第3章 广电新媒体安全保障交流1016-何宁.ppt

防病毒 在系统中部署一台服务器专门用于定期地、自动到Symantec网站上更新必威体育精装版的病毒定义码和扫描引擎及软件修正包，然后将把这些内容拷贝到IPTV集成播控平台网络中的LiveUpdate服务器，客户端自动到网络中心的防病毒服务器进行病毒定义码和扫描引擎的更新、升级。 访问控制 为了完善网络边界的访问控制机制，系统部署方正网络防火墙设备，同时在交换机配置ACL列表，在 IPTV集成播控平台与电信网络之间进行控制。 防火墙 采用了交换模式部署防火墙；在保证核心业务正常交互前提下，开放业务交互所需要用到的端口，封闭掉其他所有的端口，从而提高播出核心数据区的安全性。 入侵检测 将千兆入侵检测系统部署于两台核心交换机上，通过配置端口镜像将说有通过该核心交换机上的数据进行分析并完成攻击检测，并形成审计日志发送至安全管理平台。 权限管理 对人员的登录操作进行了严格的、细粒度的权限分配以及管理，对逻辑库、文件夹、操作、分类都可以分别授权控制。通过角色来对具体的资源进行授权。 点播节目制作部门的普通用户由部门的分级授权用户进行管理。系统维护用户管理的统一性。具体的权限管理包括： 应用子系统权限管理：全媒体资源库系统的各个应用子系统相关的权限管理。 流程权限管理：管理所配置的各个流程相关的操作权限。 分类权限管理：管理各个分类节点访问的权限，管理文件夹的访问权限。 * 我们全媒体生产云平台主要有5大特点。 * IPTV 集成播控平台是指对 IPTV 节目从播出端到用户端实行管理的播控系统，包括节目内容统一集成和播出控制、电子节目指南 (EPG) 、用户端、计费、版权等管理子系统。 IPTV 集成播控平台是指对 IPTV 节目从播出端到用户端实行管理的播控系统，包括节目内容统一集成和播出控制、电子节目指南 (EPG) 、用户端、计费、版权等管理子系统。 与普通IT网络相比，网络化制播环境的特点表现如下： 1）安全要求高：广播电视是党和国家的喉舌,安全播出是广播电视工作的重中之重，如果出现安全问题，其后果往往不仅仅是经济方面的损失。有时政治上的损失很难挽回。 2）政策要求严：国家广电总局制定了严格的安全政策，例如要求播出系统与互联网隔离，以及播前审查、重播重审等。安全播出调度指挥中心有一些非常严格的要求。 3）可靠性要求高：系统出故障造成停播是重大事故，因此要尽可能减少系统停机时间。总局的要求是非常高的，卫视频道在重要保证期停播3秒就是重大事故，3秒钟人都反应不过来的，只能靠系统本身具有很高的可用性，自动冗余切换。 4）技术特色鲜明：数据量大，实时性要求高。这也是视音频数据与文本、图片、数据库等数据不同的地方，特别是高清节目，按照120M的制作码率，每小时节目的文件大小达到50多个G，实时性要求还高，如果带宽没有保证，或者网络延时过大，会造成节目的质量问题。一个高清频道的数据量相当于4-5个标清频道。 综上所述，网络化制播环境既是IT网络环境，又是广电制播系统环境，既有IT行业本身的联网、数据无形等特点，也有广电行业数据量大、政治敏感性强、审核环节多、可靠性要求高等广电行业特点，从而带来工作流程变革、提高管理水平的要求。 * 针对前面所述的技术、管理、运维风险，项目组设计了电视台网络化制播环境安全体系模型。 该模型的形状像一把锁，由安全策略、安全技术、安全管理、安全运维、安全评估五个部分组成。 可以说，安全策略是前提（核心），安全技术是基础，安全管理是关键，安全运维是保障，安全评估是手段。这五个部分就构成了一个比较完整的安全体系模型。 * * * * 安全技术主要指技术设施、业务数据的安全，是网络化制播环境安全的基础。制播网络的安全技术是一个随着技术进步不断动态发展的过程。 网络化制播环境的安全需要多层次立体化的安全产品和技术进行保障。安全技术应依据网络的五个层面分别进行设计、部署与应用整合，提高台内网的整体安全性能。 。 基础环境层：主要考虑核心网络机房在环境安全风险方面的技术对策，重点对机房环境、用电安全进行了阐述。例如在用电安全中,提出工艺用电与动力、照明用电分开，采用UPS电源（单机、串联、并联冗余、单机双母线、双机双母线），双路供电，建立备用供电系统（柴油发电机组）等对策. 网络交换层：网络通信层作为台内网的运行基础，其安全需着重考虑如何避免各业务板块之间未经授权的访问，以及病毒、木马的攻击和扩散，保证各业务板块特别是新闻、播出等关键业务的安全。项目对台内网安全等级规划、网络架构安全、边界安全防范、终端安全防范、网络可靠性、拥塞控制与服务质量保障等方面进行了研究。 系统平台层：主要考虑系统总体架构、设备链路冗余及平台软件安全，避免单点故障造