电视播出系统网络信息与数据安全

杨 旸，云 帆

(南京广播电视集团，江苏 南京 210001)

电视播出系统网络信息与数据安全

杨 旸，云 帆

(南京广播电视集团，江苏 南京 210001)

介绍了南京广电集团电视播出系统网络信息与数据安全项目建设情况。新建立的聚合、冗余高速交换网络体系及安全防御体系基于模块化，易管理、可扩展，并引用无单点故障的NAS方案，配合升级改造后的灾备系统，实现与新播出网络的无缝连接，为向全台网和新媒体外延埋好了伏笔。

网络信息安全；数据安全；电视播出；数据库；灾备

为了适应集团发展与受众的需求，集团电视播出系统进行了一次全面升级，除播出平台、周边板卡和数字终端，一套完整的播出网络和数据存储也同步更新。

项目具体实施中，网络信息和数据安全引起了集团的重视。在新的形式下，播出网络将不再像以往那么封闭和独立，网络信息安全面临着比以往更严峻的形式。另一方面，高清、媒资、文件化播出等新技术项目的引入[1]，使播出系统的大数据存储也成为了更迫切的需要。

同时为了加强信息安全保护工作，近年来国家对建立信息安全等级保护制度的一系列管理办法已趋于完善，其中电视播出系统被信息安全等级保护定级为三级。因此在播出系统升级的同时，将其中的播出系统网络信息与数据安全作为一个完整独立的项目进行立项、设计、规划和最终实施，力争做到高效先进的同时不失安全和可靠。

1 项目总体架构

1.1 项目设计思路

项目主要内容分为网络信息和数据安全两个部分：

网络信息安全从内部、通信、边界三方面着手[2]。内部信息安全的具体实施是伴随着新播出系统建设同步进行的，主要是通过设立集中的网络管理模块，进行身份认证、日志审计、权限管理和策略应用等操作，部署终端管理系统，加强对外介质的屏蔽等；通信安全集中在交换设备的部署工作上，通过配置高冗余度的网络系统、日志审计、划分VLAN、端口绑定，以及系统监控等多手段从多角度进行；边界防护主要是通过配置边界硬件设备，配合相关的软件管理策略，对进出网络的数据流进行严格的访问控制。

数据安全工作主要是三个方面。一是数据安全与备份恢复，存储系统充分考虑了整体和各个节点、甚至每块硬盘的冗余度，无单一崩溃点，提供了完善的应急方案。二是主备数据库的实时镜像、监测和自动倒换系统。三是灾备系统，在备份播出系统的同时，也对全网的播出数据进行了完整的备份。

1.2 项目主要技术特点

1)设立集中网络管理模块，不再需要单点、单机管理，将基础网络安全、终端系统安全、服务端系统安全、应用安全、物理访问控制、权限和策略管理等方方面面一并囊括，并且开启日志审计功能，具备集中管理和查阅的能力；

2)所有交换设备采用具备国有知识化产权的第二代智能弹性架构技术IRF2(Intelligent Resilient Framework 2)，相关技术实现了五个突破：突破了业务特性的限制，突破了设备形态的限制，突破了系统连接带宽的限制，突破了专用板卡和接口的限制；划分VLAN，对播出网络的各个业务子网进行逻辑隔断，减少网络风暴和提高网络效率的同时也增强了网络系统安全[3]。

3)播出系统网络在不同安全等级网络边界部署防火墙和网闸系统，对进出系统的数据流进行严格的访问控制，控制力度延伸到源IP、目的IP、端口和协议。通过防火墙和网闸的配置，在系统内部部署入侵检测系统，对进出网络的数据流进行实时监控，发现非法入侵行为并进行告警，在系统边界部署安全网关，对进入网络的恶意代码进行检测和防护。

4)数据存储系统采用比RAID更先进的方式，在提高数据吞吐量的同时还具备高数据安全性。节点级容错选用N+2∶1的数据保护模型，可以允许一整个节点或者不同节点中的任意2块硬盘发生故障，同时磁盘利用率高达84%，最大程度兼顾了磁盘的使用效率和数据安全性。文件级容错采用定位于文件的方法来实现数据保护，在故障发生时，能够迅速精确定位文件受故障影响部位，并让多个节点参与数据恢复和重建。

5)通过RoseMirrorHA软件对主备数据库进行实时监控、保护和镜像，并且当主数据库主机或者应用程序发生故障时，系统将自动无缝、快速地把应用切换到备数据库，确保数据库对外服务的持续性和可用性；

