吳俊生 錢軍 胡磊

【摘要】融媒體業(yè)務(wù)是現(xiàn)在電臺技術(shù)建設(shè)的熱點(diǎn)問題，面對互聯(lián)網(wǎng)環(huán)境中的各種潛在威脅，在融媒體平臺建設(shè)初期就要著重考慮平臺的安全體系建設(shè)。

【關(guān)鍵詞】 數(shù)據(jù) 邊界 防護(hù)

一、概述

隨著互聯(lián)網(wǎng)、云計(jì)算、物聯(lián)網(wǎng)等網(wǎng)絡(luò)技術(shù)快速發(fā)展，驅(qū)動著整個媒體行業(yè)邁入融媒體時代。融媒體技術(shù)的發(fā)展和應(yīng)用，電臺在傳統(tǒng)音頻業(yè)務(wù)的基礎(chǔ)上，必須開展多種業(yè)務(wù)、增加新的利益增長點(diǎn)的根本。2016年《中華人民共和國網(wǎng)絡(luò)安全法》高票通過，成為我國首部網(wǎng)絡(luò)安全領(lǐng)域的法律文件。隨著信息安全各項(xiàng)政策的出臺，廣電行業(yè)的網(wǎng)絡(luò)信息安全也上升到了前所未有的高度。為應(yīng)對融媒體時代的挑戰(zhàn)，必須加強(qiáng)安全與隱私管理，從體系建設(shè)上確保融媒體平臺安全運(yùn)行。

二、安全隱患分析

隨著融媒體的應(yīng)用的增長，數(shù)據(jù)激增推動存儲、網(wǎng)絡(luò)及計(jì)算機(jī)技術(shù)的發(fā)展，同時也引發(fā)了的安全問題。

1.成為攻擊目標(biāo)

開放的網(wǎng)絡(luò)化社會，對于攻擊者而言，相對低的成本可以獲更多收益。電臺大量音視頻版權(quán)資料都非常具有價值，一旦遭受攻擊，失竊的數(shù)據(jù)會造成巨大的經(jīng)濟(jì)損失。

2.出現(xiàn)技術(shù)短板

融媒體一般采用非關(guān)系型數(shù)據(jù)庫技術(shù)，與當(dāng)前廣泛應(yīng)用的關(guān)系型數(shù)據(jù)庫技術(shù)不同，沒有經(jīng)過長期改進(jìn)和完善，在維護(hù)數(shù)據(jù)安全方面也未設(shè)置嚴(yán)格的訪問控制和隱私管理，缺乏保密性和完整性特質(zhì)。

3.打破安全邊界

融媒體的處理和存儲離不開云，其運(yùn)營環(huán)境的特殊性打破了傳統(tǒng)的網(wǎng)絡(luò)邊界，使得傳統(tǒng)的安全技術(shù)手段無法做到有效的安全防護(hù)。雖然云計(jì)算對大數(shù)據(jù)提供了便利，但對大數(shù)據(jù)的安全控制力度仍然不夠。

三、安全體系建設(shè)

融媒體業(yè)務(wù)是電臺業(yè)務(wù)生產(chǎn)作業(yè)系統(tǒng)，為保障系統(tǒng)安全穩(wěn)定的運(yùn)行，體系建設(shè)上需要嚴(yán)格按照《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級指南》、《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求》和其他相關(guān)的標(biāo)準(zhǔn)和規(guī)范的要求進(jìn)行系統(tǒng)安全性設(shè)計(jì)。

1.存儲安全

大量的數(shù)據(jù)產(chǎn)生、存儲和分析，數(shù)據(jù)安全存儲問題將在都是必須預(yù)先考慮的問題。體系建設(shè)中必須盡快盡早規(guī)劃和布局融媒體安全存儲防護(hù)措施。安全存儲是融媒體安全的最基本需求，可以從集中存儲、加密存儲、加密傳輸、認(rèn)證授權(quán)和日志審計(jì)等方面來對融媒體的安全存儲環(huán)境加大保護(hù)力度。根據(jù)電臺業(yè)務(wù)特點(diǎn)，存儲文件大多為文字、音頻、圖片和小部分視頻。音頻文件包括錄音素材和音頻慢錄，具有內(nèi)容較多，種類復(fù)雜，更新頻率快的特點(diǎn)，其數(shù)據(jù)屬于非結(jié)化文件型數(shù)據(jù)，因此需要選擇一款高安全性和高可用性的存儲產(chǎn)品。

