2019年1月15日,中共中央宣传部、国家广播电视总局联合发布了《县级融媒体中心建设规范》(以下简称《规范》),国家广播电视总局发布了《县级融媒体中心省级技术平台规范要求》。《规范》提出要整合县级广播电视、报刊、新媒体等资源,开展媒体服务、党建服务、政务服务、公共服务、增值服务等业务,省级技术云平台为县级融媒体中心提供技术支撑、运营维护。根据《规范》武进融媒体中心积极响应,严格落实网络意识形态工作责任制,突出《县级融媒体中心网络安全规范》、建立健全内容审核与网络信息安全一体化管理,打造全流程、全平台“人防+技防”可管可控的网络信息安全管理体系,真正体现融媒体平台建的好、用的好、管的好。中心于2020年初开始建设融媒体平台,同年10月较高标准通过省级验收。
一.人防是基础是关键
武进融媒体中心按照《县级融媒体中心建设规范》以及网络信息安全管理要求,实现了广播电视、报刊、新媒体等各平台的真正融合,中心严格落实《关于严防虚假新闻报道的若干规定》、《关于加强新闻采编人员网络活动管理的通知》等有关规定,坚持新闻真实性原则,严把组稿关、审核关、发布关,全面落实“三审三校”制度。强化编辑责任,不刊发、转载未经核实的投稿和网络信息。在信息发布上,所有涉及本中心自办节目的内容都是经所在部门负责人审核并播出的信息与新闻;资讯采集发布渠道主要来自人民网、新华网等主流权威新闻网站并注明来源方;论坛信息发布主要由本台采编人员提供,从用户申请、信息发布审核等环节都有人工审核把关环节,对所有用户进行分级管理。日常工作中,中心坚持每周2次编前例会讨论近期融媒体各平台发布内容,确保网络信息规范可控。网络信息管理人员多次参加省广电局组织的专业技术培训。同时,我们还借媒体融合时机及时梳理了网络信息安全管理各类应急预案,组织网络信息管理人员熟悉应急处置流程,提升应急处置能力,确保武进融媒体中心网络信息管理安全、可靠、稳定地运行。
图1
二.技防是支撑是保障
2020年以来,我们对照省下发的融媒体建设标准加大了网络信息管理安全技防投入。广播电视、网站、新媒体平台机房对照融媒体省级验收要求,在原有网络信息安全管理设备的基础上,投入70多万元配置三级等保网络安全防范设备设施。省荔枝云文稿系统、办公、节目制作、播出各系统间都建立了可管可控的网络安全管理体系。
图2
1.技术平台安全
融媒体中心技术平台依托于荔枝云省级技术平台开设租户,部署融媒体服务和应用,并通过完善的安全保障方案,确保融媒体中心网络信息的数据安全、用户安全、应用安全。
图3 WEB应用防火墙管理界面
2.物理与环境安全
融媒体中心技术平台使用阿里云的公有云资源,建立了VPC专区,并按照网络信息安全等级保护三级的要求,由阿里云提供物理与环境安全。
3.网络与通信安全
在网络与通信安全防护方面,融媒体中心技术平台采用了DDos防护、Web应用防火墙等防范工具,并通过堡垒机对人员的操作进行审计,具体功能如下:
(1)DDoS安全防护:日常提供基础的安全防护,在两会等重点安播期,会部署额外的高防服务,最高可防护300Gbps的攻击流量;
(2)Web应用防火墙:WAF为融媒体中心技术系统部署的应用提供更深层次的安全防护,对各类HTTP请求进行内容检测和验证,确保其安全性与合法性,对非法请求予以实时阻断;
(3)堡垒机:运维人员的命令行操作将被记录,操作日志支持搜索,远程桌面操作将被录屏,堡垒机开启了双因子认证;
(4)态势感知:能够实时呈现融媒体中心技术平台公有云平台所有网络信息资产的安全状态,并进行联动分析,最终会给出修复建议。
图4 态势感知界面
4.设备与计算安全
(1)安全组策略:可针对单台虚机设置访问控制策略,也可对虚机进行分组,为整个分组设置访问控制策略,访问控制颗粒度细化到端口级别;
(2)安骑士软件:公有云平台每台虚机都部署了安骑士软件,通过安装在虚机上的轻量级Agent插件与云端防护中心的规则联动,实时感知和防御入侵事件(漏洞扫描、木马查杀、异常登录检测等);
(3)主机日志采集:公有云平台每台虚机均启用了日志采集功能,Linux/Unix服务器开启了Audit审计服务,Windows服务器开启了本地安全策略。
图5 安全组策略配置界面
5.本地系统安全
按照功能、风险级别、系统安全要求,整个系统分为网站和新媒体发布安全区、办公及融媒体运行安全区、融媒体节目制作高安全区、广播电视播出高安全区、办公及融媒体制作远程操作安全等区域;
系统之间采用硬件防火墙、软件防火墙及网闸等设备进行网络安全防护和隔离;
在做好各类主机本身系统软件安全性的情况下,进一步采用软件防护和硬件防护相结合的方式,提高系统的安全性。
