江蘇廣電總臺播出系統(tǒng)信息安全實踐

陸正軍 江蘇省廣播電視總臺

江蘇廣電總臺播出系統(tǒng)信息安全實踐

陸正軍 江蘇省廣播電視總臺

傳統(tǒng)媒體的技術系統(tǒng)越來越呈現(xiàn)IT化、網(wǎng)絡化，傳統(tǒng)媒體自身對信息安全越來越依賴，此外國家和行業(yè)監(jiān)管部門對信息安全也有要求。本文簡要介紹了國際和國內(nèi)信息安全相關標準，并參考廣電總局信息安全等級保護相關要求，首先介紹了江蘇廣電總臺播出系統(tǒng)原有信息安全保護措施，然后針對系統(tǒng)中存在的信息安全薄弱點，介紹了在不采購新設備和服務的情況下，自行對江蘇廣電總臺播出系統(tǒng)實施的一些信息安全保護措施。

信息安全 等級保護 播出系統(tǒng)

一、引言

隨著社會的發(fā)展進步，各類新興媒體形態(tài)層出不窮，融合媒體發(fā)展是大勢所趨，在此過程中，傳統(tǒng)媒體的技術系統(tǒng)也越來越呈現(xiàn)IT化、網(wǎng)絡化，傳統(tǒng)媒體自身對信息安全越來越依賴。

此外，國家和行業(yè)監(jiān)管部門對信息安全也有要求。國家于2016年11月7日通過了《中華人民共和國網(wǎng)絡安全法》，此外還出臺了很多信息安全相關標準。廣電總局于2014年對《廣播電視安全播出管理規(guī)定》（國家廣電總局62號令）進行修訂，在各專業(yè)實施細則中修訂“信息安全管理”章節(jié)。

本文簡述了國際和國內(nèi)信息安全相關標準，并參考廣電總局信息安全等級保護相關要求，介紹江蘇廣電總臺播出系統(tǒng)信息安全相關實踐。

二、信息安全標準

2.1 國際標準

在信息安全領域，國際上有三個最知名的標準：信息及相關技術控制目標（COBIT）、美國國家標準與技術研究院（NIST）標準、國際標準化組織（ISO）27000系列標準。

COBIT由ISACA（信息系統(tǒng)審計與控制協(xié)會）發(fā)布。ISACA是一個被廣泛認可的獨立IT治理組織，其COBIT被眾多的IT組織所采用，基于成熟度模型（如能力成熟度模型CMM）來定義和管理過程。COBIT不是關于信息安全的——它是一般的IT標準，但某些安全實踐嵌入在其中。

NIST提供了一組“特定出版物”，以協(xié)助業(yè)界、政府和學術機構提供最佳實踐。稱為“800系列”的指定安全特定出版物，針對每項技術都介紹得很具體。

ISO 27000系列的信息安全標準提供了一套框架，結合熟悉的風險控制與評估，遵循典型的法規(guī)及信息安全通用最佳實踐。其中ISO 27002是一套詳細的信息安全控制手冊，主要包含14個安全控制措施的章節(jié)、35個主要安全類別、135個具體安全控制項。

這三個國際標準各有側重點，筆者認為ISO 27000系列標準中的ISO 27002對我們實際信息安全工作有很大的參考價值，主要內(nèi)容如表1所示，詳見其標準文檔。

表1 ISO 27002中35個主要安全控制類別

2.2 國內(nèi)標準

國內(nèi)有很多信息安全相關標準，如GB 17859-1999、GB/T 25058-2010、GB/T 22240-2008、GB/T 22239-2008、GB/T 20271-2006、GB/T 25070-2010、GB/T 28448-2012、GB/T 28449-2012、GB/T 20269-2006、GB/T 20282-2006，其中大多數(shù)標準是關于信息系統(tǒng)等級保護的。目前國內(nèi)各個行業(yè)都在推進信息安全等級保護工作，各行業(yè)也參照國標出臺了行業(yè)指導文件，本小節(jié)主要介紹廣電總局關于信息安全等級保護的相關要求。

