廣播電視臺作為黨和政府的核心宣傳陣地之一，在國家廣電總局提出"數(shù)字化、網(wǎng)絡(luò)化"的建設(shè)要求下，廣播電視制播技術(shù)及信息技術(shù)得到飛速發(fā)展，各地電視臺數(shù)字化、網(wǎng)絡(luò)化以及互聯(lián)互通的全臺網(wǎng)一體化網(wǎng)絡(luò)系統(tǒng)建設(shè)已經(jīng)成為廣電業(yè)務(wù)系統(tǒng)新的發(fā)展趨勢。由此帶來廣電網(wǎng)絡(luò)系統(tǒng)中異構(gòu)平臺不斷增多，業(yè)務(wù)應(yīng)用的復(fù)雜程度不斷加深，應(yīng)用故障及安全隱患對網(wǎng)絡(luò)威脅也隨之增多，對網(wǎng)絡(luò)系統(tǒng)持續(xù)安全運(yùn)行的依賴程度越來越大，因而進(jìn)行安全化網(wǎng)絡(luò)改造勢在必行。

  伴隨著廣播電視臺的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)化技術(shù)的飛速發(fā)展，各臺先后建設(shè)并完善了數(shù)字化、網(wǎng)絡(luò)化、智能化、集約化的廣電業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)。當(dāng)前網(wǎng)絡(luò)系統(tǒng)建設(shè)中，計算機(jī)病毒和網(wǎng)絡(luò)安全對廣播電視臺已經(jīng)構(gòu)成最大的威脅。廣播電視臺在實(shí)現(xiàn)了全臺網(wǎng)絡(luò)互聯(lián)互通的同時，必然加大了各項(xiàng)業(yè)務(wù)邊界的廣泛延展，如網(wǎng)絡(luò)電視平臺、IPTV平臺、無線數(shù)字平臺，新媒體平臺、遠(yuǎn)程接入及交互平臺等業(yè)務(wù)形態(tài)。在這種情況下，如果某一個系統(tǒng)遭到主動或被動攻擊、有意識或無意識攻擊，入侵者很有可能利用這點(diǎn)迅速占領(lǐng)整個業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)，從而導(dǎo)致非常嚴(yán)重的安全事故發(fā)生。

  信息安全等級保護(hù)是國家信息安全保障工作的基本制度和基本方法，根據(jù)《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級指南》，電視臺播出系統(tǒng)安全保護(hù)等級全部為三級以上，屬于國家重要信息系統(tǒng)。電視臺播出系統(tǒng)是廣電行業(yè)信息系統(tǒng)的重要組成部份，是電視節(jié)目播出的核心部門，承擔(dān)全臺節(jié)目的播出任務(wù)。對電視臺播出系統(tǒng)實(shí)施信息安全等級保護(hù)，從技術(shù)和管理等方面提高播出系統(tǒng)的安全防護(hù)能力，確保電視節(jié)目安全、穩(wěn)定的播出。本文將著重研究電視臺播出系統(tǒng)安全保護(hù)等級三級系統(tǒng)等保實(shí)施流程及方法。

  1、廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)三級基本要求

  《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求》（以下簡稱基本要求）是對廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求進(jìn)行規(guī)范的標(biāo)準(zhǔn)，播出系統(tǒng)具有相應(yīng)等級安全保護(hù)能力的前提是需要滿足基本要求中三級以上基本安全防護(hù)要求。基本要求中第三級安全防護(hù)基本要求框架如圖1所示。基本要求中三級以上要求建立安全管理中心，從系統(tǒng)管理、安全管理及審計管理三個方面，實(shí)現(xiàn)對系統(tǒng)中各安全機(jī)制的統(tǒng)一管理。

  2、電視臺播出系統(tǒng)

  全臺網(wǎng)將電視臺內(nèi)的各個獨(dú)立的節(jié)目生產(chǎn)網(wǎng)絡(luò)連接起來，消除網(wǎng)絡(luò)孤島，使臺內(nèi)的節(jié)目制作流程能夠?qū)崿F(xiàn)全數(shù)字化、流程化的快速運(yùn)轉(zhuǎn)。全臺網(wǎng)環(huán)境下，電視臺播出系統(tǒng)主要包括播出控制、節(jié)目備播、節(jié)目播出、安全管理等模塊，它承擔(dān)著節(jié)目、廣告、資訊等業(yè)務(wù)的多項(xiàng)播出任務(wù)，是網(wǎng)絡(luò)化制播鏈的最后環(huán)節(jié)。播出系統(tǒng)通過全臺主干網(wǎng)與節(jié)目生產(chǎn)、節(jié)目生產(chǎn)管理等領(lǐng)域進(jìn)行數(shù)據(jù)與文件交互。全臺網(wǎng)環(huán)境下，播出系統(tǒng)基本架構(gòu)所示。

