宫铭豪 王晓艳 梁晋春
(国家新闻出版广电总局广播科学研究院)
摘要:针对四级电视台播出系统业务特点,对电视台播出系统进行安全域划分,并依据国家和广电行业等级保护基本要求,研究基于安全域划分的电视台播出系统边界防护技术。
关键词:播出系统 安全域 区域边界防护
1 引言
随着互联网技术的飞速发展,全台网的建设将电视台内各自独立的节目生产网络连接起来,消除了网络孤岛。但由于不同节目生产网络的安全级别不同,在各网络互联互通时就产生了网络边界。作为全台网中安全级别最高的播出网络,为了防止来自播出网络外的非法连接和违规操作,在播出网络边界采取安全防护措施是必不可少的。而边界防护首先要解决的问题就是对播出系统进行安全域划分,确定安全域边界,并结合播出系统自身特点采取相应技术措施。本文以等级保护中定级为四级的电视台播出系统为例,研究基于安全域划分的电视台播出系统边界防护技术。
2 电视台播出系统安全域划分
安全域是系统中实施相同安全保护策略的最小单元,以系统所支撑的业务应用的安全需求为基本依据,以系统数据信息和系统服务的保护需求为中心划分和确定。运用安全域方法对一个电视台播出系统的资产、业务、网络和系统进行识别和理解,并经过对安全域的分析和整合,可以更好地体现播出系统的特征。本文以四级电视台播出系统特点为例,依据《信息系统等级保护安全设计技术要求》(GD/T 25070-2010)中的体系化设计思路,划分播出系统安全域如下图1所示。
图1四级电视台播出系统安全域划分图
四级电视台播出系统安全域划分包括安全计算环境、安全通信网络、安全区域边界和安全管理中心四部分。
2.1 安全计算环境安全计算环境是播出系统安全防护的核心和基础,根据业务功能不同,四级电视台播出系统计算环境划分为播出备播、在线播出、播出控制、系统支撑、对外接口共5个计算环境子域,计算环境安全主要指通过各计算环境的终端、服务器操作系统、应用软件系统和数据库管理系统的安全机制和服务,保障播出系统应用业务处理全过程的安全。根据业务重要程度,播出系统横向划分为关键系统和非关键系统,关键系统包括位于核心层的在线播出计算环境和播出控制计算环境。非关键系统包括位于技术支撑层的播出备播计算环境、系统支撑计算环境和对外接口计算环境。
2.2 安全通信网络通信网络包括播出系统内部网络和全台主干网,播出系统内部网络负责播出系统媒体和各类信息的核心交换,并通过外部安全区域边界与全台主干网相连,各计算环境通过内部安全区域边界与播出系统内部网络相连,全台主干网不属于播出系统范围。四级电视台播出系统网络对媒体数据和其他数据进行区分,具体网络有:
1)播出媒体网:负责播出系统的核心交换,对外与全台骨干网连接(带宽10G),对内与播出信息网连接(带宽1G,以下未标出的均为1G);
2)播出信息网:负责播出系统的信息核心交换,分别与播出媒体网、播出控制网连接;
3)播出控制网:负责播出系统的信息汇聚交换,与播出信息网连接;
4)全台主干网:不属于播出系统范围,仅与播出系统播出媒体网连接(带宽10G)。
2.3 安全区域边界区域边界安全指通过对进入和流出播出系统计算环境的信息流进行安全检查和访问控制,确保不会有违背播出系统安全策略的信息流经过边界。如图1所示,四级电视台播出系统区域边界有:1)边界1-A:播出媒资接收子域的边界,与播出媒体网连接(带宽10G);2)边界1-B:迁移转码子域的边界,与播出媒体网连接(带宽10G);3)边界1-C:播出缓存/应急备播子域的边界,与播出媒体网连接(带宽10G);4)边界2-A:播出视频服务器子域的边界,与播出媒体网连接(带宽10G);5)边界3-A:播出公共设备子域的边界,与播出控制网连接;6)边界3-B:播出控制子域的边界,与播出控制网连接;7)边界4-A:公共服务支撑子域的边界,与播出信息网连接;8)边界5-A:安全管理平台子域的边界,与播出信息网连接;9)边界6-A:对外接口子域的边界,与播出信息网连接;10)边界7-A:全台主干网边界,与播出媒体网边界7-B连接(带宽10G);11)边界7-B:播出媒体网边界,与全台主干网边界7-A连接(带宽10G);12)边界7-C:播出媒体网边界,与播出信息网边界7-D连接;13)边界7-D:播出信息网边界,与播出媒体网边界7-C连接;14)边界7-E:播出信息网边界,与播出控制网边界7-F连接;15)边界7-F:播出控制网边界,与播出信息网边界7-D连接。
2.4 安全管理中心安全管理中心实施对安全计算环境、安全通信网络和安全区域边界统一的安全策略管理,主要指提供系统管理、安全管理、审计管理等功能的安全管理平台。
3 安全区域边界防护方法
区域边界作为信息进入或离开播出系统各计算环境子域的重要节点,需要进行重点防护。在安全域划分完成后,不同域之间区域边界得到明确,可适当选取边界防护技术进行安全区域边界防护。依据国家和广电行业等级保护基本要求,对区域边界的保护,主要是从访问控制、安全审计、边界完整性检查、恶意代码防范、安全数据交换等控制点和技术措施方面实现,目的是提升播出系统区域内对系统外整体抗攻击的能力。
