赵予汐

（国家广播电视总局广播电视卫星直播管理中心，北京 100866）

1 引言

目前广电传统播出机构逐步开展广播电视系统IP化改造，并对配套的管理系统进行云化改造，同时陆续诞生了多个广电大数据平台。伴随新技术、新应用的落地，广播电视系统面临的网络安全风险形势愈加严峻。由于广播电视系统重要的宣传属性，更容易吸引高级别、规模化、组织化甚至国家级的网络攻击，所面临的安全风险和威胁更加复杂和多样性。另外，随着广电行业业务形态更新迭代，广播电视系统对外暴露面不断扩大，进一步增加了遭受网络攻击的可能性。因此，加强广播电视系统的网络安全防护能力势在必行。

现有的广播电视系统通常已经满足了等级保护的有关要求，配备了常规的网络安全软硬件设施。但是在业务系统升级改造的同时，传统的安全防护架构已经出现不适配新型业务架构的情况。并且广播电视系统中存在子系统独自规划、独立建设的情况，配套安全设施独自建设，安全能力无法复用。安全中台能够将分散的安全能力进行融合，以统一框架和规范来快速集成新建的安全设施，快速响应业务发展对安全能力的弹性化需求。

2 安全中台建设的意义

在传统的广电系统升级迭代的过程中，出现了一系列的网络安全问题。本文列举其中部分问题，并探索利用安全中台解决该问题的方案。

（1）业务架构变更导致安全设施不适配

越来越多的广播电视系统在开展业务云化建设，以公有云、私有云、混合云等方式促进业务灵活扩展、提升资源利用效率。容器化、微服务等技术逐步落地应用。业务架构的变更，导致原有的安全设备不能很好的适配新型业务架构。这时可能会在原有的安全体系之外新建一套基于云环境的安全设施，不仅一定程度上造成了资源浪费，还使安全管理工作更为复杂。

（2）新的业务系统独立建设导致安全资源浪费

广播电视系统的建设是一个长期的过程。各个子系统在规划和建设时，为了减少不必要的系统外联，经常独立规划并建设配套的安全设施。例如为新建系统配备独立的入侵检测、运维审计、日志审计、访问控制等安全设施。子系统建成后，新旧安全设备并行运行。这种建设思路下，每套安全设备可能并未发挥最大的价值。

（3）安全数据无法有效整合

在当前严峻的安全形势下，网络安全管理和防护必须具有越来越高的水平。目前网络安全等级保护和关键信息基础设施安全保护的相关标准规定要建设态势感知、自动化编排、流量分析等具备一定统计分析能力的安全设施。此类分析平台种类繁多，功能各异。在建设过程中，需要与原有的、以安全管理中心为核心的安全体系进行充分融合。可能由于定制化程度不高、兼容性不够等问题，导致融合效果不佳。不仅使得安全数据不能有效整合，也不利于未来建设新的安全设施融合应用。

安全中台能够基于标准的协议和流程，将现有的安全资源和安全能力进行整合，为业务应用提供灵活的、快速响应的安全服务，能够降低安全集成成本、提高安全资源利用率。安全中台的建设能够有针对性的解决上述问题，能够实现从“安全运维”到“安全运营”的转变。

3 安全中台架构设计

安全中台与业务中台、数据中台相类似，是将安全能力进行整合并提供标准化、规范化的安全能力的一种形式。微服务和容器是现在系统建设经常使用的技术［1］。微服务能够独立发布和跨平台独立部署，而容器也是跨平台、可以独立运行的执行单元，所以微服务可以将容器作为自己的运行载体［2］。利用微服务的高内聚、松耦合、强自治性的特点，将安全功能解耦后分散到微服务之中，降低安全系统的耦合性，实现解耦上云和容器化，构建容器化安全中台。

基于中台化思想，将安全中台作为构建安全能力体系的能力中枢，对接并整合存量的多种安全能力，同时基于安全中台以安全即服务的方式为新应用按需提供安全能力，实现智能决策、自动化处置和集中管控［3］。

本文设计的安全中台架构包括基础设施、安全中台、安全应用等三个层面，总体架构如图1。

图1 安全中台架构设计

其中，安全基础设施层包含资产库、网络流量、安全设备、威胁情报库等安全基础设施资源，通过容器化安全能力池实现安全能力云化、池化。基础设施层产生的与安全相关的数据按需上传至安全数据中心。

