浅析中央电视台新址播出系统信息安全等级保护方案的设计与实施

宋蔚

(中央电视台)

【摘要】 在广电行业逐步推进等级保护建设的大背景下，本文深入分析播出系统的应用特点和业务流程，针对网络、主机、应用、数据、管理等各方面的信息安全要求，进行了多层次、多角度、纵深性安全措施的部署，最终形成了完整的等级保护方案。【关键词】 等级保护方案 网络安全 统一管理 重点保护 纵深防御 中央电视台新址播出系统作为广电行业内第一个按照四级等保标准建设的系统，在建设过程中，遵循统一规划、统一标准、统一管理、适度保护、重点保护、强化管理的原则，按照等级保护“一个中心，三重防护”的设计思路，在网络安全、主机安全、应用安全、数据安全等各方面都采用了多种措施来保证系统的安全性。 1. 播出系统业务现状中央电视台新址播出系统在网络连接上处于台内生产网的最末端，外联的网络系统部分为等保三级的系统，部分为二级系统，无互联网连接，播出系统的业务主要是依据节目生产管理系统发布的编排计划，播出相关制作系统、媒资系统、新闻系统、广告系统提供的节目文件，其总体业务流程主要包括节目单传输业务、媒体文件整备业务、播出控制三个关键业务。1.1 节目单传输业务资源服务域通过对外接口服务器与节目生产管理系统，以web service接口参数形式，进行节目单交互传递，同时接口服务将解析后的数据保存到资源域的数据库中，节目单编辑客户端再从数据库读取节目单据进行节目单的细化编辑。1.2 媒体文件整备业务新址播出系统应用类服务器依据节目单，转码服务器通过CIFS协议访问媒资系统的存储，将指定的高码率节目视频文件转码为播出码率节目视频文件，转码后存储在新址播出系统的二级存储NAS中；直送服务器通过FTP传输方式获得相关业务系统提交的媒体文件，写入到播出整备域指定的存储区域。1.3 播出控制业务播出控制域编单用户根据从节目生产管理系统调入的播出编排单和相关节目变更单、直播协调单、广告节目单等通知单据，对播出编排单中的各类信息进行细化和调整，并最终形成播出执行单，发送到播控机，然后播出控制域播出控制机按照规定的时间，通过RS422专用线缆传递给播出服务器的播放控制指令控制视频播出域视频服务器进行播出。因此针对播出业务需求，播出系统的整体网络按照业务角度划分为4个功能域：播出整备域、资源服务域、播出控制域、视频播出域。其中播出整备域进行媒体类文件的接收和存储，播出控制域对消息类文件进行处理；视频播出域进行媒体类文件的播出；资源服务域进行单据类文件的接收和存储。

图1播出系统整体架构

2. 等级保护建设思路目前国内进行等级保护建设的依据主要是来自于GB/T22239-2008《信息系统安全等级保护基本要求》及GB/T25070-2010《信息系统等级保护安全设计技术要求》两个国家标准，本方案主要依据《技术要求》中的设计思路，按照“一个中心、三重防护”的理念，构建了纵深的防御体系，同时也满足了《基本要求》中对于网络、主机、应用等各方面的安全要求。2.1 建立集中统一安全管理机制信息安全体系的技术设计围绕不同安全域的安全管理机制进行，面向多个安全保护区域统一建设集中化的管理机制，安全管理中心统一完成对各区域、各层面的安全机制的执行与管理。从系统管理、安全管理和审计管理角度出发，通过对播出系统细致的分析从而建立起集中统一的安全管理机制。主要从身份管理、可信执行程序保护、安全标记、访问控制、系统安全审计、边界安全审计等方面着手进行全方位安全设计，通过在信息系统中相应设备或环节部署必要的安全部件，同时建立安全管理中心一体化的设备监测和管理平台，将多厂家不同类型的系统整合到一起，进行统一的管理、配置和监控，通过对审计和监测数据的分析，能够对当前系统的危害进行实时响应。2.2 加强源头控制，防御内部攻击节点是一切不安全问题的根源，节点安全是信息系统安全的源头，而操作系统安全是节点安全的核心和基础。如果一个操作系统缺乏安全技术支撑，节点安全就无从保障。必须在操作系统核心层实现基础的纵深防御，以进行深层次的人、技术和操作的控制，从而实现积极防御、综合防范，努力消除不安全问题的根源，那么重要信息就不会从计算节点泄露出去，病毒、木马也无法入侵节点，内部恶意用户更是无法从网内攻击信息系统安全，防内部用户攻击的问题迎刃而解。2.3 根据“一个中心、三重防护”理念，构建纵深防御体系根据“一个中心”管理下的“三重防护”体系框架，构建安全机制和策略，形成纵深防御体系。该环境分为如下四部分：安全计算环境、安全区域边界、安全通信网络和安全管理中心。

