Page 36 - BP_201912
P. 36
[管理运营Management]
了软件开发、工程实施和系统交付管理等系统建设管理方面 毒后才连入系统进行使用。播出信息系统承担着相对独立的
相关制度和环境管理、资产管理、设备管理、网络安全、系 播出业务,与其他信息系统无连接,与外网完全隔离,是一
统安全、恶意代码防范、备份与恢复管理等方面系统运维管 个业务专用局域网,系统拓扑图如下:
理制度,建立安全管理制度体系,并确保认真贯彻和实行相 本次技术安全建设方面,主要建设了安全管理区域,并
关制度,为播出信息系统的安全稳定提供坚实基础。 完善了网络边界安全区域。其中,安全管理区域的部署如下:
安全技术子系统建设方面,系统部署在电视中心大楼3楼 (1)在安全管理交换机划分一个安全管理区域的所属
机房,该区域基础设施较齐全,安全状况较为良好。网络安全 V L A N用于建设安全管理设备,并作为该V L A N的网关设
层面,为了确保系统的安全性,防止非法入侵,对数据进行 备;分别连接4K超高清播出系统和高标清播出系统的核心
篡改和窃取,按照信息系统安全等保三级标准规范安全的要 交换机,通过路由方式连通安全管理设备与各系统对应的设
求,完善了包含安全管理子系统、4K超高清电视播出边界子 备,实现统一管理的操作。
系统,高标清电视播出边界子系统等方面的安全系统,对主要 (2)入侵检测系统(IDS)通过旁路模式部署在4K超
网络设备如边界防火墙、核心交换机资源,根据实际情况部署 高清播出系统和高标清播出系统的核心交换机,交换机上将
了多种访问控制策略,根据业务情况划分不同的子网或网段; 外网出口的双向流量镜像到连接IDS的端口上,实现实时检
在主机安全层面,服务器身份鉴别、访问控制安全审计、剩余 测所经外网出口的流量数据。
信息保护、入侵防范、恶意代码防范、资源控制等安全配置; (3)数据库审计系统通过旁路模式部署在4K超高清播
应用安全层面,提供访间控制、安全审计、软件容错安全配 出系统和高标清播出系统的数据库服务器所连接的交换机,
置,制定了合理的备份策略,保证对服务器、应用系统的位置 添加各系统对应的数据库信息,在交换机通过将连接数据库
文件、日志记录及核心业务数据等重要数据安全。 服务器的端口双向流量镜像到连接数据库审计系统的端口
4.播出信息系统构架和边界部署 上,最终实现对数据库的登录、注销、插入、删除、存储过
广东广播电视台播出信息系统根据广东广播电视台播出 程的执行等操作进行审计并记录,还原SQL操作语句进行实
的业务流程进行设计,主要包括三大模块:标清播出系统、 时审计,对跟踪数据库访问过程中的所有细节。
高清播出系统、4K播出系统。从磁带信息、节目单信息的录 (4)在IT运维审计系统中,添加4K超高清播出系统和
入,到节目素材的编排、节目单素材的迁移、节目的播出均 高标清播出系统所需管理服务器、网络设备、安全设备,并
使用播出信息系统完成,系统中的控制信息、数据信息、视 在内网防火墙上放通其相关策略,最终实现设备的统一管理
音频数据分开独立进行传输,系统与外界的数据交换通过软 及个人操作审计。
盘介质或移动硬盘完成,介质均由部署了杀毒软件的设备杀 (5)在安全管理系统(S O C)中添加4K超高清播出
系统和高标清播出系统所需采集的设备日
志,最终实现设备日志的收集、保存、及
事件数据分析。
(6)IT服务管理系统(网管系统):
部署在安全管理区,通过S N M P功能对接
添加4K超高清播出系统和高标清播出系统
所需管理的网络安全设备及服务器,实现
实时检测设备的硬件状态及链路状态。
(7)在4K超高清播出系统和高标清
播出系统的各服务器上安装终端防护优化
系统(杀毒软件)客户端,并在终端防护
优化系统上制定相对应的杀毒策略,定期
推送杀毒指令及更新病毒库指令。
(8)在4K超高清播出系统和高标清
播出系统的各服务器上安装终端安全保护
系统客户端,并在终端安全保护系统上制
定相对应的系统优化策略,执行推送策略
到已安装的客户端上服务器上,实现终端
的保护。
如拓扑图,4K超高清播出系统的安全
边界区域和高标清系统的安全边界区域基
图3 广东广播电视台播出信息系统网络拓扑图 本相似,下面通过高标清系统的安全边界
36
