网络化制播系统的信息安全管理及探讨
陈洁 瞿蔚
(上海东方传媒集团有限公司技术运营中心)
摘要 本文简述了网络化制播系统中信息安全方面的管理策略,从管理及技术两个方面入手,介绍了制播系统信息安全的管控,以及关于信息安全故障的应急响应。同时分享了SMG第一财经制播系统信息安全方面的管理经验。
关键词 网络化 制播系统 信息安全管理
一 概述
随着世界信息化网络化的发展,网络空间的产生,使人类信息获取、处理、传递、利用达到了空前规模。在我们的广电领域,网络化的发展带动了运行模式的变化,但也对我们提出了安全管理方式的变革要求。信息安全管理,成为了广电网络化过程中不可忽视的一个课题。如何使用安全机制、安全模块、安全协议等形式,融合于计算机产品,网络安全中,确保我们的制播网络安全,系统正常运行?本文结合上海电视台第一财经制播系统信息安全方面的管理经验,介绍网络化环境下制播系统的信息安全管理。 二 网络化制播系统
- 网络化制播系统的发展
随着数字技术、通信网络技术的发展,节目资源数据共享才成为现实,基于这种共享优势,要求电视节目制作实现网络化。网络化是电视技术的发展趋势,非线性编辑网络的出现,使得我国电视节目制作与播出系统在向数字化和网络化过渡的过程中起到了积极的推动作用。非线性编辑网络集成了非线性编辑系统和网络的共同优势,有利于提高节目制作人员工作效率,所有网上资源实时共享,同时也为编辑人员的艺术创作开辟了广阔的天地。随着网络技术的飞速发展,利用网络技术建立起统一的视、音频数据采集、制作、存储和传输系统,完成摄录编播流水化作业等工作,实现资源共享。
- 网络化制播系统中的信息安全
作为IT技术与广电行业技术的结合,网络化制播环境有着明显的IT技术的特点,较之传统系统有截然的不同,带来了很多传统系统不具备的优势,但同时也带来了较复杂的安全问题。网络的开放性、信息的共享性是网络化制播系统的特点,但同时,网络的安全性、信息的可靠性这些问题也随之出现。网络化使得信息安全需求与日俱增,病毒等会对系统安全和稳定运行造成大面积影响,不再像以前传统设备那样,安全范围小,单点故障,应急方式也简单。
三 系统信息安全管理
- 从管理上提升制播系统信息安全水平
1) 制播系统基础信息管理 确保系统的基础信息正确性。完善对新接入设备的管理,严格按照新接入设备规范流程接入,一旦接入,即刻纳入日常信息管理范畴。加强系统的变更管理,完善更新系统拓扑图、架构图、系统说明、配置说明等相关技术资料。严禁外包厂商、客户擅自进行未经确认允许的系统变更操作。 2) 人员的安全意识管理 针对外部人员的管理,起草《厂商技术人员信息安全责任书》,明确各类信息安全规范。 对现有厂商技术人员再次进行宣传教育,让厂商技术人员学习并签订安全责任书。同时,在各项目实施中将《责任书》的学习和签订工作成为厂商合作规范之一。 对于内部的系统维护人员的管理,会定期进行系统自查,规范值班工作流程,并进一步提高信息安全意识,特别是对业务网重要生产系统的安全保障意识。 3) 制播系统安全管理规范 (1) 针对信息系统中各设备的运维密码做到严格保密。 (2) 定期对信息系统的运维密码进行更换。 (3) 实现运维人员以个人账户登录信息系统。 (4) 实现对各运维人员成功登录信息、失败登录信息、操作等信息的审计工作。 (5) 实现对关键系统进行不同角色人员分权限的运维权限。
- 从技术上提升制播系统信息安全水平
1) 设备单点安全管理 针对每台客户端进行补丁测试和定期安装升级。 协调厂商进行服务器关键补丁的测试和发布,在此基础上在最小系统中进行测试验证后部署到正式系统中,同时,进行服务器防病毒软件的测试和认可。 对USB、光驱等外设接口部分,进行保护处理,并将加密狗进行技术处理,放置在用户和厂商不易接触到的位置。 对于已部署Symantec 12杀毒软件的客户端和服务器,增加策略监控,加强对于USB等端口的管控。 2) 制播系统边界管理 制播系统与办公网及业务主干网之间存在数据交换,同时,边界需采取了一定的安全措施,有IPS、UTM、网闸等设备,实现应用层面的访问控制。 3) 设备状态监控管理 采用第三方漏洞扫描软件,对于客户端进行安全评估。 加强对设备状态的监控管理,加强和网络病毒监控部门的合作。
- 系统信息安全故障管理及应急响应