6)新灾备播出系统采用与主播系统同构的模式，省去原异构系统带来的转码、映射等环节，也无需再同步上载，更无需重写应用，提高了系统效率，降低了软件使用和维护成本；采用全贯通手法，将主播系统中需要人为控制的节点摘除或者自动完成；具备独立的存储单元，可以视为全体节目素材的另一备份源。

2 项目具体内容

整个项目分网络信息和数据安全两个部分，此外还有衍生出的相关制度和管理规定不在本文讨论范围。

2.1 网络信息安全

播出系统的网络信息安全主要从内部、通信、边界三方面着手。

2.1.1 网络信息内部

从内部角度看，包括了基础网络安全、终端系统安全、服务端系统安全、应用安全、物理访问控制、权限策略管理等方面，具体实施是伴随着新播出系统建设同步进行的。设立集中网络管理模块，集成了严格的人员身份认证、日志审计、权限管理和策略应用等功能，所有服务器和工作站的业务用户都采用认证方式登录操作系统和应用程序；开启日志审计功能，任何操作都有日志记录，可以详细定位操作位置和操作人，系统内有日志审计系统进行集中管理和查阅；工作站仅安装必要的组件和应用程序，关闭不必要的端口和服务；部署终端管理系统，加强对各操作终端的外媒介质的屏蔽。各上载、播控工作站计算机的光驱、USB接口等在系统安装时候就已经实施屏蔽，确保外来信息无法经拷贝传入计算机。针对三处游离于播出部之外的子系统的相应端口，组织专人对分布在广告、总编室和十八频道的一共14台工作站进行周期性巡查，确认百分百的介质隔离。全系统唯一可以接U盘的是位于上载机房的一台PC，安装了专业USB安全隔离器后可以确保安全的完成数据的导入导出。

2.1.2 网络信息通信

从通信角度看，所有交换设备和网络设计都基于健壮的冗余和自适应配置，采用具备国有知识化产权的第二代智能弹性架构技术IRF2(Intelligent Resilient Framework 2)，正常运行的时候可以提高系统效率，故障发生时可以安全切换，保证系统安全运行。系统内的核心交换机、汇聚交换机和其他楼层的交换机开启日志审计功能，并将日志通过Syslog发送至区域内的日志审计系统进行集中管理。合理划分安全域，内部进行安全分区设计。通过划分VLAN，对播出网络的各个业务子网进行逻辑隔断，减少网络风暴和提高网络效率的同时也增强了网络系统安全[4]。连接终端的交换机端口做IP-MAC绑定，通过监控软件对交换机的运行状态进行监控，一旦发现服务水平异常或者降低到预先规定的最小值将进行告警。各级交换机还进行了安全加固配置，核心交换机可以通过带外管理系统进行远程运维，登录时采用用户名、密码和数字证书方式进行双因素认证。

2.1.3 网络信息边界

从边界角度看，播出系统网络在不同安全等级网络边界部署防火墙和网闸系统，对进出系统的数据流进行严格的访问控制，控制力度延伸到源IP、目的IP、端口和协议。通过防火墙和网闸的配置，在系统内部部署入侵检测系统，对进出网络的数据流进行实时监控，发现非法入侵行为进行告警，在系统边界部署安全网关，对进入网络的恶意代码进行检测和防护。现阶段，我集团的播出系统是基于一个完整的封闭网络，严格与互联网、OA办公网、制作域网络物理隔绝。但是由于具体工作需要，还有3个子系统或者节点与播出部不在一起，分别是：广电大厦7楼的广告串编和上载机房、演播中心4楼的总编室编播科和15楼的十八频道编单站点。2014年年初，笔者在播出网络的主、备核心交换机中部署了2块防火墙，并配以相应的软件，目的就是对这3处物理上游离于播出系统网络之外的子系统或者节点进行网络上的安全保护。网络系统内部通过实施准入控制策略，禁止非授权用户接入到网络内，通过终端管理系统中的违规外联功能，实时监控系统内的路由表，发现违规路径后进行告警并及时阻断。通过以上手段，播出系统网络保证了边界完整性。