安全中台层：基于标准的协议和流程，将安全数据和安全能力等专业服务，按需开放共享给前台的各个业务应用，实现对前台业务变化及创新的快速响应，具备新的安全能力的快速集成与开放、按需编排与调度、安全数据集约化采集与处理等能力。安全中台层包括安全数据中台、安全能力中台和容器化安全能力池三部分，两个中台之间通过开放式接口实现安全数据传输、数据服务与任务调度。容器化安全能力池，通过制定安全组件接口标准规范，要求接入安全资源池的安全组件进行主动适配，推动安全中台对能力池异构安全能力的统一纳管。

安全应用层：基于安全能力中心北向接口提供安全应用，可以基于场景的剧本化编排调用安全应用。安全应用主要包括态势感知、攻防演练、重要保障等等。

4 安全中台主要功能模块设计

4.1 安全数据中台

安全数据中台是安全中台的数据底座，通过标准化数据接口对基础设施层、容器化安全能力池和安全能力中台的各类安全能力、组件、设备、引擎的异构、异源安全数据提供集中化采集、数据标准化以及数据的关联补齐能力，通过数据共享提供标准化的安全数据和安全分析结果的存储与检索服务。安全数据中台可以集成大数据分析引擎、智能化分析引擎等功能，并能基于底层大数据分析能力和安全大数据实现全方位的态势感知、差异化精准攻击溯源等功能。

4.2 安全能力中台

安全能力中台将安全共性基础能力下沉，形成安全中台的能力中台，实现安全设备功能复用。在安全能力中心通过异构组件接口对资源池内的安全能力进行统一纳管，底层安全能力注册到中台，形成标准、规范的安全服务目录，通过标准API被内外部应用调用。现有安全系统模块解耦，可复用的基础能力下沉至安全能力中台。同时按照场景化剧本设计，对安全能力进行自动化组合、编排、调度。结合下沉到安全数据中台的安全检测分析能力，最终在安全中台形成涵盖安全识别、安全防护、安全检测分析和安全响应于一体的网络和安全服务能力体系，通过安全能力中台北向接口，以服务化的方式面向上层应用按需提供安全服务，实现安全服务的统一开放共享。

4.3 容器化安全能力池

容器化安全能力池将不同类型的安全组件抽象成原子能力，通过开放北向接口与安全能力管理平台互通，实现原子能力注册、接口授权、策略调度、配置与升级管理等功能［4］。安全组件的接口主要包括：

（1）安全识别：包括主机资产发现、软件资产识别、基线配置检查、Web漏洞扫描、代码审计、敏感数据识别、主机漏洞扫描、空间资产测绘等。

（2）安全防护：包括数据库审计、网络访问控制、网络地址转换、网络隔离交换、终端访问控制、VPN 接入、网络入侵防御、恶意代码防护、补丁管理、配置加固、网页防篡改、拒绝服务防护、敏感数据防泄漏、垃圾邮件防护、Web应用防护、黑白名单管理等。

（3）安全检测：包括网络威胁检测、恶意文件检测、终端数据泄露检测、网络数据泄露检测、终端威胁检测、用户异常行为检测等。

（4）安全响应：包括网络攻击抑制、主机入侵抑制、网络攻击诱捕、备份恢复、主机取证等。

5 基于容器化微服务设计安全中台架构的优势

5.1 组件化灵活部署

在新形势下，网络安全要做到动态防御、主动防御，安全设备、安全配置以及业务数据随时可能发生变化。安全数据集中化处理是安全建设的必经之路。容器化微服务架构在应对网络安全状态变化方面具有先天优势。微服务架构可以将单体式的应用分解为多个微服务，服务之间相对独立且松耦合。通过组件化、模块化的方式将复杂的应用进行服务化呈现，使得单一功能的改变只需要重新构建部署相应的服务即可实现。

5.2 避免单个系统导致整体系统失效

随着网络安全防护系统不断扩容，安全架构愈趋庞大，易出现牵一发动全身的架构性调整问题。而在微服务架构下，当某一组件发生故障时，故障会被隔离在单个微服务中，可以有效避免出现故障在进程内扩散等弊端和风险，提高系统整体韧性。

6 结论

本文主要分析了传统广播电视系统在业务架构升级过程中面临的安全问题，并探索使用安全中台解决上述问题的思路。本文提出了基于容器化微服务架构的安全中台设计思路，能够融合存量安全能力并以统一框架规范来对接和集成新建安全能力，提高安全体系建设的灵活性和便利性。安全中台是适配未来新业务发展的有效技术措施，能够成为业务与安全更好协同发展的桥梁纽带。