導(dǎo)語：有線電視網(wǎng)絡(luò)安全規(guī)劃研究一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

【摘要】有線電視的快速發(fā)展，極大的促進(jìn)了網(wǎng)絡(luò)覆蓋范圍的擴(kuò)大，這種情況下，網(wǎng)絡(luò)安全關(guān)系到所有網(wǎng)絡(luò)用戶的信息及財(cái)產(chǎn)安全。在最近幾年，不法分子經(jīng)常會選擇破壞網(wǎng)絡(luò)的方式來獲得非法利益。這不僅僅危害了網(wǎng)絡(luò)用戶及國家的財(cái)產(chǎn)安全，同時(shí)也暴露除了網(wǎng)絡(luò)管理中的漏洞，所以提高對網(wǎng)絡(luò)安全的管理與規(guī)劃是非常重要的。本文就將討論有線電視網(wǎng)絡(luò)安全漏洞及控制技術(shù)措施。

【關(guān)鍵詞】有線電視；網(wǎng)絡(luò)安全；規(guī)劃

1網(wǎng)絡(luò)框架現(xiàn)狀及漏洞

通常情況下，省級的有線電視網(wǎng)絡(luò)系統(tǒng)包括三個部分，也就是企業(yè)內(nèi)部內(nèi)部的局域網(wǎng)、覆蓋全省范圍的DVB承載網(wǎng)及波分網(wǎng)和IP城域網(wǎng)，不同部分所負(fù)責(zé)的內(nèi)容都是不同的。其中企業(yè)局域網(wǎng)是內(nèi)部辦公環(huán)境，IP城域網(wǎng)主要作為生產(chǎn)業(yè)務(wù)的核心信息交換通道存在，而DVB承載網(wǎng)及波分網(wǎng)是該地區(qū)的信號通道。DVB承載網(wǎng)主要負(fù)責(zé)該區(qū)域有線電視直播節(jié)目以及一部分專線業(yè)務(wù)，而波分網(wǎng)承擔(dān)VOD點(diǎn)播業(yè)務(wù)以及地區(qū)專線業(yè)務(wù)和局域網(wǎng)業(yè)務(wù)等等。其中IP城域網(wǎng)與DVB承載網(wǎng)及波分網(wǎng)所組成的信息雙向傳播通道是有線電視網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵內(nèi)容。有線電視的這種網(wǎng)絡(luò)框架將辦公區(qū)與生產(chǎn)業(yè)務(wù)區(qū)分散開來，這種網(wǎng)絡(luò)結(jié)構(gòu)安排是較為合理的，能夠有效的保證系統(tǒng)服務(wù)能力滿足用戶的需求。但是這種網(wǎng)絡(luò)框架也存在著較大的安全隱患，威脅著整體網(wǎng)絡(luò)系統(tǒng)的安全。其中存在的主要漏洞包括以下內(nèi)容：①不同的信息系統(tǒng)未進(jìn)行分類的部署，對于信息的安全管理難度是較大的；②不同的信息之間的聯(lián)系是非常復(fù)雜的，很多情況下并沒有部署統(tǒng)一的通信通道，導(dǎo)致很多信息的傳遞都需要經(jīng)過業(yè)務(wù)網(wǎng)絡(luò)，這提高了信息被竊聽的風(fēng)險(xiǎn)；③局域網(wǎng)內(nèi)部一般情況下沒有劃分子網(wǎng)管理，很容易造成地址上的沖突或者廣播風(fēng)暴現(xiàn)象的出現(xiàn)，同時(shí)又因?yàn)閷υL問控制上管理的欠缺，從而使得網(wǎng)絡(luò)安全受到了極大的威脅；④沒有進(jìn)行運(yùn)維管理的統(tǒng)一規(guī)劃，從而無法保證運(yùn)維通道的安全以及操作審計(jì)的統(tǒng)一，進(jìn)而無法及時(shí)追蹤到安全事件；最后信息系統(tǒng)一般僅是通過防火墻等手段來進(jìn)行防護(hù)，安全防護(hù)措施不夠，因此導(dǎo)致弱口令安全隱患。

