1、关键词网络安全建设 风险评估 攻防演练 升级改造电视播出网络安全防护建设与改造 作者 重庆广播电视集团(总台)李正福摘要当前,电视播出网络从原来完全封闭的系统逐渐转向更加开放的互联系统,打破了传统的电视播出系统与其他业务系统的物理隔离特性,在方便全台性网络制播、文件化送播、资源共享、远程办公的同时,也面临着前所未有的网络安全问题。本文介绍了重庆广播电视集团(总台)电视播出系统的网络安全系统建设和防护措施,总结分析了播出网络在渗透测试过程中暴露出的问题,分享了升级改造方案。影视学会节目制作与传输专委会年会论文精选 一 播出网络架构 根据现代数字电视文件化、网络化制播特点,以及重庆广播电视集团(总
2、台)新旧址异地办公形态特点,设计了全高清播总控网络系统,系统框架如图 1所示。为了顺应全台网络制播技术发展需求以及新旧址两地同时办公的台情,重庆台将部分编单系统和字幕制作系统部署在办公网。在业务生产过程中,将与办公网平台其他业务系统进行信息和文件交互,加之办公网可访问互联网,部署在办公网上的终端面临来自互联网的网络安全威胁。播出网和办公网之间虽通过网闸和文件安全交互系统进行隔离,但仍为病毒木马等不安全因素引入电视播出网提供了物理通道。二 网络安全防护建设 针对上述网络架构和业务部署所面临的网络安全威胁,我们根据具体业务流程分析了对应的网络安全需求,并做了针对性的防护建设,同时部署了信息安全管理
3、系统,多维度保障电视播出网络安全。1.网络安全等级保护要求根据广播电视相关信息系统安全等级保护定1全高清播总控网络系统Advanced Television Engineering085级指南(GD/J 0372011)电视中心的等级保护定级要求,重庆广播电视集团(总台)播出系统应按照第三级要求进行信息安全建设。2.网络安全需求分析从重庆广播电视集团(总台)播出系统安全保护现状与 GD/J 0382011 基本要求之间的差距进行符合性分析,将这种差距作为初步的安全需求。同时,通过对信息系统的关键业务流程和信息系统总体进行风险分析的方法确定系统特殊的安全需求,最终通过现状差距分析和特殊要求分析,
4、明确重庆广播电视集团(总台)播出系统完整的安全需求。(1)网络现状根据网络结构的特殊性,以及播出系统的异地办公形态特点,重庆广播电视集团(总台)系统网络分为广电大厦(播出核心区域)和彩电中心,异地双网的网络结构模式,双中心通过 10GE 专线和播出系统应急专线相连。播出系统的应用终端分布于两个地点,通过办公网核心交换机和办公网汇聚交换机与播出系统核心相连。(2)关键业务流程分析播出系统包括办公网节目编排系统、电视播出控制系统以及相平行的媒资系统。节目单编排和素材整备通过办公网和专线连接的业务交互方式,实现节目单的接收和电视节目从媒资送播系统到播出素材整备的接收、验证传输;播出控制部分则提供播出
5、服务器及周边设备的控制服务,将播出服务器中的素材依照节目单编排顺序播放,同时控制播出切换台将播出的视频信号按照正确的路由送到传输系统前端。经过对播出系统业务的梳理,播出系统分为节目素材备播整备流程和节目编排流程两大业务主线。a.节目编排流程节目编排分为播出节目单编单、广告串播编单和字幕编单三个节目编单流程。每个流程的编排都会涉及编单工作站与播出系统内部服务器的业务访问过程和数据交互。播出节目单编单流程中,细化为播出系统内部编单和办公网播出编单工作站编单,通过 Web 服务方式实现节目编排业务。播出系统内部编单可视为内网编单流程,在此无需过多描述。彩电中心编单工作站与播出系统内部编单服务器的访问
