媒體融合下總控傳輸網絡安全與監測的一種有效方法

杜春 許柳竣熙 楊開榮

摘要：文章在介紹廣播電視臺總控傳輸網絡安全需求基礎上，通過配置網絡安全設備、設置網絡安全策略、監測設備運行參數等技術方法，在確保廣播電視信號傳輸安全的同時，為業務系統的高可用性提供有效保障。

關鍵詞：媒體融合；網絡安全；監測；高可用性

doi：10.3969/J.ISSN.1672-7274.2024.03.029

中圖分類號：TN 926? ? ? ? ? 文獻標志碼：B? ? ? ? ? ?文章編碼：1672-7274（2024）03-00-04

1? ?研究背景

融合媒體是現代信息傳輸渠道多元化下的新型傳播模式，通過對全媒體功能、傳播手段、組織結構等核心要素的匯聚和融合，讓廣播電視信號呈現出多渠道傳播[1]。媒體融合下網絡安全問題對于廣播電視信號的傳輸和業務系統的高可用性保障提出了新的挑戰，傳統的廣播電視臺總控傳輸網絡通常只在出口處部署防火墻，未對系統內的設備進行管理監測，因而其安全性和可用性難以得到保障。

為了提高廣播電視總控系統安全性和可靠性，應增加預警監測功能[2]，在傳輸網絡或者設備產生故障前，監測到可能存在性能劣化或故障隱患并產生預警信息，使技術維護人員能夠及早發現問題，在故障產生前即排除設備隱患，最大限度減少廣播電視播出事故[3]。

為實現廣播電視臺總控傳輸網絡的安全和系統的高可用性，本文通過合理使用日志審計的自定義告警事件功能和引入設備監測手段，科學設置傳統媒體傳輸鏈路和新媒體傳輸鏈路的安全策略，對服務器重要參數進行監測，在發出告警的同時就有效處置，在確保系統服務不受影響的情況下，及時排除故障和隱患，較好地滿足廣播電視臺總控傳輸網絡對安全保障的要求，在實踐中取得既能保障網絡信號傳輸安全，又能保障業務系統高可用性的成效。

2? ?總控傳輸網絡的安全需求

總控傳輸網絡的安全需求是為了保護傳輸網絡和相關業務系統免受各種安全威脅和攻擊的影響，確保數據的安全傳輸和業務的正常使用。

2.1 傳輸網絡安全需求

主要有6個方面的具體需求。

（1）機密性需求：確保傳輸的數據在傳輸過程中不被未經授權的人員訪問或泄露，保護信息的機密性。

（2）完整性需求：確保數據在傳輸過程中不被篡改或損壞，保證數據的完整性和準確性。

（3）可用性需求：確保傳輸網絡和相關業務系統的正常運行，防止因網絡攻擊或故障導致服務中斷或不可用。

（4）身份認證需求：確保傳輸網絡中的用戶和設備的身份真實可信，防止未經授權的用戶或設備訪問網絡資源。

（5）訪問控制需求：確保只有經過授權的用戶和設備才能進行訪問和操作。

（6）監測和響應需求：建立實時監測系統，及時發現和應對潛在的安全威脅，保障傳輸網絡的安全性和穩定性。

2.2 業務系統安全需求

（1）系統服務安全需求。針對收錄系統、監控系統、總控調度系統共有60多臺服務器完成不同業務功能的實際情況，一旦服務器工作不正常就會導致系統功能異常，尤其是Web服務器、調度服務器、策略服務器等，出現磁盤滿、CPU負荷過高等問題時會導致對應服務停止，進而影響系統大部分功能。因此，通過監測服務器的磁盤利用率和CPU利用率，可及時處理網絡安全相關問題，從而保證系統的高可用性。

