广电行业融合媒体云平台 安全解决方案

广电媒体由早期的非数字化、单机时代逐渐转变为局部网络时代，出现了制作网络、媒资网络、播出网络及生产业务互联，催生了全台网络时代，实现了全台互联互通、制播一体化等重要的IT化发展。随着云计算时代的到来，新一代融合媒体云平台将实现全台全网整合，利用云计算、大数据等现代信息技术实现融合媒体云化，来拥抱广播电视信息化的快速发展以及新媒体时代的到来。、《广播电台融合媒体平台建设技术白皮书》，旨在引导和规范我国广播电视台融合媒体制播平台建设。其中技术白皮书中也对安全方面提出了相关建议及要求。

广播电台融合媒体平台主要包括了私有云、专属云、公有云等三部分，业务系统涵盖采集、编辑、制作、播出、媒体资产管理、综合办公管理、融合媒体等，包含针对各类业务的软件和服务，以各种标准和协议为基础，安全等级要求以及服务连续性要求各不相同。

根据安全威胁的特性，从传统安全和云平台安全两个维度进行分析：

包括大量用户数据、业务数据等在内的敏感信息的存储都使得云平台内面临着数据泄露、篡改等安全隐患。

云计算环境中，计算能力、存储与网络在多个用户，多个部门，多个电台之间共享。缺乏有效的隔离，可能造成越权访问其他用户的数据并进行修改、删除等操作。

虚机通信模式基本在大二层网络环境中，传统的网络边界检测及防护手段在应对东西向流量通信时无法提供有效检测及处置。

云计算带来新的运营模式的改变，各类安全能力需要按需弹性扩展提供；用户侧失去对资源的直接控制，云计算的特性为云服务承建单位的合规性要求、安全监管以及隐私保护提出了更高的要求。

在云环境下，授权部门或电台可享受融合媒体云计算服务。恶意用户利用云计算服务的安全漏洞，上传恶意攻击代码，非法获取或破坏其他用户的数据和应用。此外，内部工作人员（例如运维管理员与审计员）的失误或恶意攻击更加难于防范。

作为媒体传播主要渠道，受众对象广泛，如果非法内容通过融合媒体平台进行传播，、不健康的、以及涉及个人隐私等非法内容，将会对造成较大社会影响。

照国家相关安全规范要求，结合广电融合媒体云平台的建设需求和技术理念，从安全技术、安全管理两个维度出发，按照等级保护定级要求和安全防护策略思路，构建完整、有效、可信、特色的融合媒体云平台安全保障体系架构，确保以云为基础的业务信息系统安全。

参照等级保护2.0要求分别对融合媒体云平台和云应用提出定级要求，在实施阶段以集中运维门户、融合平台门户分离各自的安全需求，在融合媒体云平台层面对接安全资源池，依托安全资源池提供的能力，从物理设备安全、虚拟网络安全、数据安全、应用安全、虚拟主机安全分别满足等保要求。同时通过集中运维门户对资源进行统一管理、调度；

以安全资源池的形态，分别从网络安全、数据安全、应用安全、主机安全提供南北向、东西向全方位的安全防护与检测能力。安全资源池开放第三方接口，可与第三方安全能力及云平台进行对接整合。

（整体技术实现架构图）

云计算技术作为智慧广电的主要支撑技术之一，面临着诸多的网络安全问题，为实现整体广电融合媒体的智能化，需要思考利用软件定义安全（SDS）思路构建一个安全可靠、稳定开放、智慧集中的广电融合媒体云平台。基于安全视角整体设计思路如下：

（解决方案整体架构图）

包含智能硬件服务器、收录服务器、编码服务器、信源服务器以及其它承载应用系统的硬件服务器。

利用虚拟化技术，实现安全设备的资源池化，并通过云安全平台打通与SDN控制器的流量调度接口或核心路由器的命令控制接口，对流量按需调度，实现安全服务链。根据应用所需的安全需求从资源池按需生成对应的安全实例。此外，通过控制与数据分离，安全设备可以做到逻辑简单、处理高效，不容易出错而影响系统的稳定性。

控制层主要包括两个方面：一方面是融合媒体云安全平台，实现安全设备实例管理以及安全业务管理；另一方面是对接广电融合云平台及SDN控制器、核心路由器接口。广电融合云平台主要实现对部署在内嵌在云环境内的安全资源的管理及获取相关租户及主机资产信息。核心路由器或SDN控制器的对接主要实现业务网络、管理网络等相关网络流量自动化调度与管理。

安全应用层由模块化、可扩展的安全应用（APP）组成，安全应用利用控制层提供的北向接口，以及融合媒体云安全平台各类安全引擎，提供一系列安全管理控制功能供用户使用。可集成入侵检测、Web安全、内容安全、漏洞管理、态势感知等可扩展的安全应用。