彭 竞

四川网络广播电视台（以下简称“我台”）含IPTV四川播控平台、四川手机电视平台、直播信源发布系统、点播文件系统、网站系统、监播系统、邮件系统、视频生产系统、视频发布系统、EPG系统等多个系统。四川广播电视台在网络广播电视台在建设的过程中，对安全问题非常重视，本文从总体原则、总体设计和具体部署等方面对四川广播电视台网络广播电视台建设中的相关体会进行简单介绍。

安全播出是广电行业的生命线。四川广播电视台自2007年成立台安全播出指挥部以来，坚持对安全播出工作常抓不懈。一方面从硬件设施方面着手，严格按照《安全播出管理实施细则》（总局令第62号）的要求，确保播出传输链路全面实现主备双路热备份、外电双路专线供电、与外网隔离等，另一方面从人员管理持续发力，定期进行安全播出检查，每月进行安全播出评审考核，不断完善规章制度，提升管理能力。经过不断完善，四川广播电视台近10年均圆满完成安全播出工作任务。

但随着新媒体业务的开展，其开放快捷、远程访问、快捷接入、快速搭建等需求，与原有安全播出管理中尽量封闭、多重隔离等要求产生冲突。如何在确保安全播出的前提下，完成新媒体网络建设，是媒体人近期不断摸索的课题，本文就建设中的相关问题进行探讨。

1 网络设计总体原则

网络设计中的总体原则是安全，在此基础上，主要按照如下四个原则进行建设。

1.1 同步建设原则

不符合安全播出要求的系统绝不能投入使用，始终确保系统与安全保障系统同步建设、同步投入使用；也避免建设后期再因为安全问题修改业务流程而造成建设工期延误、增大成本。

1.2 符合标准原则

互联网行业、广电行业都对网络安全、播出安全提出了相关标准，等级保护是我国对于网络信息系统安全的基本要求。我台网络广播电视台在建设过程中，严格按照有关标准，对系统进行定级和上报，对播出、制作、媒资、交互等业务重点模块进行重点安全保障。

1.3 动态调整原则

安全建设不是一劳永逸的。随着攻击方式的改变，不仅防御措施要及时更新，安全策略也应随着新业务系统的建成、新技术的出现而不断调整。

1.4 技管互动原则

安全技术措施只是安全保障的工具与基础，安全保障是人与人的对抗，是入侵者与防护者智慧的较量，安全防护的具体实施效果最终还是依赖于安全人员的具体操作。纵观近8年来国家新闻出版广电总局通报的重大事故及四川广播电视台自身发生的事故，基本都存在人为操作失误、处置不力等因素。因此，建立一只强有力并可随时到位的安全技术维护团队，是网络广播电视台安全保障落实到位的根本。

2 总体设计

2.1 业务需求

不同于传统媒体单向的采、编、播模式，网络广播电视台更加注重新媒体的时效性、互动性及用户体验；首先，编辑人员可通过各种方式在线编辑，并可随时在手机、互联网等多种媒体上发布。其次，要确保多种新媒体之间，甚至新媒体与传统媒体均可以充分互动与互联。最后，还要建立与用户之间的各种互动模式，让用户既是媒体的使用者，又是媒资的贡献者、参与者。所以，从业务需求角度，网络与安全结构的设计要实现如下的业务模式。

第一，播控业务只允许该播控区域的终端进行管理和控制。

第二，除播控业务控制终端外，其他区域的终端均可访问互联网。

第三，内容生产业务、门户网站业务、办公业务的访问，可以是网络广播电视台各个区域的终端，也可以是通过VPN通道进行访问的移动终端。

第四，可控的终端（固定终端与移动终端）通过采用动态口令卡、密码双因子认证可登录内容编辑、门户网站、办公等业务系统；非可控终端（笔记本、手机、平板电脑等）可通过VPN进行接入，上载指定格式的媒资素材，但不可访问业务系统。

2.2 网络与安全设计思路

2.2.1 基于等级保护的安全体系架构

网络广播电视台的安全保障从三个角度考虑。

等级保护要求：从物理安全、网络安全、主机安全、业务安全、数据安全五大技术角度，与管理安全综合进行考虑，进行全方位的安全保障。

IATF框架：从安全基础设施、人员组织与职责、安全管理流程与规范三方面，将安全贯穿于技术支持的维护工作中，在动态的攻防事件中，提高网络广播电视台的安全防御能力。

花瓶模型：安全基础设施的建设参照“花瓶模型”的防护、监控、信任三条线建设，随着网络广播电视台的业务发展，按照需求逐步增强安全防御与掌控的能力，既要避免安全的“不足建设”，又要避免“过度建设”。

2.2.2 安全技术措施的建设

安全技术措施的建设根据安全防护的思路发展而来，分为边界防护、动态监控、对内部人员的信任体系三道安全措施。

边界防护：把入侵者防护在边界外。这个边界的范围既是网络的对外边界，也可以是网络内部不同安全区域之间的边界，或是不同业务与资源的管理边界。在边界上部署合适的安全措施，实现设计的安全策略是安全防护的第一道大门。

