導語：數(shù)字電視播出系統(tǒng)安全設計研究一文來源于網友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：數(shù)字電視播出系統(tǒng)是中國廣電江西網絡有限公司重要的信息系統(tǒng)，成功獲得國家信息系統(tǒng)安全保護三級認證。本文主要介紹數(shù)字電視播出系統(tǒng)的安全設計與實現(xiàn)。

關鍵詞：數(shù)字電視；播出系統(tǒng)；三級等保

1數(shù)字電視播出系統(tǒng)的介紹

中國廣電江西網絡有限公司搭建的數(shù)字電視播出系統(tǒng)是利用現(xiàn)代計算機技術、音視頻編解碼技術、高速硬盤存儲技術，在視音頻節(jié)目采集、編排、節(jié)目播出以及網絡資源共享及視頻存儲等方面建立播出高速網絡，從而形成節(jié)目采集、編排到播出、傳輸、覆蓋等各環(huán)節(jié)都合適的高標清電視同播系統(tǒng)。系統(tǒng)提供20萬余小時的高清、超高清視頻內容，7天內直播節(jié)目隨意看，整合互聯(lián)網視頻、央視、華數(shù)、格靈教育、歡樂歌坊等各類合作伙伴，為全省950萬家庭提供豐富多彩的有線電視節(jié)目。

2數(shù)字電視播出系統(tǒng)安全工作的緊迫性

國家互聯(lián)網應急中心2020年上半年統(tǒng)計數(shù)據(jù)顯示：捕獲計算機惡意程序樣本數(shù)量約1815萬個，日均傳播次數(shù)達483萬余次，涉及計算機惡意程序家族約1.1萬余個。我國境內感染計算機惡意程序的主機數(shù)量約304萬臺，同比增長25.7%。國家信息安全漏洞共享平臺（CNVD）收錄通用型安全漏洞11073個，同比大幅增長89.0%。國家高度重視信息安全工作。隨著業(yè)務發(fā)展，技術迭代更新，各項安全法規(guī)也在不斷完善，國家先后頒布了多部法律法規(guī)包括《中華人民共和國計算機信息系統(tǒng)安全保護條例》《中華人民共和國網絡安全法》《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護法》。國家廣播電視總局也印發(fā)了《廣播電視安全播出管理規(guī)定》，要求安全播出責任單位在播出、傳輸、覆蓋及相關活動中，遵守有關安全生產的法律、法規(guī)和技術標準；安全播出責任單位應當遵守有關信息安全的法律、法規(guī)和技術標準，對涉及安全播出的信息系統(tǒng)開展風險評估和等級保護工作。網絡信息安全是廣播電視信息化必然面臨的問題，網絡信息安全不容忽視。

3數(shù)字電視播出系統(tǒng)的安全設計

中國廣電江西網絡有限公司數(shù)字電視播出系統(tǒng)從2009年開始搭建，經過多年建設，承載著CA系統(tǒng)、EPG系統(tǒng)、股票系統(tǒng)等多個應用子系統(tǒng)，實現(xiàn)了廣播電視節(jié)目的生產、播出、存儲全程文件化和播出自動化，相關業(yè)務系統(tǒng)對網絡的依賴性越來越強，各業(yè)務系統(tǒng)互聯(lián)互通和數(shù)據(jù)交互需求越來越迫切，數(shù)字電視播出系統(tǒng)網絡環(huán)境正從完全基于內網封閉環(huán)境向互聯(lián)網、廣域網的混合網絡環(huán)境轉變。業(yè)務雙向化和交互打破了廣播式數(shù)字電視系統(tǒng)與外界物理隔離的特性，帶來終端用戶行為的未知和不可控。隨著系統(tǒng)內部相關子系統(tǒng)的增加、網絡的開放性、應用的多樣性，以及終端復雜性、接入多樣性和網絡安全新威脅的滋生，使數(shù)字電視播出系統(tǒng)系統(tǒng)面臨更加嚴峻的信息安全風險，對整個系統(tǒng)的穩(wěn)定性、安全性、管理及應用的合理性、信息安全防護技術等提出了更高的要求。原有系統(tǒng)暴露出很多不足，需要對系統(tǒng)的安全進行優(yōu)化和調整，網絡信息安全成為運維重要的部分。整改前網絡拓撲圖如圖1所示。

3.1系統(tǒng)網絡安全設計思路

通過對數(shù)字電視播出系統(tǒng)業(yè)務需求分析網絡安全風險，結合OSI七層協(xié)議和等保2.0的技術要求，制定了合理的安全策略來確保整個系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。可用性保證授權實體可以有權限訪問數(shù)據(jù)。機密性保證數(shù)據(jù)不會被未授權的實體訪問。完整性保證數(shù)據(jù)不被隨意修改?？蓪彶樾员ＷC對出現(xiàn)的安全問題提供參考依據(jù)和手段?？煽匦允菍炔烤W絡與外部不可信任的網絡隔離，對與外部網絡交換數(shù)據(jù)的內部網絡及其主機所交換的數(shù)據(jù)進行嚴格的訪問控制；同時在內部網絡給不同業(yè)務提供不同的安全級別，將不同的網段進行隔離，實現(xiàn)相互訪問的控制。

