电视制播网络系统等级保护探讨

吴树峰

（宁夏广播电视台技术管理处 银川 750002）

电视制播网络系统等级保护探讨

吴树峰

（宁夏广播电视台技术管理处 银川 750002）

本文是针对我台全台网环境下，如何保障电视节目制作、播出网络安全而提出的一种设想，从信息安全管理体系、信息安全技术体系、信息安全运行体系三个方面，对电视节目制作播出网络三级信息系统等级保护和二级信息系统等级保护的具体措施进行探讨。

全台网；信息安全；等级保护

1　电视制播网络系统信息安全等级保护要求

我台电视节目的制作播出由电视全台网系统与电视播出系统承担，主要业务系统有电视节目综合制作系统、新闻制播系统、主干平台与媒资系统、播出业务系统等。根据《广播电视相关信息系统安全等级保护定级指南》（GD/J 037-2011）要求（各级电视中心播出相关信息系统安全保护等级见表1），我台电视播出系统、播出整备系统与新闻制播系统应达到三级等级保护的要求，电视节目综合制作系统、主干平台与媒资系统需要达到二级等级保护的要求。

表1 各级电视中心播出相关信息系统安全保护等级

2　电视制播网络系统信息安全保障体系建设

笔者认为，广播电视台信息安全保障体系总体划分为三个部分的建设，即信息安全管理体系、信息安全技术体系和信息安全运行体系。

2.1信息安全管理体系

信息安全管理体系是在全台范围内建立信息安全方针和目标，以及完成这些目标所用的方法，安全管理是保障安全技术手段发挥具体作用的最有效手段，建立健全安全管理体系不但是国家等级保护中的要求，也是一个安全体系不可或缺的重要组成部分。首先建立信息安全管理机构，制定信息安全策略，建立信息安全管理制度，并建立一套可操作的保障机制来保证这些策略和制度的落实。

图1 广播电视台信息安全保障体系

图2 信息安全管理体系模型

2.2信息安全技术体系

信息安全技术体系是利用各种安全技术、产品以及工具，作为安全管理和运行的落实的重要手段，最终支撑信息安全体系的建设。主要由身份认证技术、访问控制技术、内容安全技术、监控审计技术和备份恢复技术等方面组成。

从安全的角度来看，各类安全防护手段的存在是为安全目的的实现而服务的，在可靠的安全域模型基础上对其进行高效的技术体系防护则是又一重点建设内容。无论是安全域的边界状态或是各安全域内部可能存在的安全问题，都将影响广播电视台整个信息安全体系实现的最终效果。信息安全技术体系的建设是一个分步设计加分步实施的过程。

2.3信息安全运行体系

信息系统的运行维护阶段，在信息系统的生命周期中，是时间最长的一个阶段，占整个生命周期的绝大多数的时间。同时，这个阶段也是信息系统直接服务于机构，完成机构信息使命的阶段，也是信息安全事件最大量发生的阶段。

建设一个有效的安全运行维护体系，使信息系统能够可靠安全地运行，是保障信息系统完成其信息使命的关键所在。通过安全管理中心的建设，进行相关系统设计，支持以信息安全管理为核心，建立和维护完整的信息安全体系，实现动态的、系统化的、制度化的信息安全管理，保证业务连续性，实现持续的、不断提高的信息安全管理水平。

3　电视制播网络系统信息安全等级保护技术方案

图3 电视制播信息系统等级保护拓扑图

电视制播网络系统信息安全等级保护按照业务系统功能及分级保护的原则进行规划。等级保护总体拓扑图如图3所示。

播出与新闻制播系统处于等级保护的第三级，属于纵深防护的最里端，主干平台与媒资系统以及综合制作系统处于等级保护的第二级，边界安全区应满足全台网系统与外部网络节目素材的交互应用。

3.1第三级等级保护系统

笔者认为，广播电视台电视播出系统、备播整备系统、新闻制播系统及网络结构，应按照三级等保要求进行规划设计，与外部网络无物理连接，只与全台网系统中的主干平台连接。

第三级等级保护包括技术要求与管理要求两方面。技术要求从物理安全、网络边界安全、主机安全、审计安全等方面考虑；管理要求在信息安全管理上建立相应的组织机构、人员规划和管理制度，并且具备相应的行政部署，同时在系统的运维管理、安全意识培训、安全操作规范等方面进行增强，保障系统运维人员具备对日常的系统安全运维的能力和使用。

根据三级等保相关要求，电视播出系统、备播整备系统及新闻制播系统从以下方面进行信息安全部署：

3.1.1 边界安全系统

区域边界的安全采用的控制点和技术措施包括网络结构、访问控制、边界完整性检查、恶意代码防范及网络设备防护等。其主要目的是从区域安全的角度，提升等级保护系统区域内对外整体抗攻击能力的安全保护设计。

采用设备包括万兆防火墙、网闸等防护设备实现三级保护系统与全台网系统的安全隔离。

3.1.2 主机安全系统

系统主机存在被暴力破解、计算节点自身防护能力不够、没有安全加固、主机资源控制粒度如果不够严格等风险。

所以系统设计包括具备主机入侵防护和个人防火墙功能的主机网络版防病毒软件，操作系统内核加固系统，入侵检测子系统、漏洞扫描子系统以及安全加固服务，具备802.1X准入控制、资产管理、补丁管理、软件分发、外设管理等功能。3．1.3 安全审计系统