2安全域的規(guī)劃

對于有線電視系統(tǒng)這種大型的網(wǎng)絡(luò)系統(tǒng)而言，安全控制不能僅僅從某些具體的安全控制點(diǎn)來保障，而是應(yīng)該從整體安全性能出發(fā)來對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全規(guī)劃。將網(wǎng)咯系統(tǒng)業(yè)務(wù)功能相近或者安全防護(hù)級別類似的信息進(jìn)行安全域的歸類與劃分，在對整個網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全防護(hù)基礎(chǔ)之上，按照國家出臺的《信息系統(tǒng)安全等級保護(hù)定級指南》以及《有線數(shù)字電視系統(tǒng)安全指導(dǎo)意見》等內(nèi)容中關(guān)于安全等級劃分及分級防護(hù)的內(nèi)容，對各個安全域之間進(jìn)行有效的隔離與管控，從而保證即使有安全域出現(xiàn)問題的時(shí)候也能夠緊急對這些情況進(jìn)行處理，避免其擴(kuò)散，有效降低損害。所以安全域的劃分是保護(hù)有線電視網(wǎng)絡(luò)安全的重點(diǎn)內(nèi)容。對于有線電視網(wǎng)絡(luò)的安全域劃分往往可以分為六種：2.1內(nèi)部系統(tǒng)區(qū)域。主要生產(chǎn)業(yè)務(wù)區(qū)域可以說是內(nèi)部系統(tǒng)區(qū)，該安全域是用戶的主要使用窗口及重點(diǎn)保護(hù)對象，其中主要包含直播系統(tǒng)、接入認(rèn)證系統(tǒng)、雙向互動業(yè)務(wù)系統(tǒng)、BOSS系統(tǒng)等等。從業(yè)務(wù)性質(zhì)角度分類，該區(qū)域又可以分為基本業(yè)務(wù)與增值業(yè)務(wù)，不同安全域所承擔(dān)的業(yè)務(wù)都是不同的是，內(nèi)部系統(tǒng)區(qū)的出口進(jìn)行統(tǒng)一，并且接入到IP城域系統(tǒng)。其中直播服務(wù)區(qū)就是為用戶提供電視直播業(yè)務(wù)，該區(qū)域信息是單向傳播的，所以需要進(jìn)行內(nèi)容控制，并且對信息采集通道進(jìn)行嚴(yán)格的安全防護(hù)；視頻點(diǎn)播區(qū)是為用戶提供電視視頻點(diǎn)播業(yè)務(wù)的，該區(qū)域的信道分為信令通道及推流通道。由于該區(qū)域?yàn)榻K端用戶提供Web訪問，因此需要在信道的入口處通過防火墻的設(shè)置提高安全等級；信息服務(wù)區(qū)視為機(jī)頂盒用戶提供信息交互服務(wù)的，所以需要進(jìn)行Web防火墻及相關(guān)安全設(shè)備的部署，進(jìn)而有效避免用戶發(fā)起應(yīng)用層攻擊，防止數(shù)據(jù)的篡改、病毒的侵襲以及DDOS的攻擊等。而此區(qū)域的訪問量是非常大的，所以對于安全設(shè)備的要求是非常高的，因此在區(qū)域邊界還需要設(shè)置負(fù)載均衡器來實(shí)現(xiàn)分流；終端控制區(qū)主要是對用戶所提供的IP地質(zhì)進(jìn)行驗(yàn)證、分配等服務(wù)，該區(qū)域中的多個系統(tǒng)都與BOSS系統(tǒng)有信息交互通道，所以在入口位置需要部署防火墻以及IPS，保護(hù)內(nèi)部系統(tǒng)的安全。2.2內(nèi)部互聯(lián)區(qū)域。內(nèi)部互聯(lián)區(qū)實(shí)際上是機(jī)構(gòu)內(nèi)部的局域網(wǎng)絡(luò)，該區(qū)域是通過核心網(wǎng)絡(luò)交換設(shè)備、LAN、營業(yè)廳及網(wǎng)點(diǎn)組成的。而營業(yè)廳及網(wǎng)點(diǎn)由于位置是相對分散的，所以需要通過波分網(wǎng)中的子通道來連接。內(nèi)部互聯(lián)去要將IP城域網(wǎng)、信息管理區(qū)及內(nèi)部公共區(qū)連接到一起。內(nèi)部互聯(lián)區(qū)中的網(wǎng)絡(luò)往往需要根據(jù)地區(qū)以及層級來實(shí)現(xiàn)子網(wǎng)管理的劃分，從而防止網(wǎng)絡(luò)廣播擁擠現(xiàn)象的發(fā)生，便于網(wǎng)絡(luò)的隔離。在該區(qū)域中，要求IP城域網(wǎng)出口處部署防火墻及其他防護(hù)設(shè)備，從而避免來自外部的攻擊，并且通過在網(wǎng)絡(luò)出口位置部署上網(wǎng)行為管理系統(tǒng)來讀內(nèi)部人員網(wǎng)絡(luò)訪問行為進(jìn)行管理與約束。2.3內(nèi)部公共區(qū)域。所謂內(nèi)部公共區(qū)就是出于內(nèi)部互聯(lián)網(wǎng)區(qū)的網(wǎng)絡(luò)環(huán)境中，作為內(nèi)部企業(yè)人員的辦公區(qū)域。很多情況下，該區(qū)域是集中在一兩個點(diǎn)上，但是涉及的部門是相對較多的，要進(jìn)行頻繁的網(wǎng)絡(luò)交換，因此也是最容易受到攻擊的區(qū)域。所以在該區(qū)域應(yīng)該要按部門劃分網(wǎng)段，在入口處部署防火墻以及IPS防護(hù)設(shè)備，對網(wǎng)絡(luò)殺毒措施進(jìn)行集中部署，在涉密區(qū)域以及重要部門還需要設(shè)置集中的管控系統(tǒng)，運(yùn)維人員要時(shí)刻注意公共信息通道鎖進(jìn)行的遠(yuǎn)程運(yùn)維任務(wù)，并且阻止這種行為的發(fā)生。最后部門工作人員應(yīng)該要使用獨(dú)立終端系統(tǒng)，通過安全管理區(qū)域?qū)Ｓ猛ǖ肋M(jìn)行操作以及運(yùn)維。2.4信息管理區(qū)域。信息管理區(qū)域是在內(nèi)部互聯(lián)區(qū)網(wǎng)絡(luò)環(huán)境中，主要用于企業(yè)內(nèi)部的集中信息處理。通常情況下，該區(qū)域中的系統(tǒng)都是進(jìn)行多個安全子區(qū)域的劃分來進(jìn)行分散管理的，主要的信息管理區(qū)域包括BOSS區(qū)域、Web信息服務(wù)區(qū)域、管理服務(wù)系統(tǒng)區(qū)域等等。在信息管理區(qū)域中，入口處要部署訪問控制措施、DMZ區(qū)域以及WAF設(shè)備，并且在各級出口的防火墻上進(jìn)行地址或者終端放射，從而能夠?qū)崿F(xiàn)深度防御。作為網(wǎng)絡(luò)系統(tǒng)的核心系統(tǒng)-BOSS系統(tǒng)，其安全管理以及個人信息防護(hù)是非常關(guān)鍵點(diǎn)，所以要對該區(qū)域進(jìn)行單獨(dú)的安全防護(hù)，在于其他內(nèi)部系統(tǒng)使用同樣的信息傳輸通道的時(shí)候，出入口要分別部署安全設(shè)施來實(shí)現(xiàn)所有外部通信的加密。2.5安全管理區(qū)域。作為安全管理區(qū)域，作為重要的作用就是為所有的系統(tǒng)提供統(tǒng)一的運(yùn)維通道，進(jìn)行運(yùn)維堡壘機(jī)的部署，對運(yùn)維事件進(jìn)行審計(jì)，以及對所有的系統(tǒng)主機(jī)以及設(shè)備進(jìn)行安全審計(jì)，進(jìn)行安全管理平臺的建立，從而實(shí)現(xiàn)對所有系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行集中分析，并且作出預(yù)警處理及應(yīng)急響應(yīng)。在安全管理區(qū)要進(jìn)行系統(tǒng)補(bǔ)丁或者升級服務(wù)器、服務(wù)器殺毒軟件管理器等設(shè)備的部署，在接入口還需要部署VPN防火墻來實(shí)現(xiàn)信息的加密，從而形成專門的運(yùn)維管理通道，負(fù)責(zé)對審計(jì)信息的傳送。2.6業(yè)務(wù)用戶區(qū)域。業(yè)務(wù)用戶區(qū)域就是終端用戶接入?yún)^(qū)域。對于業(yè)務(wù)用戶區(qū)域的防護(hù)需要在終端設(shè)備上設(shè)置一個唯一的終端標(biāo)識，該標(biāo)識的作用就是以此為基礎(chǔ)來進(jìn)行IP地址以及用戶身份的驗(yàn)證，對無法得到驗(yàn)證的信息進(jìn)行阻擋。并且在接入層設(shè)置IP地址規(guī)則，對于兩類終端用戶分配不同的IP地址，并且對其訪問進(jìn)行控制。

