高清播出系統網絡安全架構設計研究論文

高清播出系統網絡安全架構設計研究論文

　　摘要：海南廣播電視總臺作為省級媒體，對于安全播出有較高的要求。目前，海南廣播電視總臺高清播出系統已實現了7個頻道的高清播出、整備和縮編業務。在網絡安全方面，系統已通過了三級等保測評。本文主要是介紹海南廣播電視總臺高清播出系統網絡安全架構的設計。

　　關鍵詞：高清播出；網絡安全

　　一設計思路

　　海南廣播電視總臺高清播出系統網絡安全架構的設計是以現有系統的實際情況和現實問題為基礎，遵循國家網絡安全法、廣電總局62號令以及網絡安全等級保護管理辦法的要求，汲取近年來全國各大電視臺網絡安全的成熟經驗，科學規范地建立集管理和技術為一體的符合自身實際情況的網絡安全體系。海南廣播電視總臺一直非常重視網絡安全工作，長期將網絡安全擺在重要位置，此次高清播出系統網絡安全架構設計的核心目標就是構建符合等級保護三級標準要求的系統，從而保障系統所包含業務的安全可靠運行，保證關鍵內部信息的保密性、完整性及可用性，同時建設完善的網絡安全管理制度體系，包括制定、細化和修正各種在日常網絡安全工作、系統建設工作以及系統運維工作中要求遵守的網絡安全制度、操作規范等規定。高清播出系統網絡安全總體框架如圖1所示，分為五個部分，包括策略體系、技術體系、組織體系、運營體系、系統建設體系。策略體系主要是整體網絡安全策略的規劃。技術體系主要是高清播出系統所采用的網絡安全技術、基礎支撐設施以及各層次的安全。組織體系主要是網絡安全的組織架構以及人員的管理。運營體系主要是管理高清播出系統網絡安全策略在日常運行過程中的執行。系統建設體系主要是高清播出系統建設過程中的網絡安全工程過程管理、項目管理以及質量的管理。

　　二設計要點

　　1.網絡邊界安全網絡邊界安全措施是保護高清播出系統的基本安全措施，也是保障系統安全的第一步。海南廣播電視總臺高清播出系統的邊界安全措施主要從邊界的定義、邊界的隔離和訪問控制、邊界的入侵檢測等方面入手，同時選用大吞吐量和高并發的網絡防火墻，實現攻擊防護、IPSECV*N、訪問控制、用戶認證、鏈路負載均衡等功能（圖2）。

　　2.核心網絡入侵檢測海南廣播電視總臺高清播出系統與主干網相連，后者承載了各業務系統之間數據的共享、交換和傳輸，這對高清播出系統網絡的傳輸安全提出了很高的要求。在高清播出系統核心網絡設備上部署入侵檢測引擎，實現對核心網2高清播出系統網絡拓撲圖絡的訪問進行實時監控，確保核心網絡的安全，是保障海南廣播電視總臺高清播出系統業務可用性和傳輸安全性的基本監控措施。

　　3.系統平臺安全系統平臺安全主要是指主機設備配置安全，主要包括管理軟件設置、運行日志，實行統一認證，設置、運行、維護權限控制和訪問控制，監控運行情況等。在操作系統軟件配置方面，要從正規渠道購置正版軟件，并及時更新軟件補丁，同時定期對系統內的操作系統、平臺軟件、應用軟件進行安全性檢查，關閉不需要的服務。在數據備份和系統恢復方面，要對重要的數據采用多種手段進行有效備份，以備在必要時進行恢復操作。

　　4.操作系統內核加固按照等級保護劃分，早期的操作系統屬于第一級用戶自主保護級，目前使用的主流操作系統都屬于第二級系統審計保護級。由于二級操作系統已經不能滿足高清播出系統網絡安全需要，因此，對操作系統進行內核加固，打造符合國家信息系統安全等級保護操作系統安全三級標準以及公安部GB/T20272-2006信息安全技術三級認證的安全操作系統是必須要做的。操作系統內核加固軟件能夠與當前各種主流硬件平臺、操作系統以及應用系統有效結合，從而實現安全等級的動態提升。除對操作系統內核進行加固外，海南廣播電視總臺還對高清播出系統的服務器、工作站、數據庫、網絡設備、安全設備等進行了人工加固。