6、路由需要通过彩电中心核心交换与广电大厦办公网核心交换之间的10GE 链路进行互联,并通过播出网的隔离网闸设备的访问控制方可访问至播出编排系统内的服务器,服务方式为 B/S 结构。广告编单与播出编单流程相同。字幕编单的业务流程是在办公网部署字幕编单前置服务器,采用专机专用并结合访问 ACL 和802.1X 准入的方式进行访问控制,只允许访问办公网字幕编单前置服务器,采用 C/S 架构,外网字幕编单服务器与播出网采用 PLS 文件导入的方式进行交互,并通过 USB 文件安全交互系统进行文件单向同步,方能达到数据同步的应用效果。这样,一方面简化了播出系统与外部其他系统交互的接口。但另一方面,对播出边
7、界的安全性要求提高。该业务流程主要安全风险包括:节目单信息被恶意代码感染或被黑客窃取和篡改的风险;消息接口使用的协议(如 WebService)可能存在的安全漏洞带来的风险;节目单交互的以太网链路,存在蠕虫病毒传播或被黑客渗透的风险。b.节目素材整备流程制作网通过媒资系统中的节目成片整备业务模块完成的节目成片后,由制作系统向播出系统推送,迁移服务器采用专线直连方式,将媒体文件信息迁移至播出素材整备存储区域,并将媒体文件的元数据信息同步至播控服务器。应急上载素材和广告素材首先通过 USB 文件安全交互系统导入电视播出待上载区,再由上载服务器转码后上传到播出素材整备存储区。由上面的业务流程分析可以
8、看出,在节目素材整备流程中,存在两种业务流:信息元数据信息和媒体文件。针对这种情况,如何处理好生产系统与节目素材整备系统、节目播出系统间各流程的安全与高效,是播出安全需要考虑的关键。该业务流程主要安全风险包括:传输的元数据信息被恶意代码感染或被黑客特约专题INDUSTRY TOPICS086窃取和篡改的风险;传输的媒体文件完整性被破坏的风险;媒体文件迁移过程中使用协议(如 FTP)可能存在的安全漏洞带来的风险;媒体交换的以太网链路,存在蠕虫病毒传播或被黑客渗透的风险;来自团伙和敌对势力发起漏洞攻击和拒绝服务攻击的风险。3.网络安全防护措施(1)基础网络安全建设根据重庆电视台播出系统的业务功能区
9、分,按照不同的子系统在网络设备上进行 Vlan 划分,并对Vlan 间的访问行为进行细粒度的访问控制、开启安全审计进行身份鉴别、运维审计记录;对网络设备进行安全加固、规范账号管理、关闭不必要的服务和端口,对登录失败有处理机制。(2)边界防护措施a.办公网边界防护建设集团办公网的防护主要是指互联网对集团办公网的访问控制,重庆电视台使用路由器、防火墙、应用代理等方式来隔离办公网,台外业务网与办公网的连接采用 VPN 虚拟专用技术。b.播出网边界防护建设一是网闸。在电视播出网和集团办公网之间部署两台网闸,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,保证信任网络和非信任网络之间链路层的断开,
10、彻底阻断 TCP/IP 协议以及其他网络协议。二是摆渡系统。摆渡系统是一套专门用于两个系统之间的文件安全交互系统,由两个主机组成,内机在电视播出网域,外机属于集团办公网域,内外机之间通过 USB3.0 进行文件高速迁移,内外机之间没有网络层以上的连接,通过介质和协议阻断了病毒传播、黑客等攻击,文件落地进行病毒查杀,与播出网恶意代码防范系统病毒库异构。三是交换机和网络设备。播出核心交换机部署入侵检测系统(IDS),对所有的流量进行检测,发现入侵行为进行告警并阻断;播出系统网络设备进行IP-MAC 绑定或基于 802.1X 的准入控制技术,禁止非授权或未达到播出系统配置基线的终端接入播出系统网络。
