融合媒體云平臺密碼運用思考

前言：尋找寫作靈感？中文期刊網用心挑選的融合媒體云平臺密碼運用思考，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：隨著信息化的高速發展，網絡安全形勢愈加嚴峻，融合媒體云平臺面臨的安全威脅日益凸顯，其安全與否關系到融合媒體是否能快速健康發展。密碼技術可以實現信息的機密性、完整性、真實性和不可否認性保護，是網絡安全的核心支撐技術。本文分析了融合媒體云平臺密碼應用需求，提出了密碼應用技術框架及產品部署思路。

關鍵詞：融合媒體;網絡安全;密碼應用

1引言

沒有網絡安全，就沒有國家安全。近幾年，國家相繼頒布了《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》等相關法律，制定了《信息安全技術網絡安全等級保護基本要求》（GB/T22239—2019）《信息安全技術信息系統密碼應用基本要求》（GB/T39786—2021）等一系列網絡安全標準，目的是促進各行業、各領域網絡安全保障。密碼技術可以實現信息的加密保護以及實體身份和信息來源的安全認證，是網絡安全的核心技術和基礎支撐。融合媒體云平臺在網絡通信、數據保護、身份鑒別等多方面都需要使用密碼技術進行保護。本文分析了融合媒體云平臺的安全風險及密碼應用需求，提出一種適用于融合媒體云平臺的密碼技術應用框架和產品部署結構，可實現融合媒體的安全保障。

2融合媒體云平臺密碼應用需求

2.1融合媒體云平臺概述

國家廣播電視總局已發布《廣播電視臺融合媒體云平臺總體架構》（GY/T354—2021）行業標準，標準中對融合媒體云平臺的架構進行了說明。云平臺總體架構如圖1所示。融合媒體云平臺主要采用云計算三層技術架構，分別為基礎設施服務層、平臺服務層、軟件服務層。基礎設施服務層為平臺服務層與軟件服務層提供統一的基礎環境；平臺服務層為軟件服務層提供統一公共能力服務；軟件服務層為用戶提供廣播電視融合媒體應用服務。同時，融合媒體云平臺可與縣級融合媒體中心、地市級融合媒體中心進行對接，為其提供基礎資源的支撐或數據信息的共享。融合媒體云平臺自身通常采用混合云技術架構：私有云應用臺內制播業務；公有云應用融合新聞制作、社交媒體、新聞客戶端發布等互聯網、移動互聯網業務，以及廣告、互聯網內容匯聚等對臺內制播業務安全影響較小的業務應用。

2.2融合媒體云平臺安全風險

融合媒體云平臺在運營過程中面臨諸多安全風險，包括人員、應用程序和設備接入平臺中的身份假冒風險、重要數據在傳輸過程中的信息篡改和泄露風險、重要數據在存儲過程中的信息篡改和信息泄露風險，以及業務系統重要操作行為的抵賴風險。安全風險如圖2所示。

2.2.1身份假冒風險

融合媒體云平臺需要對平臺業務系統用戶進行身份鑒別，云平臺與第三方接口進行數據通信時需要對接口通信雙方實體進行身份鑒別，云平臺需要對部分接入平臺內部的設備實體進行身份鑒別，在鑒別過程中，存在身份被假冒的安全風險。

2.2.2信息泄露風險

融合媒體云平臺的重要業務數據（身份鑒別信息、用戶個人信息、音視頻元數據信息等）中在傳輸和存儲過程中存在泄露的安全風險。

2.2.3信息篡改風險

融合媒體云平臺業務數據（身份鑒別信息、用戶個人信息、節目文件、節目審核信息等）在傳輸和存儲過程中存在被篡改的安全風險。

2.3融合媒體云平臺密碼應用需求

針對融合媒體云平臺面臨的安全風險，可使用密碼技術實現傳輸通道的安全保護、人員身份的真實性鑒別、數據傳輸及存儲過程中的機密性和完整性保護，其密碼應用需求如圖3所示。

2.3.1網絡通信層面

融合媒體云平臺多為混合云技術架構，本地私有云和公有云進行協同工作，需要使用網絡專線保障鏈路的安全；在非專線情況下，需要使用密碼技術建立安全傳輸通道，保障數據傳輸的安全。云平臺的遠程運維人員需要使用密碼技術建立安全傳輸通道。第三方平臺及其他設備需要接入云平臺網絡時，需要使用密碼技術實現接入設備的身份鑒別。

2.3.2設備計算層面

融合媒體云平臺包含主機/虛擬化主機、安全設備和網絡設備等軟硬件設備，使用密碼技術對設備進行身份鑒別，保證登錄設備人員身份的真實性；使用密碼技術建立集中的運維管理通道；使用密碼技術對云平臺內重要的可執行程序進行完整性保護，避免受到惡意篡改。

