高 虎

（天津電視臺 網(wǎng)絡管理部，天津 300070）

1 天津電視臺全臺網(wǎng)的發(fā)展歷程

天津電視臺網(wǎng)絡制播系統(tǒng)經(jīng)歷了以下階段：

1）非編單機階段，臺內(nèi)制作節(jié)目的設備在傳統(tǒng)線形對編設備的基礎上開始出現(xiàn)非線性編輯單機；

2）局部網(wǎng)絡化階段，為提高節(jié)目編輯效率，天津電視臺自2001年開始建設非編網(wǎng)參與節(jié)目制播，但網(wǎng)間的節(jié)目傳輸仍需依托磁帶介質(zhì)，形成“孤島”式網(wǎng)絡系統(tǒng)；

3）全臺網(wǎng)階段，天津電視臺以搬遷新大樓為契機，構建了在全臺一個基礎網(wǎng)絡下實現(xiàn)辦公、節(jié)目制作、節(jié)目管理和節(jié)目播出等業(yè)務的全臺網(wǎng)制播網(wǎng)架構。

2 全臺網(wǎng)環(huán)境下信息安全建設的必要性

隨著全國各大電視臺網(wǎng)絡化工作的普遍推進和日益廣泛的應用，全臺網(wǎng)信息安全建設與完善逐漸被電視臺所重視。

國家廣電總局于2011年發(fā)布了《廣播電視安全播出管理規(guī)定》（總局令第62號）[1]，明確提出要開展信息系統(tǒng)等級保護工作。為進一步貫徹落實相關要求，廣電總局先后制定了《廣播電視相關信息系統(tǒng)安全等級保護定級指南》[2]和《廣播電視相關信息系統(tǒng)安全等級保護基本要求》[3]等相關標準與規(guī)范，作為規(guī)范全行業(yè)信息安全等級保護工作，提升安全播出保障能力的基礎性標準。

天津電視臺的全臺制播網(wǎng)支撐日常辦公的多項業(yè)務，參與多個頻道節(jié)目制作、播出以及多檔新聞節(jié)目的直播工作，承擔了正確輿論導向的宣傳工作，不容有失。

3 天津電視臺信息安全建設的規(guī)劃和實現(xiàn)目標

信息安全建設作為天津電視臺新臺址的重要組成部分，在保障全臺網(wǎng)的穩(wěn)定運行和核心制播業(yè)務的安全高效方面意義重大。天津電視臺自2009年開始有序規(guī)劃、分步推進全臺網(wǎng)的信息安全建設，構建支撐辦公外網(wǎng)接入、辦公內(nèi)網(wǎng)業(yè)務和節(jié)目制播核心業(yè)務等多項功能的全臺網(wǎng)系統(tǒng)。

天津電視臺全臺信息安全建設以實現(xiàn)并保障安全播出為核心思想，基于此要求分步實現(xiàn)以下4個建設目標：

1）構建天津電視臺信息安全基礎防護體系，劃分清晰的安全域，確保辦公和制播業(yè)務的正常進行；

2）對天津電視臺的核心業(yè)務系統(tǒng)——播出系統(tǒng)的邊界部署符合國家及國家廣電總局相關命令與規(guī)定的安全防護措施；

3）根據(jù)國家廣電總局等保要求細則，完善天津電視臺三級制播系統(tǒng)的信息安全防護體系，并通過相關機構測評；

4）建立全臺統(tǒng)一信息安全監(jiān)控平臺，實現(xiàn)對臺內(nèi)信息安全的狀態(tài)可控、可管。

4 天津電視臺信息安全建設的主要內(nèi)容

4.1 構建信息安全基礎防護體系

天津電視臺基礎網(wǎng)絡采用核心、匯聚、接入3層架構，核心、匯聚都采用雙機架構，在新大樓不同區(qū)域內(nèi)構建4對匯聚交換機，通過萬兆上聯(lián)核心交換機，并通過萬兆端口連接樓層接入交換機。