廣電總局2014年修訂的《廣播電視安全播出管理規(guī)定》，其中《電視中心實施細則》第81條有如下規(guī)定“應按照《廣播電視相關信息系統(tǒng)安全等級保護定級指南》（GD/J037）的要求，劃分播出相關信息系統(tǒng)的安全保護等級。播出相關信息系統(tǒng)應符合《廣播電視相關信息系統(tǒng)安全等級保護基本要求》（GD/J038）的相關規(guī)定，并按照相應等級要求進行規(guī)劃、設計、建設、評估和整改?！薄?/p>

根據(jù)GB/J037[2]文件要求，江蘇廣電總臺播出系統(tǒng)屬于信息系統(tǒng)三級安全保護等級（省級臺播出系統(tǒng)），GB/J038[3]中“第三級防護要求”列出了具體防護要求，如表2所示，此外該文件還有獨立于具體等級的“通用物理安全要求”和“通用管理安全要求”，如表3所示。

表2 GD/J038“第三級防護要求”

表3 GD/J038“通用物理安全要求”和“通用管理安全要求”

三、具體實踐

本節(jié)參照《廣播電視相關信息系統(tǒng)安全等級保護基本要求》（GD/J038），介紹江蘇廣電總臺播出系統(tǒng)原有安全措施及本次實施的安全措施。

3.1 系統(tǒng)概況

在進行具體工作前，我們對播出系統(tǒng)進行了梳理，包括網(wǎng)絡拓撲、業(yè)務劃分、設備清單等。播出系統(tǒng)網(wǎng)絡拓撲如圖1所示，為全萬兆光纖鏈路網(wǎng)絡，分接入網(wǎng)絡跟匯聚網(wǎng)絡兩層架構。播出系統(tǒng)業(yè)務主要分為整備系統(tǒng)、上載系統(tǒng)、播控系統(tǒng)。

圖1 江蘇廣電總臺播出系統(tǒng)網(wǎng)絡拓撲圖

3.2 基礎網(wǎng)絡安全

參考總局等保三級要求，我臺播出系統(tǒng)已有如下一些安全保護措施：

（1）設備冗余：所有網(wǎng)絡設備均有冗余備份，不存在單一潰點；雙網(wǎng)卡終端的兩個網(wǎng)卡接入不同的接入交換機（堆疊），單網(wǎng)卡終端的主、備設備接入不同的接入交換機；接入交換機上聯(lián)匯聚交換機采用熱備路由器協(xié)議（HSRP）實現(xiàn)各VLAN冗余網(wǎng)關地址；匯聚交換機上聯(lián)主干核心交換機采用EIGRP路由協(xié)議實現(xiàn)了冗余備份。

（2）帶寬冗余：所有網(wǎng)絡鏈路均為萬兆光纖，播出內(nèi)部為萬兆帶寬，播出匯聚交換機上聯(lián)主干平臺核心交換機為兩根萬兆鏈路綁定，滿足了臺里高清化送播需求，并留有帶寬余量。

（3）安全域劃分：播出系統(tǒng)內(nèi)部根據(jù)業(yè)務劃分為VLAN101～VLAN105五個網(wǎng)段，其中VLAN101和VLAN105為對外交互網(wǎng)段，VLAN102為上載系統(tǒng)網(wǎng)段，VLAN103和VLAN104為播控系統(tǒng)網(wǎng)段，VLAN102～VLAN104不允許對外交互。

本次針對播出系統(tǒng)在基礎網(wǎng)絡安全方面存在的不足，通過以下幾點進行了加強：

（1）原先網(wǎng)絡日志分散且無備份，本次自行搭建了一臺日志服務器，該日志服務器基于Linux系統(tǒng)中rsyslog軟件實現(xiàn)，系統(tǒng)內(nèi)所有交換機通過logging命令將日志歸集至該服務器，所有日志保留90天，日志服務器中所有日志通過Web形式進行分類展示。（2）本次禁用了所有網(wǎng)絡設備Telnet登錄，啟用了SSH安全登錄協(xié)議。

（3）在網(wǎng)絡設備上設置了ACL，限制遠程登錄終端的IP地址。

3.3 邊界安全

參考總局等保三級要求，我臺播出系統(tǒng)已有如下一些安全保護措施：

（1）邊界部署訪問控制設備：我臺播出系統(tǒng)邊界配置了2臺防火墻，僅允許播出系統(tǒng)VLAN101和VLAN105網(wǎng)段對外交互，但未做進一步細化。