1) 应急方案完善 完善现有的应急技术方案。 2) 应急流程预案 细化应急处理流程,细化故障汇报流程, 细化故障用户公关流程,并都需落实到岗位和人。 制定故障后续处理的原则和方法。 3) 应急流程演练 按照应急流程进行应急演练,总结处理方式,改进方法。定期对故障管理应急流程的有效性和快速性进行检验和测试(应急演练),并做好相应会议纪要可追溯查询。 4) 提高核心技术控制力度 督促系统提供商进一步开放系统核心关键部分的技术细节,提高对于系统故障的判断能力和应急处理能力,在故障发生的情况下将影响限制在最小范围。 四 第一财经信息安全管理案例 信息安全的日常工作是由一系列安全操作规范来约束的,第一财经制播系统承担了财经多档节目播出,在信息安全方面的日常检查及入网运维等都有严格的操作规范。同时,也制定了严格的应急预案及应急原则。
- 信息安全日常运维规范分成四类,分别是:入网规范、系统日常运行规范、业务网调整维护管理规范、信息安全应急通用规范。
1) 入网规范:这里主要指计算机设备接入在线工作的业务网 为加强网络安全,目前客户端采用IP+MAC+交换机端口绑定,服务器及导控的计算机采用IP绑定的安全策略,不在此范围的计算机服务入网。计算机入网首先严控客户端外接接口,关闭客户端光驱、软驱、USB、1394等外部接口,不能关闭要特殊说明。计算机入网,需征得科室同意后方可进行;填写计算机用途,安放地点,需要的IP,MAC,操作系统版本,是否可接受AD、防病毒统一管理,访问的资源或被访问的资源等信息,并填写计算机入网申请单。系统维护人员接到需求后,检查计算机状况,确认计算机没有安全隐患后,安装防病毒软件,加入AD,分配IP地址,在交换机上进行安全配置。在AD、SMS、NORTON等服务器上检查相关信息,确认计算机接受统一安全管理。 2) 系统运维规范: 系统权限和密码管理。系统用户权限管理是涉及系统安全的重要部分,由制播系统平台的权限管理和应用系统中所涉及的权限管理组成。在系统运行管理中需要对用户权限的管理制定相应的制度和操作流程。 内网补丁安装升级。确保SMG第一财经非编系统的网络和设备安全,需要及时对系统进行补丁升级,为了将此项工作长效的执行下去,现对此工作做如下规定:系统补丁下载和测试工作;精编客户端、文稿客户端等工作站设备的升级;主机房服务器的升级;主机房设备分批安装规定。 3) 业务网调整维护管理规范 (1) 填写系统调整维护《申请表》。 (2) 提交主管领导签字批准。 (3) 测试系统预测。 (4) 《申请表》连同测试报告提交主管领导审核。 (5) 制定正式系统调整操作计划及安排。 (6) 系统正式调整操作。 (7) 操作后系统功能流程检测。 在成功完成调整操作,并达到预期结果后,相关人员需整理提交此次的调整操作报告,并连同《申请表》、附件、计划安排,一同归档。若系统变更后涉及到相关流程的更改,需提供详细的流程更改说明,如工作流程、应急流程等。若调整操作失败或未达到预期结果,此次变更操作负责人需总结失败原因,给出进一步的针对此次变更操作的计划安排。 4) 信息安全应急通用规范
应急预案应遵循业务的连续性要求,在制播系统发生故障时仍能保证节目的日常业务生产和分发。应急预案必须覆盖财经制播业务网的整个生产流程,包括各级应急指挥系统、各岗位职责和应急措施等。同时应定期组织所有生产环节的员工进行应急演练,确保应急预案的有效性、可操作性和正确性。
当系统出现故障时,必须严格按照系统应急预案的工作流程进行故障处理。整个应急流程包括系统应急、故障报告、系统恢复。
系统应急:当发现系统出现故障时,工作人员通过各种应急措施,将故障临时排除或最大限度的降低故障对业务生产的影响,保证系统在有限的范围内运行正常。 故障上报:根据系统故障影响程度,划分故障等级。按照不同故障等级,汇报至对应的上级主管部门,以便协调故障处理工作。 系统恢复:在系统应急处理后,系统管理人员对系统故障快速判断、分析,并进行有效的处理,使系统恢复到故障前的使用性能。
- 系统应急处理原则及方法
1) 应急时间: 以保证安全播出为前提,在系统播出前一小时发现系统中病毒(蠕虫等扩散性较强,系统影响较大的病毒),应该采取果断的断网杀毒方式,之后再定位问题。用户可以使用传统设备继续编辑,保证播出正常。 当即将要播出或正在播出中发现系统中病毒(蠕虫等扩散性较强,系统影响较大的病毒),以播出为优先,可以先把不影响播出的边缘设备(中毒的)断网杀毒,直到播出结束,再处理系统内的其他设备。 2) 应急方法: 病毒有木马(等非严重病毒)和蠕虫(等传播影响较大病毒)两种,我们在应急的时候会根据病毒的严重性,采取不同的措施。 如果是木马等病毒的,在客户端如果装有诺顿一般都能隔离,我们可以对单机进行断网,进入安全模式扫描,确认病毒被隔离并删除,该机即可再入网。 如果是蠕虫病毒大面积爆发,我们需对网内所有机器进行断网,并逐个对机器进行扫描,查找病毒源及寻找相关补丁,对所有系统内设备打入补丁并再入安全模式扫描,确认无毒后入网。
评论 点击评论