由于數(shù)據(jù)量增長迅速，橫向擴(kuò)展存儲系統(tǒng)一般是首選。這樣擴(kuò)展和升級起來非常方便，像搭積木的方式進(jìn)行存儲的擴(kuò)展。當(dāng)有需求的時候，隨時添加，而不會影響現(xiàn)有存儲的使用。另外可以負(fù)載均衡，性能效率高。前端訪問集群存儲的操作，通過幾種負(fù)載均衡策略，將訪問分散到集群存儲的各個存儲節(jié)點(diǎn)上，大大減輕了每個節(jié)點(diǎn)的負(fù)載。后端訪問數(shù)據(jù)，通過開放式的架構(gòu)和后端網(wǎng)絡(luò)，數(shù)據(jù)會分布在所有節(jié)點(diǎn)上進(jìn)行存放和讀取，每個讀寫操作都由更多的磁盤參與，因此將大大的提高讀寫操作的性能。還要易于管理、維護(hù)。

2.結(jié)構(gòu)安全

在規(guī)劃融媒體發(fā)展的同時，建立并完善信息安全體系很有必要。結(jié)合傳統(tǒng)信息安全技術(shù)和考慮數(shù)據(jù)收集、處理和應(yīng)用時的實(shí)際環(huán)境安全需求，建立面向數(shù)據(jù)信息安全的事件監(jiān)測機(jī)制，及時發(fā)現(xiàn)信息系統(tǒng)安全問題，當(dāng)大數(shù)據(jù)運(yùn)營環(huán)境遭到攻擊前或已經(jīng)遭到攻擊時，快速、準(zhǔn)確地發(fā)現(xiàn)攻擊行為，并迅速啟動處置和應(yīng)急機(jī)制。融媒體業(yè)務(wù)平臺在網(wǎng)絡(luò)架構(gòu)上分為兩個部分，一個是支撐應(yīng)用的數(shù)據(jù)服務(wù)器組，一個是可以接受外部訪問的外網(wǎng)應(yīng)用服務(wù)器組，而核心交換機(jī)有足夠大的帶寬和吞吐量，因此將兩臺核心交換機(jī)都劃分了兩個VLAN，使其數(shù)據(jù)服務(wù)器組和外網(wǎng)應(yīng)用服務(wù)器組兩個網(wǎng)絡(luò)同時架設(shè)在核心交換機(jī)上，并且在路由上完全隔離互不干擾。

而真正實(shí)現(xiàn)路由功能的是鏈路層防火墻，該防火墻將融媒體系統(tǒng)接入臺內(nèi)辦公網(wǎng)系統(tǒng)，使得辦公網(wǎng)用戶能直接訪問，并且能夠透過辦公網(wǎng)與互聯(lián)網(wǎng)連接，在保證安全的情況下使得互聯(lián)網(wǎng)用戶也能訪問到多媒體信息系統(tǒng)提供的服務(wù)。同時防火墻還將融媒體系統(tǒng)內(nèi)的兩個區(qū)域（數(shù)據(jù)服務(wù)器組和外網(wǎng)應(yīng)用服務(wù)器組）隔離并聯(lián)通。利用合理的規(guī)則使得三個區(qū)域協(xié)同工作。如圖1所示：

3.邊界安全

融媒體系統(tǒng)是建立在臺辦公網(wǎng)上的應(yīng)用服務(wù)系統(tǒng)，與臺辦公網(wǎng)直接相連，可直接對全臺辦公網(wǎng)用戶提供服務(wù)。既要提供正常的服務(wù)又要使其更加安全，利用防火墻的安全規(guī)則才能實(shí)現(xiàn)。最重要的安全區(qū)域是數(shù)據(jù)服務(wù)器組，這里包含了服務(wù)器和存儲，為保證安全，辦公網(wǎng)用戶不能夠直接訪問該區(qū)域，需要通過外網(wǎng)應(yīng)用服務(wù)器組間接調(diào)用其中的數(shù)據(jù)。