动态监控：对于入侵者来说，边界是初级的防护。入侵者伪装成“合法”用户，很可以骗过边界的防护进入到网络内部，这时就需要严密的监控系统，一旦发现异常，能及时控制，或将其限制在一定的小区域范围，减小自己的所受的影响，确保其无法窃取重要信息，确保其不影响其他用户、其他业务的正常运行。

信任体系：可进入网络业务的用户都是“合法”用户，但他们可能是入侵者，即使是内部人员，也可能进行一些不符合要求的业务行为。这时就需要用户信任体系，根据用户的身份、权限、行为记录去分析，发现违规立即终止其行为，并进行其行为记录。

以上三道安全措施是相互补充和配合的。从目前情况来看，在我台网络安全管理中，每道措施可以不一定要很强，但缺一不可。目前，安全播出防范的形势是网络入侵力度逐渐增大，可在后续系统调整中，根据具体情况，逐步升级、加强三道措施的技术能力。

3 功能设计

3.1 功能需求

网络广播电视台从逻辑功能划分，具体可分为几个重点区域：内容生产服务区、新媒资管理区、上载分发区、门户网站区、安全交互区、播控区（IPTV播控、手机电视播控、网络电视播控）。其安全的重点部分包括以下几方面。

外边界：第一，是与传统媒资的边界，我台建立的融媒体系统中，传统媒体与新媒体相互交织，针对这一情况，既不能让对方安全问题影响本网络，更不能让本网络的安全扩散到对方。第二，与互联网的边界，重点是防护外来的入侵与病毒。针对现已发生的事故分析，尤其要杜绝远程维护等手段。

播控边界：播控环节在传统媒体中，就是安全核心环节，要求进行隔离控制。网络广播电视台包含多种播出形式，但隔离控制好播控环节，仍然是整个网络广播电视台的重中之重。

内容生产：是网络广播电视台工作的核心，由于媒资数量巨大，一旦感染病毒，将造成节目生产停止。因此对进入内部网络的连接都要进行严格的病毒过滤。同时，针对制作、审核过的节目要严格禁止未经许可和审核的再次篡改。

3.2 网络层设计

3.2.1 网络与安全架构设计

网络安全区域划分设计的要点。

区域隔离：上载分发区用来实现播控区域的隔离。播控区(门户网站、IPTV播控、手机电视播控、互联网电视播控)是网络广播电视台的最终输出控制区域，该区域的播出控制业务必须限定在本区域的终端，不允许其他区域的终端远程控制；本区域的终端可以访问内容生产区等一定的外部业务。

外部接入边界隔离，各区域核心安全监控。全网用户采用双因子身份认证，互联网用户通过VPN或专线访问，非双因子认证用户可访问非控制终端上载区。

具体建设情况如下。

第一，内容生产、新媒资、上载分发三个区属于日常工作区，相互间流量大，采用万兆骨干，其余区域采用千兆连接；第二，骨干联通区属于各功能区的联通区域，主要功能是链路联通通道；第三，所有接入层交换机支持802.1x协议，与身份鉴别与权限系统一起实现用户网络登录时的身份认证；第四，IPTV播控区域内有一个转录区，转录的媒资可直接存入内容生产存储，但为了安全考虑，部署一体化网关；第五，门户网站设有互动工作区，对网站上的评论、热议等信息可以直接抓取，作为资源存入内容生产区；第六，非控终端上载区设置在办公区内，针对不可控终端的上载信息，部署防病毒网关；第七，信息采集区设置在接入管理区，是通过爬虫从互联网上搜索的媒资，可存入内容生产存储。

3.2.2 存储架构设计

存储架构主要采用单独的存储网络设计，有如下优点。

服务器与存储设备直接连通，不经过中间的安全过滤与访问控制设备，实现高效率访问；用户访问数据时，服务器端不会形成单笔双倍流量瓶颈；增强系统架构的安全性，存储网络独立，入侵者无法直接攻击；存储网络上，数据流单一，不需要部署安全网关过滤；可采用IP网络与FC网络等多种方式，提前为适应将来高码流、大带宽业务需求做好布局；适合于存储集中管理，有利于数据的统一备份与容灾管理。

3.2.3 机房与物理位置设计

存储、服务器、网络与安全设备主要集中在中心机房。同时，另设立管理机房，作为IT运维人员的工作区。管理机房设一个夜间工作区，方便少数加班人员临时工作使用；设立应急指挥区，为重大事件协调指挥的领导工作区，配有全网络的安全动态展示、控制管理终端；为最大限度地确保安全播出，我们为播控系统（IPTV播控、门户网站等）建立了单独的管理机房，保障播控系统的管理终端有单独的工作区域。

3.2.4 门户网站的IDC机房结构设计

IDC机房是面对互联网的“一线重地”，重点是用户体验的流畅与Web应用防护。

IDC机房的本地存储主要采用了SAN与NAS存储结构；网站公共安全方面，我们部署了包括防火墙、抗DDOS攻击、入侵检测、行为审计、WAF、服务器加固等多重安全措施；用户体验在本地使用服务器实现负载均衡、单边Web加速，在全网范围采用运营商的CDN分发网络。

