本文为（节选）

全文刊登于《广播电视网络》2021年第9期

原标题：等保2.0下可信计算在电视台融合媒体制播云平台安全中的应用研究

文 / 国家广播电视总局广播电视科学研究院 王晓艳 梁晋春 宫铭豪

摘要：

本文在分析电视台融合媒体制播云环境可信安全需求的基础上，依据等保 2.0 可信保障要求，研究探讨可信计算在电视台融合媒体制播云平台安全中的应用，初步提出电视台融合媒体制播云环境可信安全整体框架及云平台可信安全保障体系，为制播云平台的安全保障提供可信支撑。

1 引言

随着媒体融合不断向纵深发展，电视媒体机构在内容生产领域的开放度越来越高，更多的融合媒体制播业务相关信息系统部署到云上，融合媒体制播云平台建设已经成为电视台台内信息系统发展的重点。

2 电视台融合媒体制播云架构及安全现状

媒体融合发展改变了传统的广播电视制播体系，云计算架构的引入打破了传统制播系统原本封闭的网络边界，多来源的内容汇聚、多终端的网络接入、多渠道的内容发布、电视和新媒体的一体化制作、多云内容资源的协同等融合媒体发展新特点不断出现，使得融合媒体业务面临的安全风险进一步扩大。在融合媒体业务系统广泛连接、云计算环境下网络边界越来越模糊的情况下，找漏洞、打补丁等传统安全防护思路已经无法适应云计算环境整体安全防护需求，云平台自身及其上融合媒体业务应用的可信性和安全性问题更加凸显。

3 电视台融合媒体制播云环境可信安全需求

结合制播云架构及安全现状，电视台融合媒体制播云可信安全需求主要包括：内容数据可信、身份行为可信、网络接入可信。

4 等保2.0可信计算技术要求

《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护安全设计技术要求》《信息安全技术网络安全等级保护测评要求》等标准都对可信计算技术提出了明确要求。基本要求标准中，可信计算贯穿了四级标准，从通信网络、区域边界、计算环境等不从层面逐级提出了各个环节的主要可信验证要求；可信验证机制由可信根开始构建信任链，一级度量一级，一级信任一级，通过逐层可信扩展的方式，从 BIOS 到操作系统内核层，再到应用层，把信任关系扩大到整个网络，从而保障整个机制的可信运行。

5 电视台融合媒体制播云环境可信安全整体框架

基于电视台融合媒体制播云架构及安全现状，结合云环境可信安全需求，以可信计算技术为基础，充分体现一个中心、三重防御的思想，构建一个可信安全的电视台融合媒体制播云环境。

电视台融合媒体制播云环境可信安全整体框架中的可信计算环境，负责媒体私有云平台可信链传递，从基础设施可信根出发，度量基础设施、计算平台，验证虚拟计算资源、软件开发和运行环境可信，支持应用服务可信，确保计算环境可信。

6 电视台融合媒体制播云平台可信安全保障体系

电视台融合媒体制播云平台安全建设以“一个中心”管理下的“三重防护”体系为基础，构建由安全管理中心支持下的计算环境安全、区域边界安全、通信网络安全三重防护体系结构。

可信支撑平台主要包括可信物理层、可信软件基、可信应用三层。最底层为可信物理层，以物理可信根为源头，通过可信主板、可信外设等可信硬件，为电视台融合媒体制播云环境搭建一个可信的物理平台，作为整个制播云环境可信的基础。可信支撑平台的第二层是位于各操作系统的可信软件基，其通过内核层的主动可信监控机制可实现物理平台到操作系统、制播业务应用的可信链扩展。可信软件基同时为融合媒体制播业务应用层传递物理可信根提供的可信功能接口。可信支撑平台的第三层为可信应用，具体实现可信连接、可信存储、可信度量、可信报告、可信验证等可信应用。可信支撑平台通过可信软件基实现对融合媒体制播业务应用行为的主动可信监控，实现对融合媒体制播云平台的主动防御。