（2）安全數(shù)據(jù)交換：播出系統(tǒng)對外數(shù)據(jù)交互，采用臺里荔枝云提供的“荔枝快傳”功能，“荔枝快傳”底層采取infiniband線纜進行物理隔離，所有交互文件必須通過防病毒檢測。

本次針對播出系統(tǒng)在邊界安全方面存在的不足，通過以下幾點進行了加強：

（1）細化防火墻控制策略，所有控制項精確到端口，禁用一切未使用的協(xié)議和端口。

（2）本次針對核心機房外所有終端，基于交換機端口進行了MAC地址綁定，防止核心機房外有非法設備接入。

3.4 終端及服務器系統(tǒng)安全

參考總局等保三級要求，我臺播出系統(tǒng)已有如下一些安全保護措施：

（1）所有終端及服務器遵循最小化安裝原則，僅安裝了必須的組件和應用程序。

（2）所有終端及服務器部署了賽門鐵克防病毒軟件，每周進行病毒庫更新。

（3）流程驅(qū)動引擎、數(shù)據(jù)庫、時鐘等核心服務器配置了冗余設備，不存在單一潰點。

（4）核心機房內(nèi)所有設備禁用了USB、光驅(qū)等外設。

本次針對播出系統(tǒng)在終端及服務器系統(tǒng)安全方面存在的不足，通過以下幾點進行了加強：

（1）原有終端及服務器口令較簡單，很多系統(tǒng)使用相同的密碼，本次改掉了系統(tǒng)內(nèi)所有簡單密碼，新密碼要求具備一定的復雜度（長度10位以上，包含大寫字母、小寫字母、數(shù)字），制定了密碼使用規(guī)范，要求定期修改系統(tǒng)密碼。

（2）有些位于核心機房外的終端未禁用USB、光驅(qū)等外設，本次進行了統(tǒng)一禁用。

（3）原先系統(tǒng)內(nèi)所有終端和服務器未開啟本地審計策略（Windows中“管理工具”=》“本地安全策略”=》“本地策略”=》“審核策略”，Linux中的auditd或rsyslogd進程），為防止開啟本地審計策略影響應用，本次由次要服務器開始，分批開啟了本地審計策略。

3.5 應用安全

參考總局等保三級要求，我臺播出系統(tǒng)已有如下一些安全保護措施：

（1）播出系統(tǒng)內(nèi)所有應用對用戶進行了權限劃分，為不同的用戶分配了最小操作權限，如只有領班崗位用戶可以執(zhí)行素材刪除操作。

（2）應用能夠記錄用戶操作日志，如某用戶在某個時間點針對某個素材進行了遷移或刪除操作等。

本次針對播出系統(tǒng)在應用安全方面存在的不足，通過以下幾點進行了加強：

（1）原先應用登錄密碼較簡單，本次修改掉應用所有簡單密碼，密碼使用規(guī)范同3.4小節(jié)。

（2）編單項目中采購有U-KEY設備，本次將這些U-KEY設備部署到位，實現(xiàn)了編單業(yè)務密碼+U-KEY雙因子認證。

3.6 數(shù)據(jù)安全與備份恢復

參考總局等保三級要求，我臺播出系統(tǒng)已有如下一些安全保護措施：

（1）播出系統(tǒng)業(yè)務流程中包含MD5校驗環(huán)節(jié)，保證了數(shù)據(jù)傳輸安全。

（2）播出系統(tǒng)內(nèi)所有數(shù)據(jù)庫服務器采取NEC集群軟件實現(xiàn)了雙機熱備，能夠保證數(shù)據(jù)庫應用本身及數(shù)據(jù)的熱備。

（3）播出系統(tǒng)采取多級存儲，播出素材在整備存儲、播出緩存、播出服務器中存在三份拷貝，實現(xiàn)了素材的冗余備份。

本次未對數(shù)據(jù)安全與備份恢復部分進行加強。3.7安全管理中心

總局等保三級要求配備安全管理中心，實現(xiàn)系統(tǒng)運行狀況的集中監(jiān)測，并提供集中管理和集中審計功能，本次通過自行搭建的日志服務器和堡壘機，完成了部分安全管理中心功能。

