广播电视信息安全保护研究论文.doc

广播电视信息安全保护研究论文 摘要：本文从广播电视网络信息安全的实际出发提出了采用分层保护网络的思想并对网络分层保护的必要性、划分方法进行研究设计了每一层的安全保护措施提升了网络的安全性为广播电视网络的安全研究和实践奠定了基础 关键词：广播电视信息安全；网络安全；安全分层体系；防火墙 1、引言 信息化技术在当今国民经济中具有非常重要的战略地位和作用广播电视网络和计算机通信网络在政治、金融、军事、交通、教育、商业等方面的作用不断增大数字电视网络、通信网络和计算机网络“三网合一”的技术是当今信息社会特征最重要的基础设施其中广播电视领域是我国重要的信息资源提供者和传播者是用户获取信息的最主要渠道之一 广播电视的数字化、电子化、网络化的不断发展应用逐渐增多网络信息安全技术和方法也层出不穷随着下一代互联网技术如IPV6等技术的不断推进一个高效、安全、方便的广播影视资料内容和节目的集成、交换、分发系统显得尤为重要也逐渐成为信息科学的一个重要研究领域日益受到研究者的关注1广播电视网络安全从不同的角度具有不同的含义从运行系统安全角度保证节目播出和传输系统的安全；从网络上系统信息的安全包括用户合法性的鉴别用户收视权限控制数据存取权限方式控制安全审计病毒防治用户信息和授权信息的加密节目加密等；从网络上节目播出的安全出发包括节目审查、过滤等侧重于防止和控制非法、有害的节目和信息的传播 用户可以快速、自由、自主地利用广播电视网络实现所有Internet业务如电子现金、电视商务、网上银行等因此对网络安全技术的研究一直是计算机、数字电视、通信中的一个热点广播电视网络无疑是其重要研究对象之一本文结合传统广播电视网络存在的非法入侵、信息泄露和病毒等安全问题提出采用分层保护的思想并对分层保护的划分方法以及安全保护的实施等情况进行了探讨改善和提升了广播电视网络的安全性 2、广播电视信息安全分层模式 广播电视网络安全问题主要是由于资源共享和开放性的特点所导致的无论是采用目前较流行的IPV4还是正在发展的IPV6协议存在着容易利用DNS攻击邻居发现协议NDP广播放大攻击、病毒等安全隐患如何采取有利措施保障广播电视节目的正常播出和安全性是首要解决的问题 通过对现有广播电视网络的分析和研究发现整个网络体系结构由不同的子网和多个不同的业务板块组成主要包括：在广播节目播放过程中的发射子网在节目录制等过程中的制作子网对播放平台及各种业务的监控子网以及日常办公及管理过程中的办公子网由于子网所处的环境不同以及面临的安全威胁差异性以往的子网往往采用相似的安全措施不仅增加了网络运行和维护成本而且并不能保证不同子网的安全性同时导致整个网络的运行效率的下降因此可采用对不同子网分层保护的方法针对不同子网所面临的安全威胁划分出不同的安全等级在有限的资源中集中保护较关键的子网进一步提升整体网络的安全性同时减少了运行和维护成本提高了网络运行的效率2对不同子网及不同业务板块的分析论文提出将整个广播电视网络分为五个层次的思想有利于根据不同的安全级别设置防范措施 此外根据各板块的业务特点和安全级别在网络上划分多个安全区域通过安全区域的边界隔离保护各板块网络的安全主要的层次包括： （1）办公子网办公子网负责相关的数字音频节目、稿件等资料的交互、传输和日常办公、审稿等管理工作可采用千兆以太网技术具有组网灵活、支持多用户端口镜像等特点可通过合理划分网段保证工作人员的客户端性能感染病毒和受到外来安全攻击的可能性较高由于办公子网覆盖面广物理设备较多因此该子网存在较大的安全隐患 （2）安全隔离区由于电视节目制作子网与办公子网之间存在着大量的信息交互过程因此需要在该两个网络之间采取一定的安全措施安全隔离区可以起到一定的隔离和缓冲作用保证子网之间信息传递的安全可靠性 （3）节目制作子网主要涉及到数据采集过程、制作过程以及对数据制作过程中的管理等业务板块这一子网需要较高级别的安全性 （4）主干子网主干子网是整个广播电视网络的核心部分承担着整个网络的数据交互和管理任务对这一子网的安全性要求非常高 （5）节目发射子网在新闻等广播节目的发射播出过程中非常容易受到各种威胁因此对这一板块的安全性要求是整个广播电视网络中最高的经过将广播电视网络的分层设计可针对不同的安全性要求设置不同的安全策略安全性随着不同需求逐渐增加 3、分层设置安全决策 通过将广播电视网络的分层模式对不同的层次可采取不同的安全措施同时应防止不同子网之间病毒、入侵等信息的感染该设计模式将提高效率减少运行和维护成本论文对不同子网和业务板块设计了不同的安全对策2 3.1办公子网 办公子网由工作站、自适应交换机以及光纤收发器等组成存在覆盖面广物理设备较多等特点并通过局部地区广电系统SDH环网与外部网络进行相连涉及到办公软件的运行、财务管理、人事管理等同时与节目制作子网存在信息交互可设计如下的方式对办公子网进行安全性保护： (1)设置防火墙：采用一定的物理设备如思科、华为公司产品设置百兆防火墙使办公内网与Internet之间或其他子网之间相互隔离限制网络之间的互访采用深入数据包检测和处理、IP/URL过滤、TCP/IP过滤检测、流量检测控制等技术搜索异常和非法入侵保护内部网络资源免遭非法用户的使用和入侵 （2）入侵检测：分布式防御系统框架通过设置分布式入侵检测系统预先对入侵活动和具有攻击性数据流进行有效地拦截将从Internet网络中进入的数据信息进行协议分析等检测抵御各种恶意攻击 （3）子网划分：通过将办公子网进一步划分为多个子网的方法在不同子网之间设置防火墙等安全规范防止出现故障时病毒等信息的扩散 （4）终端接口检测：电脑中安装网络版杀毒软件具有实时查毒、杀毒的功能对于接入电脑的硬件自动检测此外对于需要上网的用户自动检测其电脑杀毒软件的安装和更新情况 （5）监控措施：在办公子网中安装华为等公司的网络管理软件主要对网络安全情况实时监控防止非法入侵、病毒感染等问题3 3.2安全隔离区 安全隔离区是独立于节目制作子网、办公子网的过渡子网它的物理位置位于节目制作子网、办公子网的边界通过该隔离区可防止Internet网络中的恶意攻击其次可对广播电视网络内网与外网的数据交互进行监控除了采用与办公子网相同的防护措施以外还需要采取以下的安全策略： （1）设置镜像站点：节目制作子网相关数据在安全隔离区建立镜像站点镜像站点服务器出现故障不会影响节目制作子网的正常运行 （2）采用反向代理服务器：反向代理服务器配备有大容量的内存和高速磁盘可用来防止从公司外部直接、不受监视地访问服务器数据同时可实现负载平衡 （3）设置更高级别的防火墙：可设置网络访问控制权限如限制目的IP地址、端口号等 （4）安装企业级防病毒软件：网络版针对企业级的杀毒软件具有自动升级更新、集中式的病毒记录报告以及远程管理等功能有利于隔离区的安全管理 3.3节目制作子网 节目制作子网主要完成数据采集、节目编辑、数据交换等功能是新闻、娱乐等节目生成的主体因此需要较高级别的安全性除了采用与安全隔离区相似的防护措施以外还可采用如下的安全策略： （1）集群设计模式：针对不同的业务板块进行集群设计保证数据传输过程中的关键链路和关键设备的安全 （2）设置高级别的防火墙：节目制作子网采用千兆级的防火墙模块进行隔离保证不同子网之间数据交换的安全性 （3）设置访问控制权限：利用物理设备如交换机的访问控制列表功能针对不同的业务设置交换机与主干子网之间的访问权限 3.4主干子网 分层的思想使得各子网独立运行然而由于主干子网是整个广播电视网络中数据交换和管理的核心部分主干子网的安全将关系到其他各子网的安全性在网络设计中需要把主干子网的安全放在重要的位置在设计时除了采用划分子网、监控措施、数据备份以外还需采用如下的安全策略： （1）设置分组过滤防火墙：主干子网与其他子网之间设置核心交换机的防火墙模块设置严格的访问控制权限此外核心交换机集成的防火墙具有吞吐率高、管理性强的特点有利于数据的实时传输 （2）热备份路由协议：利用热备份路由协议将两台交换机虚拟成一台一台出现故障时另一台接管提高网络的可靠性和安全性 （3）安装不同的操作系统：采用Linux、Unix作为数据库等关键服务器的操作系统降低采用单一Windows操作系统的安全风险 （4）身份认证技术：对进入主干子网中的用户和数据进行身份认证防止非法进入和入侵 3.5节目发射子网 在广播节目发射播出过程中容易受到外来入侵攻击的威胁也是病毒等恶意信息较容易感染和传播的区域因此在采用划分子网、播出监控措施、安装杀毒软件以外还需要采用更多的安全保护策略： （1）设置分组过滤防火墙：节目播出子网在于主干子网连接时安装基于ASIC芯片的千兆防火墙阻止外来入侵对节目播出的干扰和威胁 （2）数据存储：对播出子网中的数据进行存储备份组成群集服务器采用主备份、二级备份、三级备份的方式一旦播出节目进入播出管理系统便与主干子网等脱离提高了安全性 （3）播控系统分级：对于不同的播出节目采用不同的播放控制设计方案保证重要频道的安全播出 （4）阵列柜的同步镜像备份：对于播出节目存储的阵列柜除了使用其本身的RAID5技术外阵列间使用同步镜像备份保证任意时刻播放的顺利进行 在分层结构基础上根据不同的业务板块实现的功能保证板块的高内聚以及板块之间的低耦合；在不同存储设备、连接设备中减少冗余信息；加强对板块边界信息的防护阻止病毒和故障的扩散 4其他安全措施 在分层设置安全保护策略的同时需要考虑广播电视网络的整体安全性需要考虑如下一些安全性要求： （1）关闭某些系统服务：在不影响网络工作的情况下关闭容易受到威胁的Windows服务如关闭RemoteRegistry服务防止采用木马、陷门等程序修改目标机器的注册表；关闭ComputerBrowser服务防止被入侵获得在线计算机客户信息；关闭IndexingService服务防止蠕虫病毒的爆发4 （2）建立灾难恢复系统：网络分层中应做好系统备份以便及时恢复对于重要的数据可采用磁盘阵列及冗余服务器作为实时备份；在不同的地理区域设置备份系统提高数据抵抗各种可能破坏因素的容灾能力其次配备大容量、高性能的UPS防止电源中断带来的损失 （3）加强管理：为了保证机房网络的正常运行需要做好防磁、防火、防潮等措施减少安全隐患应加强对常态宣传管理工作的规范严格执行节目审查机制、重播重审机制；不断完善制度建设构建安全播出保障体系；加强协调监督确保广播电视设施和场地安全；设置安全评价体系推动新技术应用提升广播电视安全播出保障水平5 （4）加强宣传：人始终是广播电视网络中系统安全工作的核心因素因此需要加强对人的法律、法规宣传安全知识的学习以及职业道德的教育 5、结束语 随着现代数字技术以及下一代通信网络的迅猛发展新媒体、新的传播手段不断涌现在快捷、高效、高质量信息传递的同时也给广播