王金海

【內(nèi)容摘要】媒體融合的發(fā)展帶來的傳統(tǒng)電視媒體技術(shù)架構(gòu)的變革，以及由此引發(fā)的網(wǎng)絡(luò)安全風(fēng)險，對傳統(tǒng)媒體行業(yè)而言是全新的挑戰(zhàn)。本文從符合網(wǎng)絡(luò)安全等保 2.0 標準的建設(shè)和網(wǎng)絡(luò)攻防演練的實戰(zhàn)出發(fā)，通過構(gòu)建網(wǎng)絡(luò)安全防護體系、安全區(qū)域邊界防護、安全計算環(huán)境到數(shù)據(jù)全生命周期安全管理等方面，闡述各自安全機制的關(guān)鍵點，并強調(diào)了安全管理制度和人才隊伍建設(shè)的重要性。

【關(guān)鍵詞】融媒環(huán)境；網(wǎng)絡(luò)安全；安全運維

隨著媒體融合發(fā)展的深入，傳統(tǒng)廣播電視行業(yè)的技術(shù)架構(gòu)已發(fā)生根本性的變革，從傳統(tǒng)媒體相對封閉的內(nèi)容生產(chǎn)平臺向著集互聯(lián)網(wǎng)傳播、云平臺生產(chǎn)、人工智能、大數(shù)據(jù)等新技術(shù)應(yīng)用于一體的融合媒體開放平臺的升級和轉(zhuǎn)型，充分反映了“內(nèi)容為王、技術(shù)為要、人才為本”的媒體深度融合理念和路徑。內(nèi)容生產(chǎn)平臺的開放化，不可避免地帶來了網(wǎng)絡(luò)安全的風(fēng)險。按照國家廣播電視總局組織的網(wǎng)絡(luò)安全攻防演練和網(wǎng)絡(luò)安全等保建設(shè)的要求，本文結(jié)合上海教育電視臺近年來在等保 2.0 標準要求下對中高風(fēng)險進行的網(wǎng)絡(luò)安全技術(shù)加固和攻防演練實戰(zhàn)，對融媒環(huán)境下構(gòu)建網(wǎng)絡(luò)安全防護體系進行深入探索。

一、構(gòu)建網(wǎng)絡(luò)安全防護體系

依據(jù)國家《信息安全技術(shù)——網(wǎng)絡(luò)安全等級保護基本要求》，對媒體內(nèi)部各業(yè)務(wù)信息系統(tǒng)（播出域、生產(chǎn)域，及各子系統(tǒng)）進行細致的網(wǎng)絡(luò)區(qū)域等級劃分，全面開展風(fēng)險評估。根據(jù)各業(yè)務(wù)系統(tǒng)的安全等級程度和不同業(yè)務(wù)之間的互聯(lián)互通情況，識別潛在的安全風(fēng)險和薄弱環(huán)節(jié)，從業(yè)務(wù)內(nèi)容和不同業(yè)務(wù)間的信息互聯(lián)，合理規(guī)劃系統(tǒng)子網(wǎng)，加強對核心業(yè)務(wù)系統(tǒng)的防護力度，減少不必要的關(guān)聯(lián)，實現(xiàn)網(wǎng)絡(luò)區(qū)域分治，以強化核心業(yè)務(wù)的安全防護。對不同業(yè)務(wù)之間的訪問，通過網(wǎng)絡(luò)隔離、邊界防御、訪問控制、網(wǎng)絡(luò)分段等技術(shù)手段，降低風(fēng)險擴散的可能。

二、安全區(qū)域邊界防護

安全區(qū)域邊界防護是網(wǎng)絡(luò)安全架構(gòu)中的關(guān)鍵組成部分，其目的是確保網(wǎng)絡(luò)內(nèi)部資源不被未授權(quán)訪問或遭受攻擊。為此必須增加網(wǎng)絡(luò)安全加固措施和設(shè)備，包括下一代防火墻、入侵檢測設(shè)備、堡壘機、日志審計設(shè)備等。能夠極大地提升業(yè)務(wù)生產(chǎn)平臺的邊界防護能力，增強內(nèi)部威脅檢測能力，構(gòu)建起安全運維體系，以及日志追蹤和脆弱性分析的能力。在確保邊界安全的前提下，更要確保數(shù)據(jù)交互的穩(wěn)定和可靠。