图2 信息安全等级保护技术设计框架

纵深防御体系是在分区分域的基础上，按照信息系统业务处理过程将系统划分成安全计算环境、安全区域边界和安全通信网络三部分，以节点安全为基础对这三部分实施保护，构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构。安全管理中心安全管理中心实施对安全计算环境、安全区域边界和安全通信网络统一的安全策略管理，确保系统配置完整可信，确定用户操作权限，实施全程审计追踪。从功能上可细分为系统管理、安全管理和审计管理，各管理员职责和权限明确，三权分立，相互制约。安全计算环境安全计算环境是信息系统安全的核心与基础。安全计算环境通过节点、服务器操作系统、上层应用系统和数据库的安全机制服务，保障应用业务处理全过程的安全。通过在操作系统核心层和系统层设置以强制访问控制为主体的系统安全机制，形成严密的安全保护环境，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和信息系统得保密性和完整性，从而为业务应用系统的正常运行和免遭恶意破坏提供支撑和保障，构建起信息系统的第一道安全屏障。安全区域边界安全区域边界对进入和流出应用环境的信息流进行安全检查和访问控制，确保不会有违背系统安全策略的信息流经过边界，边界的安全保护和控制是信息系统的第二道安全屏障。安全通信网络安全通信网络设备通过对通信双方进行可信鉴别验证，建立安全通道，实施传输数据密码保护，确保其在传输过程中不会被窃听、篡改和破坏，是信息系统的第三道安全屏障。 3. 等级保护建设方案播出系统等级保护安全建设是根据分区分域的原则，按照等级保护技术要求一个中心下的三重防御体系来建设适度的播出系统深度立体防御体系，在网络安全、主机安全、应用安全、数据安全、管理安全等各方面都采用了多种措施来保证系统的安全性。3.1 网络安全在网络安全部分，一是采用防火墙部件的访问控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，对进出安全区域边界的数据信息进行控制，确定是否允许该数据包进出该区域边界，以阻止非授权访问。二是采用安全隔离交换部件进行强隔离，进行安全数据交换。访问控制系统由前置机、安全隔离与信息交换部件和后置机组成。对流入、流出边界的数据流进行有效的控制和监督，专用应用系统对数据结构进行重构和数值进行校验，并利用白名单机制进行程序可信执行控制。系统使用可信的操作系统、可信的安全隔离与信息交换设备和可信的传输通道技术，消除可能的后门。采用代理机制对安全级别不同的资源实施多层次、多点访问控制。区域边界部署的防火墙、安全隔离与信息交换部件支持审计机制，对各类行为进行详细审计。由安全管理中心集中管理，并对确认的违规行为及时报警。非法外联部件实现对节点非法外联阻断，节点接入控制部件实现对节点接入内网实施控制，入侵检测部件及时发现网络外部的入侵行为实时发现并阻断，并及时报告安全管理中心，具体措施如下：在播出系统与全台网的边界处部署了全台提供的万兆防火墙，对进出播出网络的媒体数据及信息数据实施过滤和访问控制在播出与全台网的信息边界，部署了网闸设备，阻断基于通用协议的攻击在播出系统与全台网的信息网边界，部署了防病毒网关设备，基于病毒库对信息流中的恶意代码进行查杀在播出内部信息区与播控核心区之间，部署了千兆防火墙，对核心网络进行保护在播出内部的各类接入交换机上，通过划分VLAN及设立ACL列表的方式进行严格的访问控制，除必要的业务外，禁止其它IP及端口的连接 3.2 主机与应用安全依据新址播出系统实际情况，用户分为：节点层次用户、应用层次用户。播出系统不同域的用户登录节点或应用时，采用安全管理中心统一下发的令牌、数字证书的组合机制进行双因子身份鉴别，并对鉴别数据进行保密性和完整性保护。新址播出系统的数字证书以全台CA系统统一颁发的USB-key作为载体，对应用软件的认证模块进行了相应改造，同时创新性的将数字证书与操作系统登陆相结合，实现了一把key同时进行主机和应用两个层面的双因素认证，既达到了安全性的要求，又方便了日常使用，最大限度的减小了对业务的影响。如图中所示，在播出系统中部署了认证网关来实现基于数字证书的应用软件安全登陆，部署了终端安全服务器来实现操作系统的安全登陆，经过改造之后，在播出系统中具有人机交互的操作系统及应用软件上均采用了基于数字证书的认证方式。全台CA系统统一颁发的USB-key是播出应用操作人员的身份标识，每一个人员都有自己专有的证书，以工作证号作为唯一识别，该证书信息会同步导入到播出系统的身份认证网关中，同时在每台工作站上对数字证书与操作系统登陆账号进行绑定，绑定后即直接使用USB-key和对应的PIN码登陆操作系统，终端安全服务器负责各工作站上的系统策略下发、进程管理、操作审计等。当值班人员登录应用软件时，会先到网关验证证书里的身份是否合法，验证通过后返回人员的工作证号，然后软件会再依据此工作证号根据权限控制系统里已确定的权限信息给予对应的权限。

