設計媒資系統(tǒng)網絡安全架構

■ 山東 馬帥

編者按： 傳統(tǒng)企業(yè)的網絡安全防護一般并不十分到位，隨著等保2.0的正式出臺，傳統(tǒng)企業(yè)IT系統(tǒng)安全建設必須隨之重視起來。本文作為媒體行業(yè)企業(yè)，信息系統(tǒng)安全建設也必須予以高度重視。

筆者單位的廣播電視臺媒資管理系統(tǒng)于2014年中試運行、年底正式上線運行，自運行以來網絡安全情況穩(wěn)定得益于設計之初便將安全問題列為首位。

媒資系統(tǒng)作為播前媒資銜接了全臺制作網和播出端，這樣所有文件化播出的節(jié)目和廣告則必須通過媒資系統(tǒng)到達播控，由此可見其重要性，自然其安全穩(wěn)定問題顯得尤為重要，媒資系統(tǒng)以行業(yè)相關規(guī)定以及網絡安全等級保護管理辦法為指導辦法進行設計。

單位媒資系統(tǒng)除了要完成文件化送播業(yè)務外，還要完成視音頻素材的入庫存儲、磁帶的采集和數字化，收錄業(yè)務，播出節(jié)目的播前整備、廣告磁帶的數字化及播前整備、播出節(jié)目單預編排和審核業(yè)務，以下僅就媒資系統(tǒng)的網絡安全方面為主進行分析。

媒資系統(tǒng)目前主要由單位媒資運維科進行日常管理維護，自上線以來部門成立了網絡安全小組，對日常的網絡安全進行檢查，日常綜合性安全網關的升級、病毒庫的更新、系統(tǒng)的加固等等工作。像2018年較為活躍的勒索病毒爆發(fā)后，部門及時對操作系統(tǒng)進行了加固，封閉了高危端口，升級了系統(tǒng)補丁。

網絡情況概述

媒資系統(tǒng)網絡采用星型結構，以兩臺核心交換機為中心，分別連接媒資子系統(tǒng)、收錄子系統(tǒng)、備播子系統(tǒng)、播出單預編排子系統(tǒng)、安全管理系統(tǒng)以及DMZ區(qū)。與播出系統(tǒng)邊界使用防火墻、UTM和網閘安全設備，對雙向訪問進行策略控制。與制作系統(tǒng)的邊界，使用迪普深度綜合安全網關設備進行防御，包含了防病毒、防火墻、IPS模塊，進行安全策略配置，保障系統(tǒng)安全。系統(tǒng)分為內部業(yè)務區(qū)域和高安全區(qū)域（DMZ）。安全管理中心配置了安恒日志審計平臺，負責搜集操作系統(tǒng)、網絡設備、應用軟件日志，并對其進行分析。交換機和安全設備使用虛擬化方式冗余，服務器設備使用集群方式或熱備方式進行冗余。

設計要點分析

1.基礎網絡安全

網絡始終是服務于業(yè)務，必須要滿足能夠安全穩(wěn)定的進行業(yè)務流程的需求，媒資系統(tǒng)在正式上線前應對業(yè)務流量滿載壓力測試，網絡帶寬可滿足業(yè)務高峰期需求。

媒資系統(tǒng)的高安全區(qū)交換機、核心交換機、綜合性安全網關均使用虛擬化技術主備同時運行避免出現單點故障。根據媒資系統(tǒng)功能、業(yè)務流程、網絡結構層次、業(yè)務服務對象等劃分網絡安全域，安全域內根據業(yè)務類型劃分不同的網段，便于日后的管理維護。對交換機和安全設備的安全設備管理員登錄地址均進行了ACL限定，僅允許媒資運維值班室中的管理機進行登錄操作。

2.邊界安全

任何一個信息系統(tǒng)要想保證安全，必須明確邊界在哪，如何保證好邊界安全是做好網絡安全工作的重中之重。

媒資系統(tǒng)網絡向上承接全臺各個制作網，向下銜接播控系統(tǒng)，這倆個進出口則為媒資系統(tǒng)的邊界。在與制作系統(tǒng)邊界處設置了深度綜合安全網關，其涵蓋了IPS、病毒庫，以及防火墻，雙板卡分別對進出會話進行訪問控制，所有來自于外部制作網的流量均要通過綜合性安全網關，由媒資到播控系統(tǒng)的流量則要經過UTM、網閘、防火墻。

