广播电视台作为党和政府的核心宣传阵地之一，在国家广电总局提出“数字化、网络化”的建设要求下，广播电视制播技术及信息技术得到飞速发展，各地电视台数字化、网络化以及互联互通的全台网一体化网络系统建设已经成为广电业务系统新的发展趋势。由此带来广电网络系统中异构平台不断增多，业务应用的复杂程度不断加深，应用故障及安全隐患对网络威胁也随之增多，对网络系统持续安全运行的依赖程度越来越大，因而进行安全化网络改造势在必行。

伴随着广播电视台的业务系统网络化技术的飞速发展，各台先后建设并完善了数字化、网络化、智能化、集约化的广电业务网络系统。当前网络系统建设中，计算机病毒和网络安全对广播电视台已经构成最大的威胁。广播电视台在实现了全台网络互联互通的同时，必然加大了各项业务边界的广泛延展，如网络电视平台、IPTV平台、无线数字平台，新媒体平台、远程接入及交互平台等业务形态。在这种情况下，如果某一个系统遭到主动或被动攻击、有意识或无意识攻击，入侵者很有可能利用这点迅速占领整个业务网络系统，从而导致非常严重的安全事故发生。 

信息安全等级保护是国家信息安全保障工作的基本制度和基本方法，根据《广播电视相关信息系统安全等级保护定级指南》，电视台播出系统安全保护等级全部为三级以上，属于国家重要信息系统。电视台播出系统是广电行业信息系统的重要组成部份，是电视节目播出的核心部门，承担全台节目的播出任务。对电视台播出系统实施信息安全等级保护，从技术和管理等方面提高播出系统的安全防护能力，确保电视节目安全、稳定的播出。本文将着重研究电视台播出系统安全保护等级三级系统等保实施流程及方法。

1、广播电视相关信息系统安全等级保护三级基本要求

《广播电视相关信息系统安全等级保护基本要求》（以下简称基本要求）是对广播电视相关信息系统安全等级保护基本要求进行规范的标准，播出系统具有相应等级安全保护能力的前提是需要满足基本要求中三级以上基本安全防护要求。基本要求中第三级安全防护基本要求框架如图1所示。基本要求中三级以上要求建立安全管理中心，从系统管理、安全管理及审计管理三个方面，实现对系统中各安全机制的统一管理。

2、电视台播出系统

全台网将电视台内的各个独立的节目生产网络连接起来，消除网络孤岛，使台内的节目制作流程能够实现全数字化、流程化的快速运转。全台网环境下，电视台播出系统主要包括播出控制、节目备播、节目播出、安全管理等模块，它承担着节目、广告、资讯等业务的多项播出任务，是网络化制播链的最后环节。播出系统通过全台主干网与节目生产、节目生产管理等领域进行数据与文件交互。全台网环境下，播出系统基本架构示意图如图2所示。              

3、三级电视台播出系统等级保护实施流程

三级电视台播出系统等级保护实施应以国家和广电行业等级保护相关标准为基础，依据基本要求开展等级保护工作，有效保证电视台播出系统的安全、可靠运行。等级保护实施基本流程如图3所示。

中科网威广播电视台系统安全等保三级解决方案：

电视台要想构建一个立体的网络安全防护体系，必须要考虑多层次的防护包括：
a.保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；
b.保证网络各个部分的带宽满足业务高峰期需要；
c.在业务终端与业务服务器之间进行路由控制建立安全的访问路径；
d.绘制与当前运行情况相符的网络拓扑结构图；
e.根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；
f.避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；
g.按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。