2014年中，为了即将与全台网及文件化送播系统对接，在12楼机房又架设了2台安全级别更高的网闸，目前用于与13楼新建的影视剧缩编网进行数据交换。针对文件化送播的网络边界的选择在设计之初也是经过了思考和争论的，如何平衡效率与安全是考量的最终依据。网闸的安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统，模拟人工在两个隔离网络之间的信息交换。其本质在于：两个独立主机系统之间，不存在通信的物理连接和逻辑连接，不存在依据TCP/IP协议的信息包转发，只有格式化数据块的无协议“摆渡”[5]。 被隔离网络之间的数据传递方式采用完全的私有方式，不具备任何通用性。安全隔离与信息交换系统两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原，还原后的应用层信息根据用户的策略进行强制检查后，以格式化数据块的方式通过隔离交换矩阵进行单向交换，在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信，即实现“协议落地、内容检测”。这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的安全。最终基于反复测试并确认了采用网闸的文件化送播具备最高的安全性和可保证的传输效率。详细网络拓扑图请参考图1。

2.2 数据安全

2.2.1 数据存储安全

播出系统的数据主要有3种存储方式：在线存储、近线存储和离线存储(离线存储多游离于播出系统和媒资系统的边界，在播出系统改造中未予以实施)。其中在线存储为播出视频服务器内置(或外挂)的硬盘阵列，选用的视频服务器的内部磁盘阵列采用RAID1方式，即以1∶1镜像方式实现完全冗余。

近线存储就是二级存储系统，它是在视频服务器之外配置的大容量的磁盘阵列，通过数据迁移实现海量的数据存储和素材共享。在系统改造中，将二级存储作为上载端和播出服务器间的中间介质，把素材的上载、编辑、修改以及审看工作从播出视频服务器中分离出来，大大减少了视频服务器的工作负荷和存储要求。

图2 播出近线存储系统架构及附属软件模块

本集团硬盘播出系统中的二级存储系统设计方案是基于模块化、易管理、可扩展和高冗余度等一系列要求。二级存储的主体架构是1∶1镜像模式，采用多控制器，控制器之间互为冗余且具备故障自动切换能力，即使损失多个磁盘或整个节点，仍不会失去对任何内容的访问权；具备带电保护机制，保证包括缓存中的数据在一定时间内不丢失；配置了存储级数据快照软件许可。通过使用专业授权应用，在支持客户端连接负载平衡的同时，还实现了动态NFS故障转移及故障恢复。节点出现故障后虚拟IP会自动无缝转移到其他所有节点，而当节点恢复后，能自动找回平衡。具体二级存储系统架构如图2所示。

此外，搭建的二级存储系统的高数据安全性还体现在可以提供节点级和文件级的数据保护，而不是块级别。

节点级容错：采用N+2∶1的数据保护模型，其中N代表节点的数量，2代表在不发生数据丢失的前提下，集群所允许同时发生故障的磁盘数，1代表故障节点的数量。N+2∶1的数据保护级别可以允许一整个节点或者不同节点中的任意2块硬盘发生故障，同时磁盘利用率高达84%，最大程度地兼顾了磁盘的使用效率和数据安全性。

文件级容错：区别于传统RAID方式，采用定位于文件的方法来实现数据保护，每个文件单独存储保护信息。在存储系统中存在节点或驱动器故障时，能够迅速定位文件的受故障影响部位，并让多个节点参与受影响的文件的重新构建。通过分发并行机制，参与重构的磁盘轴和CPU数量远超传统RAID方案，还利用特殊编码提供了高冗余度和可用性。可以应对最多4个同时发生的全节点或单驱动器的故障，还最大程度缩短了故障的重构时间。另外，不需要在单个备用驱动器上重新构建数据(RAID采用此方法造成不可避免的瓶颈)，而是利用了可用空间，从而提供了虚拟“热备盘”。

采用结合了节点级和文件级的容错模式后再无需定期备份数据，文件级的容错是针对某一个目录甚至是某个单一文件的，数据保护级别还可以在线更换，不影响数据完整性，也不需要一个完整的数据恢复过程。

2.2.2 数据库安全

数据库是播出系统所有源数据的存储和管理中心，是整个播出系统的数据核心，数据库的在线要求必然是24小时无缝隙。为保障数据库安全笔者采用了基于RoseMirrorHA的产品以实现灵活的双机高可用系统，以实现实时镜像的主备数据库备份和自动倒换。

RoseMirrorHA基于以太网络TCP/IP协议，可无缝集成到既有系统环境，通过数据实时镜像技术，在两台主机之间无需共享存储的纯软件高可用系统。RoseMirrorHA可以对主机的IP、应用程序和数据等进行监控、保护和实时向备机进行备份，当主机或应用程序发生故障后，RoseMirrorHA将自动、快速地将应用切换到备机，确保应用服务的持续性和可用性。