图3主机与应用安全设计

3.3数据安全在播出内部采取了多种措施保证了重要数据的完整性，首先对于操作系统数据，通过在操作系统部署完整性校验部件，管理中心统一对完整性校验部件管理，对执行程序安全封装提供完整性保障，使其对外界的攻击免疫，防止对外界进行攻击活动。安全管理中心统一制定并存储系统中可执行程序的名单（即摘要值列表），并通过策略文件的方式下发至系统的各部分。系统中的可执行程序在启动时，安全机制度量该程序及相关可执行模块的完整性。只有在度量结果和预存值一致的前提下，该程序才被认为是可信的，从而允许执行；否则拒绝。因此，即使系统中的某一执行程序被病毒或木马感染，由于其不再可信，因此禁止其执行。从而阻止了恶意代码继续传播和破坏，降低了系统完整性被破坏的风险。对于应用数据，来自媒资和各制作系统的节目视频文件数据流转到视频播出域后，播出系统对进入播出系统的媒体文件进行MD5校验和人工复检，保证了其完整性和可用性，并建立了完善的备份和恢复机制，在播出二级存储、视频服务器、带库中保存了多份备份文件。3.4 管理安全新址播出系统建立了基于三权分立的信息系统安全管理体系，构建系统管理子系统、安全管理子系统、审计管理子系统实现对信息系统的进行统一分权管理。根据系统安全运行的实际需要，系统管理子系统负责实现用户身份管理、系统资源配置和运行及应急处理；安全管理子系统负责实现系统主体、客体的统一标记和对主体的授权管理，以及系统安全策略和分布式安全机制的统一管理；审计管理子系统负责分布在系统各个组成部分的安全审计策略和机制的集中管理，并对审计信息进行汇集和管理。系统管理子系统、安全管理子系统行为应由审计管理子系统进行审计，而审计信息只能由审计管理子系统按照安全策略进行处理。安全管理中心是三重防护体系的控制中枢，管理员通过在安全管理中心制定相关安全策略，从而确保系统的运行环境是可信和安全。安全管理平台分成三个子系统：系统管理子系统、安全管理子系统、审计子系统，分别对应管理员的三个角色。

图4 安全管理平台组成图

系统管理子系统是系统安全的负责对安全保护环境中的计算节点、区域边界、通信网络实施集中管理和维护，包括用户身份管理、资源管理、应急处理等，为信息系统的安全提供基础保障。安全管理子系统是系统安全的控制中枢，主要实施标记管理管理、授权管理及策略管理等。安全管理子系统通过制定相应的系统安全策略，并且强制节点子系统、区域边界子系统、通信网络子系统执行，从而实现了对整个信息系统的集中管理，为重要信息的安全提供了有力保障。审计子系统是系统的监督中枢，系统审计员通过制定审计策略，强制节点子系统、区域边界子系统、通信网络子系统、安全管理子系统、系统管理子系统执行，从而实现对整个信息系统的行为审计，确保用户无法抵赖违背系统安全策略的行为，同时为应急处理提供依据。安全管理中心采用三权分立的管理模式。即：系统管理员、安全管理员和安全审计员的权限进行严格的分配和管理，授予其各自完成自己承担任务所需的最小权限，三个管理员之间既相互监督又相互制约，从而防止“超级用户”的形成。

图5 三权分立的管理模式

4. 总结本文详细介绍了在播出系统中进行等级保护建设的方案设计与具体实现，基于等级保护“一个中心，三重防护”的设计思路，结合播出系统的特点，设计了一套完整的等级保护建设方案，通过在网络、主机、应用、数据、管理等各方面引入相应的安全措施，达到了等级保护的基本要求，并将此方案在具体系统中进行了应用，达到了良好的效果。 编辑：中国新闻技术工作者联合会