3.3 系统层安全设计

业务核心的网络架构是提升业务服务能力的关键，针对不同的存储设计方案提供了不同的数据中心结构设计，采用独立存储网络，专用负载均衡设备方案。

3.3.1 主机层安全设计

主机层面的安全涉及服务器与终端两方面，根据服务器承担的业务情况，选择安全措施，主要采取了如下措施。

第一，服务器。

主机安全加固：针对木马、入侵等重点安全加固，包括删除不需要的服务、关闭多余的服务员端口等。补丁管理：针对操作系统、数据库、安全监控系统的补丁自动升级管理。

主机状态监控：操作系统、数据库等基础系统的状态监控；网络流量监控；管理人员登录情况监控等。建立服务器用户身份认证与权限管理，建立与SOC平台完成主机日志审计。

第二，终端中高度重视系统与主要业务软件安全补丁管理。

第三，部署防病毒与木马监控系统与查杀系统。

第四，移动终端采用VPN系统访问。

第五，部署主机行为审计系统。

3.3.2 业务层安全设计

业务层面的安全涉及用户访问业务的身份、业务权限、可访问资源等，主要采用如下几类安全措施：身份认证与业务权限管理、用户访问体验、服务质量、业务服务状态（在线人数、并发人数、用户在线平均时间、存储空间等状态信息）、业务合规性审计（对用户业务的合规性进行审计）。

3.3.3 数据层安全设计

数据层面的安全涉及网络广播电视台所有业务系统、管理系统的数据库管理，主要采用了如下几类安全措施：重要业务系统数据的备份、数据异地备份、系统备份、系统容灾、数据库存储加密、数据库审计。

3.4 安全管理规划

充分、合理的利用各项安全技术措施，安全管理规划至关重要。安全管理规划包括几方面：安全组织架构与岗位职责、安全管理流程与制度、安全培训与演练。

3.4.1 安全组织架构

根据等级保护安全管理要求，对安全角色管理有明确的职责分工，我们主要建立如下安全组织。

安全播出领导小组：根据具体情况，安全领导小组包含2个层面。在全台层面，受台安全播出指挥部统一领导，负责制定信息安全总体方针，负责紧急安全事件发生后的资源调度与管理。在部门层面，由网络广播电视台主管领导直接管理，由行政、人事、业务、运维等多个部门的人员组成，负责日常信息安全管理工作。

信息安全主管领导：负责网络广播电视台的信息安全管理工作及紧急信息安全事件发生时的现场调度、指挥、决策工作，负责向网络广播电视台领导汇报信息安全状态，传达并负责执行有关的领导决策。信息安全主管领导负责系统管理部、网络管理部、安全管理部、建设部的日常管理工作。

系统管理部：针对每个业务系统（可以兼职）设立系统管理员、系统安全员，负责管理该系统的帐户管理、权限分配，以及系统的日常委会工作。如业务系统设立在其他业务部门的，可以由业务部门的人兼任。

网络管理部：负责网络广播电视台网络平台的管理与维护，负责业务支撑通道的畅通与安全；同时负责终端的维护与管理工作。

安全管理部：负责系统、业务、网络的安全策略制定与检查，也负责对新建设系统的安全策略检查。安全管理部设立安全审计员，负责对所有系统管理员、系统安全员的工作进行安全审计。

建设部：负责新系统的建设工作，负责提出网络、系统、业务各方面的需求，根据选择选择承建方，并依据需求验收。建设部设立安全设计人员，负责在系统设计时整理安全需求，并贯穿系统设计的全过程。

3.4.2 安全管理流程与制度

流程与制度是落实安全管理责任的保障，网络广播电视台在台安全播出指挥部的统一部署下，全面梳理和建立了相关管理流程和制度，与全台其他安全播出责任部门共同形成《四川广播电视台广电中心安全播出运行管理手册》。由于安全播出形势不断变化，该手册于2011年8月汇编成册后，先后根据国家广电总局《广播电视安全播出管理规定》（总局令第62号）及相关专业实施细则、《中共四川省委办公厅省政府办公厅关于印发〈四川省安全生产“党政同责”暂行规定〉的通知》（川委办〔2014〕40号）等相关要求，进行了2次全面修订。主要包括如下安全管理流程与制度：事件事故管理实施细则（全台）、上下游单位维护分界划分和故障处理配合方案（全台）、业务操作管理流程、配置变更管理流程、新系统建设管理流程、安全事件应急处理流程(应急预案，针对网络、各业务系统分别建立了应急预案)、安全维护与状态监控管理制度、安全检查制度、安全培训制度、安全演练制度。

4 存在的问题

目前，四川广播电视台在IPTV等业务开展方面，仍然存在大量安全隐患。IPTV集成播控平台业务未实现对EPG完全管理，IPTV业务未实现“双认证、双计费”，无用户和计费核心数据，IPTV集成播控平台未实现BOSS管理，也未向IPTV集成播控中平台数据回传，IPTV播控分平台未实现统一呼号，正在与央视爱尚总平台一起与四川电信积极沟通解决“Boss管理”“统一呼号”“双认证双计费”问题。