3.2安全設計方案

整改后網絡拓撲圖如圖2所示。我們根據(jù)系統(tǒng)的整體安全要求，收集了相關業(yè)務的信息，評估了系統(tǒng)的安全性需要，采用了分層防御的方法，在不影響業(yè)務運行的前提下，將安全策略、硬件及軟件結合起來，構成一個統(tǒng)一的防御系統(tǒng)，來實現(xiàn)系統(tǒng)安全架構，以期對系統(tǒng)進行全面的安全管理。在系統(tǒng)安全整體配置上，對傳輸級別的安全性、網絡級別的安全性、系統(tǒng)級別的安全性、應用程序級別的安全性、數(shù)據(jù)級別的安全性單獨進行了安全策略的配置，同時各層安全策略相互產生影響，共同對系統(tǒng)提供綜合性的防護，從而讓系統(tǒng)的安全性得到保障。具體安全策略有如下幾個。（1）互聯(lián)網安全區(qū)策略互聯(lián)網安全區(qū)網絡拓撲圖如圖3所示。任何人員進入數(shù)字電視播出系統(tǒng)進行維護，必須經過互聯(lián)網安全區(qū)防火墻安全連接，經過互聯(lián)網安全區(qū)的IPS的流量過濾；安全連接后的終端運維操作必須經過堡壘機進行安全審計。（2）EPG安全區(qū)策略EPG安全區(qū)網絡拓撲圖如圖4所示。EPG終端和服務端通信必須經過EPG區(qū)防火墻進行安全隔離，EPG終端和服務端通信僅開放需要使用的業(yè)務端口。EPG終端和服務端通信，保持終端的病毒防護能力與系統(tǒng)防護能力。沒有安裝補丁的客戶端的EPG區(qū)域的PC終端無法訪問網絡。（3）網絡管理區(qū)安全策略系統(tǒng)中部署IDS對所有區(qū)域的數(shù)據(jù)流進行入侵攻擊檢測，部署日志服務器對設備日志進行收集；僅對安全管理維護終端開放安全設備管理權限，維護用戶登錄網絡，設備、主機系統(tǒng)需要通過堡壘機才能開展必要的維護工作。

3.3設備配置

（1）互聯(lián)網防火墻配置在互聯(lián)網安全區(qū)里建立了管理區(qū)到互聯(lián)網的物理通道，防火墻啟用了IPS-AV功能，啟用了安全策略，只允許管理區(qū)終端可以訪問互聯(lián)網，目的是讓互聯(lián)網進入系統(tǒng)內部的流量只能先訪問管理區(qū)里的堡壘機，通過堡壘機的跳板功能再訪問內部系統(tǒng)和網絡，同時對所有的操作行為在堡壘機上保留記錄，系統(tǒng)和網絡的相關日志會傳送到日志服務器上，確?；ヂ?lián)網到內部的通信的安全性。（2）EPG防火墻配置在EPG安全區(qū)的EPG客戶端與EPG服務端之間的防火墻上啟用了安全策略，分別建立了EPG客戶端地址組和EPG服務器地址組；同時建立了兩者之間通信的EPG-Server服務組，在防火墻上只開通了EPG客戶端到EPG服務器之間的通信服務。通過以上配置確保只能是指定的EPG客戶端和指定的EPG服務器通過應用端口限制進行最小的通信。（3）核心交換機配置在交換機上啟用了本地認證，開啟了SSH登錄，并且設置了訪問列表只允許指定的網段才能登錄交換機，以確保只能由指定的帳號通過指定的IP登錄配置核心交換機。

4數(shù)字電視播出系統(tǒng)安全的意義

中國廣電江西網絡有限公司搭建的數(shù)字播出系統(tǒng)嚴格按照《中華人民共和國網絡安全法》的要求，在2018年經過定級、備案、建設整改、等級測評、監(jiān)督檢查，于2018年10月30日取得了數(shù)字電視播出系統(tǒng)等保三級備案證。中國廣電江西網絡有限公司將繼續(xù)全面貫徹“強化網絡信息安全和文化安全監(jiān)管”的有關要求，不斷加強安全技術裝備和人力資源投入，優(yōu)化并完善組織體制建設，補充并修訂了相關安全保障工作制度、工作措施和應急預案，建立并完善了安全風險評估和隱患排查整改機制，確保數(shù)字電視播出系統(tǒng)的安全、穩(wěn)定、高效運行。

作者：楊曉東 洪曉東 薛飛 單位：中國廣電江西網絡有限公司