浅谈电台融媒体业务的安全体系建设

吴俊生 钱军 胡磊

【摘要】融媒体业务是现在电台技术建设的热点问题，面对互联网环境中的各种潜在威胁，在融媒体平台建设初期就要着重考虑平台的安全体系建设。

【关键词】 数据 边界 防护

一、概述

随着互联网、云计算、物联网等网络技术快速发展，驱动着整个媒体行业迈入融媒体时代。融媒体技术的发展和应用，电台在传统音频业务的基础上，必须开展多种业务、增加新的利益增长点的根本。2016年《中华人民共和国网络安全法》高票通过，成为我国首部网络安全领域的法律文件。随着信息安全各项政策的出台，广电行业的网络信息安全也上升到了前所未有的高度。为应对融媒体时代的挑战，必须加强安全与隐私管理，从体系建设上确保融媒体平台安全运行。

二、安全隐患分析

随着融媒体的应用的增长，数据激增推动存储、网络及计算机技术的发展，同时也引发了的安全问题。

1.成為攻击目标

开放的网络化社会，对于攻击者而言，相对低的成本可以获更多收益。电台大量音视频版权资料都非常具有价值，一旦遭受攻击，失窃的数据会造成巨大的经济损失。

2.出现技术短板

融媒体一般采用非关系型数据库技术，与当前广泛应用的关系型数据库技术不同，没有经过长期改进和完善，在维护数据安全方面也未设置严格的访问控制和隐私管理，缺乏保密性和完整性特质。

3.打破安全边界

融媒体的处理和存储离不开云，其运营环境的特殊性打破了传统的网络边界，使得传统的安全技术手段无法做到有效的安全防护。虽然云计算对大数据提供了便利，但对大数据的安全控制力度仍然不够。

三、安全体系建设

融媒体业务是电台业务生产作业系统，为保障系统安全稳定的运行，体系建设上需要严格按照《广播电视相关信息系统安全等级保护定级指南》、《广播电视相关信息系统安全等级保护基本要求》和其他相关的标准和规范的要求进行系统安全性设计。

1.存储安全

大量的数据产生、存储和分析，数据安全存储问题将在都是必须预先考虑的问题。体系建设中必须尽快尽早规划和布局融媒体安全存储防护措施。安全存储是融媒体安全的最基本需求，可以从集中存储、加密存储、加密传输、认证授权和日志审计等方面来对融媒体的安全存储环境加大保护力度。根据电台业务特点，存储文件大多为文字、音频、图片和小部分视频。音频文件包括录音素材和音频慢录，具有内容较多，种类复杂，更新频率快的特点，其数据属于非结化文件型数据，因此需要选择一款高安全性和高可用性的存储产品。

由于数据量增长迅速，横向扩展存储系统一般是首选。这样扩展和升级起来非常方便，像搭积木的方式进行存储的扩展。当有需求的时候，随时添加，而不会影响现有存储的使用。另外可以负载均衡，性能效率高。前端访问集群存储的操作，通过几种负载均衡策略，将访问分散到集群存储的各个存储节点上，大大减轻了每个节点的负载。后端访问数据，通过开放式的架构和后端网络，数据会分布在所有节点上进行存放和读取，每个读写操作都由更多的磁盘参与，因此将大大的提高读写操作的性能。还要易于管理、维护。

2.结构安全

在规划融媒体发展的同时，建立并完善信息安全体系很有必要。结合传统信息安全技术和考虑数据收集、处理和应用时的实际环境安全需求，建立面向数据信息安全的事件监测机制，及时发现信息系统安全问题，当大数据运营环境遭到攻击前或已经遭到攻击时，快速、准确地发现攻击行为，并迅速启动处置和应急机制。融媒体业务平台在网络架构上分为两个部分，一个是支撑应用的数据服务器组，一个是可以接受外部访问的外网应用服务器组，而核心交换机有足够大的带宽和吞吐量，因此将两台核心交换机都划分了两个VLAN，使其数据服务器组和外网应用服务器组两个网络同时架设在核心交换机上，并且在路由上完全隔离互不干扰。

