2019年1月15日,中共中央宣傳部、國家廣播電視總局聯合發布了《縣級融媒體中心建設規范》(以下簡稱《規范》),國家廣播電視總局發布了《縣級融媒體中心省級技術平臺規范要求》。《規范》提出要整合縣級廣播電視、報刊、新媒體等資源,開展媒體服務、黨建服務、政務服務、公共服務、增值服務等業務,省級技術云平臺為縣級融媒體中心提供技術支撐、運營維護。根據《規范》武進融媒體中心積極響應,嚴格落實網絡意識形態工作責任制,突出《縣級融媒體中心網絡安全規范》、建立健全內容審核與網絡信息安全一體化管理,打造全流程、全平臺“人防+技防”可管可控的網絡信息安全管理體系,真正體現融媒體平臺建的好、用的好、管的好。中心于2020年初開始建設融媒體平臺,同年10月較高標準通過省級驗收。
一.人防是基礎是關鍵
武進融媒體中心按照《縣級融媒體中心建設規范》以及網絡信息安全管理要求,實現了廣播電視、報刊、新媒體等各平臺的真正融合,中心嚴格落實《關于嚴防虛假新聞報道的若干規定》、《關于加強新聞采編人員網絡活動管理的通知》等有關規定,堅持新聞真實性原則,嚴把組稿關、審核關、發布關,全面落實“三審三校”制度。強化編輯責任,不刊發、轉載未經核實的投稿和網絡信息。在信息發布上,所有涉及本中心自辦節目的內容都是經所在部門負責人審核并播出的信息與新聞;資訊采集發布渠道主要來自人民網、新華網等主流權威新聞網站并注明來源方;論壇信息發布主要由本臺采編人員提供,從用戶申請、信息發布審核等環節都有人工審核把關環節,對所有用戶進行分級管理。日常工作中,中心堅持每周2次編前例會討論近期融媒體各平臺發布內容,確保網絡信息規范可控。網絡信息管理人員多次參加省廣電局組織的專業技術培訓。同時,我們還借媒體融合時機及時梳理了網絡信息安全管理各類應急預案,組織網絡信息管理人員熟悉應急處置流程,提升應急處置能力,確保武進融媒體中心網絡信息管理安全、可靠、穩定地運行。
圖1
二.技防是支撐是保障
2020年以來,我們對照省下發的融媒體建設標準加大了網絡信息管理安全技防投入。廣播電視、網站、新媒體平臺機房對照融媒體省級驗收要求,在原有網絡信息安全管理設備的基礎上,投入70多萬元配置三級等保網絡安全防范設備設施。省荔枝云文稿系統、辦公、節目制作、播出各系統間都建立了可管可控的網絡安全管理體系。
圖2
1.技術平臺安全
融媒體中心技術平臺依托于荔枝云省級技術平臺開設租戶,部署融媒體服務和應用,并通過完善的安全保障方案,確保融媒體中心網絡信息的數據安全、用戶安全、應用安全。
圖3 WEB應用防火墻管理界面
2.物理與環境安全
融媒體中心技術平臺使用阿里云的公有云資源,建立了VPC專區,并按照網絡信息安全等級保護三級的要求,由阿里云提供物理與環境安全。
3.網絡與通信安全
在網絡與通信安全防護方面,融媒體中心技術平臺采用了DDos防護、Web應用防火墻等防范工具,并通過堡壘機對人員的操作進行審計,具體功能如下:
(1)DDoS安全防護:日常提供基礎的安全防護,在兩會等重點安播期,會部署額外的高防服務,最高可防護300Gbps的攻擊流量;
(2)Web應用防火墻:WAF為融媒體中心技術系統部署的應用提供更深層次的安全防護,對各類HTTP請求進行內容檢測和驗證,確保其安全性與合法性,對非法請求予以實時阻斷;
(3)堡壘機:運維人員的命令行操作將被記錄,操作日志支持搜索,遠程桌面操作將被錄屏,堡壘機開啟了雙因子認證;
(4)態勢感知:能夠實時呈現融媒體中心技術平臺公有云平臺所有網絡信息資產的安全狀態,并進行聯動分析,最終會給出修復建議。
圖4 態勢感知界面
4.設備與計算安全
(1)安全組策略:可針對單臺虛機設置訪問控制策略,也可對虛機進行分組,為整個分組設置訪問控制策略,訪問控制顆粒度細化到端口級別;
(2)安騎士軟件:公有云平臺每臺虛機都部署了安騎士軟件,通過安裝在虛機上的輕量級Agent插件與云端防護中心的規則聯動,實時感知和防御入侵事件(漏洞掃描、木馬查殺、異常登錄檢測等);
(3)主機日志采集:公有云平臺每臺虛機均啟用了日志采集功能,Linux/Unix服務器開啟了Audit審計服務,Windows服務器開啟了本地安全策略。
圖5 安全組策略配置界面
5.本地系統安全
按照功能、風險級別、系統安全要求,整個系統分為網站和新媒體發布安全區、辦公及融媒體運行安全區、融媒體節目制作高安全區、廣播電視播出高安全區、辦公及融媒體制作遠程操作安全等區域;
系統之間采用硬件防火墻、軟件防火墻及網閘等設備進行網絡安全防護和隔離;
在做好各類主機本身系統軟件安全性的情況下,進一步采用軟件防護和硬件防護相結合的方式,提高系統的安全性。
