自動化編播系統(tǒng)核心安全維護

馬 駿

吉林省延邊廣播電視臺 吉林 延吉 133000

安全體系建設(shè)包括:操作系統(tǒng)安全,數(shù)據(jù)庫安全,訪問控制,入侵檢測,密碼管理和應(yīng)急響應(yīng)等方面。

對于音視頻制播網(wǎng)上的工作站的相應(yīng)外設(shè),如光驅(qū)、軟驅(qū)等必須摘除,并在BIOS中封閉這些端口。對于非網(wǎng)絡(luò)上連接使用的UBS、RS232等端口也必須封閉,以防止外來文件可能附帶的病毒等,對網(wǎng)咯上的所有計算機設(shè)備造成感染。

1 操作系統(tǒng)

操作系統(tǒng)是整套自動化編播系統(tǒng)的核心。它控制和管理自動化編播系統(tǒng)的硬件和軟件資源。運行狀態(tài)良好與否,直接關(guān)系到安全播出問題。加強操作系統(tǒng)的安全管理維護格外重要。在管理維護過程中,應(yīng)經(jīng)常注意一下方面:

(1)加強操作系統(tǒng)的用戶賬號管理；

(2)勤查日志；

(3)安裝補丁程序

(4)關(guān)閉不必要的端口,關(guān)閉不必要的服務(wù),禁止建立空連接

許多時候,編播人員以節(jié)目制作的需要為由,在本地工作站內(nèi)存放大量的音視頻文件,占據(jù)許多的硬盤空間,應(yīng)當(dāng)適時清理和移除,避免新制作的節(jié)目無法保存。

2 數(shù)據(jù)庫安全

數(shù)據(jù)庫系統(tǒng)記載自動化編播系統(tǒng)的節(jié)目單、廣告單、播出節(jié)目等編播信息。維護數(shù)據(jù)庫安全就是要保障數(shù)據(jù)庫信息的完整、保密可用。工作中,主要通過一下方面來保證:

(1)安全管理采用集中控制和分散使用的方式,集中管理就是用管理員來控制全臺數(shù)據(jù)庫的安全維護,分散使用就是不同的頻率、頻道節(jié)目部門使用自己的本頻率、本頻道節(jié)目部門的數(shù)據(jù)庫。這樣既避免了不同節(jié)目部門在編播節(jié)目時出現(xiàn)相互干擾,而且也提高了各頻率、頻道節(jié)目安全性。

(2)由存取控制策略保護數(shù)據(jù)安全。用戶只能了解與自己工作有關(guān)信息,其他信息被屏蔽的最小特權(quán)策略。通過這些策略的使用,編輯們就只能在自己的授權(quán)范圍內(nèi)進行正常的節(jié)目錄編操作。而不會因為誤操作或非法操作影響數(shù)據(jù)庫的安全。

(3)維護日志管理和及時安裝補丁程序。自動化編播系統(tǒng)是構(gòu)建在網(wǎng)絡(luò)平臺上,因此,必須將網(wǎng)絡(luò)的維護日志管理作為重要內(nèi)容。我們認為,系統(tǒng)日志可以解決一下幾個方面的問題:

首先是有助于網(wǎng)絡(luò)維護經(jīng)驗的積累和總結(jié)。對管理維護者是一筆難得的經(jīng)驗財富,因為故障本身往往提示網(wǎng)絡(luò)上存在漏洞和危險,在解決的過程和方法中對其他的故障有很好的借鑒作用。

其次是有助于網(wǎng)絡(luò)管理人員的技術(shù)交流。自動化播出網(wǎng)工作的全天侯特征決定了網(wǎng)管人員只能在有限的時間周期內(nèi)分段完成維護,對事務(wù)的處理也具有鮮明的時段性特征,為保持網(wǎng)絡(luò)管理策略和水平的一致性,系統(tǒng)日志是有效地途徑。

和操作系統(tǒng)一樣,這些工作可以使我們及早發(fā)現(xiàn)和處理問題,增強數(shù)據(jù)庫的安全性。

3 訪問控制

自動化編播系統(tǒng)每天都要經(jīng)過不同使用者的訪問、操作,如管理員、編輯等。他們對整套自動化編播系統(tǒng)的使用要求各不相同,賦予不同使用者相應(yīng)的對自動化編播系統(tǒng)訪問、控制權(quán)力。

(1)強化管理。盡量避免編播人員對自動化編播系統(tǒng)誤操作帶來的數(shù)據(jù)、系統(tǒng)的錯誤或破壞,從而使自動化編播系統(tǒng)更加穩(wěn)固。

(2)合理劃分職責(zé)。用戶只有其所應(yīng)具有權(quán)限,避免越權(quán)行為。出現(xiàn)問題時,可以者權(quán)分明。

(3)防止權(quán)限濫用和密碼丟失,及時變更或重新賦名。

4 網(wǎng)絡(luò)入侵檢測

入侵檢測是對入侵行為進行監(jiān)控,通過對網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或被攻擊的跡象。利用實時入侵檢測,可以對特定網(wǎng)段、主機和服務(wù)器建立攻擊監(jiān)控體系,有效阻止入侵和攻擊,避免了入侵和攻擊造成自動化編播系統(tǒng)的癱瘓和停播。

