華立林

（上饒廣播電視臺，上饒 334000）

媒體融合后廣播電視業(yè)務(wù)大量使用了網(wǎng)絡(luò)和計算機資源，這些計算機和網(wǎng)絡(luò)資源作為廣播電視制作、播出、發(fā)布的組成部分，承擔(dān)著安全播出重要任務(wù)。如何才能既保障業(yè)務(wù)創(chuàng)新，又能保障安全播出，這是廣播電視臺安全管理人員一個需要想考的問題。

上饒廣播電視臺融合媒體下的制播一體化網(wǎng)絡(luò)建于2018年，它將制作系統(tǒng)、播出系統(tǒng)、媒資系統(tǒng)、新媒體業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)融為一體，運行一年多來得到很多經(jīng)驗。融合媒體后廣播電視安全播出風(fēng)險來自兩個方面：技術(shù)風(fēng)險和業(yè)務(wù)風(fēng)險，前者是指系統(tǒng)建設(shè)、配置、管理是否符合安全要求，后者是指平時運行的安全防范。

1 技術(shù)風(fēng)險分析與防范

1.1 物理風(fēng)險防范

物理風(fēng)險防范包含：機房位置選擇時考慮到防震、防水，避免地下室；機房出入要有審批、登記，機房要有人值守，需安裝門禁和監(jiān)控系統(tǒng)；機房需有氣體滅火裝置；機房的配電需雙路供電，有UPS 后備電源系統(tǒng)，供電系統(tǒng)防雷需符合要求。物理風(fēng)險雖然包含內(nèi)容較多，但和傳統(tǒng)的機房風(fēng)險差不多，所以物理風(fēng)險的防范相對來說我們已經(jīng)有較成熟的防范方法。

1.2 網(wǎng)絡(luò)風(fēng)險防范

網(wǎng)絡(luò)風(fēng)險防范措施：一是網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計時按照層次化進行設(shè)計，形成縱深的網(wǎng)絡(luò)安全防護體系。二是網(wǎng)絡(luò)的核心設(shè)備如：防火墻、匯聚交換機等進行冗余配置，網(wǎng)絡(luò)消除單節(jié)點。三是合理劃分網(wǎng)絡(luò)安全域，將文稿系統(tǒng)、編輯系統(tǒng)、新媒體等系統(tǒng)進行合理劃分。網(wǎng)絡(luò)風(fēng)險的防范主要在于系統(tǒng)設(shè)計時，對設(shè)備冗余、系統(tǒng)架構(gòu)和流程優(yōu)化把關(guān)。

1.3 邊界風(fēng)險防范

邊界的風(fēng)險來自于外網(wǎng)對系統(tǒng)和各個子系統(tǒng)之間的訪問不受控制。主要防范措施：一是網(wǎng)絡(luò)內(nèi)部邊界設(shè)定明晰，不同邊界訪問受控制、有防火墻。二是外網(wǎng)訪問信息系統(tǒng)需進行安全接入控制，進行雙因素認證，并對用戶權(quán)限進行管理。三是核心業(yè)務(wù)系統(tǒng)對外數(shù)據(jù)交互時，有進行惡意代碼查殺措施。邊界的風(fēng)險防范通過日常的用戶管理來控制風(fēng)險。

1.4 終端、服務(wù)端、應(yīng)用風(fēng)險防范

終端風(fēng)險防范措施：一是用戶登錄系統(tǒng)需進行身份標識和鑒別，用戶和系統(tǒng)的口令、密碼需定期更換。二是系統(tǒng)內(nèi)的終端的USB 等外設(shè)接口全部關(guān)閉，光驅(qū)拆除。三是加強用戶賬號管理，禁止多人使用同一用戶名、弱口令。四是服務(wù)器進行遠程維護時，需通過堡壘進，需使用專門的終端。并且對加強用戶賬號的管理，嚴格使用程序等措施。

1.5 數(shù)據(jù)風(fēng)險防范

數(shù)據(jù)風(fēng)險措施：對已經(jīng)生產(chǎn)完成后的節(jié)目在播出前進行完整性校驗；對重要節(jié)目數(shù)據(jù)進行備份等。

2 業(yè)務(wù)性風(fēng)險分析

2.1 制播業(yè)務(wù)系統(tǒng)安全風(fēng)險

制播業(yè)務(wù)屬于廣播電視臺的核心業(yè)務(wù)，安全保護等級要求較高，我臺在整體網(wǎng)絡(luò)設(shè)計時就將該系統(tǒng)置于融合媒體網(wǎng)絡(luò)的縱深處。具體安全風(fēng)險防護措施主要包括以下方面：