（2）IP編轉碼系統安全需求。IP編轉碼系統承擔了電視信號的編碼、轉碼、協議轉換等功能，負責為不同的平臺和系統提供不同的信號格式和傳輸方式，其安全、穩定運行至關重要。與IP編轉碼系統相關聯的IPTV平臺、OTT平臺和有線電視信號通過專網傳輸，專網的核心交換機通過PIM和IGMP搭建組播傳輸網絡，通過組播方式分發電視信號，這樣可大大減少源端壓力和網絡負載；而云平臺需要穿越互聯網，通過RTMP、RTSP、SRT等單播協議進行傳輸，需要在邊界防火墻上配置對應的安全策略并匹配到協議端口來實現安全訪問。

3? ?總控傳輸網絡的安全設計

3.1 網絡的安全設計

根據總控傳輸網絡安全要求和業務系統的安全需求，對業務系統盡量進行物理隔離，各業務系統之間都通過防火墻隔離，配置防火墻和訪問控制策略，以限制對網絡的未經授權訪問。只允許特定的IP地址或用戶訪問網絡資源，并禁止不必要的端口和服務。有應用訪問則需要將安全策略盡量匹配到應用、服務甚至是端口。

本文通過部署運維審計系統來實現遠程訪問操作，通過部署設備監測實現服務器等設備的狀態信息收集及告警。由于總控傳輸網絡中有很多交換機，交換機端口狀態信息會產生大量日志，通過部署日志審計系統來實現端口掉線告警，這可在很大程度上滿足高可用性要求。此外，日志審計系統還可通過配置安全審計和日志記錄機制，將總控傳輸網絡中的所有活動和事件進行記錄，以輔助追蹤和調查安全事件。

3.2 網絡的拓撲設計

總控傳輸網絡的拓撲設計根據具體的業務需求和安全要求進行定制，并綜合考慮網絡的可用性、安全性和擴展性等因素。隨著網絡技術的不斷發展和安全威脅的不斷演變，拓撲設計也需要不斷優化和更新，以適應新的挑戰和需求，具體如圖1所示。

4? ?總控傳輸網絡安全與監測功能實現

4.1 系統的拓撲實現

監控系統和收錄系統有資源上的互相訪問，所以分別接到FW1和FW2，同時FW1和FW2通過HA口互連并配置為主備關系實現熱備份，然后連接到核心交換機和安管交換機；將總控調度系統連接到UTM2，將IP編轉碼系統連接到UTM3，再分別連接到核心交換機和安管交換機；UTM1連接辦公網和核心交換機。以上部署可更大限度地保證訪問安全，如辦公網的某些用戶欲訪問收錄系統，需要先在UTM1上設置對應的訪問策略，還要在FW1上設置同樣的訪問策略方能實現。與此同時，將終端管理及防病毒系統、運維審計系統、日志審計系統和設備監測系統連接到安管交換機，可對系統內的設備進行安全管理和監測。

4.2 系統的安全實現

（1）防火墻。防火墻可以提高網絡系統的安全防護效果，合理使用防火墻能對病毒入侵與黑客入侵產生良好的防護作用，進而增強廣播電視臺的網絡安全防御能力[4]。防火墻具備訪問控制功能，對進、出的數據包進行細粒度的訪問控制，防火墻通過白名單機制實現系統內外交互資源的控制，拒絕一切未被允許的訪問請求，以保證網絡的安全性。防火墻的訪問控制功能可對源地址和目的IP地址、端口及協議進行限制，以保障網絡邊界安全，其吞吐量可滿足帶寬要求。對此，在設置中盡可能將安全策略匹配到應用、服務甚至是端口，添加自定義服務，表1中的nfs、LAS-agent、1521都是自定義服務。

（2）終端管理及防病毒系統。由于傳輸網絡中的各業務系統無須訪問互聯網，這樣可避免黑客利用終端系統漏洞入侵終端，同時避免安全漏洞對各業務工作產生不利影響[5]。部署終端管理與防病毒系統，遵循最小安裝的原則，僅安裝需要的組件和應用程序，并確保系統補丁及時更新。通過設置升級服務器等方式，定期更新操作系統補丁。

