经国炜

（扬州广播电视台，江苏 扬州 225000）

0 引 言

为加快广电内容生产传播与新一代信息技术、互联网技术的深度融合，将融合理念贯穿并体现在内容生产的全过程、各环节，努力实现新闻的快速反应、高效采集、多元分发，扬州广播电视台引入中台概念，打造了基于云架构的融合媒体生产平台。作为平台赋能的窗口，以浏览器/服务器（Browser/Server，B/S）形式打造的融合工作平台应运而生。这是一个可以提供多种应用工具、数据资源以及互联网信息显示等内容的工具集合，可以跨安全域，在业务内网、办公网及互联网提供几乎相同的服务和工具。然而，开放、便捷、高效就意味着安全性的降低，物理边界的模糊以及减弱了对安全的控制，使得整个云平台都面临愈发严峻的风险。对此，本文以安全模型基础，以现有平台为例，从体系设计关联平台架构，尽可能构建出一套具有自身特色的、防护有效的融合工作平台。

1 融合工作平台安全管理模型

安全管理模型是对安全管理的一种抽象化的描述。创建一个有效的安全管理模型，对于实现安全目标至关重要。安全管理模型的发展从静态防护思想到动态防御理念转变，持续加强了监测在安全防护中的重要作用[1]。

扬州广播电视台的融合工作平台虽然只是一个能力的集合、一项赋能的窗口，但是由于依托云平台，相较于传统的制播平台，具有更加开放的网络环境、更加广泛的业务连接、更加多样的内容呈现、更加灵活及复杂的业务流程等特点，网络安全与内容安全风险也相较传统平台大了很多。在前期设计上，技术人员结合兄弟台项目实例以及等保合规白皮书的相关要求，遵循事前防御、事中监测、事后响应的原则，设计打造一个相对安全的生产平台。

2 平台防护体系设计

防护体系是提升安全壁垒最直接有效的手段。防护体系主要包括架构安全、应用安全、通道保护、边界防护、用户鉴别及权限管理。

2.1 架构安全

融合工作平台的底层支撑系统采用了分布式技术，利用HAProxy+Keepalived 实现了服务的高可用和负载均衡，使用Zookeeper对服务集群进行管理。Zookeeper 实现了一种服务注册与感知机制，能够实现服务注册、服务监管、服务加载和服务通信等4 个重要组件[2]，对于多个业务平台能力的调用管理、流程管理更加安全、高效。借助Docker 技术将各类服务容器化，多项开源技术的引入，充分保证了系统架构的去中心化、开放化，使得系统兼顾安全性的同时，也具备充分的伸缩性和扩展性。

2.2 应用安全

融合工作平台作为一个中台能力的主要输出窗口，各类应用都可以接入进来。但由于各种应用工具的使用场景、使用方式不同，在侧重便捷和高效时，却减弱了对安全的重视。如何通过技术手段进行完善和提升，是技术工作者一直要努力的课题。

以内容库（云盘）模块举例。内容库业务模块是基于B/S 架构的一个资源共享库，是全台实现融合生产、敏捷化生产的核心，可以提供素材的存放、获取、交互、语音转写、人工智能（Artificial Intelligence，AI）识别及送播等能力。用户通过Web 方式即可将视频、图文进行上传并迁移至各个目标系统。起初，在设计上，技术人员并没有对入库的素材文件进行病毒查杀，或者在上传前先进行物理网闸的摆渡，因为每天入内容库的素材相当之多，如此设计会严重影响资源流转的速度，且增加了故障点。因此，在安全硬件无法满足需求后，技术人员通过提升软性安全来实现一定的防护。首先限定上传文件的格式类型。对于伪装后缀的文件，利用内容库自带的抽帧功能，以是否可以获取抽帧画面和图文的预览为依据，对文件进行明显标记，以提示用户文件异常，且此文件无法进行迁移下载。修改后的素材入库流程如图1 所示。软性功能上的简单修改，在保证素材高效流转的同时，也强化了安全。

图1 修改后的素材入库流程图

2.3 通道保护

网络通道好比一条条马路，没有红绿灯以及规则的管理和保护，就会造成不可估量的阻塞和事故。针对目前扬州广播电视台对融合工作平台和云桌面非编的重度使用，技术部门提出服务端、终端双保护原则，即服务端通过多重反向代理，使得工作平台在业务内网、办公网、互联网无差别化使用；用户终端通过超文本传输安全协议（Hypertext Transfer Protocol Secure，HTTPS）加密协议对平台以及云桌面进行安全访问，中间未过多地增加硬件防护设备，提升了安全性的同时，对网络带宽、响应延迟都做到了很好的平衡。

反向代理是一种软性安全防护，可以对服务器进行隐匿，也可以拦截传入请求，对高峰期的大流量负载均衡，给后端服务带来更高层次的保护。Nginx 是一款优秀的反向代理工具，具有高可靠性、低宕机率、低内存消耗，还支持热部署[3]。针对融合工作平台这样的Web 服务形式，技术人员通过搭建两台Nginx 服务器，充分将后端服务器匿名，分别为内网用户、办公网用户以及公网用户提供各不相同的服务地址，以提升访问安全。对公网用户的访问请求，也提供HTTPS 服务，安全接入。在代理服务器添加相应监测模块，定位IP，即可阻止可疑流量。