主备数据库使用RoseMirrorHA软件通过网络在两台主机之间进行实时数据镜像。当主数据库发生故障时，备数据库即以完全镜像数据为基础，继续为播出系统提供业务服务。

主备数据库倒换采用Active/Standby模式。主数据库作为Active主机，运行SQL SERVER向播出系统提供各种应用服务，备数据库作为standby 主机，实时监控主数据库运行情况，当主数据库发生故障后，备数据库就接管所有应用服务。

无缝倒换是基于虚拟IP技术，即主备数据库在各自拥有独立的物理地址的同时，由RoseMirrorHA软件对外虚拟出一个服务IP，播出系统所有终端和应用都指向这个虚拟IP。正常情况下，虚拟IP指向主数据库的物理地址，而当主数据库发生故障时，RoseMirrorHA软件会把虚拟IP指向备数据库的物理地址，此外还自动完成2台服务器上SQL SERVER相应服务的打开和关闭。

2.2.3 新灾备系统

播出灾备系统是本集团于2006年根据国家广播电视安全播出管理规定的要求而建立的，规定要求在电视中心要配备N+1或者1+1的备播系统，该系统能在发生重大灾害和突发事件时应急播出重要节目[6]。12年的播出系统升级的同时，灾备系统在保留主体框架和硬件的同时，也为了适应新的播出系统做出了部分升级。

新灾备系统具备如下特点：

1)采用与主播系统同构的系统模式，抛却转码、映射等非必要环节，左右兼容、无须重写应用，提高系统效率，降低软件使用和维护成本。

2)拥有独立的系统功能，在正常情况下，灾备播出流可以作为播出系统的一路独立备份源，而在特别异常情况下、主播系统无法工作时，可以临时独立承担重要节目的播出任务。

3)自动免干扰工作模式。系统采用全贯通手法，将主播系统中需要人为控制的节点摘除或自动完成，正常工作模式中能在无人值守状态下进行全自动智能实时跟踪主系统播出。

4)灾备具备独立的存储单元，类似主播系统的二级存储，可以视为全体节目素材的另一备份源。

5)可升级、可扩展性强，主要设备均为拥有自主知识产权的自有产品。

3 小结

国内各电视播出机构关于网络信息安全的工作一直在做，但不系统化，也缺乏整体性和前瞻性，此次将播出系统中的网络信息和数据安全单独立项作为一个完整的项目推进，事前事后做了大量的规划、设计和测试工作，就是为了弥补以往见招拆招、亡羊补牢的工作模式切实保障电视播出的安全。

项目在两年多时间里不断完善、改进，到目前为止运行安全、稳定、可靠，大大提高了播出系统的安全性和可靠性，进而大大增强了电视的服务功能。这对于提升电视的传播力和影响力，提升公共服务水平，更好地满足人民群众日益增长的精神文化需要，都具有十分重要的意义。

[1] 郭伟强. 浅析播出系统中的安全机制的构建[J].电视技术，2014，38(8)：91-94.

[2] 王颖. 论目前计算机网络安全所面临的威胁及防范措施[J]. 消费电子，2013(14)：87.

[3] 陶慧峰. 电视播出网络维护技术与风险预防[J]. 无线互联科技，2013(10)：18.

[4] 祥祖军. 电视播出网络系统的安全防御与改造[J]. 现代电视技术， 2011(5)：110-115.

[5] 梁炜莹. 数字电视信息安全研究[D].广州：华南理工大学，2009.

[6] 潘登，徐进. 硬盘播出系统备份实现方式与完善措施[J].电视技术，2015，39(2)：54-56.

责任编辑：闫雯雯

Security Project Designed for Network Information and Data Builded on TV Broadcasting System

YANG Yang，YUN Fan

(NanjingBroadcastingSystem,Nanjing210001,China)

The construction of the security project designed for the system of network information and data builded on Nanjing Television Station Broadcast Department are discussed.The new polymerized and high-speed redundancy swith network system and the security defense system based on the modularization have the advantages on extensible management.It references NAS scheme without single failure to combine altered disaster recovery system so as to form a whole which realized seamless connection with new broadcast network.That all can set the stage for the whole station network and extension of new media.

network information security；data security；television broadcasting；database；disaster recovery

TN948

B

10.16280/j.videoe.2015.22.015

2015-03-31

【本文献信息】杨旸，云帆.电视播出系统网络信息与数据安全[J].电视技术,2015，39(22).