一、播出系统、媒资服务器安全防御（部署病毒隔离网关+USB隔离盒）
a.检测到对媒资服务器进行入侵扫描的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；
b.采用多种传输途径，以实现电视台业务生产内网、非编网、播出网、互联网、媒资网等全媒体内容交互、共享、双向互动、多向性应用为目的，阻止或隔离一切非授权、不安全终端接入，主动消除各种已知和未知安全威胁。阻止不符合安全策略的终端；
c.通过控制USB移动存储介质数据传输时实现病毒查杀隔离，能有效地防止USB移动存储上的文件携带病毒对于内网PC带来的威胁
d.采用多种传输途径，以实现电视台业务生产内网、非编网、播出网、互联网、媒资网等全媒体内容交互、共享、双向互动、多向性应用为目的，阻止或隔离一切非授权、不安全终端接入，主动消除各种已知和未知安全威胁。阻止不符合安全策略的终端。
e.防御媒资数据服务器漏洞：如IIS代码执行漏洞、Lotus缓冲区溢出漏洞等

二、网络安全访问审计（部署网络行为审计设备）
a.在台内网络边界部署访问控制设备，启用访问控制功能；
b.能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；
c.对进出网络的信息内容进行过滤，实现对用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；
d.在会话处于非活跃一定时间或会话结束后终止网络连接；
e.限制网络最大流量数及网络连接数；
f.重要网段采取技术手段防止地址欺骗；
g.按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；
h.限制具有拨号访问权限的用户数量。
i.对台内网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；
j.审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；
k.能够根据记录数据进行分析，并生成审计报表；
l.对审计记录进行保护，避免受到未预期的删除、修改或覆盖等
m.记录内网用户向公网 BBS、论坛、博客、空间等发表的帖子内容及附件，还提供对帖子的内容进行关键字过滤。同时可对搜索引擎搜索的关键字进行过滤与记录
n.确保入网用户身份合法有效，避免外来隐患。同时提供单点登录认证方式，用户只需输入一次密码，降低密码泄露的风险
o.对用户通过邮件、聊天、论坛等外发的言论信息进行合理监控和过滤，及时过滤违法信息，同时防止单位内部机密泄漏； 

三、生产播出网络入侵防范（部署下一代防火墙设备）
a.在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；
b.当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时提供报警。
c.主动防御已知和未知攻击，实时阻断各种黑客攻击，如防SQL注入、XSS攻击、网站扫描、WEB SHELL、会话劫持攻击等。
d.提供全面的 DOS/DDOS 防护机制，支持 SYN Cookie，SYN 代理服务。防御各种网络攻击如IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、 Smurf、Ping of Death、Teardrop、Land、Ping flood、UDP Flood 等
e.针对HTTP、FTP、SMTP、POP3、IMAP等协议进行病毒查杀
f.对网络敏感信息泄露DOS攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/可疑关键字和可疑文件的注入/远程过程调用告警/网络木马程序注入防护
g.支持对应用级别协议进行异常检测，通过拒绝常数据包来阻止这些非法的数据包，最大化保障网络安全；
h.实现针对HTTP、SMTP、POP3、IMAP、FTP、IM等多种协议的病毒流量监测和控制，第一时间完成对木马病毒、蠕虫病毒、宏病毒，以及脚本病毒的查杀，控制或消除上述威胁对系统的危害；
i.防范黑客攻击、蠕虫、网络病毒、后门木马、D.o.S 、Shellcode等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机；
j.对木马病毒、蠕虫病毒、宏病毒，以及脚本病毒的查杀，控制或消除上述威胁对系统的危害；