而真正实现路由功能的是链路层防火墙，该防火墙将融媒体系统接入台内办公网系统，使得办公网用户能直接访问，并且能够透过办公网与互联网连接，在保证安全的情况下使得互联网用户也能访问到多媒体信息系统提供的服务。同时防火墙还将融媒体系统内的两个区域（数据服务器组和外网应用服务器组）隔离并联通。利用合理的规则使得三个区域协同工作。如图1所示：

3.边界安全

融媒体系统是建立在台办公网上的应用服务系统，与台办公网直接相连，可直接对全台办公网用户提供服务。既要提供正常的服务又要使其更加安全，利用防火墙的安全规则才能实现。最重要的安全区域是数据服务器组，这里包含了服务器和存储，为保证安全，办公网用户不能够直接访问该区域，需要通过外网应用服务器组间接调用其中的数据。

一方面要求外网应用服务器组接受用户要求从数据服务器组提取数据或者将数据写入数据服务器组。另一方面要求用户不得通过页面或者其他数据连接方式直接从数据服务器组提取数据或者写入数据。还有就是必须使用防火墙规则实现各个区域的安全访问，还需要防止不法用户或者恶意代码病毒等破坏网络的安全性，所以部署WAF提升外网应用服务器组的安全性，部署IPS提升了数据服务器组的安全性。当用户或管理员对网络设备发起访问时，网络设备应采取结束会话、限制非法登录次数和连接超时自动退出等措施来进行登录失败处理。关闭网络设备上不必要的服务和端口，当运维工作站通过远程管理地址访问被管理设备时，应通过HTTPS、SSH等安全的通信协议进行，并对运维工作站的IP地址进行限制。如图2所示。

融媒体系统还要为外出办公的台内用户以及各地市级用户服务，所以系统边界扩大到与互联网的连接。台办公网同样部署了相应的安全防护设备（如：防火墙、访问控制、IDS、网络防毒、日志审计、数据库审计等），在办公网防火墙上建立端口映射，既能够保证页面正常访问又能起到一定的安全防护作用。仅开放http，ftp，mms等必要的端口，其他访问一律阻断。

4.规范用户权限

融媒体的跨平台传输应用在一定程度上会带来内在风险，可以根据数据的密级程度和用户需求的不同，用户设定不同的权限等级，并严格控制访问权限。而且，通过单点登录的统一身份认证与权限控制技术，对用户访问进行严格的控制，有效地保证大数据应用安全。

融媒体业务系统是面向互联网的信息系统，因此使用连互联网的办公电脑即可登陆本系统，为保障安全有效地使用本系统，终端需要安装防病毒软件，并定期升级病毒库，及时进行操作系统更新。当用户登录网络设备进行设备维护、状态查看等操作时，应采用用户名和具有一定复杂度的口令方式进行身份鉴别，复杂度要求长度在8位以上，同时由数字、字母、特殊字符等两种或两种以上符号组成。除网络设备本身的口令认证外，对网络设备进行远程管理和运维时，应通过指定设备以HTTPS或SSH方式访问。

5.云安全

融媒体的数据存储一般都需要在云中实现上传、下载及交互，在吸引越来越多黑客和病毒攻击的云端及客户端做好安全保护必不可少。这时就必须考虑可基于虚拟化的云数据中心提供系统性的安全解决方案，以安全虚拟器件代替原有硬件设备的产品交付方式，确保物理、虚拟和云环境中服务器的应用程序和数据的安全，可以为云和虚拟化环境提供主动防御、自动安全保护，将传统数据中心的安全策略扩展到云计算平台上。

四、总结

融媒体平台的安全性建设是实施结合电台实际网络环境和工作需要，面对互联网环境中的各种潜在威胁，在融媒体平台建设初期就要着重考虑安全体系建设。只有充分考虑、细化规则、加强重视，才能有效地确保融媒体系统安全运行。B&P;