導(dǎo)語：數(shù)字電視播出系統(tǒng)安全設(shè)計(jì)研究一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：數(shù)字電視播出系統(tǒng)是中國(guó)廣電江西網(wǎng)絡(luò)有限公司重要的信息系統(tǒng)，成功獲得國(guó)家信息系統(tǒng)安全保護(hù)三級(jí)認(rèn)證。本文主要介紹數(shù)字電視播出系統(tǒng)的安全設(shè)計(jì)與實(shí)現(xiàn)。

關(guān)鍵詞：數(shù)字電視；播出系統(tǒng)；三級(jí)等保

1數(shù)字電視播出系統(tǒng)的介紹

中國(guó)廣電江西網(wǎng)絡(luò)有限公司搭建的數(shù)字電視播出系統(tǒng)是利用現(xiàn)代計(jì)算機(jī)技術(shù)、音視頻編解碼技術(shù)、高速硬盤存儲(chǔ)技術(shù)，在視音頻節(jié)目采集、編排、節(jié)目播出以及網(wǎng)絡(luò)資源共享及視頻存儲(chǔ)等方面建立播出高速網(wǎng)絡(luò)，從而形成節(jié)目采集、編排到播出、傳輸、覆蓋等各環(huán)節(jié)都合適的高標(biāo)清電視同播系統(tǒng)。系統(tǒng)提供20萬余小時(shí)的高清、超高清視頻內(nèi)容，7天內(nèi)直播節(jié)目隨意看，整合互聯(lián)網(wǎng)視頻、央視、華數(shù)、格靈教育、歡樂歌坊等各類合作伙伴，為全省950萬家庭提供豐富多彩的有線電視節(jié)目。

2數(shù)字電視播出系統(tǒng)安全工作的緊迫性

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心2020年上半年統(tǒng)計(jì)數(shù)據(jù)顯示：捕獲計(jì)算機(jī)惡意程序樣本數(shù)量約1815萬個(gè)，日均傳播次數(shù)達(dá)483萬余次，涉及計(jì)算機(jī)惡意程序家族約1.1萬余個(gè)。我國(guó)境內(nèi)感染計(jì)算機(jī)惡意程序的主機(jī)數(shù)量約304萬臺(tái)，同比增長(zhǎng)25.7%。國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄通用型安全漏洞11073個(gè)，同比大幅增長(zhǎng)89.0%。國(guó)家高度重視信息安全工作。隨著業(yè)務(wù)發(fā)展，技術(shù)迭代更新，各項(xiàng)安全法規(guī)也在不斷完善，國(guó)家先后頒布了多部法律法規(guī)包括《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》和《中華人民共和國(guó)個(gè)人信息保護(hù)法》。國(guó)家廣播電視總局也印發(fā)了《廣播電視安全播出管理規(guī)定》，要求安全播出責(zé)任單位在播出、傳輸、覆蓋及相關(guān)活動(dòng)中，遵守有關(guān)安全生產(chǎn)的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)；安全播出責(zé)任單位應(yīng)當(dāng)遵守有關(guān)信息安全的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，對(duì)涉及安全播出的信息系統(tǒng)開展風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)工作。網(wǎng)絡(luò)信息安全是廣播電視信息化必然面臨的問題，網(wǎng)絡(luò)信息安全不容忽視。

3數(shù)字電視播出系統(tǒng)的安全設(shè)計(jì)

