導(dǎo)語：數(shù)字電視播出系統(tǒng)安全設(shè)計研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：數(shù)字電視播出系統(tǒng)是中國廣電江西網(wǎng)絡(luò)有限公司重要的信息系統(tǒng)，成功獲得國家信息系統(tǒng)安全保護三級認證。本文主要介紹數(shù)字電視播出系統(tǒng)的安全設(shè)計與實現(xiàn)。

關(guān)鍵詞：數(shù)字電視；播出系統(tǒng)；三級等保

1數(shù)字電視播出系統(tǒng)的介紹

中國廣電江西網(wǎng)絡(luò)有限公司搭建的數(shù)字電視播出系統(tǒng)是利用現(xiàn)代計算機技術(shù)、音視頻編解碼技術(shù)、高速硬盤存儲技術(shù)，在視音頻節(jié)目采集、編排、節(jié)目播出以及網(wǎng)絡(luò)資源共享及視頻存儲等方面建立播出高速網(wǎng)絡(luò)，從而形成節(jié)目采集、編排到播出、傳輸、覆蓋等各環(huán)節(jié)都合適的高標清電視同播系統(tǒng)。系統(tǒng)提供20萬余小時的高清、超高清視頻內(nèi)容，7天內(nèi)直播節(jié)目隨意看，整合互聯(lián)網(wǎng)視頻、央視、華數(shù)、格靈教育、歡樂歌坊等各類合作伙伴，為全省950萬家庭提供豐富多彩的有線電視節(jié)目。

2數(shù)字電視播出系統(tǒng)安全工作的緊迫性

國家互聯(lián)網(wǎng)應(yīng)急中心2020年上半年統(tǒng)計數(shù)據(jù)顯示：捕獲計算機惡意程序樣本數(shù)量約1815萬個，日均傳播次數(shù)達483萬余次，涉及計算機惡意程序家族約1.1萬余個。我國境內(nèi)感染計算機惡意程序的主機數(shù)量約304萬臺，同比增長25.7%。國家信息安全漏洞共享平臺（CNVD）收錄通用型安全漏洞11073個，同比大幅增長89.0%。國家高度重視信息安全工作。隨著業(yè)務(wù)發(fā)展，技術(shù)迭代更新，各項安全法規(guī)也在不斷完善，國家先后頒布了多部法律法規(guī)包括《中華人民共和國計算機信息系統(tǒng)安全保護條例》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護法》。國家廣播電視總局也印發(fā)了《廣播電視安全播出管理規(guī)定》，要求安全播出責(zé)任單位在播出、傳輸、覆蓋及相關(guān)活動中，遵守有關(guān)安全生產(chǎn)的法律、法規(guī)和技術(shù)標準；安全播出責(zé)任單位應(yīng)當(dāng)遵守有關(guān)信息安全的法律、法規(guī)和技術(shù)標準，對涉及安全播出的信息系統(tǒng)開展風(fēng)險評估和等級保護工作。網(wǎng)絡(luò)信息安全是廣播電視信息化必然面臨的問題，網(wǎng)絡(luò)信息安全不容忽視。

3數(shù)字電視播出系統(tǒng)的安全設(shè)計

中國廣電江西網(wǎng)絡(luò)有限公司數(shù)字電視播出系統(tǒng)從2009年開始搭建，經(jīng)過多年建設(shè)，承載著CA系統(tǒng)、EPG系統(tǒng)、股票系統(tǒng)等多個應(yīng)用子系統(tǒng)，實現(xiàn)了廣播電視節(jié)目的生產(chǎn)、播出、存儲全程文件化和播出自動化，相關(guān)業(yè)務(wù)系統(tǒng)對網(wǎng)絡(luò)的依賴性越來越強，各業(yè)務(wù)系統(tǒng)互聯(lián)互通和數(shù)據(jù)交互需求越來越迫切，數(shù)字電視播出系統(tǒng)網(wǎng)絡(luò)環(huán)境正從完全基于內(nèi)網(wǎng)封閉環(huán)境向互聯(lián)網(wǎng)、廣域網(wǎng)的混合網(wǎng)絡(luò)環(huán)境轉(zhuǎn)變。業(yè)務(wù)雙向化和交互打破了廣播式數(shù)字電視系統(tǒng)與外界物理隔離的特性，帶來終端用戶行為的未知和不可控。隨著系統(tǒng)內(nèi)部相關(guān)子系統(tǒng)的增加、網(wǎng)絡(luò)的開放性、應(yīng)用的多樣性，以及終端復(fù)雜性、接入多樣性和網(wǎng)絡(luò)安全新威脅的滋生，使數(shù)字電視播出系統(tǒng)系統(tǒng)面臨更加嚴峻的信息安全風(fēng)險，對整個系統(tǒng)的穩(wěn)定性、安全性、管理及應(yīng)用的合理性、信息安全防護技術(shù)等提出了更高的要求。原有系統(tǒng)暴露出很多不足，需要對系統(tǒng)的安全進行優(yōu)化和調(diào)整，網(wǎng)絡(luò)信息安全成為運維重要的部分。整改前網(wǎng)絡(luò)拓撲圖如圖1所示。

3.1系統(tǒng)網(wǎng)絡(luò)安全設(shè)計思路

通過對數(shù)字電視播出系統(tǒng)業(yè)務(wù)需求分析網(wǎng)絡(luò)安全風(fēng)險，結(jié)合OSI七層協(xié)議和等保2.0的技術(shù)要求，制定了合理的安全策略來確保整個系統(tǒng)的機密性、完整性、可用性、可控性與可審查性?？捎眯员ＷC授權(quán)實體可以有權(quán)限訪問數(shù)據(jù)。機密性保證數(shù)據(jù)不會被未授權(quán)的實體訪問。完整性保證數(shù)據(jù)不被隨意修改。可審查性保證對出現(xiàn)的安全問題提供參考依據(jù)和手段?？煽匦允菍?nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離，對與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機所交換的數(shù)據(jù)進行嚴格的訪問控制；同時在內(nèi)部網(wǎng)絡(luò)給不同業(yè)務(wù)提供不同的安全級別，將不同的網(wǎng)段進行隔離，實現(xiàn)相互訪問的控制。