3.1 区域边界访问控制针对等级保护中要求中对四级系统在区域边界访问控制点方面的要求,在进行网络边界访问控制技术和产品实施中,可采用以下技术实现方法:1)可在网络边界和安全区域边界部署防火墙类网关设备,实现隔离和访问控制。防火墙是标准的网络访问控制设备,可通过防火墙设备对进出安全区域边界的数据包的源地址、目的地址、传输层协议、请求服务等内容设置访问控制策略,阻止非授权访问。2)UTM安全网关包含防火墙功能,如果分析区域边界面临恶意代码攻击、病毒等多重复杂风险,建议使用UTM安全网关产品。此外,可在交换机上采用VLAN间访问控制技术,实现端口级别的访问控制策略,但是ACL列表如果使用过多的话,会影响交换机的性能。在网络访问控制设备选择上,尽可能使用防火墙或UTM安全网关。3)四级电视台播出系统相关边界还应进行如下部署,并按要求进行相应配置:边界7-A、7-B可部署双路防火墙,仅允许节目媒体文件、节目单文件及相关的操作指令通过,且仅在指定的地址范围内传输;边界7-C、7-D可部署双路信息摆渡设备(如网闸等安全设备),或采用平台异构方式设置高安全区,仅允许节目单文件及相关的操作指令通过;边界7-E、7-F可部署双路防火墙,仅允许节目单文件及相关的操作指令通过,且仅在指定的地址范围内传输。4)播出系统内服务器的网段应采用IP地址与MAC地址绑定,或其它网络准入控制措施等技术手段防止地址欺骗。
3.2 区域边界安全审计对在区域边界部署的网络访问控制设备和安全设备的各类行为进行审计。区域边界安全审计依靠网络设备、安全设备自身审计功能实现,在不影响播出系统正常运行情况下,对网络设备、安全设备开启日志审计功能,对系统用户访问外部网络的行为进行审计;审计记录包括事件日期、时间、IP地址、事件类型、URL地址和结果等,审计记录至少保存90天以上。审计记录可通过SNMP、SYSLOG或专用接口等方式发送到安全管理中心进行集中管理,并对确认的违规行为及时报警并做出相应处置。
3.3 区域边界完整性保护针对等级保护中对四级系统进行边界完整性检查的技术要求,可采用以下技术实现方法:
1)防火墙类网关具备外联控制功能,可通过在网络边界和重要区域边界部署防火墙或UTM安全网关类设备,控制内部网络用户不能访问外部网络,或者必须通过认证才能访问外部网络。同时可在播出系统内部的服务器和终端工作站部署具有防非法外联功能的服务器/终端安全保护系统,对未通过准许私自联到外部网络的行为(比如modem拨号、ADSL拨号、私设IP等行为)进行检查,阻断其行为,并及时上报安全管理中心。
2)在与外部网络连接的网络边界处和重要区域边界部署入侵检测/防范设施,对边界入侵行为进行实时检测,并能够有效识别、阻断并提供报警。
3.4 入侵防范 针对等级保护中对四级系统进行区域边界入侵防范的技术要求,可采用以下技术实现方法:
1)在与外部网络连接的网络边界处和重要区域边界部署入侵检测/防范设施,对边界以下攻击行为进行监视:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击。当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警并自动采取相应动作。建议提供入侵检测/防范设施与安全管理中心接口,将报警信息汇总到安全管理平台进行集中管理。
2)入侵检测/防范设施主要包括入侵检测系统(IDS)、入侵防护系统(IPS)和UTM安全网关,建议在边界区域部署入侵防护系统与UTM安全网关,在交换机上部署入侵检测系统。
3.5 恶意代码防范 针对等级保护中对四级系统需进行网络边界恶意代码防范的技术要求,可采用以下技术实现方法:
1)在播出系统网络边界处,对媒体数据和信息数据进行区分,可根据需要部署防病毒网关,对视频媒体数据外的其他数据进行恶意代码检测和清除,并利用离线更新、手工更新的方式根据需要进行恶意代码库更新,防病毒网关应与系统内部防病毒软件,具有不同的恶意代码库及防病毒引擎。
2)入侵防护系统(IPS)和UTM安全网关均具有防病毒和入侵防护功能,可对恶意代码进行检测和清除,具有病毒库和入侵库,并支持定期升级。
3.6 安全数据交换 针对等级保护中对四级系统需进行网络边界安全数据交换的技术要求,可采用以下技术实现方法:
1)在播出系统网络边界部署信息摆渡设备(如网闸等安全设备),设置安全策略,在播出系统与其它信息系统之间进行数据交换时,应对文件类型及格式进行限定。
2)部署防火墙等安全设备,设置IP地址、MAC地址,限定可以通过移动介质交换数据的主机,所有通过移动介质上载的内容应经过两种以上的防恶意代码产品进行恶意代码检查后,方可正式上载到内部网络;对蓝光、P2等专业移动介质可通过特定的防护机制进行上载。
3)在网络边界处对媒体数据和其它数据进行区分,视频媒体数据外的其它数据应通过协议转换的手段,以信息摆渡的方式实现数据交换;数据交换区对外应通过访问控制设备与外部网络进行安全隔离,对内应采用安全的方式进行数据交换,必要时可通过协议转换的手段,以信息摆渡的方式实现数据交换。
4 小结
对电视台播出系统进行安全域划分,明确系统各子域之间边界接口,选取适用的边界防护技术进行安全区域边界防护,是保障播出系统安全稳定运行的一种重要技术手段。但播出系统安全是整体安全,只有从安全计算环境、安全通信网络、安全区域边界和安全管理等各个层面的安全进行整体考虑才能实现真正的播出系统安全。
编辑:中国新闻技术工作者联合会
评论 点击评论