2.4 边界防护

除了软件性的防护外，硬件防护设备也是必不可少的。融合工作平台作为中台能力的输出窗口，必然会串联起相关的内外网业务。对透出公网的Web 服务，通过架设Web 应用防火墙（Web Application Firewall，WAF）来提升安全性；安全域之间，通过防火墙根据实际业务进行访问控制权限设定；高安全域如播出域，则增加物理网闸设备进行安全隔离。边界防护架构如图2 所示。

图2 网络安全边界防护示意图

2.5 用户管理

工作平台作为全台的业务汇聚点，除去行政、财会部门，几乎所有与内容生产相关的人员都会注册使用。对于工作平台，参照组织架构，对个人、工作组、公共维度进行业务及资源的分域管理，依据需求进行访问权限组的设置，保障资源访问使用的安全性。

对多业务板块用户管理进行整合，基于Token的认证模式，用户在工作平台中可以使用个人工号进行多个业务系统的统一登陆。

3 平台监测体系设计

监测是安全生产中不可或缺的一个手段。监测体系的建立，是技术保障的重要任务。强化监测先行、监测准确、监测回溯，使被动防御变为主动出击，可以将技术故障提前消除。监测体系主要包括数据监测、业务监测及智能分析等功能模块。

3.1 数据监测

数据监测的范围包括硬件资源和虚拟化资源。其中，硬件资源监测的对象包括中央处理器（Central Processing Unit，CPU）、内存、磁盘及网卡等，虚拟化资源监测对象除了虚拟的硬件外，还有虚拟化的底层系统以及支撑业务的网络相关设备。

3.2 业务监测

平台底层使用了微服务架构，将以往庞大混杂的业务功能分解为各个离散的服务，再利用Docker技术对服务进行虚拟化封装，部署在各类业务系统中。通过简单的监测指令，即可获取所有服务的实时状态，并通过网页进行滚动展示，如图3 所示。

前台业务流程的监控是日常使用最频繁的模块。该监控组件会对问题任务进行多方式报警，根据设定的重要程度选择告警级别。比如送播任务失败，属于紧急告警级别，则会通过短信方式告知相关人员。

监测只是一个被动手段，控制才是解决问题的根本。运维人员可以通过监控页面对问题任务进行重定向，及时介入、及时解决，将问题无感知处理。

3.3 智能分析

智能分析是通过监测数据的收集，使用类ChatGPT 模型对数据进行分析处理，生成趋势分析报表，对平台安全风险进行预测，通过大数据的持续导入、分析，使预测指标接近于实际。

目前，扬州广播电视台技术部门正在尝试使用GPT-2 模型进行相关训练，已经开始导入历史运维数据。前期会进行检索类问答的测试，待大量数据导入后，再对其分析能力进行提升。

4 平台响应与恢复体系设计

响应与恢复体系是在查找出或突然出现安全威胁后所采取的一系列措施，包括漏洞修复、应急预案制定、备份系统搭建、容灾测试以及日常培训等。在应急与恢复的同时，可以动态修补系统缺陷、调整防护措施，提高系统平台的抵御能力，从而缩短将来应对异常情况所耗费的时间[4]。

4.1 应急预案

基于融合工作平台的重要程度，扬州广播电视台建立了一套完整的应急预案。平台自身的业务服务都是三节点分布式的，任意两节点宕机，不会影响主业务。其他接入业务也都有自身的冗余策略，交换机及链路都是双线且做虚拟化配置。除了对业务系统进行应急策略外，技术人员针对不同情况下的响应流程、人员分工制定了相对完备的预案。

当前，核心业务系统均有应急处理能力，以全台媒资系统为例：当在线存储不能正常使用时，管理员可在媒资系统中配置启用临时存储区，同时设置并启用临时存储区和存储路径，将临时存储路径挂起；提交下载申请时，软件支持自动提醒用户“系统存储区存储路径暂时不可用。资源文件将被回迁到临时存储区，回迁后请自行取用文件”；执行下载时，正常情况下，媒资系统直接将在线存储上的资源文件传输到目标路径（如制作系统）即可，如果在线存储区不可用，媒资系统支持将归档系统的资源文件回迁到临时存储区，并结束下载流程，用户自行到临时存储区查找所需文件，并导入到所需的业务系统中。

4.2 备份系统

技术人员利用Hyper-V 等虚拟化软件搭建了一套最小化应急系统，承载了维持基础业务的相关服务模块，自带存储及数据库，不依赖原系统，在主系统故障无法短期恢复时切换使用。备份系统采用延时备份模式（可以切换为实时同步模式），虽然会损失10 min 左右的备份内容，但是可以确保在主系统出现故障时应急系统可以相对独立，能够规避一些软性故障，真正发挥应急作用[5]。

4.3 容灾测试

平台响应与恢复体系需定期进行灾难恢复测试，以验证预案和备份系统的有效性。容灾测试内容包括存储及数据库数据的实时性测试、业务恢复测试以及网络恢复测试等。

5 结 语

融合工作平台主要依托私有云及能力中台，相较于传统的独立制作网，网络上更加开放、边界上趋于模糊、模式上偏向协作、业务上注重融合。因此，新业态对安全提出了更高的要求。本文只是扬州广播电视台在融合媒体生产平台建设及使用过程中不断反思、不断改进的些许实践和体会，希望能为其他兄弟台建立可管可控、可审可溯的安全环境起到一定的参考作用。