电视播出网络安全防护建设与改造.pdf
《电视播出网络安全防护建设与改造.pdf》由会员分享,可在线阅读,更多相关《电视播出网络安全防护建设与改造.pdf(5页珍藏版)》请在咨信网上搜索。
1、关键词网络安全建设 风险评估 攻防演练 升级改造电视播出网络安全防护建设与改造 作者 重庆广播电视集团(总台)李正福摘要当前,电视播出网络从原来完全封闭的系统逐渐转向更加开放的互联系统,打破了传统的电视播出系统与其他业务系统的物理隔离特性,在方便全台性网络制播、文件化送播、资源共享、远程办公的同时,也面临着前所未有的网络安全问题。本文介绍了重庆广播电视集团(总台)电视播出系统的网络安全系统建设和防护措施,总结分析了播出网络在渗透测试过程中暴露出的问题,分享了升级改造方案。影视学会节目制作与传输专委会年会论文精选 一 播出网络架构 根据现代数字电视文件化、网络化制播特点,以及重庆广播电视集团(总
2、台)新旧址异地办公形态特点,设计了全高清播总控网络系统,系统框架如图 1所示。为了顺应全台网络制播技术发展需求以及新旧址两地同时办公的台情,重庆台将部分编单系统和字幕制作系统部署在办公网。在业务生产过程中,将与办公网平台其他业务系统进行信息和文件交互,加之办公网可访问互联网,部署在办公网上的终端面临来自互联网的网络安全威胁。播出网和办公网之间虽通过网闸和文件安全交互系统进行隔离,但仍为病毒木马等不安全因素引入电视播出网提供了物理通道。二 网络安全防护建设 针对上述网络架构和业务部署所面临的网络安全威胁,我们根据具体业务流程分析了对应的网络安全需求,并做了针对性的防护建设,同时部署了信息安全管理
3、系统,多维度保障电视播出网络安全。1.网络安全等级保护要求根据广播电视相关信息系统安全等级保护定1全高清播总控网络系统Advanced Television Engineering085级指南(GD/J 0372011)电视中心的等级保护定级要求,重庆广播电视集团(总台)播出系统应按照第三级要求进行信息安全建设。2.网络安全需求分析从重庆广播电视集团(总台)播出系统安全保护现状与 GD/J 0382011 基本要求之间的差距进行符合性分析,将这种差距作为初步的安全需求。同时,通过对信息系统的关键业务流程和信息系统总体进行风险分析的方法确定系统特殊的安全需求,最终通过现状差距分析和特殊要求分析,
4、明确重庆广播电视集团(总台)播出系统完整的安全需求。(1)网络现状根据网络结构的特殊性,以及播出系统的异地办公形态特点,重庆广播电视集团(总台)系统网络分为广电大厦(播出核心区域)和彩电中心,异地双网的网络结构模式,双中心通过 10GE 专线和播出系统应急专线相连。播出系统的应用终端分布于两个地点,通过办公网核心交换机和办公网汇聚交换机与播出系统核心相连。(2)关键业务流程分析播出系统包括办公网节目编排系统、电视播出控制系统以及相平行的媒资系统。节目单编排和素材整备通过办公网和专线连接的业务交互方式,实现节目单的接收和电视节目从媒资送播系统到播出素材整备的接收、验证传输;播出控制部分则提供播出
5、服务器及周边设备的控制服务,将播出服务器中的素材依照节目单编排顺序播放,同时控制播出切换台将播出的视频信号按照正确的路由送到传输系统前端。经过对播出系统业务的梳理,播出系统分为节目素材备播整备流程和节目编排流程两大业务主线。a.节目编排流程节目编排分为播出节目单编单、广告串播编单和字幕编单三个节目编单流程。每个流程的编排都会涉及编单工作站与播出系统内部服务器的业务访问过程和数据交互。播出节目单编单流程中,细化为播出系统内部编单和办公网播出编单工作站编单,通过 Web 服务方式实现节目编排业务。播出系统内部编单可视为内网编单流程,在此无需过多描述。彩电中心编单工作站与播出系统内部编单服务器的访问
6、路由需要通过彩电中心核心交换与广电大厦办公网核心交换之间的10GE 链路进行互联,并通过播出网的隔离网闸设备的访问控制方可访问至播出编排系统内的服务器,服务方式为 B/S 结构。广告编单与播出编单流程相同。字幕编单的业务流程是在办公网部署字幕编单前置服务器,采用专机专用并结合访问 ACL 和802.1X 准入的方式进行访问控制,只允许访问办公网字幕编单前置服务器,采用 C/S 架构,外网字幕编单服务器与播出网采用 PLS 文件导入的方式进行交互,并通过 USB 文件安全交互系统进行文件单向同步,方能达到数据同步的应用效果。这样,一方面简化了播出系统与外部其他系统交互的接口。但另一方面,对播出边
7、界的安全性要求提高。该业务流程主要安全风险包括:节目单信息被恶意代码感染或被黑客窃取和篡改的风险;消息接口使用的协议(如 WebService)可能存在的安全漏洞带来的风险;节目单交互的以太网链路,存在蠕虫病毒传播或被黑客渗透的风险。b.节目素材整备流程制作网通过媒资系统中的节目成片整备业务模块完成的节目成片后,由制作系统向播出系统推送,迁移服务器采用专线直连方式,将媒体文件信息迁移至播出素材整备存储区域,并将媒体文件的元数据信息同步至播控服务器。应急上载素材和广告素材首先通过 USB 文件安全交互系统导入电视播出待上载区,再由上载服务器转码后上传到播出素材整备存储区。由上面的业务流程分析可以
8、看出,在节目素材整备流程中,存在两种业务流:信息元数据信息和媒体文件。针对这种情况,如何处理好生产系统与节目素材整备系统、节目播出系统间各流程的安全与高效,是播出安全需要考虑的关键。该业务流程主要安全风险包括:传输的元数据信息被恶意代码感染或被黑客特约专题INDUSTRY TOPICS086窃取和篡改的风险;传输的媒体文件完整性被破坏的风险;媒体文件迁移过程中使用协议(如 FTP)可能存在的安全漏洞带来的风险;媒体交换的以太网链路,存在蠕虫病毒传播或被黑客渗透的风险;来自团伙和敌对势力发起漏洞攻击和拒绝服务攻击的风险。3.网络安全防护措施(1)基础网络安全建设根据重庆电视台播出系统的业务功能区
9、分,按照不同的子系统在网络设备上进行 Vlan 划分,并对Vlan 间的访问行为进行细粒度的访问控制、开启安全审计进行身份鉴别、运维审计记录;对网络设备进行安全加固、规范账号管理、关闭不必要的服务和端口,对登录失败有处理机制。(2)边界防护措施a.办公网边界防护建设集团办公网的防护主要是指互联网对集团办公网的访问控制,重庆电视台使用路由器、防火墙、应用代理等方式来隔离办公网,台外业务网与办公网的连接采用 VPN 虚拟专用技术。b.播出网边界防护建设一是网闸。在电视播出网和集团办公网之间部署两台网闸,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,保证信任网络和非信任网络之间链路层的断开,
10、彻底阻断 TCP/IP 协议以及其他网络协议。二是摆渡系统。摆渡系统是一套专门用于两个系统之间的文件安全交互系统,由两个主机组成,内机在电视播出网域,外机属于集团办公网域,内外机之间通过 USB3.0 进行文件高速迁移,内外机之间没有网络层以上的连接,通过介质和协议阻断了病毒传播、黑客等攻击,文件落地进行病毒查杀,与播出网恶意代码防范系统病毒库异构。三是交换机和网络设备。播出核心交换机部署入侵检测系统(IDS),对所有的流量进行检测,发现入侵行为进行告警并阻断;播出系统网络设备进行IP-MAC 绑定或基于 802.1X 的准入控制技术,禁止非授权或未达到播出系统配置基线的终端接入播出系统网络。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电视 播出 网络安全 防护 建设 改造
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。