公務(wù)員期刊網(wǎng) 論文中心 正文

廣電視頻網(wǎng)站網(wǎng)絡(luò)安全問題解決方案

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了廣電視頻網(wǎng)站網(wǎng)絡(luò)安全問題解決方案范文,希望能給你帶來靈感和參考,敬請閱讀。

廣電視頻網(wǎng)站網(wǎng)絡(luò)安全問題解決方案

摘要:電視臺視頻網(wǎng)站是傳輸媒體信息的重要傳輸渠道,良好的、安全的網(wǎng)絡(luò)環(huán)境有助于傳播好國家政策信息,為廣大老百姓提供良好的信息渠道,為用戶提供良好的業(yè)務(wù)體驗(yàn)。本文依據(jù)現(xiàn)有視頻網(wǎng)站網(wǎng)絡(luò)環(huán)境存在的安全風(fēng)險進(jìn)行全面評估,對現(xiàn)有的安徽電視臺視頻網(wǎng)站提出四個層次、六個方面的整改意見,使安徽廣播電視臺視頻網(wǎng)站成為更安全的網(wǎng)絡(luò)環(huán)境,為傳播政策信息、豐富百姓文化知識提供良好的安全保障。廣播電視網(wǎng)絡(luò)安全關(guān)系國家安全,關(guān)系國計民生,保證廣電網(wǎng)絡(luò)安全是保障廣播電視媒體有效、有序、安全傳播給千家萬戶。

關(guān)鍵詞:廣播電視網(wǎng);媒體;傳輸;網(wǎng)絡(luò)安全

在廣播電視系統(tǒng)中所傳輸?shù)男畔⒎N類很多,以媒體的種類來區(qū)分可分為視頻、音頻、圖片、數(shù)據(jù)等介質(zhì);從視頻網(wǎng)站中的各類應(yīng)用來看,有電視節(jié)目直播、視頻點(diǎn)播、多媒體信息查詢、節(jié)目回看、大數(shù)據(jù)查詢以及其他媒體形式的專題等;從傳輸手段看有網(wǎng)絡(luò)、無線發(fā)射、有線電視、微波傳輸、衛(wèi)星傳輸?shù)?,形成“天地一體,星網(wǎng)結(jié)合”的立體傳輸網(wǎng)絡(luò),打通了傳輸方式全覆蓋,實(shí)現(xiàn)信息、介質(zhì)傳輸?shù)亩嗲垒敵觯瑸橛脩舳嗲阔@取媒資信息提供了方便。廣播電視網(wǎng)絡(luò)具有高帶寬、高速率,多用途,終端傳輸不對稱等良好特性,而廣播電視信息中的大視頻,多語言等媒體信息在傳輸中需要較高質(zhì)量的傳輸媒介。目前,安徽廣電視頻網(wǎng)站在傳輸媒資信息時,直播還無法做到所有頻道的全覆蓋,點(diǎn)播所有欄目、所有期數(shù)無法全留存,遇到節(jié)假日或者特別直播時,網(wǎng)絡(luò)出現(xiàn)卡頓、無法打開等現(xiàn)象,視頻網(wǎng)站受到攻擊風(fēng)險激增,用戶人數(shù)、業(yè)務(wù)在增加,所以需要對安徽廣播電視臺視頻網(wǎng)站網(wǎng)絡(luò)安全面臨的風(fēng)險進(jìn)行評估并逐步解決。

1安徽廣播電視臺視頻網(wǎng)站網(wǎng)絡(luò)安全面臨的系統(tǒng)安全風(fēng)險

從整體來看,安徽廣播電視臺視頻網(wǎng)站網(wǎng)絡(luò)系統(tǒng)高安全風(fēng)險主要出現(xiàn)在以下三個層面:

1.1網(wǎng)絡(luò)層面

由于網(wǎng)絡(luò)系統(tǒng)訪問控制策略設(shè)計的不合理或缺乏一些嚴(yán)格的網(wǎng)絡(luò)安全產(chǎn)品(如防火墻、IDS、防病毒、業(yè)務(wù)監(jiān)控網(wǎng)關(guān)等),導(dǎo)致外部互聯(lián)網(wǎng)上的黑客或病毒可以趁隙入侵或破壞,影響整個廣電服務(wù)的資訊提供質(zhì)量。視頻網(wǎng)站網(wǎng)絡(luò)安全影響廣播電視媒體正常傳播,所以,在網(wǎng)絡(luò)層面必須制定策略確保網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全威脅一直威脅著安徽臺視頻網(wǎng)絡(luò)的安全傳輸,一旦發(fā)生網(wǎng)絡(luò)病毒大肆攻擊,威脅著網(wǎng)絡(luò)安全,影響千家萬戶對廣播電視媒體的正常使用。確保網(wǎng)絡(luò)層面安全關(guān)系重大,把控好網(wǎng)絡(luò)層安全,保證視頻網(wǎng)站的正常傳輸。

1.2系統(tǒng)層面

由于網(wǎng)絡(luò)設(shè)備和服務(wù)器操作系統(tǒng)的安全漏洞頻繁出現(xiàn),利用這些漏洞的入侵工具和病毒(蠕蟲)等攻擊手段也隨之產(chǎn)生,導(dǎo)致安徽廣播電視臺視頻網(wǎng)站存在隨時被黑客入侵或蠕蟲爆發(fā)的可能。系統(tǒng)層面的威脅可能是存在于系統(tǒng)根上,也有可能存在于外界的入侵。對于系統(tǒng)根上的基因自帶的漏洞需要及時彌補(bǔ)漏洞,補(bǔ)丁,短板需要及時堵?。粚τ趤碜酝饨绲娜肭中枰龅絿?yán)加防范與系統(tǒng)監(jiān)管。

1.3管理層面

安全事件發(fā)生的主要原因往往是安全管理問題,缺乏有效的安全管理制度、安全制度執(zhí)行與監(jiān)督不力、沒有統(tǒng)一的安全策略、沒有嚴(yán)格的機(jī)房管理制度等,一系列不嚴(yán)格措施均可能導(dǎo)致內(nèi)部人員工作松懈,為外部黑客的攻擊創(chuàng)造了條件,甚至內(nèi)部人員惡意的竊聽、破壞、偷竊信息等。管理層面的疏忽成為現(xiàn)如今發(fā)生網(wǎng)絡(luò)安全威脅的重要原因。安全管理制度的制定與有效的執(zhí)行是防范安全事件發(fā)生的有效辦法。做到日查、登記備案、應(yīng)急演習(xí)都能夠有效防范安全事件的發(fā)生。制定有效的安全管理制度、有效的執(zhí)行、良好的機(jī)房管理環(huán)境、強(qiáng)大的維保隊伍需要在管理層面下功夫,做到管理層面的不疏忽、不懈怠,及時高效保障網(wǎng)絡(luò)安全。針對安全風(fēng)險出現(xiàn)的三個層面的剖析,經(jīng)過前期對廣電整體網(wǎng)絡(luò)拓?fù)涞姆治?,目前安徽臺視頻網(wǎng)站的網(wǎng)絡(luò)安全風(fēng)險主要存在于如下幾方面:(1)網(wǎng)絡(luò)出口現(xiàn)有安全設(shè)備的抗攻擊性能難以滿足安全需求,一旦發(fā)生大規(guī)模的網(wǎng)絡(luò)攻擊(如各種DDOS攻擊等)時容易出現(xiàn)流量擁塞甚至癱瘓,導(dǎo)致業(yè)務(wù)不可用;(2)安徽省廣電IP承載網(wǎng)互聯(lián)網(wǎng)出口缺乏針對應(yīng)用層攻擊的檢測及防御能力,此類攻擊的典型特點(diǎn)是以小搏大,即使很小流量的攻擊,也會造成業(yè)務(wù)不可用;(3)視頻網(wǎng)站接入互聯(lián)網(wǎng),需要超強(qiáng)的辨別識別能力,必須時刻了解跑在網(wǎng)絡(luò)上的各種業(yè)務(wù)帶寬的使用情況以及流量情況,只有這樣才能傳輸大量數(shù)據(jù)內(nèi)容,特別是媒體信息,才能保證老百姓網(wǎng)絡(luò)環(huán)境正常,保證各種業(yè)務(wù)的正常開展以及良好的用戶體驗(yàn);(4)因?yàn)闊o限制的P2P、在線視頻等新興業(yè)務(wù)對廣電網(wǎng)絡(luò)帶來的電信業(yè)務(wù)收入、帶寬利用等威脅,所以,視頻網(wǎng)站網(wǎng)絡(luò)必須對使用的業(yè)務(wù)所需的網(wǎng)絡(luò)環(huán)境進(jìn)行控制和管理,只用做到良好監(jiān)管,有序分布使用,才能確保廣播電視網(wǎng)絡(luò)的服務(wù)質(zhì)量。根據(jù)對安徽省廣電系統(tǒng)信息安全風(fēng)險分析和需求分析,在國家對信息安全各種政策的要求下,保證現(xiàn)有各類業(yè)務(wù)信息正常運(yùn)行的前提下,以現(xiàn)代信息安全保障體系為理論基礎(chǔ),運(yùn)用最新的安全保護(hù)技術(shù)、國家標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全技術(shù)規(guī)范為架構(gòu),為保障廣播電視網(wǎng)網(wǎng)絡(luò)安全提出以下解決方案。