一方面要求外網(wǎng)應(yīng)用服務(wù)器組接受用戶要求從數(shù)據(jù)服務(wù)器組提取數(shù)據(jù)或者將數(shù)據(jù)寫入數(shù)據(jù)服務(wù)器組。另一方面要求用戶不得通過頁面或者其他數(shù)據(jù)連接方式直接從數(shù)據(jù)服務(wù)器組提取數(shù)據(jù)或者寫入數(shù)據(jù)。還有就是必須使用防火墻規(guī)則實(shí)現(xiàn)各個區(qū)域的安全訪問，還需要防止不法用戶或者惡意代碼病毒等破壞網(wǎng)絡(luò)的安全性，所以部署WAF提升外網(wǎng)應(yīng)用服務(wù)器組的安全性，部署IPS提升了數(shù)據(jù)服務(wù)器組的安全性。當(dāng)用戶或管理員對網(wǎng)絡(luò)設(shè)備發(fā)起訪問時，網(wǎng)絡(luò)設(shè)備應(yīng)采取結(jié)束會話、限制非法登錄次數(shù)和連接超時自動退出等措施來進(jìn)行登錄失敗處理。關(guān)閉網(wǎng)絡(luò)設(shè)備上不必要的服務(wù)和端口，當(dāng)運(yùn)維工作站通過遠(yuǎn)程管理地址訪問被管理設(shè)備時，應(yīng)通過HTTPS、SSH等安全的通信協(xié)議進(jìn)行，并對運(yùn)維工作站的IP地址進(jìn)行限制。如圖2所示。

融媒體系統(tǒng)還要為外出辦公的臺內(nèi)用戶以及各地市級用戶服務(wù)，所以系統(tǒng)邊界擴(kuò)大到與互聯(lián)網(wǎng)的連接。臺辦公網(wǎng)同樣部署了相應(yīng)的安全防護(hù)設(shè)備（如：防火墻、訪問控制、IDS、網(wǎng)絡(luò)防毒、日志審計(jì)、數(shù)據(jù)庫審計(jì)等），在辦公網(wǎng)防火墻上建立端口映射，既能夠保證頁面正常訪問又能起到一定的安全防護(hù)作用。僅開放http，ftp，mms等必要的端口，其他訪問一律阻斷。

4.規(guī)范用戶權(quán)限

融媒體的跨平臺傳輸應(yīng)用在一定程度上會帶來內(nèi)在風(fēng)險(xiǎn)，可以根據(jù)數(shù)據(jù)的密級程度和用戶需求的不同，用戶設(shè)定不同的權(quán)限等級，并嚴(yán)格控制訪問權(quán)限。而且，通過單點(diǎn)登錄的統(tǒng)一身份認(rèn)證與權(quán)限控制技術(shù)，對用戶訪問進(jìn)行嚴(yán)格的控制，有效地保證大數(shù)據(jù)應(yīng)用安全。

融媒體業(yè)務(wù)系統(tǒng)是面向互聯(lián)網(wǎng)的信息系統(tǒng)，因此使用連互聯(lián)網(wǎng)的辦公電腦即可登陸本系統(tǒng)，為保障安全有效地使用本系統(tǒng)，終端需要安裝防病毒軟件，并定期升級病毒庫，及時進(jìn)行操作系統(tǒng)更新。當(dāng)用戶登錄網(wǎng)絡(luò)設(shè)備進(jìn)行設(shè)備維護(hù)、狀態(tài)查看等操作時，應(yīng)采用用戶名和具有一定復(fù)雜度的口令方式進(jìn)行身份鑒別，復(fù)雜度要求長度在8位以上，同時由數(shù)字、字母、特殊字符等兩種或兩種以上符號組成。除網(wǎng)絡(luò)設(shè)備本身的口令認(rèn)證外，對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理和運(yùn)維時，應(yīng)通過指定設(shè)備以HTTPS或SSH方式訪問。

5.云安全

融媒體的數(shù)據(jù)存儲一般都需要在云中實(shí)現(xiàn)上傳、下載及交互，在吸引越來越多黑客和病毒攻擊的云端及客戶端做好安全保護(hù)必不可少。這時就必須考慮可基于虛擬化的云數(shù)據(jù)中心提供系統(tǒng)性的安全解決方案，以安全虛擬器件代替原有硬件設(shè)備的產(chǎn)品交付方式，確保物理、虛擬和云環(huán)境中服務(wù)器的應(yīng)用程序和數(shù)據(jù)的安全，可以為云和虛擬化環(huán)境提供主動防御、自動安全保護(hù)，將傳統(tǒng)數(shù)據(jù)中心的安全策略擴(kuò)展到云計(jì)算平臺上。

四、總結(jié)

融媒體平臺的安全性建設(shè)是實(shí)施結(jié)合電臺實(shí)際網(wǎng)絡(luò)環(huán)境和工作需要，面對互聯(lián)網(wǎng)環(huán)境中的各種潛在威脅，在融媒體平臺建設(shè)初期就要著重考慮安全體系建設(shè)。只有充分考慮、細(xì)化規(guī)則、加強(qiáng)重視，才能有效地確保融媒體系統(tǒng)安全運(yùn)行。B&P;