【本文献信息】杨肠,吴永生•融媒发布平台信息安全策略[J],r播与电视技术,2019,Vol.46(10).
融媒发布平台信息安全策略
杨肠,吴永生
(南京广播电视集团,江苏210001)
【摘要】南京广电集团成功研发的无压缩视频IP流的全业务融媒发布平台不仅适应了电视播出架构IP化的进程,同时还满足了集团媒体融合发展的需求,但也带来了信息安全难题。本文介绍了南京广电集团融媒发布平台的信息安全策略,从系统网络安全、区域边界安全、安全策略管理三方面着手,建立信息安全防御体系,确保融媒发布平台安全可靠运行。【关键词】无压缩IP播出,融媒发布,信息安全,区域边界,安全策略
【中图分类号】TN948【文献标识码】B【DOI编码】10.be.201900010022
Information Security Strategy of Convergent Media Publishing Platform
Yang Yang,Wu Yongsheng
(Nanjing Broadcasting Group,Jiangsu210002,China)
教师节快乐用英语怎么说Abstract Nanjing Broadcasting Group has successfully developed a full-rvice media publishing platform for uncompresd video IP streams, which not only adapts to the process of IP-bad television broadcasting architecture,but also meets the needs of the development of convergent media.Then information curity problems followed.This paper introduces the information curity strategy of the convergent media publishing platform of Nanjing Broadcasting Group.It establishes the information curity defen system from three aspects of system network curity, regional border curity and curity strategy management to ensure a safe and reliable operation of the convergent media publishing platform. Keywords Uncompresd IP broadcasting,Convergent media publishing,Information curity,Regional border,Security strategy
0引言
无压缩视频IP流的全业务融媒发布平台(以下简称“融媒发布平台”)包括无压缩视频IP播出区、全业务融媒发布区、信息安全保护三个部分,其中无压缩视频IP播出系统完成本台2套高清电视节目的播出和网络直播,同时面对互联网及移动等用户进行融媒发布。融媒发布区具备全媒体资源汇聚功能,融合多种基于云的管理和运营方式,实现节目资源跨网络、跨系统、跨业务的交换。整个发布平台的安全性设计尤为重要,通过信息安全建设,保障IP播出系统与融媒发布区域的安全可靠运行。
1融媒发布平台信息妄全保护架构
依据总体安全策略和等级保护相关原则,设计融媒发布平台的信息安全技术架构和安全管理策略,符合行业安全相关要求,满足信息安全保护需求。融媒发布平台信息安全设计在分区、分级、分域防护原则的基础上,将各业务的信息安全防护按区域划分为IP播出区、边界安全区、融媒发布区、DMZ区进行安全防护措施设计,其信息安全保护架构如图1所示[1]o
1.DMZ即隔离区。DMZ区内部署Web应用防火墙、发布服务器及内容交换系统。Web应用防火墙通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断。
2.安全边界。包括互联网接入区和IP播出系统边界两部分。互联网接入区中部署下一代防火墙,实现互联网接入的安全防护及内部安全域间的逻辑隔离,同时对发布的媒体文件进行控制。通过部署入侵检测系统,对网络入侵等安全事件和行为进行实时的监控和告警。IP播出系统边界通过部署边界隔