（一）部署反惡意軟件防護，強化抗攻擊能力

在網(wǎng)絡(luò)的關(guān)鍵節(jié)點部署先進的防惡意代碼產(chǎn)品，能夠?qū)崟r檢測和清除惡意軟件，并保證防護機制的持續(xù)升級和更新。掃描進入網(wǎng)絡(luò)的文件和電子郵件，能夠確保惡意代碼無法通過存儲介質(zhì)或其他渠道感染內(nèi)部系統(tǒng)，從而保障信息系統(tǒng)的安全穩(wěn)定。

（二）邊界防護能力提升，守護系統(tǒng)邊界安全

部署下一代防火墻，全面保護安全區(qū)域邊界，能夠有效應(yīng)對區(qū)域邊界常見的安全威脅，如分布式拒絕服務(wù) (DDoS) 攻擊、惡意軟件傳播等，防止互聯(lián)網(wǎng)攻擊。所有跨越邊界的訪問和數(shù)據(jù)流都必須通過安全設(shè)備進行通信，以防止非授權(quán)的網(wǎng)絡(luò)鏈路接入。安全設(shè)備幫助制定和執(zhí)行安全策略，并構(gòu)建合規(guī)網(wǎng)絡(luò)訪問控制，對進出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。這不僅提升了對內(nèi)外部威脅的響應(yīng)處置能力，也通過技術(shù)手段確保了網(wǎng)絡(luò)邊界的安全，符合信息安全等級保護的要求。

對視音頻數(shù)據(jù)的傳輸而言，要求滿足高帶寬、低延遲和高可靠性等特點，必須綜合考慮大規(guī)模數(shù)據(jù)傳輸?shù)陌踩煽睾涂煽恳子?。因此在不同安全等級的業(yè)務(wù)系統(tǒng)之間，部署了擺渡服務(wù)器，其內(nèi)置高速傳輸協(xié)議，能夠輕松傳輸 TB 級的大規(guī)模文件，支持斷點續(xù)傳、錯誤重傳、一致性校驗等，可確保數(shù)據(jù)的完整性和正確性。

（三）內(nèi)部威脅高效識別，迭代安全體系構(gòu)建

增設(shè)入侵檢測設(shè)備，提升對高級威脅的檢測能力，通過旁路接入業(yè)務(wù)系統(tǒng)，可以洞察內(nèi)部威脅事件并提升對高級持續(xù)性威脅 (APT) 的檢測能力。入侵檢測設(shè)備能夠監(jiān)測網(wǎng)絡(luò)流量、日志和系統(tǒng)事件等信息，識別出異?；顒雍凸粜袨椋瑥亩沟孟到y(tǒng)能夠及早發(fā)現(xiàn)入侵。一旦發(fā)現(xiàn)入侵行為，入侵檢測設(shè)備能夠及時發(fā)出警報并提供詳細的攻擊信息，使得系統(tǒng)能夠快速采取措施限制攻擊范圍、修復(fù)受損系統(tǒng)，并進行相關(guān)的調(diào)查和取證工作。入侵檢測設(shè)備可收集、分析和匯總來自不同來源的威脅情報，使得系統(tǒng)能夠及時了解當前的威脅趨勢和攻擊手段，從而采取相應(yīng)的防護措施，做好應(yīng)對準備。

（四）構(gòu)建安全運維體系，保障業(yè)務(wù)系統(tǒng)運行

在系統(tǒng)內(nèi)部的安全運維體系構(gòu)建中，使用堡壘機身份安全體系保障內(nèi)部及外部運維人員操作時的安全操作。通過嚴格的身份驗證和訪問控制，確保只有授權(quán)的用戶才能夠訪問業(yè)務(wù)系統(tǒng)和數(shù)據(jù)，避免未經(jīng)授權(quán)的訪問和權(quán)限濫用導(dǎo)致的業(yè)務(wù)系統(tǒng)脆弱性。

堡壘機還能夠記錄每個用戶的登錄和操作行為，并提供詳細的審計日志，這包括用戶、時間、命令、目標系統(tǒng)等信息，提升了日常審計的細粒度及事后追蹤溯源能力。此外，還提供集中管控和監(jiān)控業(yè)務(wù)系統(tǒng)的能力，提升了運維管理效率，節(jié)省了運維管理成本。集中管控后作為統(tǒng)一運維接口，保護業(yè)務(wù)系統(tǒng)免受直接訪問帶來的威脅......(本文為文章截選，完整版請見《教育傳媒研究》2024年S1，本刊已入中國知網(wǎng)、萬方、維普等相關(guān)學(xué)術(shù)數(shù)據(jù)庫）