中國(guó)廣電江西網(wǎng)絡(luò)有限公司數(shù)字電視播出系統(tǒng)從2009年開始搭建，經(jīng)過多年建設(shè)，承載著CA系統(tǒng)、EPG系統(tǒng)、股票系統(tǒng)等多個(gè)應(yīng)用子系統(tǒng)，實(shí)現(xiàn)了廣播電視節(jié)目的生產(chǎn)、播出、存儲(chǔ)全程文件化和播出自動(dòng)化，相關(guān)業(yè)務(wù)系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性越來越強(qiáng)，各業(yè)務(wù)系統(tǒng)互聯(lián)互通和數(shù)據(jù)交互需求越來越迫切，數(shù)字電視播出系統(tǒng)網(wǎng)絡(luò)環(huán)境正從完全基于內(nèi)網(wǎng)封閉環(huán)境向互聯(lián)網(wǎng)、廣域網(wǎng)的混合網(wǎng)絡(luò)環(huán)境轉(zhuǎn)變。業(yè)務(wù)雙向化和交互打破了廣播式數(shù)字電視系統(tǒng)與外界物理隔離的特性，帶來終端用戶行為的未知和不可控。隨著系統(tǒng)內(nèi)部相關(guān)子系統(tǒng)的增加、網(wǎng)絡(luò)的開放性、應(yīng)用的多樣性，以及終端復(fù)雜性、接入多樣性和網(wǎng)絡(luò)安全新威脅的滋生，使數(shù)字電視播出系統(tǒng)系統(tǒng)面臨更加嚴(yán)峻的信息安全風(fēng)險(xiǎn)，對(duì)整個(gè)系統(tǒng)的穩(wěn)定性、安全性、管理及應(yīng)用的合理性、信息安全防護(hù)技術(shù)等提出了更高的要求。原有系統(tǒng)暴露出很多不足，需要對(duì)系統(tǒng)的安全進(jìn)行優(yōu)化和調(diào)整，網(wǎng)絡(luò)信息安全成為運(yùn)維重要的部分。整改前網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

3.1系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)思路

通過對(duì)數(shù)字電視播出系統(tǒng)業(yè)務(wù)需求分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，結(jié)合OSI七層協(xié)議和等保2.0的技術(shù)要求，制定了合理的安全策略來確保整個(gè)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性?？捎眯员ＷC授權(quán)實(shí)體可以有權(quán)限訪問數(shù)據(jù)。機(jī)密性保證數(shù)據(jù)不會(huì)被未授權(quán)的實(shí)體訪問。完整性保證數(shù)據(jù)不被隨意修改?？蓪彶樾员ＷC對(duì)出現(xiàn)的安全問題提供參考依據(jù)和手段?？煽匦允菍?nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離，對(duì)與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制；同時(shí)在內(nèi)部網(wǎng)絡(luò)給不同業(yè)務(wù)提供不同的安全級(jí)別，將不同的網(wǎng)段進(jìn)行隔離，實(shí)現(xiàn)相互訪問的控制。

3.2安全設(shè)計(jì)方案

整改后網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。我們根據(jù)系統(tǒng)的整體安全要求，收集了相關(guān)業(yè)務(wù)的信息，評(píng)估了系統(tǒng)的安全性需要，采用了分層防御的方法，在不影響業(yè)務(wù)運(yùn)行的前提下，將安全策略、硬件及軟件結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，來實(shí)現(xiàn)系統(tǒng)安全架構(gòu)，以期對(duì)系統(tǒng)進(jìn)行全面的安全管理。在系統(tǒng)安全整體配置上，對(duì)傳輸級(jí)別的安全性、網(wǎng)絡(luò)級(jí)別的安全性、系統(tǒng)級(jí)別的安全性、應(yīng)用程序級(jí)別的安全性、數(shù)據(jù)級(jí)別的安全性單獨(dú)進(jìn)行了安全策略的配置，同時(shí)各層安全策略相互產(chǎn)生影響，共同對(duì)系統(tǒng)提供綜合性的防護(hù)，從而讓系統(tǒng)的安全性得到保障。具體安全策略有如下幾個(gè)。（1）互聯(lián)網(wǎng)安全區(qū)策略互聯(lián)網(wǎng)安全區(qū)網(wǎng)絡(luò)拓?fù)鋱D如圖3所示。任何人員進(jìn)入數(shù)字電視播出系統(tǒng)進(jìn)行維護(hù)，必須經(jīng)過互聯(lián)網(wǎng)安全區(qū)防火墻安全連接，經(jīng)過互聯(lián)網(wǎng)安全區(qū)的IPS的流量過濾；安全連接后的終端運(yùn)維操作必須經(jīng)過堡壘機(jī)進(jìn)行安全審計(jì)。（2）EPG安全區(qū)策略EPG安全區(qū)網(wǎng)絡(luò)拓?fù)鋱D如圖4所示。EPG終端和服務(wù)端通信必須經(jīng)過EPG區(qū)防火墻進(jìn)行安全隔離，EPG終端和服務(wù)端通信僅開放需要使用的業(yè)務(wù)端口。EPG終端和服務(wù)端通信，保持終端的病毒防護(hù)能力與系統(tǒng)防護(hù)能力。沒有安裝補(bǔ)丁的客戶端的EPG區(qū)域的PC終端無法訪問網(wǎng)絡(luò)。（3）網(wǎng)絡(luò)管理區(qū)安全策略系統(tǒng)中部署IDS對(duì)所有區(qū)域的數(shù)據(jù)流進(jìn)行入侵攻擊檢測(cè)，部署日志服務(wù)器對(duì)設(shè)備日志進(jìn)行收集；僅對(duì)安全管理維護(hù)終端開放安全設(shè)備管理權(quán)限，維護(hù)用戶登錄網(wǎng)絡(luò)，設(shè)備、主機(jī)系統(tǒng)需要通過堡壘機(jī)才能開展必要的維護(hù)工作。

