4G云广播方案设计由深圳康美音响电子科技有限公司提供!
章 方案设计一.1 设计思路
依据国家应急信息发布系统由应急局会同有关部门和地方建设的国家、省、市、县、乡、村六级相互衔接的突发事件预警信息发布系统组成,乡、村级应急广播系统作为预警信息传播网络的重要组成部分,主要由应急广播控制平台、通过4G/5G无线网络传输覆盖、各级分控平台及各村级接收终端组成系统网。
应急广播平台包括乡镇、行政村和自然村各级管理平台,主要由制作播发环节和调度分发环节组成。在制作播发环节,根据各应急部门的要求,迅速完成应急广播节目和应急信息的制作,并实时传送到应急广播平台。同时向调度分发环节发出应急广播发布指令。在调度分发环节,进行应急广播节目和应急信息的打包和安全签名,通过传输覆盖网向下级传输。同时,根据应急广播发布指令,自动生成相应区域传输覆盖资源的调度方案,按照该方案生成调度控制指令,并将调度控制指令进行安全签名,发送至应急广播传输覆盖网的平台和接收终端。
传输覆盖网是以数字有线宽带网络、4G/5G移动通信做传输覆盖网络为基础,在传输覆盖环节,应急广播传输覆盖网的各个平台和接收终端实时接收并验证应急广播节目、应急信息和调度控制指令,根据验证通过的调度控制指令,将已经验证的应急广播节目、应急信息自动切换至相应播出系统。此外,应急广播传输覆盖网也包含各平台及接收终端的信息回传网络。
接收终端的作用是将上级传输过来的广播信号还原并放大的音频信号,并通过空间向用户辐射。由于各个地方的网络覆盖情况不一致,应急广播接收终端的具体接收形式也不尽相同。接收终端应同时具备有线和无线接收的功能(“有线”主要包括Internet网络(广电网或运营商),“无线”主要包括运营商网络(2G/3G/4G/5G),当灾害来临时有线网络会轻易遭到破坏,这时可以采用无线网络来实现正常广播或应急广播,这样才能形成一套完善的应急广播系统。
监管系统其实质是一个“反馈系统”,一方面是将行政村分控平台、自然村平台的视频监控内容、设备工作状态回传至镇级平台;另一方面是将各接收终端的工作状态回传至团镇级平台。监管系统根据这些回传信息作出,进一步完善镇级平台制作播发环节发送的指令。
一.2 设计规范标准
《公共广播系统工程技术规范》GB 50526-2010;
《行政区域列表》GB/T 2260-2007;
《区以下行政区划代码编制规则》GB/T 10114-2003;
《地面数字电视广播传输系统实施指南》GB/T 26666-2011
《智能建筑设计标准》(GB∕T50314-2015)
《智能建筑工程质量验收规范》( GB 50339-2013)
《综合布线系统工程验收规范》( GB 50312-2016)
《民用建筑电气设计规范》(JGJ16-2008)
《城市住宅建筑综合布线系统工程设计规范》(CECS 119-2016)
《电气安装工程接地装置施工及验收规范》(GB-50169-2016)
《电气安装工程低压电器施工及验收规范》(GB-50254-2014)
《计算机场地技术条件》(GB2887-89)
《计算机信息系统安全保护等级划分准则》GB 17859-1999;
《保密标准》(BMB3-1999)
《商用密码管理条例》令第273号;
《关于维护网络安全和信息安全的决议》,全国人大常委会2000年10月审议通过;
《计算机信息系统安全保护条例》令第147号;
《涉密信息设备使用现场的电磁泄露发射防护要求》(BMZ1-2000)
《涉及国家机密的计算机信息系统保密技术要求》(BMZ1-2000)
《涉及国家计算机信息系统安全保密测试指南》(BMZ3-2001)
《网络管理保密制度》
一.3 设计参考政策
《突发事件应对法》(令第69号)
《国家突发公共事件总体应急预案》(第79次常务会议)
《国民经济和社会发展第十二个五年规划纲要》(国发[2011]34号)
《国家“十二五”时期文化改革发展规划纲要》(2012年中央办公厅、办公厅)
《国家基本公共服务体系“十二五”规划》(国发[2012]29号)
《国家突发事件应急体系建设规划(2011-2015)》
《国家自然灾害救助应急预案(2011年修订)》(国办函[2011]120号)