3.終端系統(tǒng)安全

由制作網提交至媒資的素材或節(jié)目入庫后需要媒資內容工作人員進行質量審核以及編目工作，媒資終端工作站采用域賬戶和動態(tài)口令登錄操作系統(tǒng)。每個動態(tài)口令設備均有唯一的序列號，因此規(guī)避了多人使用同一用戶名的安全風險。在域控服務器中啟用了賬戶口令復雜度要求，為大小寫字母和數字的組合，口令最長期限為180天，最短密碼長度為8位，用戶名和口令不相同。每臺終端均安裝正版殺毒軟件，由媒資運維同事負責定時更新病毒庫并禁用了USB口和光驅。

4.服務端系統(tǒng)安全

媒資系統(tǒng)內所有應用服務器及數據庫均為主備或集群模式，不存在任何單點故障，使用域賬戶統(tǒng)一管理，并部署具有統(tǒng)一管理功能的防惡意代碼軟件。采用主機加固軟件通過主機安全環(huán)境系統(tǒng)設置了白名單，控制了服務器的客體（文件夾目錄資源）和主體（業(yè)務應用進程），只有指定的業(yè)務進程才能夠訪問對應的文件夾目錄。對“.exe”、“.msi”、“.sys”、“.reg”等12類客體文件僅賦予只讀權限，對于本地的USB注冊表和光驅驅動設置為禁止訪問，關閉了不必要的服務和端口，能對影響到應用程序的操作系統(tǒng)重要程序的完整性進行檢測，在檢測到完整性受到破壞后手動恢復。

5.應用安全

使用主機加固軟件部署應用安全保護域，只有指定用戶才可訪問應用軟件進行操作。在域中啟用了訪問控制功能，為不同崗位分配了不同角色，限制了用戶可使用的業(yè)務功能，刪除了臨時賬戶和測試賬戶，使用網管系統(tǒng)對網絡鏈路狀態(tài)和核心交換機、匯聚交換機、接入交換機的設備狀態(tài)、端口狀態(tài)、IP地址、網絡流量等信息進行監(jiān)控。部署FTP監(jiān)控，當FTP應用斷開時可及時報警。

6.數據安全

媒資存儲采用RAID5+主備鏡像模式，保證了數據的安全，數據庫采用集群+第三備模式，每日定時備份數據庫文件，確保數據庫安全。

7.安全管理中心

部署了日志審計服務器可采集各應用服務器日志數據并上報日志審計管理中心，對監(jiān)控的異常情況進行報警，并對審計記錄進行統(tǒng)計、查詢、分析及生成審計報表。對已集中管理的設備審計日志進行保存，并手動歸檔。部署流程監(jiān)管系統(tǒng)，對由制作網到達播控系統(tǒng)的業(yè)務流程進行全程監(jiān)控。

8.系統(tǒng)運維管理體系

制定了相關安全管理規(guī)定及廣播電視臺人員上崗規(guī)定，規(guī)范人員上崗，明確人員審查和考核等內容，成立網絡安全小組并簽訂了保密協議。制定了單位外部人員安全管理辦法規(guī)定，對外部人員允許訪問的區(qū)域、系統(tǒng)、設備、信息等內容進行規(guī)定。建立了各機房的安全管理制度，規(guī)范機房物理訪問、機房環(huán)境安全、工作人員行為等。

總結

安全大于天，安全問題是首要問題，使用各種安全手段讓系統(tǒng)平穩(wěn)健壯的運行是每一名系統(tǒng)運維人員的使命。目前單位媒資系統(tǒng)已通過廣電總局的三級信息系統(tǒng)安全等級保護測評，身為一名技術人員務必要保證好系統(tǒng)網絡安全以及數據的安全。隨著全國廣播電視行業(yè)高清化的進程，帶寬、計算資源以及存儲容量的要求越來要越高，這需要我們積極學習前沿技術，掌握各種新型設備的發(fā)展趨勢，未雨綢繆才能為新的業(yè)務形態(tài)做好技術支撐。