离系统,对来自IP播出系统的节目和控制消息以非TCP/IP的方式进行安全数据单向传输。
3.融媒发布区。包括曰志审计、运维审计和终端管理与防病毒。通过部署曰志审计系统,对互联网接
入区的网络设备、安全设备进行曰志抓取和审计,确保发生安全事件第一时间,可以进行定位和追溯。通过部署运维审计系统能够拦截非法访问和恶意攻击,对不合法命令进行阻断,过滤掉所有对目标设备的非法访问行为。
4.IP播出区。包括曰志审计、运维审计、终端管理与防病毒、数字证书、数据库审计和安全管理中心%其中,曰志审计能够实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的曰志、警报等信息汇集到审计中心,实现全网综合安全审计。运维审计搭配终端管理和防病毒软件能够拦截非法访问和恶意攻击,对不合法命令进行阻断,过滤掉所有对目标设备的非法访问行为。部署数字证书系统,实现关键业务系统和运维管理业务的双因素认证,确保用户认证和授权安全。数据库审计系统部署在业务服务器集中的交换机上,该系统实现细粒度审计、精准化行为回溯、全方位风险控制,为核心数据库提供全方位、细粒度的保护功能。同时部署安全管理平台,将分散在各地区、不同业务网络上面的各种设备节点有机的结成一个整体,对全网的安全事件进行统一监控、管理、展现,实现安全工作的制度化和流程化。
2融媒发布平台信息妄全策略
融媒发布平台信息安全策略包括网络安全策略、区域边界安全策略和安全策略管理三个方面。针对ip播出系统和融媒发布系统两个安全区域制定相应的解决方案。
2.1融媒发布平台网络安全策略
2.1.1IP播出区的网络安全策略
boomerangIP播出系统采用扁平化二层网络架构(IP流万兆交换层、业务控制数据交换层),采用虚拟集群和堆叠技术,解决链路环路问题,提高了网络可靠性。IP播出系统内部网络划分不同的V LAN,对各个业务子网进行逻辑隔断,减少网络风暴和提高网络效率的同时也增强了网络系统安全。系统内所有网络交换节点采用无单点故障设计,关键部位配置双电源、冗余主控、冗余交换网板,支持热插拔功能,避免了机箱出现单点故障,提高系统的可靠性。交换机、刀片服务器全部采用聚合双上行链路互连,避免单一设备故障导致的业务中断。完善的监控、管理系统具备用户身份鉴别、访问控制、安全维护、应用安全、策略管理、审计功能、曰志记录等功能。
在IP播出系统中的3台Dell M630刀片服务器上分别安装ESXI5.0的虚拟化管理软件,并在vCenter管理中心开启HA集群功能来保护集群内各虚拟机安全应用服务。当HA代理检测到集群内某台主机故障发生后,在其它主机上启动该故障主机上的虚拟机安全应用服务。为防止虚拟机被攻击及安全问题的相互传染,除安装杀毒软件来预防和解决之外,在VMsafe中建立逻辑隔离,在逻辑上隔离各个虚拟机,确保其安全运行。
茨冈人
IP播出系统与SDI播出系统之间利用防火墙进行防护,与融媒发布区则采用网闸进行隔离。对系统内
各上载、播控、维护工作站的光驱、USB接口等进行屏蔽,对必要的数据的
导入导出,使用专业USB安全隔离器进行数据安全过滤。网闸设备部署在IP播出系统与融媒发布区的网络边界,并设置成单向通信,防止外来非法入侵行为。
2.1.2融媒发布区的网络安全策略
融媒发布区的网络安全除了确保物理链路、节点冗余备份外,各节点设备通过动态路由协议保证网络可达、合理规划流量控制,防止网络堵塞。融媒发布区的媒体和信息业务相对独立,在网络层面,通过MPLS/VPN技术实现了业务的隔离和不同区域的逻辑隔离,保障网络的安全性。采用访问权限控制,限制非法设备和用户登录。开启网络设备、安全设备的审计功能,对网络设备运行状况、网络流量、用户行为等进行审计。安全管理中心及时对确认的违规行为进行报警及处置。软、硬件故障发生时可迅速切换到备用模块,保障业务运行不间断。建立及时有效的备份机制,实时备份平台中各种重要数据。
在融媒发布区与互联网的网络边界部署下一代防火墙,对进出系统的数据流进行严格的访问控制和实时监控,控制范围延伸到源IP、目的IP、端口和协议,对进入网络的恶意代码进行检测和防护。
2.2区域边界安全策略
区域边界的安全包括网络结构、访问控制、边界完整性保护、安全审计、包过滤、恶意代码防范及网络设备防护等,针对不同访问和传输应采用不同安全策略进行安全防护。