3.2安全設(shè)計方案

整改后網(wǎng)絡(luò)拓撲圖如圖2所示。我們根據(jù)系統(tǒng)的整體安全要求，收集了相關(guān)業(yè)務(wù)的信息，評估了系統(tǒng)的安全性需要，采用了分層防御的方法，在不影響業(yè)務(wù)運行的前提下，將安全策略、硬件及軟件結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，來實現(xiàn)系統(tǒng)安全架構(gòu)，以期對系統(tǒng)進行全面的安全管理。在系統(tǒng)安全整體配置上，對傳輸級別的安全性、網(wǎng)絡(luò)級別的安全性、系統(tǒng)級別的安全性、應(yīng)用程序級別的安全性、數(shù)據(jù)級別的安全性單獨進行了安全策略的配置，同時各層安全策略相互產(chǎn)生影響，共同對系統(tǒng)提供綜合性的防護，從而讓系統(tǒng)的安全性得到保障。具體安全策略有如下幾個。（1）互聯(lián)網(wǎng)安全區(qū)策略互聯(lián)網(wǎng)安全區(qū)網(wǎng)絡(luò)拓撲圖如圖3所示。任何人員進入數(shù)字電視播出系統(tǒng)進行維護，必須經(jīng)過互聯(lián)網(wǎng)安全區(qū)防火墻安全連接，經(jīng)過互聯(lián)網(wǎng)安全區(qū)的IPS的流量過濾；安全連接后的終端運維操作必須經(jīng)過堡壘機進行安全審計。（2）EPG安全區(qū)策略EPG安全區(qū)網(wǎng)絡(luò)拓撲圖如圖4所示。EPG終端和服務(wù)端通信必須經(jīng)過EPG區(qū)防火墻進行安全隔離，EPG終端和服務(wù)端通信僅開放需要使用的業(yè)務(wù)端口。EPG終端和服務(wù)端通信，保持終端的病毒防護能力與系統(tǒng)防護能力。沒有安裝補丁的客戶端的EPG區(qū)域的PC終端無法訪問網(wǎng)絡(luò)。（3）網(wǎng)絡(luò)管理區(qū)安全策略系統(tǒng)中部署IDS對所有區(qū)域的數(shù)據(jù)流進行入侵攻擊檢測，部署日志服務(wù)器對設(shè)備日志進行收集；僅對安全管理維護終端開放安全設(shè)備管理權(quán)限，維護用戶登錄網(wǎng)絡(luò)，設(shè)備、主機系統(tǒng)需要通過堡壘機才能開展必要的維護工作。

3.3設(shè)備配置

（1）互聯(lián)網(wǎng)防火墻配置在互聯(lián)網(wǎng)安全區(qū)里建立了管理區(qū)到互聯(lián)網(wǎng)的物理通道，防火墻啟用了IPS-AV功能，啟用了安全策略，只允許管理區(qū)終端可以訪問互聯(lián)網(wǎng)，目的是讓互聯(lián)網(wǎng)進入系統(tǒng)內(nèi)部的流量只能先訪問管理區(qū)里的堡壘機，通過堡壘機的跳板功能再訪問內(nèi)部系統(tǒng)和網(wǎng)絡(luò)，同時對所有的操作行為在堡壘機上保留記錄，系統(tǒng)和網(wǎng)絡(luò)的相關(guān)日志會傳送到日志服務(wù)器上，確?；ヂ?lián)網(wǎng)到內(nèi)部的通信的安全性。（2）EPG防火墻配置在EPG安全區(qū)的EPG客戶端與EPG服務(wù)端之間的防火墻上啟用了安全策略，分別建立了EPG客戶端地址組和EPG服務(wù)器地址組；同時建立了兩者之間通信的EPG-Server服務(wù)組，在防火墻上只開通了EPG客戶端到EPG服務(wù)器之間的通信服務(wù)。通過以上配置確保只能是指定的EPG客戶端和指定的EPG服務(wù)器通過應(yīng)用端口限制進行最小的通信。（3）核心交換機配置在交換機上啟用了本地認證，開啟了SSH登錄，并且設(shè)置了訪問列表只允許指定的網(wǎng)段才能登錄交換機，以確保只能由指定的帳號通過指定的IP登錄配置核心交換機。

4數(shù)字電視播出系統(tǒng)安全的意義

中國廣電江西網(wǎng)絡(luò)有限公司搭建的數(shù)字播出系統(tǒng)嚴格按照《中華人民共和國網(wǎng)絡(luò)安全法》的要求，在2018年經(jīng)過定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查，于2018年10月30日取得了數(shù)字電視播出系統(tǒng)等保三級備案證。中國廣電江西網(wǎng)絡(luò)有限公司將繼續(xù)全面貫徹“強化網(wǎng)絡(luò)信息安全和文化安全監(jiān)管”的有關(guān)要求，不斷加強安全技術(shù)裝備和人力資源投入，優(yōu)化并完善組織體制建設(shè)，補充并修訂了相關(guān)安全保障工作制度、工作措施和應(yīng)急預(yù)案，建立并完善了安全風(fēng)險評估和隱患排查整改機制，確保數(shù)字電視播出系統(tǒng)的安全、穩(wěn)定、高效運行。

作者：楊曉東 洪曉東 薛飛 單位：中國廣電江西網(wǎng)絡(luò)有限公司