（3）運維審計。通過運維審計系統可在運行維護人員進行操作時對網絡設備、主機系統、數據庫等對其進行身份認證和權限管理。運維安全審計系統支持Telnet、FTP、SSH、RDP、VNC等協議進行審計。通過系統自身的用戶認證、授權以及訪問控制等功能來詳細記錄整個會話過程中用戶的全部行為。對被記錄的行為支持6種方式的查詢和操作：按服務器方式進行查詢、按用戶名方式進行查詢、按登陸地址方式進行查詢、按照登陸時間進行查詢、對命令發生時間進行查詢、對命令名稱進行查詢。通過六個查詢條件的任意組合查詢，可以查詢“誰什么時間登錄服務器，并在什么時間在服務器上執行過什么操作。

（4）日志審計。日志審計通過配置安全審計和日志記錄機制，以記錄總控傳輸網絡中的所有活動和事件。通過這些日志記錄可以幫助追蹤和調查安全事件，以及滿足合規性要求。

在接口服務器、Web服務器、應用服務器、數據庫服務器和重要終端上均開啟安全審計策略，通過在Windows服務器上部署Agent并結合WMI采集，在Linux服務器用Syslog方式統一采集安全審計日志，并發送到日志審計系統進行集中分析與管理。

通過設置內置事件規則，還可支持按需自定義事件規則配置，如端口Down時觸發告警、非法訪問時觸發告警等，對可能存在的網絡安全問題進行有針對性監測，確保網絡安全運行[6]。

（5）設備監測。在需要監測的服務器端配置SNMP協議，廠商一般會提供設備的MIB庫，根據MIB中的對應字段編寫監控項[7]，確定需要監測的參數，通過具體配置，實現監測報警管理。其中，服務器可監測到總CPU利用率、總內存利用率、當前進程數、磁盤使用容量等參數；交換機可監測到CPU利用率、內存利用率等參數。通過設置門限值，可實現當CPU利用率和內存利用率達到80%或者其他數值時觸發告警，當磁盤使用達到磁盤總容量的90%或者其他數值時觸發告警。

5? ?結束語

隨著媒體融合和業務系統的多元化，總控傳輸網絡對安全性要求越來越高?？紤]總控傳輸網絡與一般的傳輸網絡不同，連接互聯網不多，更多是與設置專網相連，在具體部署時可根據工作要求，合理使用各種安全防護技術來確保網絡安全。本文提出了總控傳輸網絡安全與監測的方法，通過配置網絡安全設備、設置網絡安全策略、監測設備運行參數等技術，在確保廣播電視信號傳輸安全的同時，為業務系統的高可用性提供了有效保障，在工作實踐中發揮了積極有效作用。

參考文獻

[1] 何杰．媒體融合背景下的網絡安全研究[J]．廣播與電視技術，2017，44（06）：16-20.

[2] 王江亭，靳丹，俞?。诖髷祿碾娏π偶蓖ㄐ蓬A警技術研究[J]．電力信息與通信技術，2017（9）：68-73.

[3] 許柳竣熙，丁洪偉，施偉凡．廣播電視臺總控系統傳輸環網故障監測研究[J]．數字通信世界，2018（10）：20-33.

[4] 郭華．廣播電視臺網絡安全技術的應用研究[J]．西部廣播電視，2019（23）：233-234.

[5] 高進忠，李雄志．廣播電視臺網絡安全工作存在的主要問題分析及防護策略研究[J]．廣播與電視技術，2019（3）：119-123.

[6] 琚宏偉，喻峰萌．電視臺信息系統網絡安全監測業務實踐探討[J]．廣播與電視技術，2019（5）：115-119.

[7] 余偉，何寰．Zabbix在IPTV運維過程中的應用與實踐[J]．現代電視技術，2023（9）：152-156.