數字電視播出系統安全設計研究

時間:2022-03-07 08:52:51

導語:數字電視播出系統安全設計研究一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

數字電視播出系統安全設計研究

摘要:數字電視播出系統是中國廣電江西網絡有限公司重要的信息系統,成功獲得國家信息系統安全保護三級認證。本文主要介紹數字電視播出系統的安全設計與實現。

關鍵詞:數字電視;播出系統;三級等保

1數字電視播出系統的介紹

中國廣電江西網絡有限公司搭建的數字電視播出系統是利用現代計算機技術、音視頻編解碼技術、高速硬盤存儲技術,在視音頻節目采集、編排、節目播出以及網絡資源共享及視頻存儲等方面建立播出高速網絡,從而形成節目采集、編排到播出、傳輸、覆蓋等各環節都合適的高標清電視同播系統。系統提供20萬余小時的高清、超高清視頻內容,7天內直播節目隨意看,整合互聯網視頻、央視、華數、格靈教育、歡樂歌坊等各類合作伙伴,為全省950萬家庭提供豐富多彩的有線電視節目。

2數字電視播出系統安全工作的緊迫性

國家互聯網應急中心2020年上半年統計數據顯示:捕獲計算機惡意程序樣本數量約1815萬個,日均傳播次數達483萬余次,涉及計算機惡意程序家族約1.1萬余個。我國境內感染計算機惡意程序的主機數量約304萬臺,同比增長25.7%。國家信息安全漏洞共享平臺(CNVD)收錄通用型安全漏洞11073個,同比大幅增長89.0%。國家高度重視信息安全工作。隨著業務發展,技術迭代更新,各項安全法規也在不斷完善,國家先后頒布了多部法律法規包括《中華人民共和國計算機信息系統安全保護條例》《中華人民共和國網絡安全法》《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》。國家廣播電視總局也印發了《廣播電視安全播出管理規定》,要求安全播出責任單位在播出、傳輸、覆蓋及相關活動中,遵守有關安全生產的法律、法規和技術標準;安全播出責任單位應當遵守有關信息安全的法律、法規和技術標準,對涉及安全播出的信息系統開展風險評估和等級保護工作。網絡信息安全是廣播電視信息化必然面臨的問題,網絡信息安全不容忽視。

3數字電視播出系統的安全設計

中國廣電江西網絡有限公司數字電視播出系統從2009年開始搭建,經過多年建設,承載著CA系統、EPG系統、股票系統等多個應用子系統,實現了廣播電視節目的生產、播出、存儲全程文件化和播出自動化,相關業務系統對網絡的依賴性越來越強,各業務系統互聯互通和數據交互需求越來越迫切,數字電視播出系統網絡環境正從完全基于內網封閉環境向互聯網、廣域網的混合網絡環境轉變。業務雙向化和交互打破了廣播式數字電視系統與外界物理隔離的特性,帶來終端用戶行為的未知和不可控。隨著系統內部相關子系統的增加、網絡的開放性、應用的多樣性,以及終端復雜性、接入多樣性和網絡安全新威脅的滋生,使數字電視播出系統系統面臨更加嚴峻的信息安全風險,對整個系統的穩定性、安全性、管理及應用的合理性、信息安全防護技術等提出了更高的要求。原有系統暴露出很多不足,需要對系統的安全進行優化和調整,網絡信息安全成為運維重要的部分。整改前網絡拓撲圖如圖1所示。

3.1系統網絡安全設計思路

通過對數字電視播出系統業務需求分析網絡安全風險,結合OSI七層協議和等保2.0的技術要求,制定了合理的安全策略來確保整個系統的機密性、完整性、可用性、可控性與可審查性。可用性保證授權實體可以有權限訪問數據。機密性保證數據不會被未授權的實體訪問。完整性保證數據不被隨意修改。可審查性保證對出現的安全問題提供參考依據和手段。可控性是將內部網絡與外部不可信任的網絡隔離,對與外部網絡交換數據的內部網絡及其主機所交換的數據進行嚴格的訪問控制;同時在內部網絡給不同業務提供不同的安全級別,將不同的網段進行隔離,實現相互訪問的控制。