融媒发布平台构建双重边界安全保护机制,其区域边界安全保护拓扑图如图2所示,从外到内依次为“互联网安全区域边界T融媒发布安全区域边界T IP播出安全区域边界”,构建起了双重安全边界的纵深防护,融媒发布区通过数据交换区与办公网络、互联网进行数据交换,IP播出区通过播出边界与融媒发布区进行数据交换。建立起自内而外、内紧外松、内高外低的安全策略,外层边界即使被突破也不会威胁到IP播出系统的安全。
2.2.1IP播出区的边界安全策略
在IP播出区与融媒发布区之间部署网闸作为网络边界安全设备,其集安全隔离、实时信息交换、协议分析、内容检测、访问控制、安全决策等多种安全功能为一体巴在实现多个不
防火墙下一代防火墙
原SDI播出系统
刀片服务器
虚拟播出/服务代理/系统存储
IP播出区
隔离网闸
IP播控系统管理
一一一
千兆
交换机
DMZ区
Web服务器紫金TV发布
J
Web
应用防火墙
机场英语
初学英语
同安全等级的网络安全隔离的同时,实现高速的、安全的数 3.3审计管理
据交换,杜绝IP播出区与外界互联网的直接信息及业务往来,提供可靠的信息及业务交换服务。
2.2.2融媒发布区域的边界安全策略
融媒发布区部署了资源汇集服务器,负责收集已播成品节目和外来新闻爆料等,提供融媒发布所需素材的转码、迁移、校验等服务,作为平台承上启下的一个功能区域,同时连接IP播出区和互联网。
在面向IP播出区的边界实施相应的数据交换策略,部署网闸等安全设备,所有协议、元数据,以及消息的互通都通过网闸进行摆渡过滤。具有访问控制、媒体文件完整性校验、入侵检测和恶意代码检测。实施入侵预防系统,监视网络或网络设备的传输行为,及时中断、调整或隔离一些不正常或是具有伤害性的信息传输行为。
在面向互联网区边界部署万兆防火墙,过滤进出网络的信息,仅允许媒体文件及相关附属信息通过,实现对应用层协议命令级的控制,重要网段采用IP与MAC地址绑定等手段防止地址欺骗。
此外,融媒发布区严格实施安全审计,对网络设备、安全设备开启审计功能,审计记录包括事件的曰期、时间、IP地址、事件类型、事件是否成功、URL地址等,还严格管控移动存储介质的接入。
3妄全策略管理opus
安全策略管理包括运行监测、安全管理、审计管理、统一身份认证等功能。
3.1运行监测
对网络系统、服务器和终端、数据库系统、应用系统等状态实施监测与管理。对IP播出和融媒发布两个安全区域的运行状态进行监测与管理,包括网络链路状态、核心与汇聚交换机的端口状态、IP地址、关键节点的网络流量等;对系统重要服务器的运行状态如CPU及内存使用率等进行监控;对数据库的进程占用及告警数据、系统存储空间等进行监控;对系统应用软件运行情况进行实时监控;对访问控制设备、入侵检测、防病毒网关、防病毒软件、终端安全管理等安全系统的运行状态进行监控,对异常情况进行报警、记录,遇到问题自动分析后提出必要的应对措施。
3.2安全管理
对系统网络设备、服务器、应用系统、安全设备等的安全事件信息进行关联分析及风险预警;对恶意代码进行集中统一管理;实现系统各设备及应用保持时钟同步。
computervision对系统网络、边界安全设备、服务器及应用软件的安全审计曰志进行集中管理,包括审计记录的存储、统计、查询、关联分析和预警,生成安全事件审计报表,并及时归档。
3.4统一身份认证
统一身份认证服务提供身份认证和权限管理功能,可以管理用户(比如员工、系统或应用程序)账号,并且可以控制这些用户对资源的操作权限。可以根据用户的职责分配不同的访问权限,控制其云资源的访问范围;可以灵活设置登录验证策略、密码策略、访问控制列表等。
4结束语
融媒发布平台基于全网络化播出和发布环境,系统信息安全设计与实施贯穿于该项目建设始终。通过系统网络安全、边界防护、安全策略设计等将全系统置于周密的信息安全保护之下,依据国家和行业等级保护相关政策规范和技术标准要求,建立信息安全保护的深度防御体系,为我台从传统媒体向融合媒体转型发展之路保驾护航。EE3人教版七年级英语上册
留学申请中介
参考文献:
[1]杨旸,云帆.电视播出系统网络信息与数据安全J].电视技术,2015,39(22):61-64.
[2]王颖.论目前计算机网络安全所面临的威胁及防范措施[J].消费电子,2013(14):87.
stride[3]刘昭明,邓香辉.电视中心业务信息系统的信息安全防护探讨[J].广播与电视技术,2014,4(7):118-121.
第一作者简介:
杨旸,男,1975年生,大学,学士,主管,高级工程师,广播电视工程技术人员。