11、(3)信息安全管理系统在办公网和电视播出网分布式部署上下结构的信息安全管理系统,实现对各个用终端安全防护,包括入侵防范、恶意代码防范、身份鉴别和安全审计。安管系统以旁通方式并行与网闸接入播出核心交换机,办公网和播出网同时连接。三 网络安全整改升级措施 任何系统的建设都不可能是完美的,必须在运行过程中不断地查缺补漏,升级完善。为了防患于未然,我们进行了互联网安全攻防演练。此次演练过程虽未造成播出事故,但暴露出了播出内外网网络安全存在极大的隐患与风险。事后我们梳理了此次受网络攻击的细节和处置措施,分析总结了系统存在的风险和隐患,进行了针对性网络安全升级整改,进一步提高了系统的稳固性。1.存在的风险
12、与隐患本次演练中,攻击队伍利用技术手段突破了重庆台的互联网边界安全防护,进入集团办公网,挟持了两台位于办公网的总编室编单工作站,并试图渗透到播出内网。虽然运维人员发现编单工作站被远程登录后,断开了办公网和播出网的连接,保障了播出内网的安全,但也暴露出了分险与隐患。播出内网与办公网的连接主要有摆渡和网闸 2条路径,摆渡系统主要负责播出素材和字幕系统的字幕单、字幕素材的摆渡,网闸主要涉及总编室编单、广告单、EPG 电子节目单等。安管系统以旁通方式并行与网闸接入播出核心交换机,办公网和播出网同时连接。媒资系统与播出系统直接连接,可互相访问。上述播出网与外部的 4 条连接路径给病毒木马等不安全因素引入
13、播控系统提供了物理通道。(1)来自办公网的风险虽然办公网采用了严格的边界防护,本身有防护措施,但部署在其上面的业务和数据平台很多,各Advanced Television Engineering087个网络业务之间边界划分模糊,未从逻辑上隔离,这样极易导致被突破边界防护之后集体沦陷,影响所有业务。办公网沦陷之后会被当作跳板,对播出网进行进一步的渗透。而且,对于业务之间的数据交互没有做任何网络限制,导致数据公开透明,数据很容易被劫持和篡改。a.部署于办公网的服务器存在的风险字幕外网数据库服务器主要负责为外网字幕编单、字幕素材制作工作站提供服务,存储着所有频道的字幕编排单、字幕素材和系统配置,运行
14、着中心服务。黑客收集到服务器地址与账号密码后,获得字幕编单数据库服务器、字幕服务器管理权限,可对字幕单和字幕素材进行篡改、破坏,可能造成播出出现非法字幕、字幕卡顿、乱码、丢失甚至致使播出黑屏等现象;关闭中心服务后,无法进行字幕制作业务,甚至删除关键系统配置后,整个外网字幕编单制作系统将处于瘫痪。b.部署于办公网的工作站存在的风险一是字幕制作编单工作站。字幕制作编单工作站主要负责字幕素材、模板的制作和上传,以及字幕编排单生成,黑客挟持字幕机后可以制作非法字幕编入字幕单中,并传入播出内网,可能造成严重的政治播出事故。二是总编室编单工作站。目前没有固定的总编室编单工作站,办公网上的任何电脑都可以访问
15、编单Web 服务,黑客获得编单地址和管理员账户、密码,可以在办公网的任意 PC 访问编单页面,进行删除节目代码,篡改总编室节目单等危害动作。(2)播出网与办公网之间网闸存在的风险一是网闸。网闸作为一种隔离设备而非安全设备,虽然它已经起到了内网与办公网之间的隔离作用,但依然提供了 HTTP 或 FTP 等服务,这样就能给渗透者无视网闸可以直接对系统 Web 服务进行攻击从而渗透到播出网。黑客通过 Web 编单 Tomcat 漏洞进入内网,进一步控制内网的重要服务器。二是摆渡。摆渡系统虽然能有效识别并屏蔽非必需格式的文件进入内网,且摆渡内外机之间采用USB 传输,但正常的业务文件在服务器上是暴露的
16、,黑客对传输的素材文件操作,可能会直接影响到电视播出。同时,若黑客破坏了摆渡系统配置,将影响正常业务的进行。三是等保安管系统。安管系统分布式部署在集团办公网和电视播出网,二者通过与网闸并行旁通的方式交互,相当于在办公网和播出网之间建立了一条通道,黑客获取位于办公网的 v8 终端安全系统控制台权限,可进行一键执行命令、下发文件等高危操作。(3)播出系统本身存在的风险播出系统中各类应用服务器的操作系统本身存在系统漏洞,而由于播出系统与互联网完全隔离,杀毒软件病毒库和补丁不能自动实时更新,只能人为升级,这必然存在一定时间的滞后,黑客可以利用当下最新流行的漏洞和病毒攻击内网,而内网的杀毒软件无法发现最