辦公網(wǎng)絡接入層可以使用有線接入和無線接入兩種模式。

Internet接入?yún)^(qū)域是天津電視臺新臺址辦公網(wǎng)和生產(chǎn)網(wǎng)的對外出口，分別接入聯(lián)通、電信2條百兆光纖專線，如圖1所示。

根據(jù)具體的網(wǎng)絡結構和業(yè)務運行特點，天津電視臺詳細規(guī)劃了信息安全基礎防護體系：

圖1 天津電視臺現(xiàn)有辦公網(wǎng)架構

首先，根據(jù)天津電視臺全臺網(wǎng)實際運行情況，明確劃分網(wǎng)絡安全域，并分別針對互聯(lián)網(wǎng)接入?yún)^(qū)、辦公網(wǎng)、生產(chǎn)網(wǎng)絡以及內(nèi)外網(wǎng)交互區(qū)制定相應的安全方案。

針對互聯(lián)網(wǎng)接入?yún)^(qū)，選擇了防火墻、鏈路負載均衡、入侵防御、安全網(wǎng)關、流量控制、SSL VPN等設備；針對辦公安全域構建了漏洞掃描、防病毒軟件、終端安全管理等系統(tǒng)；針對生產(chǎn)網(wǎng)安全域架設了防火墻和入侵檢測設備；針對內(nèi)外網(wǎng)交互安全域設置了安全網(wǎng)關和網(wǎng)閘設備，從而初步建設起天津電視臺全臺網(wǎng)基礎防護體系。

面臨眾多安全產(chǎn)品和管理手段，構建統(tǒng)一的安全管理中心勢在必行，因而建立了安全運維管理中心，實現(xiàn)了對安全設備的集中監(jiān)控和管理。網(wǎng)絡安全一期項目架構如圖2所示。

圖2 網(wǎng)絡安全一期項目架構

4.2 構建播出系統(tǒng)邊界安全防護體系

根據(jù)國家廣電總局62號令及廣電相關系統(tǒng)信息安全等級保護相關要求，天津電視臺著力對播出系統(tǒng)網(wǎng)絡邊界部署信息安全防護措施。改造前播出系統(tǒng)如圖3所示。

圖3 天津電視臺播出系統(tǒng)改造前拓撲圖

按照播出系統(tǒng)現(xiàn)有的邊界，全臺備播系統(tǒng)和播出系統(tǒng)之間通過3臺交換機進行互聯(lián)。

全臺備播系統(tǒng)和播出系統(tǒng)之間的控制信息和視頻數(shù)據(jù)均通過交換機轉發(fā)，控制信息數(shù)據(jù)用百兆以太網(wǎng)電口線路傳輸，視頻數(shù)據(jù)用千兆以太網(wǎng)光纖傳輸。

因為備播與播出系統(tǒng)間存在直接的網(wǎng)絡連接，因此播出系統(tǒng)面臨安全威脅，還包括未授權訪問、惡意代碼擴散等各種各樣的攻擊。通過備播系統(tǒng)對播出系統(tǒng)進行惡意訪問請求、非法訪問行為，以及通過網(wǎng)絡傳播的病毒、蠕蟲將對安全播出帶來巨大的負面影響，這些安全風險造成的后果無法用經(jīng)濟損失來估算。

部署在播出系統(tǒng)對外鏈路上的訪問控制系統(tǒng)及安全隔離系統(tǒng)是必不可少的。備播系統(tǒng)通過主干平臺與臺內(nèi)其他業(yè)務系統(tǒng)相連，可能存在的病毒、木馬都將威脅播出系統(tǒng)，而播出邊界各個網(wǎng)絡及安全設備、操作系統(tǒng)終端自身存在的漏洞也是外部威脅所攻擊、利用的薄弱點。