3.2安全設計方案

整改后網絡拓撲圖如圖2所示。我們根據系統的整體安全要求,收集了相關業務的信息,評估了系統的安全性需要,采用了分層防御的方法,在不影響業務運行的前提下,將安全策略、硬件及軟件結合起來,構成一個統一的防御系統,來實現系統安全架構,以期對系統進行全面的安全管理。在系統安全整體配置上,對傳輸級別的安全性、網絡級別的安全性、系統級別的安全性、應用程序級別的安全性、數據級別的安全性單獨進行了安全策略的配置,同時各層安全策略相互產生影響,共同對系統提供綜合性的防護,從而讓系統的安全性得到保障。具體安全策略有如下幾個。(1)互聯網安全區策略互聯網安全區網絡拓撲圖如圖3所示。任何人員進入數字電視播出系統進行維護,必須經過互聯網安全區防火墻安全連接,經過互聯網安全區的IPS的流量過濾;安全連接后的終端運維操作必須經過堡壘機進行安全審計。(2)EPG安全區策略EPG安全區網絡拓撲圖如圖4所示。EPG終端和服務端通信必須經過EPG區防火墻進行安全隔離,EPG終端和服務端通信僅開放需要使用的業務端口。EPG終端和服務端通信,保持終端的病毒防護能力與系統防護能力。沒有安裝補丁的客戶端的EPG區域的PC終端無法訪問網絡。(3)網絡管理區安全策略系統中部署IDS對所有區域的數據流進行入侵攻擊檢測,部署日志服務器對設備日志進行收集;僅對安全管理維護終端開放安全設備管理權限,維護用戶登錄網絡,設備、主機系統需要通過堡壘機才能開展必要的維護工作。

3.3設備配置

(1)互聯網防火墻配置在互聯網安全區里建立了管理區到互聯網的物理通道,防火墻啟用了IPS-AV功能,啟用了安全策略,只允許管理區終端可以訪問互聯網,目的是讓互聯網進入系統內部的流量只能先訪問管理區里的堡壘機,通過堡壘機的跳板功能再訪問內部系統和網絡,同時對所有的操作行為在堡壘機上保留記錄,系統和網絡的相關日志會傳送到日志服務器上,確保互聯網到內部的通信的安全性。(2)EPG防火墻配置在EPG安全區的EPG客戶端與EPG服務端之間的防火墻上啟用了安全策略,分別建立了EPG客戶端地址組和EPG服務器地址組;同時建立了兩者之間通信的EPG-Server服務組,在防火墻上只開通了EPG客戶端到EPG服務器之間的通信服務。通過以上配置確保只能是指定的EPG客戶端和指定的EPG服務器通過應用端口限制進行最小的通信。(3)核心交換機配置在交換機上啟用了本地認證,開啟了SSH登錄,并且設置了訪問列表只允許指定的網段才能登錄交換機,以確保只能由指定的帳號通過指定的IP登錄配置核心交換機。

4數字電視播出系統安全的意義

中國廣電江西網絡有限公司搭建的數字播出系統嚴格按照《中華人民共和國網絡安全法》的要求,在2018年經過定級、備案、建設整改、等級測評、監督檢查,于2018年10月30日取得了數字電視播出系統等保三級備案證。中國廣電江西網絡有限公司將繼續全面貫徹“強化網絡信息安全和文化安全監管”的有關要求,不斷加強安全技術裝備和人力資源投入,優化并完善組織體制建設,補充并修訂了相關安全保障工作制度、工作措施和應急預案,建立并完善了安全風險評估和隱患排查整改機制,確保數字電視播出系統的安全、穩定、高效運行。

作者:楊曉東 洪曉東 薛飛 單位:中國廣電江西網絡有限公司