信息系统的安全审计完成对系统中有关安全的活动进行记录、检查及审核，检测和阻止非法用户对信息系统的入侵，并显示合法用户的误操作。审计作为一种事件追查的手段来保证系统的安全，它对涉及系统安全的行为做一个完整的记录。审计为系统进行事故原因查询、定位，为事故发生前的预测、报警以及事故发生之后的实时处理提供详细、可靠的依据和支持，以备有违反系统安全规则的事件发生后能够有效的追查事件发生的地点和过程以及责任人。安全审计涉及两个方面：一个是日志，另一个是审计。日志是安全事件及行为的记录，审计则是对日志的分析。

系统设备主要包括日志审计子系统、运维审计系统、数据库审计子系统，审计监控对象是针对主要的网络设备、主机设备、应用系统、数据库以及运维操作。采集各类设备的事件和日志，实现对所有用户访问操作、各类关键事件的收集。通过SNMP，Syslog，ODBC/JDBC，HTTP/XML，文件，以及其他扩充协议等方式从多种数据源收集安全信息，经过过滤、汇总和关联分析后，以规定的格式存储到数据库内，并驱动综合审计系统。实现对电视播出业务系统操作日志、运维以及数据库系统的安全审计。

3.1.4 安全管理平台

包含系统平台框架、资产管理、安全事件管理、基础关联分析、标准脆弱性管理、风险评估、权限管理、知识管理、系统自身管理等功能的安全管理平台，双因素身份认证子系统系统与令牌、IT设备监控系统、堡垒主机等组成的基于终端的安全管理平台，实现对电视播出业务系统信息安全的全面管理。

安全管理平台实现下面的功能：

（1）系统管理。实现对网络链路状态、信息系统的核心交换机、汇聚交换机等关键网络设备状态、设备端口状态、端口IP地址、关键节点的网络流量等进行监控；实现对信息系统重要服务器的运行状态、CPU使用率、内存的使用率、网络联网情况等进行监控；实现对信息系统数据库的运行状态、进程占用CPU时间及内存大小、配置和告警数据等进行监控；实现对信息系统重要应用软件的运行状态、响应时间等进行监控；实现对终端的非法接入及非法外联情况进行监控；实现对对监控的异常情况进行报警，并对报警记录进行分析，采取必要的应对措施。

图4 电视播出业务系统信息安全等级保护拓扑图

图5 新闻制播系统信息安全等级保护拓扑图

（2）安全管理。实现对对信息系统的恶意代码、补丁升级等进行集中统一管理；实现对对网络设备、服务器、应用系统、安全设备等的安全事件信息进行关联分析及风险预警；实现信息系统网络设备、终端、服务器以及应用等保持时钟同步。

（3）审计管理。实现对基础网络、边界安全、服务器及应用系统的安全审计进行集中管理；实现对审计记录进行统计、查询、分析及生成审计报表；实现对90天以上的审计日志进行归档，归档日志至少保存一年以上。

3.1.5 播出业务系统信息安全网络拓扑图

播出业务系统信息安全网络拓扑图如图4所示。

3.1.6 新闻业务系统信息

安全网络拓扑图新闻业务系统信息安全网络拓扑图如5所示。

3.2第二级等级保护系统

媒资系统、制作系统、主干平台系统为二级等级保护系统。这些二级等级保护系统均与主干系统进行交互完成相关业务，而不存在其他互访需求，因此，在主干系统进行较完善的安全保障后，其整体安全水平较高。因此，建议将二级系统作为一个整体考虑进行安全建设。

在对二级系统进行安全设计时，将从业务系统内部安全域划分，到系统的边界访问控制、恶意代码防范、入侵检测系统部署、安全审计系统实现等几个方面进行设计。安全建设措施如下：

二级系统统一部署入侵检测系统，进行入侵行为及恶意代码的检测；二级系统统一部署数据库审计系统，进行针对数据库操作行为的全面审计；二级系统中，每个子系统部署综合日志审计系统，实现对各子系统的日志收集与分析；二级系统通过身份认证系统，加强各自系统内的身份鉴别，并完善帐号管理；二级系统中，部署主机加固系统，实现对各接口服务器、应用服务器的安全防护和强制访问控制等功能；二级系统中，部署终端安全管理产品，加强对各子系统内部终端机的安全管理与控制；二级系统中，部署网络防病毒产品，加强对各子系统内部的病毒防护；通过漏洞扫描系统实现对各子系统内部脆弱性的安全检查，并提供修复建议；通过安全运营中心，实现制播网整体网络的统一安全管理。二级等级保护系统拓扑图如图6所示。

图6 二级等级保护系统拓扑图

4　结束语

本文是针对我台全台网环境下，如何保障电视节目制作、播出网络安全而提出的一种设想，能够满足《广播电视相关信息系统安全等级保护定级指南》（GD/J 037-2011）中，对各级电视中心播出相关信息系统安全保护等级的要求，从信息安全管理体系、信息安全技术体系、信息安全运行体系三个方面，建设全面的信息安全保障体系，满足信息安全等级保护第三级信息系统的安全要求，可以提高我台的广播电视安全播出的能力。

Discussion of the Protection Level of Television Broadcasting Network System

Wu Shufeng
(Ningxia Radio and Television Technology Management Office,Yinchuan,750002)

Given the Ningxia Radio and Television Station is operating under the network environment, this paper discusses a conceived plan of protecting the TV program production and securing broadcast communication. Focusing on information security management system, information security technology system and information operating system, this paper explores strategies that can be used to create two and three layers of information security protection system.

Network Environment; Information Security; Protection Layers

10.3969/J.ISSN.1672-7274.2016.11.013

TN94

A

1672-7274（2016）11-0045-05