基于以上風險和需求分析，最終確定在播出系統(tǒng)邊界假設防火墻、網(wǎng)閘和安全網(wǎng)關設備。改造后的播出系統(tǒng)如圖4所示。

圖4 播出系統(tǒng)改造后邊界拓撲圖

4.3 建立等保三級制播系統(tǒng)信息安全防護體系

根據(jù)國家廣電總局關于信息安全等級保護等?；疽螅瑥V播電視臺的網(wǎng)絡系統(tǒng)等級劃分有其特殊性，安全要求最高的信息系統(tǒng)是播出系統(tǒng)，然后是全臺備播系統(tǒng)和具備演播室直播性質(zhì)的新聞制播網(wǎng)，最后是不涉及播出的綜合制播網(wǎng)和辦公網(wǎng)。

根據(jù)《廣播電視相關信息系統(tǒng)安全等級保護定級指南》（GD/J 037—2011）[2]，天津電視臺全臺網(wǎng)信息系統(tǒng)（見圖5）分為以下4類：

1）播出系統(tǒng)：主要是全臺播出系統(tǒng)。

2）新聞制播系統(tǒng)：包括新聞部高清新聞網(wǎng)、都市頻道新聞網(wǎng)、體育頻道新聞網(wǎng)、濱海&文藝頻道新聞網(wǎng)和全臺備播系統(tǒng)。

3）綜合制作系統(tǒng)：包括主干平臺、Avid高清編輯網(wǎng)絡系統(tǒng)、蘋果高清編輯網(wǎng)絡系統(tǒng)、公共&科教頻道制作網(wǎng)絡系統(tǒng)、中心媒資系統(tǒng)和全臺收錄系統(tǒng)、全臺廣告網(wǎng)。

4）辦公系統(tǒng)：主要是辦公網(wǎng)的相關信息系統(tǒng)。

圖5 全臺制播網(wǎng)絡示意圖

根據(jù)GD/J 037—2011，天津電視臺全臺網(wǎng)信息系統(tǒng)的定級結果如表1所示。

表1 天津電視臺全臺網(wǎng)信息系統(tǒng)定級結果

根據(jù)以上定級結果，天津電視臺信息安全建設的主要目標是保障第三級制播系統(tǒng)的安全，同時兼顧第二級信息系統(tǒng)的安全。

通過詳細的業(yè)務調(diào)研和梳理分析，對天津電視臺所有的三級制播系統(tǒng)從以下5個方面進行完善：

1）系統(tǒng)關鍵設備的安全審計管理、數(shù)據(jù)庫軟件審計功能；

2）三級系統(tǒng)的雙因素登陸認證管理；

3）三級系統(tǒng)的邊界訪問控制管理；

4）加固入侵防范體系；

5）完善原有安全管理中心關于運行檢測、審計管理、統(tǒng)一身份認證等功能。

5 結束語

天津電視臺信息安全系統(tǒng)經(jīng)過多次分步建設后，在國家廣電總局信息安全等級保護相關標準政策的指導下，通過對物理、網(wǎng)絡、系統(tǒng)、數(shù)據(jù)、應用和安全管理方面的合規(guī)性整改，將建立起符合天津電視臺自身特點的全臺網(wǎng)信息安全管理策略、技術防護手段、運維體系和服務機制，有望在省級電視臺內(nèi)首批實現(xiàn)整體達到國家廣電總局信息安全等級保護要求并通過國家廣電總局等級保護三級系統(tǒng)的安全測評。

通過構建較為完善的信息安全管理、技術、運維、管理體系，將有效助力天津電視臺網(wǎng)絡化制播工作的順利進行，全面提升天津電視臺綜合競爭能力，極大地提高安全播出保障能力。

[1]廣播電臺、電視臺數(shù)字化網(wǎng)絡化建設白皮書[EB/OL].[2012-11-22].http：//wenku.baidu.com/view/77796d2d7375a417866f 8f55.html.

[2]廣播電視相關信息系統(tǒng)安全等級保護定級指南[EB/OL].[2012-11-22].http：//wenku.baidu.com/view/98c9726f1eb91a37f1115 c8b.html.

[3]廣播電視相關信息系統(tǒng)安全等級保護基本要求[EB/OL].[2012-11-22].http：//wenku.baidu.com/view/d488d1c59ec3d5bbfb0a7495.html.