  3、三級電視臺播出系統(tǒng)等級保護(hù)實(shí)施流程

  三級電視臺播出系統(tǒng)等級保護(hù)實(shí)施應(yīng)以國家和廣電行業(yè)等級保護(hù)相關(guān)標(biāo)準(zhǔn)為基礎(chǔ)，依據(jù)基本要求開展等級保護(hù)工作，有效保證電視臺播出系統(tǒng)的安全、可靠運(yùn)行。等級保護(hù)實(shí)施基本流程如圖3所示。

  廣播電視臺系統(tǒng)安全等保三級解決方案：

  電視臺要想構(gòu)建一個立體的網(wǎng)絡(luò)安全防護(hù)體系，必須要考慮多層次的防護(hù)包括：

  一、播出系統(tǒng)、媒資服務(wù)器安全防御（部署病毒隔離網(wǎng)關(guān)+USB隔離盒）

  a) 檢測到對媒資服務(wù)器進(jìn)行入侵掃描的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報警；

  b) 采用多種傳輸途徑，以實(shí)現(xiàn)電視臺業(yè)務(wù)生產(chǎn)內(nèi)網(wǎng)、非編網(wǎng)、播出網(wǎng)、互聯(lián)網(wǎng)、媒資網(wǎng)等全媒體內(nèi)容交互、共享、雙向互動、多向性應(yīng)用為目的，阻止或隔離一切非授權(quán)、不安全終端接入，主動消除各種已知和未知安全威脅。阻止不符合安全策略的終端；

  c) 通過控制USB移動存儲介質(zhì)數(shù)據(jù)傳輸時實(shí)現(xiàn)病毒查殺隔離，能有效地防止USB移動存儲上的文件攜帶病毒對于內(nèi)網(wǎng)PC帶來的威脅

  d) 采用多種傳輸途徑，以實(shí)現(xiàn)電視臺業(yè)務(wù)生產(chǎn)內(nèi)網(wǎng)、非編網(wǎng)、播出網(wǎng)、互聯(lián)網(wǎng)、媒資網(wǎng)等全媒體內(nèi)容交互、共享、雙向互動、多向性應(yīng)用為目的，阻止或隔離一切非授權(quán)、不安全終端接入，主動消除各種已知和未知安全威脅。阻止不符合安全策略的終端。

  e) 防御媒資數(shù)據(jù)服務(wù)器漏洞：如IIS代碼執(zhí)行漏洞、Lotus緩沖區(qū)溢出漏洞等

  二、網(wǎng)絡(luò)安全訪問審計（部署網(wǎng)絡(luò)行為審計設(shè)備）

  a) 在臺內(nèi)網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；

  b) 能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；

  c) 對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；

  d) 在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；

  e) 限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；

  f) 重要網(wǎng)段采取技術(shù)手段防止地址欺騙；

  g) 按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個用戶；

  h) 限制具有撥號訪問權(quán)限的用戶數(shù)量。

  i) 對臺內(nèi)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；

  j) 審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；

  三、生產(chǎn)播出網(wǎng)絡(luò)入侵防范（部署下一代防火墻設(shè)備）

  a) 在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；

  b) 當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時提供報警。

  c) 對網(wǎng)絡(luò)敏感信息泄露DOS攻擊/嘗試獲取用戶特權(quán)的攻擊/嘗試獲取管理員特權(quán)的攻擊/網(wǎng)絡(luò)流量中發(fā)現(xiàn)可執(zhí)行文件的注入/可疑關(guān)鍵字和可疑文件的注入/遠(yuǎn)程過程調(diào)用告警/網(wǎng)絡(luò)木馬程序注入防護(hù)

  d) 防范黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S、Shellcode等惡意流量，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)；

  e) 對木馬病毒、蠕蟲病毒、宏病毒，以及腳本病毒的查殺，控制或消除上述威脅對系統(tǒng)的危害；

  四、內(nèi)部主機(jī)安全審計身份鑒別（部署運(yùn)維堡壘機(jī)系統(tǒng)）

  采用多種傳輸途徑，以實(shí)現(xiàn)電視臺業(yè)務(wù)生產(chǎn)內(nèi)網(wǎng)、非編網(wǎng)、播出網(wǎng)、互聯(lián)網(wǎng)、媒資網(wǎng)等全媒體內(nèi)容交互、共享、雙向互動、多向性應(yīng)用為目的，阻止或隔離一切非授權(quán)、不安全終端接入，主動消除各種已知和未知安全威脅。阻止不符合安全策略的終端。