2整體安全解決方案

根據(jù)安徽廣電系統(tǒng)高可靠性和高安全性要求,對廣電互聯(lián)網(wǎng)出口進(jìn)行綜合安全防護(hù),需要部署六套系統(tǒng):

2.1部署一套DDOS防護(hù)系統(tǒng)

拒絕服務(wù)攻擊DOS是當(dāng)前Internet最流行的攻擊手段,拒絕服務(wù)攻擊是通過制造大量非法流量,占用大量系統(tǒng)服務(wù)資源以達(dá)到耗盡帶寬為目的,使正常網(wǎng)絡(luò)業(yè)務(wù)無法正常開展的一種攻擊手段。拒絕服務(wù)攻擊具有攻擊方式簡單粗暴,迅速達(dá)到目的,而且很難防范與源頭追蹤等特點(diǎn)。所以,在現(xiàn)如今的在網(wǎng)絡(luò)上開展的如電子商務(wù)、電子政務(wù)、電子銀行等一系列網(wǎng)絡(luò)服務(wù),都有可能通過這種攻擊方式使業(yè)務(wù)無法正常開展,給國家、公司、人民造成巨大損失,耗費(fèi)大量人力、物力、財力。所以,需要嚴(yán)加防范這種網(wǎng)絡(luò)攻擊。DDOS即分布式拒絕服務(wù)[1],攻擊指借助客戶/服務(wù)器技術(shù),將多個計算機(jī)聯(lián)合起來作為攻擊平臺,對一個或多個目標(biāo)發(fā)動DOS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。所以,需要在現(xiàn)有廣電網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接的邊界處部署一套可支持多種類DDOS攻擊的準(zhǔn)確識別和控制系統(tǒng),不僅可以做到對攻擊的準(zhǔn)確識別,還可以提高對蠕蟲病毒流量的識別能力,從而提高系統(tǒng)的安全防范能力。該DDOS防御系統(tǒng)包括三部分,監(jiān)測及分析中心,控制及清洗中心和安全管理中心,三個中心互聯(lián)互動,可實(shí)現(xiàn)自動檢測,識別攻擊自動或手動引流清洗,統(tǒng)計分析報表定期生成。

2.2部署一套業(yè)務(wù)監(jiān)控系統(tǒng)

通過DPI技術(shù)[2]對網(wǎng)絡(luò)流量進(jìn)行深入?yún)f(xié)議分析,把控好網(wǎng)絡(luò)流量對于業(yè)務(wù)區(qū)分以及業(yè)務(wù)所需要的網(wǎng)絡(luò)流量的質(zhì)量控制。并且,通過對業(yè)務(wù)流量統(tǒng)計數(shù)據(jù)進(jìn)行深入挖掘,更深入地了解網(wǎng)絡(luò)使用情況,如用戶使用寬帶的習(xí)慣、方式等。業(yè)務(wù)監(jiān)控系統(tǒng)的部署對于業(yè)務(wù)流量的分配調(diào)動起到了及時的監(jiān)視作用,有了一套業(yè)務(wù)監(jiān)控系統(tǒng)可以為現(xiàn)有的網(wǎng)絡(luò)環(huán)境提供優(yōu)化改造意見,也可以為開辟新業(yè)務(wù)以及增值業(yè)務(wù)提供指導(dǎo)意見。所以,需要部署一套業(yè)務(wù)監(jiān)看系統(tǒng)。

2.3部署一套互聯(lián)網(wǎng)緩存系統(tǒng)

對于廣電網(wǎng)絡(luò)傳輸?shù)囊曨l、圖片、音頻等大數(shù)據(jù)量內(nèi)容,保證用戶使用的流暢度與所有業(yè)務(wù)的質(zhì)量,使網(wǎng)絡(luò)“不卡”業(yè)務(wù)“不頓”,特別是緩存系統(tǒng)中的調(diào)度子系統(tǒng)運(yùn)用了負(fù)載均衡、熱點(diǎn)內(nèi)容搜索管理調(diào)度以及緩存記錄搜索等技術(shù),能夠引導(dǎo)請求用戶和已經(jīng)緩存過的數(shù)據(jù)設(shè)備發(fā)生數(shù)據(jù)交換,增加已緩存數(shù)據(jù)設(shè)備使用率。另外,無限制的P2P、在線視頻等新興業(yè)務(wù)對當(dāng)前帶寬超負(fù)荷使用等威脅。所以,需要一個高速、優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。做到網(wǎng)絡(luò)的優(yōu)質(zhì)、高速需要部署一套互聯(lián)網(wǎng)緩存系統(tǒng),采用分析定向、自動緩存、精確調(diào)度和速度搜索等技術(shù),將占用總出口帶寬60%~80%的P2P流量、在線視頻以及大文件下載流量本地化,進(jìn)而達(dá)到節(jié)省出口帶寬、降低網(wǎng)間結(jié)算費(fèi)用、提高網(wǎng)絡(luò)利用效率、降低網(wǎng)絡(luò)運(yùn)營成本,最終實(shí)現(xiàn)廣電網(wǎng)優(yōu)質(zhì)高速,提升用戶使用的流暢度以及所有業(yè)務(wù)的高質(zhì)量開展。

2.4部署一套日志管理系統(tǒng)

在信息管理系統(tǒng)中,日志是指對計算機(jī)設(shè)備運(yùn)行中重要活動或事件的完整記錄和描述,它能夠記錄信息系統(tǒng)內(nèi)發(fā)生的動作和行為,向外界展示信息系統(tǒng)運(yùn)作的完整軌跡和本質(zhì)。幫助網(wǎng)管實(shí)現(xiàn)日志統(tǒng)一管理,系統(tǒng)能夠采集、過濾、歸并、分析、存儲、監(jiān)控并上報成專業(yè)的防火墻會話日志,并支持發(fā)送告警和輸出報表。形成完整的上報日志對系統(tǒng)內(nèi)發(fā)生任何行為做到有跡可查、有跡可循、有事可報,這對于解決系統(tǒng)問題以及業(yè)務(wù)起到非常重要的作用。并且,以報表的形式可以做到問題的溯源以及備案,為后續(xù)問題的查證與追責(zé)提供重要依據(jù)。本次部署的日志管理系統(tǒng)可以針對網(wǎng)絡(luò)出口處的防火墻和服務(wù)器防火墻進(jìn)行統(tǒng)一的日志分析,以檢測當(dāng)前網(wǎng)絡(luò)中的最新攻擊類型。

2.5部署一套安全管理平臺

隨著廣電信息化深入,網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大,所使用的網(wǎng)絡(luò)及安全設(shè)備逐漸增多,如何更好更方便地對網(wǎng)絡(luò)及安全設(shè)備進(jìn)行管理,是每個使用者優(yōu)先考慮的問題。然而,網(wǎng)絡(luò)設(shè)備的管理又存在設(shè)備類型復(fù)雜、管理信息多樣性等問題,如何更好地解決這些問題,網(wǎng)絡(luò)管理就顯得尤為重要。統(tǒng)一安全網(wǎng)管系統(tǒng)[3]要支持全系列安全設(shè)備和主流網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)拓?fù)涔芾怼⒐收吓挪楣芾?、網(wǎng)元管理、設(shè)備性能管理、集中策略配置管理、VPN管理等一系列功能。安全管理平臺需要能夠直觀展現(xiàn)網(wǎng)絡(luò)架構(gòu),幫助管理員快速定位網(wǎng)絡(luò)故障,提升管理能力,提高工作效率,降低維護(hù)成本,為用戶提供一個對全網(wǎng)設(shè)備高效管理的平臺。

2.6在網(wǎng)絡(luò)出口位置部署一套功能強(qiáng)大的防火墻

現(xiàn)網(wǎng)絡(luò)出口位置的網(wǎng)絡(luò)防火墻暫時能夠滿足當(dāng)前用戶數(shù)的安全需求,但隨著用戶數(shù)量的不斷增加,現(xiàn)有的網(wǎng)絡(luò)防火墻性能逐漸達(dá)不到需求,所以,需要考慮布置新型防火墻。布置新型防護(hù)墻的性能需求有強(qiáng)大的入侵防御功能、反病毒功能、強(qiáng)大的GTP保護(hù)功能、IDS聯(lián)動等主要功能。(1)強(qiáng)大的入侵防御功能需求:傳統(tǒng)的IPS策略[4]是通過分析現(xiàn)有系統(tǒng)的漏洞以及對已有攻擊方式引發(fā)的攻擊事件進(jìn)行特征提取,進(jìn)而制定防御規(guī)則。比如:防范有針對性的操作系統(tǒng)漏洞攻擊、針對郵箱服務(wù)器漏洞攻擊、文件服務(wù)器攻擊、瀏覽器漏洞攻擊等。對當(dāng)下大多數(shù)的木馬、蠕蟲、間諜軟件等能夠進(jìn)行很好的防御與檢測。針對現(xiàn)有的防火墻功能缺陷需要IPS能夠識別運(yùn)行于非知名端口的常用數(shù)據(jù)流類型以及對于特定介質(zhì)流量減少誤報。(2)反病毒功能:反病毒功能指支持郵件傳輸協(xié)議SMTP、POP3,網(wǎng)頁協(xié)議HTTP的傳輸數(shù)據(jù)掃描中做到病毒的刪除操作或者向用戶發(fā)送通過。但現(xiàn)防火墻對10種以上、多層壓縮文件、對病毒進(jìn)行加殼操作的壓縮文件進(jìn)行掃描時發(fā)現(xiàn)病毒能力較弱。所以,需要部署新防火墻具有對病毒具有脫殼操作能力,并且對文件類別具有智能識別功能。(3)強(qiáng)大的GTP保護(hù)功能[5]:部署在Gn、Gp和Gi接口進(jìn)行GTP安全防范功能需要有支持R97GTP、R99GTP、GTP協(xié)議、報文分析控制能力以及按照規(guī)則對報文進(jìn)行過濾的能力;在路由模式和透明模式兩種工作模式下工作;能夠解決GTP隧道的限制、能夠檢測GTP隧道信息、GTP隧道雙機(jī)熱備功能;支持分片緩存功能等。(4)IDS聯(lián)動[6]是指IDS設(shè)備能自動偵聽整個網(wǎng)絡(luò)中是否存在惡意攻擊、入侵或其他安全隱患行為,通過下發(fā)指令的方式通知統(tǒng)一安全網(wǎng)關(guān),由統(tǒng)一安全網(wǎng)關(guān)對攻擊報文進(jìn)行丟棄或其他處理。運(yùn)用IDS聯(lián)動的方式來防范惡意攻擊,是將惡意攻擊分為入侵檢測和攻擊處理兩個過程分量后進(jìn)行處理,充分發(fā)揮各設(shè)備的優(yōu)勢,改善系統(tǒng)性能。通過和IDS設(shè)備聯(lián)動,統(tǒng)一安全網(wǎng)關(guān)可以提供一種高可靠的主動防御模型和安全解決方案。用戶優(yōu)先配置好靜態(tài)的安全性能配置信息,通過IDS設(shè)備可以動態(tài)發(fā)現(xiàn)安全隱患,通過統(tǒng)一安全網(wǎng)關(guān)設(shè)備修改安全策略,起到實(shí)時、動態(tài)的修改防御策略,保證整網(wǎng)的安全。要有靈活的聯(lián)動接口協(xié)議,可以和很多IDS設(shè)備互通,方便支持各種IDS設(shè)備和統(tǒng)一安全網(wǎng)關(guān)聯(lián)合工作。

3結(jié)語

為應(yīng)對眾多網(wǎng)絡(luò)不安全因素,本文提出的解決方案包含外網(wǎng)出口、入侵檢測和日志審計,同時提供了統(tǒng)一的安全管理中心各模塊,可以有效解決當(dāng)前視頻網(wǎng)站面臨的問題。在廣電行業(yè)產(chǎn)業(yè)化改造的歷史機(jī)遇面前,建立一個高起點(diǎn)、高技術(shù)含量、多功能、智能化并具有良好擴(kuò)展性的綜合信息平臺至關(guān)重要。讓安徽電視臺視頻網(wǎng)絡(luò)信息高速、優(yōu)質(zhì)地通往千家萬戶,讓廣電網(wǎng)絡(luò)能夠高效傳遞信息,成為百姓獲取信息咨詢、豐富文化知識的良好載體,成為國家信息基礎(chǔ)建設(shè)以及現(xiàn)代化信息服務(wù)的重要組成部分。

參考文獻(xiàn):

[1]于躍.基于安全路由聯(lián)盟DD0S攻擊防御機(jī)制[D].保定:河北大學(xué),2018.

[2]李婷婷.DPI技術(shù)在廣電IP化檢測系統(tǒng)中的應(yīng)用[J].廣播與電視技術(shù),2019(9):124-127.

[3]翟綱.基于SNMPv3的安全網(wǎng)管技術(shù)研究[D].成都:西南交通大學(xué),2003.

[4]譚菲菲.入侵防御系統(tǒng)(IPS)專利技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2018(8):121-122.

[5]李俊鳳.基于ENP-2611的GTP防火墻的設(shè)計與實(shí)現(xiàn)[J].湖南郵電職業(yè)技術(shù)學(xué)院學(xué)報,2016(3):42-44,75.

[6]張艷.防火墻與IDS聯(lián)動的網(wǎng)絡(luò)安全技術(shù)應(yīng)用研究[J].電腦知識與技術(shù),2012(13):3050-3051.

作者:李振輝 單位:安徽廣播電視臺