圖6 安騎士軟件管理界面
6.本地系統軟件層面安全設計及配置
(1)服務器操作系統絕大部分采用CentOSLinux系統, 采用復雜密碼策略;
(2)服務器操作系統全部最小化安裝,不安裝圖形界面;
(3)服務器操作系統全部開啟防火墻策略,嚴格根據業務需求開放端口,關閉所有與業務無關的端口;
(4)關閉服務器SSH遠程登錄服務,只在需要時開啟;
(5)修改服務器SSH服務、數據庫、網站服務等端口為自定義端口;
(6)采用軟路由對服務器中不同虛擬機進行端口控制;
(7)對于網站服務器系統,采用Na x s i、 ModSecurity等安全模塊配置軟件層面的WAF;
(8)網站服務器程序如nginx等采用編譯方式安裝,只編譯和安裝網站功能需要的模塊;
(9)數據庫服務器、文件服務器等置于網站服務器后端, 不直接暴露在公網之上;
(10)對各類終端系統,采用最小化安裝方式的圖形化界面 Linux 系統作為操作系統,在終端上配置防火墻策略,關閉所有端口,丟棄所有非本機主動發起的網絡流量,終端上不安裝SSH等服務端軟件;
(11)遠程登錄網站服務器采用Linux系統或windows系統自帶的終端程序,或采用putty軟件,不使用其它第三方終端軟件,不在軟件中采用保存和記錄用戶名和密碼的登錄方式;
(12)限制只允許指定格式和指定擴展名的文件允許傳輸,對文件進行文件頭一級的檢測,杜絕通過修改擴展名進行文件傳輸的漏洞;
(13)操作系統和驅動程序等安裝不采用第三方鏡像文件或第三方快速安裝程序。
圖7
(14)各類節目制作和辦公電腦、系統服務器全部采用正版的操作系統和軟件,如VMware虛擬化軟件、Windows操作系統、Edius非編軟件、USBoverNetwork加密狗共享軟件等;采用開源的跨平臺軟件作為一些工具軟件的替代, 如采用GIMP替換Adobe Photoshop,采用 LibreOffice替換Microsoft Office;
(15)對于QQ、微信等軟件,各類驅動程序,采用使用瀏覽器直接從官方網站下載的方式,避免從第三方網站下載;
(16)避免采用第三方下載軟件,以規避第三方下載軟件可能替換下載鏈接,可能下載到經過改裝的帶有其它附帶程序的安裝包;
(17)對各類軟件在進入系統前進行安全性檢測和安裝測試;對軟件采用自定義安裝方式,避免安裝過程中引入不需要的軟件;軟件安裝完畢檢查是否引入不必要的第三方軟件。
7.本地系統硬件層面安全設計及配置
(1)在關鍵節點處增加硬件防火墻設備,對不同系統之間的互聯,根據業務需求情況,只開放與業務相關的端口, 并對系統邊界進行可信區和非可信區之間的劃分;
(2) 采用 WAF 設備對網站進行防護;
(3) 配置日志審計系統;
(4) 所有關鍵設備進行主備配置;
(5) 所有關鍵設備配置雙路供電;
(6) 機房配置兩路不同來源的交流供電;
(7) 機房配置雙路 UPS 不間斷電源;
(8) 機房配置兩組不同的精密空調,不同的空調采用不同來源的供電,確保單路供電不影響整個機房的供電;
(9)機柜、設備采用條形碼和易于識別的編碼進行標識;
(10)設備線纜采用標簽打印機進行標識,采用易于識別 功能和流向的編碼規則,便于硬件層面的設備和系統維護。
(11)交換機、防火墻等設備端口按照功能
或連接的設備進行名稱標識,以易于后期維護;
(12)各類實體服務器、虛擬服務器名稱命名采用與硬件設備相關的命名模式,網卡配置名稱增加ip信息,便于后期維護:
(13)風險區域的交換機配置端口MAC地址綁定功能。
圖8
8.本地系統數據安全設計及配置
(1)系統各類數據庫采用服務器之間實時同步備份的方式進行配置,確保數據安全;
(2) 人工定期進行數據庫備份情況的檢查;
(3) 各類服務器采用虛擬化方式配置,定期對各類服務器虛擬機進行整體備份,確保系統出現異常狀況時能夠及時恢復;
(4)對外錄節目素材磁盤陣列,采用增量備份方式,實現 6個月內節目素材的安全備份;配置節目素材自動轉碼系統,將外錄節目素材轉碼為 H. 265格式保存,實現自2014年至今所有外錄節目素材的完整備份;
(5) 各類磁盤陣列按重要性程度和讀寫性能要求,作RAID1、RAID5、RAID6 級別的配置;
(6)各類節目素材按重要性程度,作兩份或兩份以上的鏡像備份,并實施機房之間的異地集中備份,節目素材安全;
(7)各類節目素材按照重要性程度,對磁盤陣列文件作實時備份或定時自動備份;
(8)各類虛擬機定時作磁盤文件的整體備份。一年來實踐證明,武進融媒體中心各平臺網絡信息管理是可管可控,安全高效的。B&P