  1、身份鑒別：

  a) 對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別；

  b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識具有不易被冒用的特點(diǎn)，口令有復(fù)雜度要求并定期更換；

  c) 當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

  2、主機(jī)防護(hù)：

  a) 對登錄主機(jī)設(shè)備的用戶進(jìn)行身份鑒別；

  b) 對主機(jī)設(shè)備的管理員登錄地址進(jìn)行限制；

  c) 主機(jī)設(shè)備用戶的標(biāo)識唯一；

  d) 主機(jī)設(shè)備對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；

  e) 身份鑒別信息具有不易被冒用的特點(diǎn)，口令有復(fù)雜度要求并定期更換；

  2、訪問控制：

  a) 啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；

  b) 根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；

  c) 實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；

  d) 嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；

  3、安全審計：

  a) 審計范圍覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；

  b) 審計內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；

  c) 審計記錄包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；

  五、數(shù)據(jù)傳輸安全性（部署VPN安全網(wǎng)關(guān)）

  a)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施；

  a) 采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)傳輸安全性、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；

  b) 采用加密或其他保護(hù)措施實(shí)現(xiàn)應(yīng)用系統(tǒng)遠(yuǎn)程互聯(lián)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)遠(yuǎn)程訪問的安全性；

  c) 在數(shù)據(jù)通信雙方建立連接之前，用系統(tǒng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證；

  d) 對數(shù)據(jù)通信過程中的整個報文或會話過程進(jìn)行加密。

  六、網(wǎng)絡(luò)設(shè)備、服務(wù)器狀態(tài)監(jiān)控（部署監(jiān)控網(wǎng)管系統(tǒng)）

  a) 對主流網(wǎng)絡(luò)廠家的網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控，包括ping存活探測，cpu、內(nèi)存、存儲器空間、接口流量等運(yùn)行狀態(tài)。對F5負(fù)載均衡設(shè)備業(yè)務(wù)性能提供深入支持。

  b) 對主流服務(wù)器廠商的服務(wù)器（支持IPMI協(xié)議）的硬件狀態(tài)進(jìn)行監(jiān)控，包括服務(wù)器內(nèi)部環(huán)境溫度、主板溫度、CPU溫度、CPU風(fēng)扇轉(zhuǎn)速、電源狀態(tài)、電源電壓、CPU電壓、CMOS電池容量等。并且可實(shí)現(xiàn)遠(yuǎn)程開關(guān)機(jī)等管理功能。

  c) 對Windows、Linux、AIX、HP-UX等操作系統(tǒng)的服務(wù)器的ping存活、系統(tǒng)資源（cpu、內(nèi)存和磁盤空間）、接口流量、進(jìn)程等進(jìn)行監(jiān)控。

  d) 對Oracle、Mysql、SqlServer等主流數(shù)據(jù)庫進(jìn)行表空間利用率、數(shù)據(jù)文件的每秒I/O操作、已連接的用戶數(shù)等眾多參數(shù)進(jìn)行監(jiān)控。

  e) 對機(jī)房溫濕度、漏水、煙霧等環(huán)境參數(shù)，以及市電和UPS等動力狀況進(jìn)行監(jiān)控（需要額外的附加探頭支持）。

  f) 支持手機(jī)短信、電子郵件、彈出窗口等多種報警方式，支持多級閥值設(shè)定。

  g) 能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警。

  等級保護(hù)安全方案為電視臺數(shù)據(jù)安全傳輸實(shí)現(xiàn)"四防一保"防病毒、防攻擊、防系統(tǒng)崩潰、防重大事故、保障業(yè)務(wù)持續(xù)運(yùn)行的信息化保障。

  1、滿足電視臺內(nèi)網(wǎng)數(shù)據(jù)交互：通過統(tǒng)一的安全網(wǎng)關(guān)，實(shí)現(xiàn)同一內(nèi)容同時向制作、播出、媒資等多個子業(yè)務(wù)板塊間數(shù)據(jù)跨板塊、跨平臺交互。

  2、滿足異地數(shù)據(jù)共享、遠(yuǎn)程交互：基于互聯(lián)網(wǎng)資料互動傳輸，通過遠(yuǎn)程數(shù)據(jù)多目標(biāo)分發(fā)、交互，將媒體內(nèi)容的數(shù)據(jù)共享到本組織以外的任何一個有IP網(wǎng)絡(luò)支持的地點(diǎn)，實(shí)現(xiàn)內(nèi)容遠(yuǎn)程分發(fā)控制，有效保證媒體內(nèi)容(新聞素材)的時效性。

  3、滿足"三網(wǎng)融合"業(yè)務(wù)需求：隨著"三網(wǎng)融合"的逐步深入，ANYSEC病毒隔離網(wǎng)關(guān)媒體安全傳輸解決方案可以與廣播電視網(wǎng)、互聯(lián)網(wǎng)、電信網(wǎng)實(shí)現(xiàn)媒體內(nèi)容的"無縫融合"，使同一內(nèi)容自動后臺轉(zhuǎn)碼，在不同終端、不同平臺采用不同碼率、不同分辨率、不同編碼格式同步發(fā)布成為現(xiàn)實(shí)。