有線電視網(wǎng)絡安全規(guī)劃研究

時間:2022-06-20 08:11:58

導語:有線電視網(wǎng)絡安全規(guī)劃研究一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

有線電視網(wǎng)絡安全規(guī)劃研究

【摘要】有線電視的快速發(fā)展,極大的促進了網(wǎng)絡覆蓋范圍的擴大,這種情況下,網(wǎng)絡安全關系到所有網(wǎng)絡用戶的信息及財產安全。在最近幾年,不法分子經常會選擇破壞網(wǎng)絡的方式來獲得非法利益。這不僅僅危害了網(wǎng)絡用戶及國家的財產安全,同時也暴露除了網(wǎng)絡管理中的漏洞,所以提高對網(wǎng)絡安全的管理與規(guī)劃是非常重要的。本文就將討論有線電視網(wǎng)絡安全漏洞及控制技術措施。

【關鍵詞】有線電視;網(wǎng)絡安全;規(guī)劃

1網(wǎng)絡框架現(xiàn)狀及漏洞

通常情況下,省級的有線電視網(wǎng)絡系統(tǒng)包括三個部分,也就是企業(yè)內部內部的局域網(wǎng)、覆蓋全省范圍的DVB承載網(wǎng)及波分網(wǎng)和IP城域網(wǎng),不同部分所負責的內容都是不同的。其中企業(yè)局域網(wǎng)是內部辦公環(huán)境,IP城域網(wǎng)主要作為生產業(yè)務的核心信息交換通道存在,而DVB承載網(wǎng)及波分網(wǎng)是該地區(qū)的信號通道。DVB承載網(wǎng)主要負責該區(qū)域有線電視直播節(jié)目以及一部分專線業(yè)務,而波分網(wǎng)承擔VOD點播業(yè)務以及地區(qū)專線業(yè)務和局域網(wǎng)業(yè)務等等。其中IP城域網(wǎng)與DVB承載網(wǎng)及波分網(wǎng)所組成的信息雙向傳播通道是有線電視網(wǎng)絡系統(tǒng)的關鍵內容。有線電視的這種網(wǎng)絡框架將辦公區(qū)與生產業(yè)務區(qū)分散開來,這種網(wǎng)絡結構安排是較為合理的,能夠有效的保證系統(tǒng)服務能力滿足用戶的需求。但是這種網(wǎng)絡框架也存在著較大的安全隱患,威脅著整體網(wǎng)絡系統(tǒng)的安全。其中存在的主要漏洞包括以下內容:①不同的信息系統(tǒng)未進行分類的部署,對于信息的安全管理難度是較大的;②不同的信息之間的聯(lián)系是非常復雜的,很多情況下并沒有部署統(tǒng)一的通信通道,導致很多信息的傳遞都需要經過業(yè)務網(wǎng)絡,這提高了信息被竊聽的風險;③局域網(wǎng)內部一般情況下沒有劃分子網(wǎng)管理,很容易造成地址上的沖突或者廣播風暴現(xiàn)象的出現(xiàn),同時又因為對訪問控制上管理的欠缺,從而使得網(wǎng)絡安全受到了極大的威脅;④沒有進行運維管理的統(tǒng)一規(guī)劃,從而無法保證運維通道的安全以及操作審計的統(tǒng)一,進而無法及時追蹤到安全事件;最后信息系統(tǒng)一般僅是通過防火墻等手段來進行防護,安全防護措施不夠,因此導致弱口令安全隱患。

2安全域的規(guī)劃

對于有線電視系統(tǒng)這種大型的網(wǎng)絡系統(tǒng)而言,安全控制不能僅僅從某些具體的安全控制點來保障,而是應該從整體安全性能出發(fā)來對網(wǎng)絡系統(tǒng)進行安全規(guī)劃。將網(wǎng)咯系統(tǒng)業(yè)務功能相近或者安全防護級別類似的信息進行安全域的歸類與劃分,在對整個網(wǎng)絡系統(tǒng)進行安全防護基礎之上,按照國家出臺的《信息系統(tǒng)安全等級保護定級指南》以及《有線數(shù)字電視系統(tǒng)安全指導意見》等內容中關于安全等級劃分及分級防護的內容,對各個安全域之間進行有效的隔離與管控,從而保證即使有安全域出現(xiàn)問題的時候也能夠緊急對這些情況進行處理,避免其擴散,有效降低損害。所以安全域的劃分是保護有線電視網(wǎng)絡安全的重點內容。對于有線電視網(wǎng)絡的安全域劃分往往可以分為六種:2.1內部系統(tǒng)區(qū)域。主要生產業(yè)務區(qū)域可以說是內部系統(tǒng)區(qū),該安全域是用戶的主要使用窗口及重點保護對象,其中主要包含直播系統(tǒng)、接入認證系統(tǒng)、雙向互動業(yè)務系統(tǒng)、BOSS系統(tǒng)等等。從業(yè)務性質角度分類,該區(qū)域又可以分為基本業(yè)務與增值業(yè)務,不同安全域所承擔的業(yè)務都是不同的是,內部系統(tǒng)區(qū)的出口進行統(tǒng)一,并且接入到IP城域系統(tǒng)。其中直播服務區(qū)就是為用戶提供電視直播業(yè)務,該區(qū)域信息是單向傳播的,所以需要進行內容控制,并且對信息采集通道進行嚴格的安全防護;視頻點播區(qū)是為用戶提供電視視頻點播業(yè)務的,該區(qū)域的信道分為信令通道及推流通道。由于該區(qū)域為終端用戶提供Web訪問,因此需要在信道的入口處通過防火墻的設置提高安全等級;信息服務區(qū)視為機頂盒用戶提供信息交互服務的,所以需要進行Web防火墻及相關安全設備的部署,進而有效避免用戶發(fā)起應用層攻擊,防止數(shù)據(jù)的篡改、病毒的侵襲以及DDOS的攻擊等。而此區(qū)域的訪問量是非常大的,所以對于安全設備的要求是非常高的,因此在區(qū)域邊界還需要設置負載均衡器來實現(xiàn)分流;終端控制區(qū)主要是對用戶所提供的IP地質進行驗證、分配等服務,該區(qū)域中的多個系統(tǒng)都與BOSS系統(tǒng)有信息交互通道,所以在入口位置需要部署防火墻以及IPS,保護內部系統(tǒng)的安全。2.2內部互聯(lián)區(qū)域。內部互聯(lián)區(qū)實際上是機構內部的局域網(wǎng)絡,該區(qū)域是通過核心網(wǎng)絡交換設備、LAN、營業(yè)廳及網(wǎng)點組成的。而營業(yè)廳及網(wǎng)點由于位置是相對分散的,所以需要通過波分網(wǎng)中的子通道來連接。內部互聯(lián)去要將IP城域網(wǎng)、信息管理區(qū)及內部公共區(qū)連接到一起。內部互聯(lián)區(qū)中的網(wǎng)絡往往需要根據(jù)地區(qū)以及層級來實現(xiàn)子網(wǎng)管理的劃分,從而防止網(wǎng)絡廣播擁擠現(xiàn)象的發(fā)生,便于網(wǎng)絡的隔離。在該區(qū)域中,要求IP城域網(wǎng)出口處部署防火墻及其他防護設備,從而避免來自外部的攻擊,并且通過在網(wǎng)絡出口位置部署上網(wǎng)行為管理系統(tǒng)來讀內部人員網(wǎng)絡訪問行為進行管理與約束。2.3內部公共區(qū)域。所謂內部公共區(qū)就是出于內部互聯(lián)網(wǎng)區(qū)的網(wǎng)絡環(huán)境中,作為內部企業(yè)人員的辦公區(qū)域。很多情況下,該區(qū)域是集中在一兩個點上,但是涉及的部門是相對較多的,要進行頻繁的網(wǎng)絡交換,因此也是最容易受到攻擊的區(qū)域。所以在該區(qū)域應該要按部門劃分網(wǎng)段,在入口處部署防火墻以及IPS防護設備,對網(wǎng)絡殺毒措施進行集中部署,在涉密區(qū)域以及重要部門還需要設置集中的管控系統(tǒng),運維人員要時刻注意公共信息通道鎖進行的遠程運維任務,并且阻止這種行為的發(fā)生。最后部門工作人員應該要使用獨立終端系統(tǒng),通過安全管理區(qū)域專用通道進行操作以及運維。2.4信息管理區(qū)域。信息管理區(qū)域是在內部互聯(lián)區(qū)網(wǎng)絡環(huán)境中,主要用于企業(yè)內部的集中信息處理。通常情況下,該區(qū)域中的系統(tǒng)都是進行多個安全子區(qū)域的劃分來進行分散管理的,主要的信息管理區(qū)域包括BOSS區(qū)域、Web信息服務區(qū)域、管理服務系統(tǒng)區(qū)域等等。在信息管理區(qū)域中,入口處要部署訪問控制措施、DMZ區(qū)域以及WAF設備,并且在各級出口的防火墻上進行地址或者終端放射,從而能夠實現(xiàn)深度防御。作為網(wǎng)絡系統(tǒng)的核心系統(tǒng)-BOSS系統(tǒng),其安全管理以及個人信息防護是非常關鍵點,所以要對該區(qū)域進行單獨的安全防護,在于其他內部系統(tǒng)使用同樣的信息傳輸通道的時候,出入口要分別部署安全設施來實現(xiàn)所有外部通信的加密。2.5安全管理區(qū)域。作為安全管理區(qū)域,作為重要的作用就是為所有的系統(tǒng)提供統(tǒng)一的運維通道,進行運維堡壘機的部署,對運維事件進行審計,以及對所有的系統(tǒng)主機以及設備進行安全審計,進行安全管理平臺的建立,從而實現(xiàn)對所有系統(tǒng)的風險進行集中分析,并且作出預警處理及應急響應。在安全管理區(qū)要進行系統(tǒng)補丁或者升級服務器、服務器殺毒軟件管理器等設備的部署,在接入口還需要部署VPN防火墻來實現(xiàn)信息的加密,從而形成專門的運維管理通道,負責對審計信息的傳送。2.6業(yè)務用戶區(qū)域。業(yè)務用戶區(qū)域就是終端用戶接入?yún)^(qū)域。對于業(yè)務用戶區(qū)域的防護需要在終端設備上設置一個唯一的終端標識,該標識的作用就是以此為基礎來進行IP地址以及用戶身份的驗證,對無法得到驗證的信息進行阻擋。并且在接入層設置IP地址規(guī)則,對于兩類終端用戶分配不同的IP地址,并且對其訪問進行控制。

3結束語

有線電視中的網(wǎng)絡系統(tǒng)關系到國家以及用戶的信息安全以及社會穩(wěn)定,對于有線電視的發(fā)展也是有重要影響的。所以加強有線電視網(wǎng)絡系統(tǒng)的安全防護是非常關鍵的,本文中就提高了根據(jù)國家相關法律進行的安全區(qū)域劃分,并且對不同區(qū)域的防護措施進行了總結,希望能夠提高相關對有線電視網(wǎng)絡系統(tǒng)的安全防護,保護人民的利益不受侵犯。

參考文獻

[1]梁煒瑩.數(shù)字電視網(wǎng)絡安全防護研究[D].華南理工大學,2012.

[2]姜峰.有線數(shù)字電視播出平臺的信息安全防護研究[J].廣播電視信息,2015(3):17~21.

[3]屠國苗,趙豐,章利軍.有線數(shù)字電視安全播出的探討[J].廣播電視信息,2015(2):43~47.

[4]《信息安全技術信息系統(tǒng)安全等級保護定級指南》(GB/T22240-2008).2008.

作者:郭文舉 趙龍 單位:陜西廣電網(wǎng)絡傳媒(集團)股份有限公司西安分公司