。通过系统管理员对系统的资 源和运行进行配置、控制和管理。通 过安全管理员对系统中的主体和客体针对性和实效性提供技术支撑。的网络管理功能，网络管理操作简单、 和可移植性，以满足近期目标