17、新的病毒程序。另外,办公网和播出网上很多服务器和应用的账号密码设置过于简单或重复,比如同一厂家的产品或相同业务的密码大部分相同,很容易通过弱口令爆破。2.网络安全升级整改措施(1)规划虚拟专用网首先对办公网上有总编室和字幕编单需求的计算机进行统一部署:规划一部分办公电脑作为专门的编单机,拒绝其他电脑对播出服务的访问,并对该部分机器做系统安全加固,减少安全漏洞;实行安全身份控制,落实具体负责编单人员,针对性设置用户权限,规范账户密码的复杂保密程度,并在固定时间后进行密码更换,谨防此处成为漏洞。其次将字幕编单制作服务器、工作站和总编室编单工作站以及摆渡外机等涉及播出相关业务的设备规划到一个虚拟专用
18、网,限制访问其他办公网上的设备和互联网,通过 IP 隔绝专网内计算机与办公网的通信,杜绝风险,同时在办公网和虚拟专网之间架设安全设备来仅仅提供必需的字幕、节目文件的传入,其他任何操作均在虚拟专网中进行,如图 2 所示。(2)网络边界加固a.防火墙执行访问控制策略,监测和控制网络之间的信特约专题INDUSTRY TOPICS088息交换和访问行为,实现对网络安全有效管理,允许或禁止业务往来的网络通信安全机制,提供可控的过滤网络通信,实时监测网络。b.网闸对网闸进行 IP 白名单设置,仅允许记录为编单机的 IP 可以访问,其他办公电脑禁止访问,降低受到类似攻击的可能。对服务软件进行了加固和更新,调
19、整了账号和密码,限制权限,禁止运行文件。对总编室 Web 服务所在的文件夹通过 Windows策略进行了安全配置,从格式上杜绝任何非必需的文件对该文件夹进行写入操作。c.摆渡加固 2 台摆渡外机系统,请专业网络安全公司来对系统层面进行加固,设置安全策略和白名单,关闭“远程连接”和默认端口,限制“试错”次数和时间间隔,及时更新杀毒软件。(3)等保安管系统安管系统以旁通方式并行与网闸接入播出核心交换机,是对内外网同时连接的,因目前无法对网络安全提供有效帮助,为保证播出安全,当前断开了与播出的连接,但作为三级等保的必要设备,不可能舍弃不用。在当前的网络结构下采用其他方式接入是否会影响播出正常业务、能
20、实现哪些具体功能、达到什么效果都还有待讨论和测试。(4)媒资系统播出和媒资的核心交换机是直连的,两套系统的网络安全需共同保障。(5)播出系统安全加固服务器系统层面的安全加固:尤其是域控服务器和域控策略,禁止建立了高权限的域账户,同时定期扫描 Windows 漏洞,及时打补丁,更新杀毒软件病毒库,对重要数据和设备做好备份工作。删除或修改默认账户和密码,修改简单密码,增加复杂度,规范口令最小长度、复杂度与生命周期,根据管理制度要求,合理分配账户,提高口令质量等手段来防止弱口令爆破。四 结语 网络完全问题不是一朝一夕就能解决的,需要久久为功。一是要增强网络意识,对日常应用中发现的问题及时处理,采取有效措施进行整改,消除安全隐患;二是进一步加强网络安全知识,熟悉网络安全事件应急处置流程,提高应急处置能力;三是做好网络安全日常防范,加固网络安全边界,规范使用网络设备;四是提高网络安全运维管理能力,坚决防范网络安全重大风险,保障网络安全。2播出网络改造与边界防护Advanced Television Engineering089
浙公网安备33021202000488号 | 
浙ICP备2021020529号-1 浙B2-2024(办理中) 