2.3.3應用安全層面

需要使用密碼技術實現登錄平臺內應用系統、中間件系統等相關軟件系統人員的身份鑒別，保證用戶身份的真實性；要對融合媒體云平臺與外部平臺的接口接入層面進行身份鑒別。

2.3.4數據保護層面

云平臺內部有多種類型的重要數據，包括應用系統的身份鑒別信息、節目文件、人員操作行為、個人信息等數據。針對不同類型數據的保護需求不同實現機密性和完整性保護。

3融合媒體云平臺密碼應用技術框架及密碼產品部署

3.1融合媒體云平臺密碼應用技術框架

針對融合媒體云平臺的密碼應用需求，可建立一套包含密碼資源層、密碼服務層、密碼應用層和業務應用層的完整的密碼技術應用框架，如圖4所示。

3.1.1密碼資源層

提供基礎的密碼運算資源，由密碼芯片、密碼模塊、密碼器、密碼卡和密碼整機等各類密碼產品組成。

3.1.2密碼服務層

提供密碼應用服務接口，主要分為對稱密碼服務、公鑰密碼服務及其他密碼服務三大類，為上層應用提供數據的加解密及安全認證服務。

3.1.3密碼應用層

調用密碼服務層提供的密碼應用接口，實現數據加解密、數字簽名和驗簽等功能的密碼應用軟件，為融合媒體云平臺提供密碼功能應用或服務。典型密碼應用軟件包括VPN系統、統一身份認證系統、數據加解密系統和數據簽名驗簽系統。

3.1.4業務應用層

調用密碼應用軟件，實現融合媒體云平臺的身份鑒別、通道保護、數據機密性保護和完整性保護。

3.2融合媒體云平臺密碼產品部署

依據GB/T22239—2019、GB/T39786—2021兩項國家標準的要求，結合融合媒體云平臺自身業務特點，需要使用一系列密碼軟硬件產品實現云平臺的安全防護，其密碼產品部署示意如圖5所示。融合媒體云平臺網絡邊界處部署統一身份認證系統、VPN系統和運維審計系統，在平臺內部密碼資源域部署數字證書系統和服務器密碼機，用于實現平臺的身份鑒別、通道保護、數據的機密性和完整性保護。

3.2.1身份鑒別

融合媒體云平臺的身份鑒別包括網絡通信層面的身份鑒別、設備和計算層面的身份鑒別以及應用層面的身份鑒別。（1）網絡通信層面的身份鑒別。使用密碼技術對接入融合媒體云平臺內部網絡的通信實體進行身份鑒別，常見的實現方式為在網絡邊界部署VPN系統。（2）設備計算層面的身份鑒別。使用密碼技術實現登錄融合媒體云平臺設備管理系統及物理主機/虛擬主機操作系統的身份鑒別。常見的實現方式為部署運維審計設備（堡壘機）進行統一身份鑒別，同時要求運維審計設備自身使用密碼技術實現登錄人員身份真實性的保證。（3）應用層面的身份鑒別。應用層面的身份鑒別包含兩類：一類是使用密碼技術實現對登錄融合媒體云平臺業務系統人員的身份鑒別，常見的實現方式是使用統一身份認證產品，實現一次認證，多系統操作；另一類是使用密碼技術實現融合媒體云平臺接口通信雙方的身份鑒別，常見的實現方式是基于數字簽名技術實現雙方身份的驗證。

3.2.2通道保護

融合媒體云平臺的通道保護是使用密碼技術保證與第三方平臺或外部網絡節點進行數據通信時，建立安全的數據傳輸通道，實現通信數據的機密性和完整性保護。

3.2.3數據機密性保護

融合媒體云平臺使用密碼技術對身份鑒別信息、用戶個人信息等重要數據進行機密性保護。常見的實現方式是業務系統調用密碼資源域的服務器密碼機等密碼運算設備對數據進行加解密運算。

3.2.4數據完整性保護

融合媒體云平臺可使用密碼技術對制作過程中的節目文件、節目審核信息等數據進行完整性保護。常見的實現方式是業務系統調用密碼資源域的服務器密碼機等密碼運算設備對數據進行數字簽名運算。3.2.5數字證書管理融合媒體云平臺身份鑒別、通道保護、數據完整性保護都需要使用數字證書，可部署數字證書管理系統用于數字證書的生成、發布和日常管理。

4結語

密碼技術的有效使用可降低融合媒體云平臺的安全風險，保證云平臺業務系統用戶及運維管理人員身份的真實性，實現云平臺與其他業務平臺之間通道的保護，實現重要數據的機密性和完整性保護，提升融合媒體云平臺整體安全防護能力，同時可滿足等級保護測評及商用密碼應用安全性評估的合規性要求。

作者：宮銘豪 王曉艷 單位：國家廣播電視總局廣播電視科學研究院