（1）病毒和木馬防范。我臺的制作網(wǎng)每天需生產(chǎn)4小時電視節(jié)目，生產(chǎn)連續(xù)性關(guān)系到播出安全，制作網(wǎng)對于由病毒和木馬造成生產(chǎn)能力中斷或降速的防范極為重要。病毒和木馬的防范主要措施是：一是各個應(yīng)用終端安裝殺毒軟件且及時升級。二是縮小外接端口的范圍，外來節(jié)目和素材在固定端口上載，經(jīng)檢查沒有問題后，擺渡到制播網(wǎng)。防止非法文件由外部進入系統(tǒng)內(nèi)部，產(chǎn)生安全隱患。（2）制播網(wǎng)區(qū)域邊界防范。在媒體融合形勢下，內(nèi)容生產(chǎn)業(yè)務(wù)由內(nèi)部向外部擴張，與互聯(lián)網(wǎng)數(shù)據(jù)交互快速增長。例如文稿系統(tǒng)、指揮調(diào)度系統(tǒng)都打通了制播網(wǎng)和互聯(lián)網(wǎng)的連接，如果交換邊界安全措施不到位將影響到這個制播網(wǎng)的安全。主要措施是在制播網(wǎng)內(nèi)設(shè)置多重的安全邊界，降低關(guān)聯(lián)性防止一個區(qū)域出現(xiàn)問題影響到整個生產(chǎn)流程。同時每個邊界都安裝應(yīng)用防火墻對應(yīng)用安全進行管理。（3）播出網(wǎng)的縱深防御。系統(tǒng)安全防御體系設(shè)計、實施過程中，將播出網(wǎng)放置在網(wǎng)絡(luò)最深處，建立等級保護深度防御體系。同時播出網(wǎng)和其他網(wǎng)絡(luò)系統(tǒng)使用網(wǎng)閘進行隔離。網(wǎng)閘主要是用在兩個獨立的系統(tǒng)連接，它使兩個系統(tǒng)間不存在物理連接、邏輯連接，不存在依據(jù)協(xié)議進行的信息交換，只能以數(shù)據(jù)文件形式進行的無協(xié)議擺渡。因此，網(wǎng)閘從邏輯上隔離、阻斷了外部對播出網(wǎng)攻擊，使外部攻擊者無法直接入侵、攻擊或破壞播出網(wǎng)，保障了播出網(wǎng)的安全。

2.2 新媒體應(yīng)用系統(tǒng)安全風(fēng)險防范

新媒體發(fā)布內(nèi)容正確性，直接影響電視臺的社會公信力。新媒體的內(nèi)容發(fā)布重點防止惡意入侵和內(nèi)容篡改。該類系統(tǒng)涉及我臺的網(wǎng)站、APP 等業(yè)務(wù)。

（1）系統(tǒng)的主要安全風(fēng)險。一是網(wǎng)站內(nèi)容被篡改，從而引發(fā)信譽和輿論風(fēng)險。二是網(wǎng)站被掛馬、盜鏈，網(wǎng)站DNS 解析被劫持，給訪問用戶帶來安全風(fēng)險。（2）風(fēng)險造成原因主要是系統(tǒng)漏洞造成。入侵者通常利用這些漏洞對計算機信息系統(tǒng)進行入侵，盜取系統(tǒng)的數(shù)據(jù)、對數(shù)據(jù)及服務(wù)功能進行破壞。（3）防范措施：一是在新媒體網(wǎng)絡(luò)邊界部署防火墻、堡壘機，實時監(jiān)控進出網(wǎng)絡(luò)的數(shù)據(jù)流，發(fā)現(xiàn)入侵行為進行告警。二是使用漏洞掃描系統(tǒng)對新媒體服務(wù)器主機進行漏洞掃描，根據(jù)掃描出結(jié)果評估主機的防護強弱性。三是對主機操作系統(tǒng)補丁進行定期更新以減少系統(tǒng)漏洞。四是通過用戶管理禁止非授權(quán)的用戶或未達到安全配置基線的主機接入到信息系統(tǒng)中。

3 結(jié)束語

全新的廣播電視媒體融合網(wǎng)絡(luò)，實現(xiàn)了廣播電視臺內(nèi)業(yè)務(wù)的融合生產(chǎn)和發(fā)布，使新聞生產(chǎn)、發(fā)布更加便捷，同時也使安全播出工作要求更高，本文能對做好網(wǎng)絡(luò)安全等級保護建設(shè)，保障安全播出提出一些不成熟的建議，不足之處請指正。