3.3設(shè)備配置

（1）互聯(lián)網(wǎng)防火墻配置在互聯(lián)網(wǎng)安全區(qū)里建立了管理區(qū)到互聯(lián)網(wǎng)的物理通道，防火墻啟用了IPS-AV功能，啟用了安全策略，只允許管理區(qū)終端可以訪問互聯(lián)網(wǎng)，目的是讓互聯(lián)網(wǎng)進(jìn)入系統(tǒng)內(nèi)部的流量只能先訪問管理區(qū)里的堡壘機(jī)，通過堡壘機(jī)的跳板功能再訪問內(nèi)部系統(tǒng)和網(wǎng)絡(luò)，同時(shí)對(duì)所有的操作行為在堡壘機(jī)上保留記錄，系統(tǒng)和網(wǎng)絡(luò)的相關(guān)日志會(huì)傳送到日志服務(wù)器上，確保互聯(lián)網(wǎng)到內(nèi)部的通信的安全性。（2）EPG防火墻配置在EPG安全區(qū)的EPG客戶端與EPG服務(wù)端之間的防火墻上啟用了安全策略，分別建立了EPG客戶端地址組和EPG服務(wù)器地址組；同時(shí)建立了兩者之間通信的EPG-Server服務(wù)組，在防火墻上只開通了EPG客戶端到EPG服務(wù)器之間的通信服務(wù)。通過以上配置確保只能是指定的EPG客戶端和指定的EPG服務(wù)器通過應(yīng)用端口限制進(jìn)行最小的通信。（3）核心交換機(jī)配置在交換機(jī)上啟用了本地認(rèn)證，開啟了SSH登錄，并且設(shè)置了訪問列表只允許指定的網(wǎng)段才能登錄交換機(jī)，以確保只能由指定的帳號(hào)通過指定的IP登錄配置核心交換機(jī)。

4數(shù)字電視播出系統(tǒng)安全的意義

中國(guó)廣電江西網(wǎng)絡(luò)有限公司搭建的數(shù)字播出系統(tǒng)嚴(yán)格按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的要求，在2018年經(jīng)過定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查，于2018年10月30日取得了數(shù)字電視播出系統(tǒng)等保三級(jí)備案證。中國(guó)廣電江西網(wǎng)絡(luò)有限公司將繼續(xù)全面貫徹“強(qiáng)化網(wǎng)絡(luò)信息安全和文化安全監(jiān)管”的有關(guān)要求，不斷加強(qiáng)安全技術(shù)裝備和人力資源投入，優(yōu)化并完善組織體制建設(shè)，補(bǔ)充并修訂了相關(guān)安全保障工作制度、工作措施和應(yīng)急預(yù)案，建立并完善了安全風(fēng)險(xiǎn)評(píng)估和隱患排查整改機(jī)制，確保數(shù)字電視播出系統(tǒng)的安全、穩(wěn)定、高效運(yùn)行。

作者：楊曉東 洪曉東 薛飛 單位：中國(guó)廣電江西網(wǎng)絡(luò)有限公司