当前位置: > 专业技术 >

专业技术

高安全媒体文件交换平台在苏州广电总台的应用与实践

发布时间:2012-10-09 文章来源:苏州广播电视总台
【摘要】 电视台节目生产制作过程中,针对外部素材使用频率的不断增加的情况,依托端口过滤、三重杀毒、文件格式深度检测等安全措施,提供自动转码、自动导入等便利性功能,实现高安全媒体文件的交换平台。
【关键词】 高安全区;安全网关;文件格式白名单;自动转码

前言
苏州广播电视总台是正在迅速发展中的城市型传媒集团。随着多年的技术系统建设,苏州台的节目生产流程已经基本实现网络化,生产效率极大提高。在节目制作网络内部,各板块通过主干平台互联互通,板块内的存储设备以及工作站、服务器均相互连接。灵活的生产方式带来外网素材引用频率的大幅增加,业务板块与办公板块间文件交换日趋频繁,对节目制作网络,特别是新闻制播网的安全运维提出了挑战。因此,建立一个用于支持各个业务板块与办公板块安全数据交换的平台成为必要需求。
按照《广播电视相关信息系统安全等级保护定级指南》(GD/J 037-2011)的要求,苏州广电总台节目制作网络及主干平台初步定为等保二级系统。级别定义是管理规范上的要求,在实际运维过程中,我们必须在“等保”要求的基础上,根据特定的系统环境,尽可能的采取措施提高安全防范的级别,同时满足实际业务的需求,提高业务流程效率。苏州台高安全数据交换系统,正是在这一思路背景下,不断发展、完善而实施完成的。
二、业务生产网络安全防护目标及关键节点。
网络安全防护是一个综合性的系统。根据《广播电视相关信息系统安全等级保护基本要求》(GD/J 038-2011)的定义。等保二级系统需要在结构安全、边界安全、终端系统安全、服务端系统安全、应用安全、数据安全与备份恢复六个方面采取措施。我们认为,业务生产网络的安全保障不仅仅是一个技术系统,还需要在技术系统的基础上,采用规范的管理手段加以解决。
关键节点一:广播域划分。苏州广电总台业务生产网络由两个新闻制播网络、广告和节目两个综合制作网络、媒资系统及主干互联系统构成。系统间互联基于SOA架构,通过webservice接口相互调用对方服务,以达到媒体文件和元数据交换的目的。在物理层上各网络是互联互通的,我们根据使用功能的分割,为各业务系统设定独立的VLAN区域,在网络层为各区域间的数据交换设置了ACL(访问控制列表)加以控制,只允许开放特定主机的特定端口供其他业务系统访问。通过对系统广播域的划分和管理,在网络结构上限制了安全问题的影响范围。
关键节点二:内部设备安全管理。在各系统内部,除了对重要服务器和中心存储系统安装防病毒系统外,我们还安排了病毒侦测机制,选择一台专用服务器,对指定文件夹开放文件写入权限。如有病毒文件写入,则记录写入时间和写入机器ip,做到第一时间定位病毒源头,同时采用经过测试的专杀工具处理安全威胁。此外,经过测试的系统补丁或专杀工具也可通过部署工具快速批量部署。在工作站终端上,采用软硬件结合的方式,禁止除P2读卡器以外的全部USB设备,同时只允许P2卡内指定格式的媒体文件导入。通过以上技术手段和管理措施,基本解决了业务生产网络内的安全防护问题。
关键节点三:边界安全。业务生产网络内的安全防护测重于“防”和“查”,相对而言,在网络边界的“堵”更为重要。网络边界安全首先必须保证网络边界的清晰和完整,在功能上首先是保证数据交换的安全,其次是保证数据访问的安全,最后还需要做好入侵防范、安全审计。我们认为,在做好内部网络安全管理的前提下,边界安全是业务生产网络安全防护工作重点。在节目制作素材来源多样化的趋势下,必须兼顾数据传输安全性和便利性,达到既安全又高效的网络边界防护目标。本文重点讨论在网络边界实现媒体文件的安全交换。
〖 浏览次数: