有線(xiàn)電視網(wǎng)絡(luò)安全規(guī)劃研究
時(shí)間:2022-06-20 08:11:58
導(dǎo)語(yǔ):有線(xiàn)電視網(wǎng)絡(luò)安全規(guī)劃研究一文來(lái)源于網(wǎng)友上傳,不代表本站觀(guān)點(diǎn),若需要原創(chuàng)文章可咨詢(xún)客服老師,歡迎參考。
【摘要】有線(xiàn)電視的快速發(fā)展,極大的促進(jìn)了網(wǎng)絡(luò)覆蓋范圍的擴(kuò)大,這種情況下,網(wǎng)絡(luò)安全關(guān)系到所有網(wǎng)絡(luò)用戶(hù)的信息及財(cái)產(chǎn)安全。在最近幾年,不法分子經(jīng)常會(huì)選擇破壞網(wǎng)絡(luò)的方式來(lái)獲得非法利益。這不僅僅危害了網(wǎng)絡(luò)用戶(hù)及國(guó)家的財(cái)產(chǎn)安全,同時(shí)也暴露除了網(wǎng)絡(luò)管理中的漏洞,所以提高對(duì)網(wǎng)絡(luò)安全的管理與規(guī)劃是非常重要的。本文就將討論有線(xiàn)電視網(wǎng)絡(luò)安全漏洞及控制技術(shù)措施。
【關(guān)鍵詞】有線(xiàn)電視;網(wǎng)絡(luò)安全;規(guī)劃
1網(wǎng)絡(luò)框架現(xiàn)狀及漏洞
通常情況下,省級(jí)的有線(xiàn)電視網(wǎng)絡(luò)系統(tǒng)包括三個(gè)部分,也就是企業(yè)內(nèi)部?jī)?nèi)部的局域網(wǎng)、覆蓋全省范圍的DVB承載網(wǎng)及波分網(wǎng)和IP城域網(wǎng),不同部分所負(fù)責(zé)的內(nèi)容都是不同的。其中企業(yè)局域網(wǎng)是內(nèi)部辦公環(huán)境,IP城域網(wǎng)主要作為生產(chǎn)業(yè)務(wù)的核心信息交換通道存在,而DVB承載網(wǎng)及波分網(wǎng)是該地區(qū)的信號(hào)通道。DVB承載網(wǎng)主要負(fù)責(zé)該區(qū)域有線(xiàn)電視直播節(jié)目以及一部分專(zhuān)線(xiàn)業(yè)務(wù),而波分網(wǎng)承擔(dān)VOD點(diǎn)播業(yè)務(wù)以及地區(qū)專(zhuān)線(xiàn)業(yè)務(wù)和局域網(wǎng)業(yè)務(wù)等等。其中IP城域網(wǎng)與DVB承載網(wǎng)及波分網(wǎng)所組成的信息雙向傳播通道是有線(xiàn)電視網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵內(nèi)容。有線(xiàn)電視的這種網(wǎng)絡(luò)框架將辦公區(qū)與生產(chǎn)業(yè)務(wù)區(qū)分散開(kāi)來(lái),這種網(wǎng)絡(luò)結(jié)構(gòu)安排是較為合理的,能夠有效的保證系統(tǒng)服務(wù)能力滿(mǎn)足用戶(hù)的需求。但是這種網(wǎng)絡(luò)框架也存在著較大的安全隱患,威脅著整體網(wǎng)絡(luò)系統(tǒng)的安全。其中存在的主要漏洞包括以下內(nèi)容:①不同的信息系統(tǒng)未進(jìn)行分類(lèi)的部署,對(duì)于信息的安全管理難度是較大的;②不同的信息之間的聯(lián)系是非常復(fù)雜的,很多情況下并沒(méi)有部署統(tǒng)一的通信通道,導(dǎo)致很多信息的傳遞都需要經(jīng)過(guò)業(yè)務(wù)網(wǎng)絡(luò),這提高了信息被竊聽(tīng)的風(fēng)險(xiǎn);③局域網(wǎng)內(nèi)部一般情況下沒(méi)有劃分子網(wǎng)管理,很容易造成地址上的沖突或者廣播風(fēng)暴現(xiàn)象的出現(xiàn),同時(shí)又因?yàn)閷?duì)訪(fǎng)問(wèn)控制上管理的欠缺,從而使得網(wǎng)絡(luò)安全受到了極大的威脅;④沒(méi)有進(jìn)行運(yùn)維管理的統(tǒng)一規(guī)劃,從而無(wú)法保證運(yùn)維通道的安全以及操作審計(jì)的統(tǒng)一,進(jìn)而無(wú)法及時(shí)追蹤到安全事件;最后信息系統(tǒng)一般僅是通過(guò)防火墻等手段來(lái)進(jìn)行防護(hù),安全防護(hù)措施不夠,因此導(dǎo)致弱口令安全隱患。
2安全域的規(guī)劃
對(duì)于有線(xiàn)電視系統(tǒng)這種大型的網(wǎng)絡(luò)系統(tǒng)而言,安全控制不能僅僅從某些具體的安全控制點(diǎn)來(lái)保障,而是應(yīng)該從整體安全性能出發(fā)來(lái)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全規(guī)劃。將網(wǎng)咯系統(tǒng)業(yè)務(wù)功能相近或者安全防護(hù)級(jí)別類(lèi)似的信息進(jìn)行安全域的歸類(lèi)與劃分,在對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全防護(hù)基礎(chǔ)之上,按照國(guó)家出臺(tái)的《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》以及《有線(xiàn)數(shù)字電視系統(tǒng)安全指導(dǎo)意見(jiàn)》等內(nèi)容中關(guān)于安全等級(jí)劃分及分級(jí)防護(hù)的內(nèi)容,對(duì)各個(gè)安全域之間進(jìn)行有效的隔離與管控,從而保證即使有安全域出現(xiàn)問(wèn)題的時(shí)候也能夠緊急對(duì)這些情況進(jìn)行處理,避免其擴(kuò)散,有效降低損害。所以安全域的劃分是保護(hù)有線(xiàn)電視網(wǎng)絡(luò)安全的重點(diǎn)內(nèi)容。對(duì)于有線(xiàn)電視網(wǎng)絡(luò)的安全域劃分往往可以分為六種:2.1內(nèi)部系統(tǒng)區(qū)域。主要生產(chǎn)業(yè)務(wù)區(qū)域可以說(shuō)是內(nèi)部系統(tǒng)區(qū),該安全域是用戶(hù)的主要使用窗口及重點(diǎn)保護(hù)對(duì)象,其中主要包含直播系統(tǒng)、接入認(rèn)證系統(tǒng)、雙向互動(dòng)業(yè)務(wù)系統(tǒng)、BOSS系統(tǒng)等等。從業(yè)務(wù)性質(zhì)角度分類(lèi),該區(qū)域又可以分為基本業(yè)務(wù)與增值業(yè)務(wù),不同安全域所承擔(dān)的業(yè)務(wù)都是不同的是,內(nèi)部系統(tǒng)區(qū)的出口進(jìn)行統(tǒng)一,并且接入到IP城域系統(tǒng)。其中直播服務(wù)區(qū)就是為用戶(hù)提供電視直播業(yè)務(wù),該區(qū)域信息是單向傳播的,所以需要進(jìn)行內(nèi)容控制,并且對(duì)信息采集通道進(jìn)行嚴(yán)格的安全防護(hù);視頻點(diǎn)播區(qū)是為用戶(hù)提供電視視頻點(diǎn)播業(yè)務(wù)的,該區(qū)域的信道分為信令通道及推流通道。由于該區(qū)域?yàn)榻K端用戶(hù)提供Web訪(fǎng)問(wèn),因此需要在信道的入口處通過(guò)防火墻的設(shè)置提高安全等級(jí);信息服務(wù)區(qū)視為機(jī)頂盒用戶(hù)提供信息交互服務(wù)的,所以需要進(jìn)行Web防火墻及相關(guān)安全設(shè)備的部署,進(jìn)而有效避免用戶(hù)發(fā)起應(yīng)用層攻擊,防止數(shù)據(jù)的篡改、病毒的侵襲以及DDOS的攻擊等。而此區(qū)域的訪(fǎng)問(wèn)量是非常大的,所以對(duì)于安全設(shè)備的要求是非常高的,因此在區(qū)域邊界還需要設(shè)置負(fù)載均衡器來(lái)實(shí)現(xiàn)分流;終端控制區(qū)主要是對(duì)用戶(hù)所提供的IP地質(zhì)進(jìn)行驗(yàn)證、分配等服務(wù),該區(qū)域中的多個(gè)系統(tǒng)都與BOSS系統(tǒng)有信息交互通道,所以在入口位置需要部署防火墻以及IPS,保護(hù)內(nèi)部系統(tǒng)的安全。2.2內(nèi)部互聯(lián)區(qū)域。內(nèi)部互聯(lián)區(qū)實(shí)際上是機(jī)構(gòu)內(nèi)部的局域網(wǎng)絡(luò),該區(qū)域是通過(guò)核心網(wǎng)絡(luò)交換設(shè)備、LAN、營(yíng)業(yè)廳及網(wǎng)點(diǎn)組成的。而營(yíng)業(yè)廳及網(wǎng)點(diǎn)由于位置是相對(duì)分散的,所以需要通過(guò)波分網(wǎng)中的子通道來(lái)連接。內(nèi)部互聯(lián)去要將IP城域網(wǎng)、信息管理區(qū)及內(nèi)部公共區(qū)連接到一起。內(nèi)部互聯(lián)區(qū)中的網(wǎng)絡(luò)往往需要根據(jù)地區(qū)以及層級(jí)來(lái)實(shí)現(xiàn)子網(wǎng)管理的劃分,從而防止網(wǎng)絡(luò)廣播擁擠現(xiàn)象的發(fā)生,便于網(wǎng)絡(luò)的隔離。在該區(qū)域中,要求IP城域網(wǎng)出口處部署防火墻及其他防護(hù)設(shè)備,從而避免來(lái)自外部的攻擊,并且通過(guò)在網(wǎng)絡(luò)出口位置部署上網(wǎng)行為管理系統(tǒng)來(lái)讀內(nèi)部人員網(wǎng)絡(luò)訪(fǎng)問(wèn)行為進(jìn)行管理與約束。2.3內(nèi)部公共區(qū)域。所謂內(nèi)部公共區(qū)就是出于內(nèi)部互聯(lián)網(wǎng)區(qū)的網(wǎng)絡(luò)環(huán)境中,作為內(nèi)部企業(yè)人員的辦公區(qū)域。很多情況下,該區(qū)域是集中在一兩個(gè)點(diǎn)上,但是涉及的部門(mén)是相對(duì)較多的,要進(jìn)行頻繁的網(wǎng)絡(luò)交換,因此也是最容易受到攻擊的區(qū)域。所以在該區(qū)域應(yīng)該要按部門(mén)劃分網(wǎng)段,在入口處部署防火墻以及IPS防護(hù)設(shè)備,對(duì)網(wǎng)絡(luò)殺毒措施進(jìn)行集中部署,在涉密區(qū)域以及重要部門(mén)還需要設(shè)置集中的管控系統(tǒng),運(yùn)維人員要時(shí)刻注意公共信息通道鎖進(jìn)行的遠(yuǎn)程運(yùn)維任務(wù),并且阻止這種行為的發(fā)生。最后部門(mén)工作人員應(yīng)該要使用獨(dú)立終端系統(tǒng),通過(guò)安全管理區(qū)域?qū)S猛ǖ肋M(jìn)行操作以及運(yùn)維。2.4信息管理區(qū)域。信息管理區(qū)域是在內(nèi)部互聯(lián)區(qū)網(wǎng)絡(luò)環(huán)境中,主要用于企業(yè)內(nèi)部的集中信息處理。通常情況下,該區(qū)域中的系統(tǒng)都是進(jìn)行多個(gè)安全子區(qū)域的劃分來(lái)進(jìn)行分散管理的,主要的信息管理區(qū)域包括BOSS區(qū)域、Web信息服務(wù)區(qū)域、管理服務(wù)系統(tǒng)區(qū)域等等。在信息管理區(qū)域中,入口處要部署訪(fǎng)問(wèn)控制措施、DMZ區(qū)域以及WAF設(shè)備,并且在各級(jí)出口的防火墻上進(jìn)行地址或者終端放射,從而能夠?qū)崿F(xiàn)深度防御。作為網(wǎng)絡(luò)系統(tǒng)的核心系統(tǒng)-BOSS系統(tǒng),其安全管理以及個(gè)人信息防護(hù)是非常關(guān)鍵點(diǎn),所以要對(duì)該區(qū)域進(jìn)行單獨(dú)的安全防護(hù),在于其他內(nèi)部系統(tǒng)使用同樣的信息傳輸通道的時(shí)候,出入口要分別部署安全設(shè)施來(lái)實(shí)現(xiàn)所有外部通信的加密。2.5安全管理區(qū)域。作為安全管理區(qū)域,作為重要的作用就是為所有的系統(tǒng)提供統(tǒng)一的運(yùn)維通道,進(jìn)行運(yùn)維堡壘機(jī)的部署,對(duì)運(yùn)維事件進(jìn)行審計(jì),以及對(duì)所有的系統(tǒng)主機(jī)以及設(shè)備進(jìn)行安全審計(jì),進(jìn)行安全管理平臺(tái)的建立,從而實(shí)現(xiàn)對(duì)所有系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行集中分析,并且作出預(yù)警處理及應(yīng)急響應(yīng)。在安全管理區(qū)要進(jìn)行系統(tǒng)補(bǔ)丁或者升級(jí)服務(wù)器、服務(wù)器殺毒軟件管理器等設(shè)備的部署,在接入口還需要部署VPN防火墻來(lái)實(shí)現(xiàn)信息的加密,從而形成專(zhuān)門(mén)的運(yùn)維管理通道,負(fù)責(zé)對(duì)審計(jì)信息的傳送。2.6業(yè)務(wù)用戶(hù)區(qū)域。業(yè)務(wù)用戶(hù)區(qū)域就是終端用戶(hù)接入?yún)^(qū)域。對(duì)于業(yè)務(wù)用戶(hù)區(qū)域的防護(hù)需要在終端設(shè)備上設(shè)置一個(gè)唯一的終端標(biāo)識(shí),該標(biāo)識(shí)的作用就是以此為基礎(chǔ)來(lái)進(jìn)行IP地址以及用戶(hù)身份的驗(yàn)證,對(duì)無(wú)法得到驗(yàn)證的信息進(jìn)行阻擋。并且在接入層設(shè)置IP地址規(guī)則,對(duì)于兩類(lèi)終端用戶(hù)分配不同的IP地址,并且對(duì)其訪(fǎng)問(wèn)進(jìn)行控制。
3結(jié)束語(yǔ)
有線(xiàn)電視中的網(wǎng)絡(luò)系統(tǒng)關(guān)系到國(guó)家以及用戶(hù)的信息安全以及社會(huì)穩(wěn)定,對(duì)于有線(xiàn)電視的發(fā)展也是有重要影響的。所以加強(qiáng)有線(xiàn)電視網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)是非常關(guān)鍵的,本文中就提高了根據(jù)國(guó)家相關(guān)法律進(jìn)行的安全區(qū)域劃分,并且對(duì)不同區(qū)域的防護(hù)措施進(jìn)行了總結(jié),希望能夠提高相關(guān)對(duì)有線(xiàn)電視網(wǎng)絡(luò)系統(tǒng)的安全防護(hù),保護(hù)人民的利益不受侵犯。
參考文獻(xiàn)
[1]梁煒瑩.?dāng)?shù)字電視網(wǎng)絡(luò)安全防護(hù)研究[D].華南理工大學(xué),2012.
[2]姜峰.有線(xiàn)數(shù)字電視播出平臺(tái)的信息安全防護(hù)研究[J].廣播電視信息,2015(3):17~21.
[3]屠國(guó)苗,趙豐,章利軍.有線(xiàn)數(shù)字電視安全播出的探討[J].廣播電視信息,2015(2):43~47.
[4]《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240-2008).2008.
作者:郭文舉 趙龍 單位:陜西廣電網(wǎng)絡(luò)傳媒(集團(tuán))股份有限公司西安分公司