《国家基本公共文化服务指导标准(2015-2020)》(2015年1月14日,中央办公厅、办公厅印发)
《国家突发事件预警信息发布系统运行管理办法(试行)》(国办秘函[2015]32号)
一.4 安全系统设计
应急广播系统安全体系保障从应急信息接入、制作播出、调度控制、传输覆盖,终到达终端全流程的信息安全。系统各个环节应遵循安全播出要求和国家信息安全等级保护的要求实施网络安全、主机安全、应用安全、审计安全、数据安全及系统备份恢复等通用安全保障要求。
一.4.1 安全保护途径
根据全民应急广播系统安全保护需求和信息安全等级保护相关要求,全民应急广播系统的安全体系主要包括网络安全、主机安全、应用安全、审计安全、数据安全及系统备份恢复。
网络安全:全方位的保证网络安全,在网络安全区域划分、网络访问控制、网络边界恶意代码过滤和攻击检测、网络设备日志审计、网络设备防护、运维安全审计、网络设备和服务器工作状态监控几个方面进行网络安全加固。
主机安全:主机的操作系统、中间件、数据库进行安全加固,保障主机安全,确保为用户提供安全可靠的应用服务。
应用安全:系统从身份鉴别、访问控制、应急广播内容的使用与存储、安全审计、通信完整性与保密性、软件容错以及资源控制等方面进行安全加固,保障系统应用层面的安全和防止插播、盗播、错播、漏播等情况发生。
审计安全:完成系统的日志集中管理、安全风险的监控分析和处理,提高防范安全风险和威胁的能力,保证业务系统能够长期、可靠地运行。
数据安全:保障数据传输过程中的完整性和存储的保密性。
系统备份恢复:系统具备先进的容灾性,对应用服务器及数据库服务器等重要服务器进行双机热备,对数据进行定期备份。
一.4.2 应急广播消息安全保护模块设计
市级通过应急广播安全体系包括镇级广播应急控制平台安全服务系统、社区广播系统分控平台指令签名/验签模块、应急广播系统终端中的验签模块等。
市级应急广播控制平台安全服务系统:市级通过广播平台部署安全服务系统,安全服务系统包括证书管理子系统、签名验签子系统等。证书管理子系统负责签名验签子系统、应急广播系统社区/街级应急广播平台的消息签名/验签模块、终端的消息验签模块等的数字证书管理和更新,以及市级通过广播平台安全服务系统的权限管理、日志审计等。签名验签子系统负责对社区通广播平台接收到的应急广播消息进行签名验证,以及对发送的应急广播消息进行签名。
应急广播系统社区平台和行政村平台消息签名/验签模块:具备证书更新和存储功能,负责验证应急广播系统市平台发送的应急广播消息的合法性,以及为本级平台发送的应急广播消息进行签名,保障本级平台发送的应急广播指令的合法性;。
终端指令验签模块:应急广播终端中部署消息验签模块,具备证书更新和存储功能,负责对接收到的应急广播消息的合法性进行验证,确保只执行合法的应急广播消息。
一.4.3 安全防控措施
(1)在广播系统的网络内外加装硬件隔离防火墙隔离,可对流经它的广播通信数据扫描监控,过滤掉一些攻击信息,避免其在广播服务器上被执行。只开放自然村广播系统终端需要使用的端口,关闭其他端口;同时允许通信IP地址,屏蔽其他未知IP地址的通讯连接,有效的杜绝攻击与病毒入侵。
(2)在广播系软件中加装软件防火墙,使系统服务器在在整个广播网络中起到了网关的作用,实现对于操作系统之中数据通信的监控,并且提醒和排除不安全的数据通信。
(3)划分虚拟网络,可在公用或专用网络上建立专用广播网络,让比较敏感的广播终端和网络的其他部分进行一定的隔离,保证广播网络中的广播数据信息不泄漏。
(4)通过数字证书技术实现对设备(如通信加密和通信校验)和用户(如加用户登陆密码和U-Key控制、功能授权和终端授权)的身份认证,只有合法用户和设备可以接入广播系统中。
(5)在广播数据传输中,在软件通过对称加密技术保证广播节目内容的完整性、真实性、合法性,确保广播节目内容在传输过程中的安全,防止非法篡改和攻击。
(6)广播系统软件采用Linux操作系统,目前没有发现有Linux病毒存在,没有那种会导致系统死锁模糊的协议服务,不易受蠕虫攻击,不会发生特洛伊木马和蠕虫。
(7)通过数字签名技术保护广播信息的完整性、真实性和合法性,确保应急广播各环节仅接收和处理合法的广播信息,实现广播信息的来源可追溯性(可在前端监听和录音终端的广播内容)。
