摘要:数字电视播出系统是中国广电江西网络有限公司重要的信息系统,成功获得国家信息系统安全保护三级认证。本文主要介绍数字电视播出系统的安全设计与实现。
关键词:数字电视;播出系统;三级等保
1数字电视播出系统的介绍
中国广电江西网络有限公司搭建的数字电视播出系统是利用现代计算机技术、音视频编解码技术、高速硬盘存储技术,在视音频节目采集、编排、节目播出以及网络资源共享及视频存储等方面建立播出高速网络,从而形成节目采集、编排到播出、传输、覆盖等各环节都合适的高标清电视同播系统。系统提供20万余小时的高清、超高清视频内容,7天内直播节目随意看,整合互联网视频、央视、华数、格灵教育、欢乐歌坊等各类合作伙伴,为全省950万家庭提供丰富多彩的有线电视节目。
2数字电视播出系统安全工作的紧迫性
国家互联网应急中心2020年上半年统计数据显示:捕获计算机恶意程序样本数量约1815万个,日均传播次数达483万余次,涉及计算机恶意程序家族约1.1万余个。我国境内感染计算机恶意程序的主机数量约304万台,同比增长25.7%。国家信息安全漏洞共享平台(CNVD)收录通用型安全漏洞11073个,同比大幅增长89.0%。国家高度重视信息安全工作。随着业务发展,技术迭代更新,各项安全法规也在不断完善,国家先后颁布了多部法律法规包括《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》。国家广播电视总局也印发了《广播电视安全播出管理规定》,要求安全播出责任单位在播出、传输、覆盖及相关活动中,遵守有关安全生产的法律、法规和技术标准;安全播出责任单位应当遵守有关信息安全的法律、法规和技术标准,对涉及安全播出的信息系统开展风险评估和等级保护工作。网络信息安全是广播电视信息化必然面临的问题,网络信息安全不容忽视。
3数字电视播出系统的安全设计
中国广电江西网络有限公司数字电视播出系统从2009年开始搭建,经过多年建设,承载着CA系统、EPG系统、股票系统等多个应用子系统,实现了广播电视节目的生产、播出、存储全程文件化和播出自动化,相关业务系统对网络的依赖性越来越强,各业务系统互联互通和数据交互需求越来越迫切,数字电视播出系统网络环境正从完全基于内网封闭环境向互联网、广域网的混合网络环境转变。业务双向化和交互打破了广播式数字电视系统与外界物理隔离的特性,带来终端用户行为的未知和不可控。随着系统内部相关子系统的增加、网络的开放性、应用的多样性,以及终端复杂性、接入多样性和网络安全新威胁的滋生,使数字电视播出系统系统面临更加严峻的信息安全风险,对整个系统的稳定性、安全性、管理及应用的合理性、信息安全防护技术等提出了更高的要求。原有系统暴露出很多不足,需要对系统的安全进行优化和调整,网络信息安全成为运维重要的部分。整改前网络拓扑图如图1所示。
3.1系统网络安全设计思路
通过对数字电视播出系统业务需求分析网络安全风险,结合OSI七层协议和等保2.0的技术要求,制定了合理的安全策略来确保整个系统的机密性、完整性、可用性、可控性与可审查性。可用性保证授权实体可以有权限访问数据。机密性保证数据不会被未授权的实体访问。完整性保证数据不被随意修改。可审查性保证对出现的安全问题提供参考依据和手段。可控性是将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机所交换的数据进行严格的访问控制;同时在内部网络给不同业务提供不同的安全级别,将不同的网段进行隔离,实现相互访问的控制。
3.2安全设计方案
整改后网络拓扑图如图2所示。我们根据系统的整体安全要求,收集了相关业务的信息,评估了系统的安全性需要,采用了分层防御的方法,在不影响业务运行的前提下,将安全策略、硬件及软件结合起来,构成一个统一的防御系统,来实现系统安全架构,以期对系统进行全面的安全管理。在系统安全整体配置上,对传输级别的安全性、网络级别的安全性、系统级别的安全性、应用程序级别的安全性、数据级别的安全性单独进行了安全策略的配置,同时各层安全策略相互产生影响,共同对系统提供综合性的防护,从而让系统的安全性得到保障。具体安全策略有如下几个。(1)互联网安全区策略互联网安全区网络拓扑图如图3所示。任何人员进入数字电视播出系统进行维护,必须经过互联网安全区防火墙安全连接,经过互联网安全区的IPS的流量过滤;安全连接后的终端运维操作必须经过堡垒机进行安全审计。(2)EPG安全区策略EPG安全区网络拓扑图如图4所示。EPG终端和服务端通信必须经过EPG区防火墙进行安全隔离,EPG终端和服务端通信仅开放需要使用的业务端口。EPG终端和服务端通信,保持终端的病毒防护能力与系统防护能力。没有安装补丁的客户端的EPG区域的PC终端无法访问网络。(3)网络管理区安全策略系统中部署IDS对所有区域的数据流进行入侵攻击检测,部署日志服务器对设备日志进行收集;仅对安全管理维护终端开放安全设备管理权限,维护用户登录网络,设备、主机系统需要通过堡垒机才能开展必要的维护工作。
3.3设备配置
(1)互联网防火墙配置在互联网安全区里建立了管理区到互联网的物理通道,防火墙启用了IPS-AV功能,启用了安全策略,只允许管理区终端可以访问互联网,目的是让互联网进入系统内部的流量只能先访问管理区里的堡垒机,通过堡垒机的跳板功能再访问内部系统和网络,同时对所有的操作行为在堡垒机上保留记录,系统和网络的相关日志会传送到日志服务器上,确保互联网到内部的通信的安全性。(2)EPG防火墙配置在EPG安全区的EPG客户端与EPG服务端之间的防火墙上启用了安全策略,分别建立了EPG客户端地址组和EPG服务器地址组;同时建立了两者之间通信的EPG-Server服务组,在防火墙上只开通了EPG客户端到EPG服务器之间的通信服务。通过以上配置确保只能是指定的EPG客户端和指定的EPG服务器通过应用端口限制进行最小的通信。(3)核心交换机配置在交换机上启用了本地认证,开启了SSH登录,并且设置了访问列表只允许指定的网段才能登录交换机,以确保只能由指定的帐号通过指定的IP登录配置核心交换机。
4数字电视播出系统安全的意义
中国广电江西网络有限公司搭建的数字播出系统严格按照《中华人民共和国网络安全法》的要求,在2018年经过定级、备案、建设整改、等级测评、监督检查,于2018年10月30日取得了数字电视播出系统等保三级备案证。中国广电江西网络有限公司将继续全面贯彻“强化网络信息安全和文化安全监管”的有关要求,不断加强安全技术装备和人力资源投入,优化并完善组织体制建设,补充并修订了相关安全保障工作制度、工作措施和应急预案,建立并完善了安全风险评估和隐患排查整改机制,确保数字电视播出系统的安全、稳定、高效运行。
作者:杨晓东 洪晓东 薛飞 单位:中国广电江西网络有限公司