　　5.用戶安全身份認證的應用是保障高清播出系統用戶安全的重要手段，高清播出系統終端用戶在認證中心注冊并取得身份令牌后，訪問高清播出系統的業務時，必須通過認證中心的認證之后，才能進行有效的數據交換和安全的數據共享。海南廣播電視總臺高清播出系統采用雙因素身份認證系統，終端用戶在進行系統登錄時采用用戶名+靜態密碼+動態口令登錄，而且同一個用戶名的登錄是在2個操作界面內完成。身份認證系統還具備密碼集成、在線/離線認證以及后臺應急密碼認證等功能。

　　6.日志審計在高清播出網絡系統的各個關鍵節點中部署日志審計探針來采集日志數據，并上報日志審計管理中心，通過管理中心實現日志數據的分析和評估和網絡安全響應，從而實現審計數據采集、分析、查閱、事件的選擇和存儲以及自動響應等功能。海南廣播電視總臺高清播出系統選用的日志審計平臺可存儲3億條日志，并可同時審計100個對象，峰值處理能力可以達到5000EPS（EPS：每秒日志解析能力）。

　　7.數據庫審計與風險控制數據庫審計與風險控制系統可以有效管理數據庫賬號權限，識別越權使用和權限濫用，跟蹤敏感數據訪問行為并及時發現敏感數據泄漏，同時還可以檢測數據庫配置弱點和數據庫漏洞，同時生產審計報告。海南廣播電視總臺高清播出系統的數據庫審計與風險控制系統可以在無漏審的情況下同時審計4個數據庫實例，吞吐量大于2000M，具備4億條日志存儲能力，峰值處理能力為2萬條/秒，審計日志檢索能力為1500萬條/秒。

　　8.惡意代碼防范根據GD/J038-2011基本要求，高清播出系統內部應具備惡意代碼防范能力。海南廣播電視總臺高清播出系統在各安全域部署防病毒軟件，對各安全域的終端和服務器進行惡意代碼防范，同時在綜合業務域和制播域邊界部署UTM防火墻實現網關級惡意代碼防護。

　　9.應用系統安全海南廣播電視總臺對高清播出系統的應用系統提出了必須符合《業務系統開發安全規范》的安全要求，要求應用系統在資源的控制、通信完整性保護和軟件容錯三個方面必須達到等級保護的要求。

　　10.安全管理體系海南廣播電視總臺明確網絡安全建設的指導方針和總體安全策略，詳細制定網絡安全建設的總體規劃，以等級保護的思路指導海南廣播電視總臺高清播出系統的網絡安全建設工作。

　　三總結

　　網絡安全策略是整體原則，網絡安全技術和網絡安全設施是設計基礎，網絡安全管理是實現網絡安全的關鍵，網絡安全體系建設是實現網絡安全最為有效的手段。目前，海南廣播電視總臺高清播出系統已通過了廣電總局監管中心的信息系統安全等級保護測評（三級）。通過高清播出系統網絡安全體系的建設，海南廣播電視總臺建立起了完整的網絡安全體系，打造了動態的、系統的、全員參與的、制度化的、以預防為主的安全管理模式，實現了對高清播出系統網絡安全多層次、全方位的防護，有效保障了高清播出系統的安全穩定運行。

【高清播出系統網絡安全架構設計研究論文】相關文章：

系統架構設計師的職責12-14

系統架構設計師的工作職責02-14

精系統架構設計師的職責02-14

系統架構設計師崗位職責03-02

系統架構設計師的崗位職責04-24

系統架構崗位職責03-07

系統架構設計師的崗位職責集錦03-01

系統架構設計師的工作職責15篇02-14

系統架構設計師的工作職責13篇03-06

系統架構設計師的工作職責精選(15篇)07-24