四、内部主机安全审计身份鉴别（部署运维堡垒机系统）
采用多种传输途径，以实现电视台业务生产内网、非编网、播出网、互联网、媒资网等全媒体内容交互、共享、双向互动、多向性应用为目的，阻止或隔离一切非授权、不安全终端接入，主动消除各种已知和未知安全威胁。阻止不符合安全策略的终端。
1、身份鉴别：
a.对登录操作系统和数据库系统的用户进行身份标识和鉴别；
b.操作系统和数据库系统管理用户身份标识具有不易被冒用的特点，口令有复杂度要求并定期更换；
c.启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；
d.当对服务器进行远程管理时，采取必要措施，防止鉴别信息在网络传输过程中被窃听；
e.为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。
f.采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
2、主机防护：
a.对登录主机设备的用户进行身份鉴别；
b.对主机设备的管理员登录地址进行限制；
c.主机设备用户的标识唯一；
d.主机设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；
e.身份鉴别信息具有不易被冒用的特点，口令有复杂度要求并定期更换；
f.具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；
g.当对主机设备进行远程管理时，采取必要措施防止鉴别信息在网络传输过程中被窃听；
2、访问控制：
a.启用访问控制功能，依据安全策略控制用户对资源的访问；
b.根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；
c.实现操作系统和数据库系统特权用户的权限分离；
d.严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；
e.及时删除多余的、过期的帐户，避免共享帐户的存在。
f.对重要信息资源设置敏感标记；
g.依据安全策略严格控制用户对有敏感标记重要信息资源的操作；
3、安全审计：
a.审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；
b.审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；
c.审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等；
d.能够根据记录数据进行分析，并生成审计报表；
e.保护审计进程，避免受到未预期的中断；
f.保护审计记录，避免受到未预期的删除、修改或覆盖等。

五、数据传输安全性（部署VPN安全网关）
a.能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；
b.采用加密或其他有效措施实现系统数据传输安全性、鉴别信息和重要业务数据传输保密性；
c.采用加密或其他保护措施实现应用系统远程互联、鉴别信息和重要业务数据远程访问的安全性；
d.在数据通信双方建立连接之前，用系统利用密码技术进行会话初始化验证；
e.对数据通信过程中的整个报文或会话过程进行加密。

六、网络设备、服务器状态监控（部署中科网警监控网管系统）
a.对主流网络厂家的网络设备进行监控，包括ping存活探测，cpu、内存、存储器空间、接口流量等运行状态。对F5负载均衡设备业务性能提供深入支持。
b.对主流服务器厂商的服务器（支持IPMI协议）的硬件状态进行监控，包括服务器内部环境温度、主板温度、CPU温度、CPU风扇转速、电源状态、电源电压、CPU电压、CMOS电池容量等。并且可实现远程开关机等管理功能。
c.对Windows、Linux、AIX、HP-UX等操作系统的服务器的ping存活、系统资源（cpu、内存和磁盘空间）、接口流量、进程等进行监控。
d.对Oracle、Mysql、SqlServer等主流数据库进行表空间利用率、数据文件的每秒I/O操作、已连接的用户数等众多参数进行监控。
e.对机房温湿度、漏水、烟雾等环境参数，以及市电和UPS等动力状况进行监控（需要额外的附加探头支持）。
f.支持手机短信、电子邮件、弹出窗口等多种报警方式，支持多级阀值设定。
g.能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

中科网威等级保护安全方案为电视台数据安全传输实现“四防一保”防病毒、防攻击、防系统崩溃、防重大事故、保障业务持续运行的信息化保障。

1、满足电视台内网数据交互：通过统一的安全网关，实现同一内容同时向制作、播出、媒资等多个子业务板块间数据跨板块、跨平台交互。

2、满足异地数据共享、远程交互：基于互联网资料互动传输，通过远程数据多目标分发、交互，将媒体内容的数据共享到本组织以外的任何一个有IP网络支持的地点，实现内容远程分发控制，有效保证媒体内容(新闻素材)的时效性。

3、满足“三网融合”业务需求：随着“三网融合”的逐步深入，ANYSEC病毒隔离网关媒体安全传输解决方案可以与广播电视网、互联网、电信网实现媒体内容的“无缝融合”，使同一内容自动后台转码，在不同终端、不同平台采用不同码率、不同分辨率、不同编码格式同步发布成为现实。  

方案厂商:深圳市中科网威科技有限公司
方案咨询：胡经理0755-83658009， 在线交流QQ807649707
更多详情请登录产品官网：http://www.anysec.com