（1）如3.2小節(jié)所述，本次播出系統(tǒng)自行搭建了一臺日志服務器，該日志服務器基于Linux系統(tǒng)中rsyslog軟件實現(xiàn)，交換機通過logging命令進行日志歸集，Linux服務器通過rsyslog進行日志歸集（?.? @＜ip address＞:514），Windows服務器通過Datagram SyslogAgent插件進行日志歸集，日志服務器采用Web形式將所有日志分類展現(xiàn)。

（2）播出項目中采購有一臺網(wǎng)神堡壘機，本次進行了配置，將系統(tǒng)內(nèi)所有網(wǎng)絡設備、重要服務器納入堡壘機管理，堡壘機為不同的用戶分配了不同的權限，審計員可對所有用戶操作進行審計。

3.8 物理及管理安全

參考總局等保三級要求，我臺播出系統(tǒng)已有如下一些安全保護措施：

（1）設備機房配備精密空調(diào)，N+1備份，溫濕度有任何異常會進行短信報警。

（2）播出系統(tǒng)配備兩路外電，均為專線，另外配備柴油發(fā)電機，重點保障期還會協(xié)調(diào)應急供電車到場保障。

（3）播出機房UPS系統(tǒng)采用單機雙總線供電方式，主備播出設備、雙電源播出設備分別接入不同的供電回路，任一UPS故障不影響設備正常工作，UPS電池組可持續(xù)供電超60分鐘。

本次未對物理及管理安全部分進行加強。

四、 后續(xù)工作

本次僅在不采購新設備和服務的情況下，自行對江蘇廣電總臺播出系統(tǒng)實施了一些信息安全保護措施，但由于缺少專業(yè)設備和考慮現(xiàn)網(wǎng)實施的安全性和復雜度，等保要求中還有很多安全措施未能實施，后續(xù)將針對以下幾個方面進行再加強：

（1）本次播出系統(tǒng)自行搭建了一臺日志服務器，實現(xiàn)了所有網(wǎng)絡設備、Window/Linux主機的日志歸集及展示，但未對應用日志進行歸集，后續(xù)考慮跟應用建立接口。

（2）目前播出系統(tǒng)內(nèi)所有Web應用采取http方式登錄，后續(xù)會跟廠商探討利用openssl實現(xiàn)我們Web應用自簽名證書的可行性，如果可行，管理終端瀏覽器僅需將該證書設為“受信任”，即可完成Web應用向https的遷移。

（3）播出系統(tǒng)邊界未部署IPS與IDS等入侵防范設備，后續(xù)系統(tǒng)改造過程中，將會將這些安全設備納入考慮。

（4） 目前播出系統(tǒng)內(nèi)所有服務器均未更新系統(tǒng)補丁，主要是考慮安全性和兼容性問題，后續(xù)可以嘗試在非核心服務器上更新系統(tǒng)補丁。

（5）本次僅對編單應用實施了雙因子認證，后續(xù)可采購U-KEY等設備，對播出系統(tǒng)內(nèi)其他應用實施雙因子認證。

（6）播出系統(tǒng)未根據(jù)安全策略控制用戶對資源的訪問（控制顆粒度為文件、數(shù)據(jù)庫表級），這點在現(xiàn)網(wǎng)實施有一定的困難，后續(xù)項目在設計之初就要考慮這方面的安全策略。

五、總結

本文簡要介紹了國際和國內(nèi)信息安全相關標準，并參考總局等保相關要求，在不采購新設備和服務的情況下，自行對江蘇廣電總臺播出系統(tǒng)實施的一些信息安全保護措施。本文僅實施了部分安全措施，還有一些方面未達到等保要求，有待進一步探索實踐。

[1] ISO/IEC 27002:2013,https://www.iso.org/ standard/54533.html.

[2] GD/J 037—2011《廣播電視相關信息系統(tǒng)安全等級保護定級指南》。

[3] GD/J 038—2011《廣播電視相關信息系統(tǒng)安全等級保護基本要求》。