5 合理的網(wǎng)絡(luò)結(jié)構(gòu)

設(shè)備的選擇,應(yīng)遵循被廣泛使用?？煽啃愿?、質(zhì)量好、關(guān)鍵部位采用冗余設(shè)計,杜絕單點故障所造成的網(wǎng)絡(luò)癱瘓,軟件有良好的糾錯、容錯能力。與外界物理隔絕的內(nèi)部局域網(wǎng)。對局域網(wǎng)結(jié)構(gòu)進行優(yōu)化:

(1)劃分VLAN。考慮到不同部門對自己節(jié)目的安全性和私密性要求,同時為了便于不同部門之間的協(xié)調(diào)和指令,給每個部門劃分一個VLAN。同時,為了提高資源的利用率,把共享資源劃為一個公共VLAN。節(jié)目部門之間的VLAN 不能相互訪問,節(jié)目部門的VLAN 都可以訪問公共VLAN。這樣各節(jié)目部門可以放心地在屬于自己的編播環(huán)境中進行節(jié)目的剪輯、存放、發(fā)播等操作。當(dāng)然VLAN 的劃分還可以隔離、縮小網(wǎng)絡(luò)的風(fēng)險幾率,提高網(wǎng)絡(luò)的整體性能和安全。

(2)IP地址綁定。IP地址是計算機終端在網(wǎng)絡(luò)中的身份證明。劃分VLAN 后,給節(jié)目不同部門的計算機終端指定IP。為防止非法計算機的闖入,要指定的IP 地址與計算機終端的MAC 地址,以及與交換機的MAC地址綁定。這樣可以清楚地了解到整套自動化編播系統(tǒng)中的計算機終端是否是合法計算機。IPV6出現(xiàn)后,對于這個問題的解決會更容易,監(jiān)測也更方便,帶的系統(tǒng)可以更大。

(3)使用網(wǎng)管工具。隨著發(fā)展,網(wǎng)絡(luò)中的設(shè)備也在不斷地增加,管理難度、故障排查的難度也相應(yīng)地增加。使用網(wǎng)管軟件,可以清楚地、直觀地了解現(xiàn)在網(wǎng)絡(luò)中運行的設(shè)備,IP地址、端口、故障點等信息,及大地方便了網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)的維護工作。

6 密碼保護

合理地設(shè)置密碼可以有效地防范來自外界的破壞,系統(tǒng)管理員、網(wǎng)絡(luò)管理員的重要密碼要采取專人負責(zé)措施,不可將它們告訴別人。定義密碼時,盡可能采取長字段、多字符的措施。同時,密碼要定期更換,避免一個密碼使用時間過長。

7 應(yīng)急響應(yīng)和數(shù)據(jù)備份

自動化編播系統(tǒng)在運行過程中可能會出現(xiàn)各種情況,如系統(tǒng)故障、自然災(zāi)害,人為破壞等等。為了保障安全播出,應(yīng)建立數(shù)據(jù)備份和應(yīng)急播出系統(tǒng)。通過這套數(shù)據(jù)備份和應(yīng)急播出系統(tǒng),可以最大限度地保障系統(tǒng)和數(shù)據(jù)的連續(xù)性和可靠性。

數(shù)據(jù)備份不僅可以在自動化編播系統(tǒng)出現(xiàn)不可逆轉(zhuǎn)的情況下,及時恢復(fù)編播數(shù)據(jù)信息,避免出現(xiàn)重大事故,同時也可以將播出節(jié)目作為歷史資料保存。

在自動化編播系統(tǒng)安全維護實踐中我們發(fā)現(xiàn)系統(tǒng)的異常和故障具有這樣的特點,那就是往往以小規(guī)模、低危害的形式發(fā)生。如果不能從系統(tǒng)異常的蛛絲馬跡中敏銳地發(fā)現(xiàn)潛在的危險,或者在處理系統(tǒng)網(wǎng)絡(luò)異常的過程中沒有集中足夠的注意力,甚至對處理手段可能引起的后果缺乏必要的預(yù)見性,那么小異常往往會演變成大故障,造成重大播出事故。

制訂有效地安全和維護方案及定期演練,才能保證系統(tǒng)發(fā)生故障時維護人員可以做到處驚不變,心中有數(shù)。同時,系統(tǒng)的軟硬件配置環(huán)境也會隨著不斷發(fā)展和應(yīng)用深入而改變。作為安全維護管理人員也需要定期驗證安全和維護方案的可行性。一方面可以加深維護人員對系統(tǒng)故障處理的理解和認識,另一方面也可以根據(jù)實際環(huán)境的變化對系統(tǒng)安全維護方案予以必要的補充和完善。