图6 安骑士软件管理界面
6.本地系统软件层面安全设计及配置
(1)服务器操作系统绝大部分采用CentOSLinux系统, 采用复杂密码策略;
(2)服务器操作系统全部最小化安装,不安装图形界面;
(3)服务器操作系统全部开启防火墙策略,严格根据业务需求开放端口,关闭所有与业务无关的端口;
(4)关闭服务器SSH远程登录服务,只在需要时开启;
(5)修改服务器SSH服务、数据库、网站服务等端口为自定义端口;
(6)采用软路由对服务器中不同虚拟机进行端口控制;
(7)对于网站服务器系统,采用Na x s i、 ModSecurity等安全模块配置软件层面的WAF;
(8)网站服务器程序如nginx等采用编译方式安装,只编译和安装网站功能需要的模块;
(9)数据库服务器、文件服务器等置于网站服务器后端, 不直接暴露在公网之上;
(10)对各类终端系统,采用最小化安装方式的图形化界面 Linux 系统作为操作系统,在终端上配置防火墙策略,关闭所有端口,丢弃所有非本机主动发起的网络流量,终端上不安装SSH等服务端软件;
(11)远程登录网站服务器采用Linux系统或windows系统自带的终端程序,或采用putty软件,不使用其它第三方终端软件,不在软件中采用保存和记录用户名和密码的登录方式;
(12)限制只允许指定格式和指定扩展名的文件允许传输,对文件进行文件头一级的检测,杜绝通过修改扩展名进行文件传输的漏洞;
(13)操作系统和驱动程序等安装不采用第三方镜像文件或第三方快速安装程序。
图7
(14)各类节目制作和办公电脑、系统服务器全部采用正版的操作系统和软件,如VMware虚拟化软件、Windows操作系统、Edius非编软件、USBoverNetwork加密狗共享软件等;采用开源的跨平台软件作为一些工具软件的替代, 如采用GIMP替换Adobe Photoshop,采用 LibreOffice替换Microsoft Office;
(15)对于QQ、微信等软件,各类驱动程序,采用使用浏览器直接从官方网站下载的方式,避免从第三方网站下载;
(16)避免采用第三方下载软件,以规避第三方下载软件可能替换下载链接,可能下载到经过改装的带有其它附带程序的安装包;
(17)对各类软件在进入系统前进行安全性检测和安装测试;对软件采用自定义安装方式,避免安装过程中引入不需要的软件;软件安装完毕检查是否引入不必要的第三方软件。
7.本地系统硬件层面安全设计及配置
(1)在关键节点处增加硬件防火墙设备,对不同系统之间的互联,根据业务需求情况,只开放与业务相关的端口, 并对系统边界进行可信区和非可信区之间的划分;
(2) 采用 WAF 设备对网站进行防护;
(3) 配置日志审计系统;
(4) 所有关键设备进行主备配置;
(5) 所有关键设备配置双路供电;
(6) 机房配置两路不同来源的交流供电;
(7) 机房配置双路 UPS 不间断电源;
(8) 机房配置两组不同的精密空调,不同的空调采用不同来源的供电,确保单路供电不影响整个机房的供电;
(9)机柜、设备采用条形码和易于识别的编码进行标识;
(10)设备线缆采用标签打印机进行标识,采用易于识别 功能和流向的编码规则,便于硬件层面的设备和系统维护。
(11)交换机、防火墙等设备端口按照功能
或连接的设备进行名称标识,以易于后期维护;
(12)各类实体服务器、虚拟服务器名称命名采用与硬件设备相关的命名模式,网卡配置名称增加ip信息,便于后期维护:
(13)风险区域的交换机配置端口MAC地址绑定功能。
图8
8.本地系统数据安全设计及配置
(1)系统各类数据库采用服务器之间实时同步备份的方式进行配置,确保数据安全;
(2) 人工定期进行数据库备份情况的检查;
(3) 各类服务器采用虚拟化方式配置,定期对各类服务器虚拟机进行整体备份,确保系统出现异常状况时能够及时恢复;
(4)对外录节目素材磁盘阵列,采用增量备份方式,实现 6个月内节目素材的安全备份;配置节目素材自动转码系统,将外录节目素材转码为 H. 265格式保存,实现自2014年至今所有外录节目素材的完整备份;
(5) 各类磁盘阵列按重要性程度和读写性能要求,作RAID1、RAID5、RAID6 级别的配置;
(6)各类节目素材按重要性程度,作两份或两份以上的镜像备份,并实施机房之间的异地集中备份,节目素材安全;
(7)各类节目素材按照重要性程度,对磁盘阵列文件作实时备份或定时自动备份;
(8)各类虚拟机定时作磁盘文件的整体备份。一年来实践证明,武进融媒体中心各平台网络信息管理是可管可控,安全高效的。B&P