3結(jié)束語

有線電視中的網(wǎng)絡(luò)系統(tǒng)關(guān)系到國家以及用戶的信息安全以及社會穩(wěn)定，對于有線電視的發(fā)展也是有重要影響的。所以加強(qiáng)有線電視網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)是非常關(guān)鍵的，本文中就提高了根據(jù)國家相關(guān)法律進(jìn)行的安全區(qū)域劃分，并且對不同區(qū)域的防護(hù)措施進(jìn)行了總結(jié)，希望能夠提高相關(guān)對有線電視網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)，保護(hù)人民的利益不受侵犯。

參考文獻(xiàn)

[1]梁煒瑩．?dāng)?shù)字電視網(wǎng)絡(luò)安全防護(hù)研究[D]．華南理工大學(xué)，2012．

[2]姜峰．有線數(shù)字電視播出平臺的信息安全防護(hù)研究[J]．廣播電視信息，2015（3）：17~21．

[3]屠國苗，趙豐，章利軍．有線數(shù)字電視安全播出的探討[J]．廣播電視信息，2015（2）：43~47．

[4]《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》（GB/T22240-2008）．2008．

作者:郭文舉 趙龍 單位:陜西廣電網(wǎng)絡(luò)傳媒（集團(tuán)）股份有限公司西安分公司