广播电视台业务网络网间安全方案设计
刘海芸摘要:随着计算机网络技术在广播电视台的广泛应用,各台基本实现了采、编、播的全程文件化。台内网整体安全体系的主要任务就是保障业务网络系统网络安全。本文从网络存在的威胁、网间安全解决方案、安全方案比较及综合安全隔离应用范围等方面对广播电视台的媒体业务网络的网间安全进行分析。
关键词:广播电视 媒体业务网络 网间安全 物理隔离
随着网络技术在各级广播电视台广泛使用,各台均已实现了采、编、播的全程文件化,极大地提高了工作效率和播出质量,但同时也带来了网络安全问题。如何保障广播电视台业务网络系统的正常运行和相关资源得以合法访问,使业务网络系统免受病毒、恶意软件、黑客或其他不良意图的攻击就显得尤为重要。如何既能严格执行国家相关规定将内外网络物理隔离,解决好网络的安全,而又能实现各网络的信息系统数据方便地安全交换呢?我们常常采用下列方法。
杀毒软件也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。杀毒软件通常集成监控识别,病毒扫描和清除、自动升级病毒库,主动防御等功能,有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能,是计算机防御系统的重要组成部分。杀毒软件适用单机使用,方便易用。但存在漏杀和误杀、工作效率低、升级有风险等不足。
防火墙是最常用的网络隔离手段。防火墙设计原理来自于数据包过滤与应用代理技术,工作在OSI七层协议的1至4层,主要执行访问控制策略,可以通过设置ICMP或TCP/IP参数对数据包IP地址或MAC地址进行过滤。防火墙的逻辑是在保证连接联通的情况下尽可能安全,不对数据格式进行深度检测。防火墙对于安全要求初级的隔离是可以的,但对于需要深层次的网络隔离就显得不足了。另外还存在物理通道、未设置策略无效、协议漏洞威胁、无数据的检测等问题。
网闸即采用隔离卡架构,以物理方式将一台PC虚拟为两个电脑,实现工作站的双重状态,既可在安全状态,又可在公共状态,两个状态是完全隔离的,从而使一部工作站可在完全安全状态下联结内、外网。网闸做到了物理上不同时连接,对攻击防护好,但协议的代理对病毒防护仍然依赖当前技术,只适合定期的批量数据交换,不适合多应用的穿透。另外,无数据的检测、低级名单识别、数据威胁需要辅助、无广电特点是其硬伤。
USB隔离采用两台PC机作主机,分别连在内、外网系统上,在内、外网主机之间,使用USB双端电缆连接,在两台主机上分别安装USB驱动程序和专用程序,用于存储转发芯片的控制和文件检测、传输,但USB隔离在防攻击方面存在问题。一是PC机系统自身的防病毒、防攻击稳定性问题;二是黑客进入外网主机破坏USB驱动程序造成网桥中断工作;三是采用通用的USB协议取代TCP/IP协议;四能阻断网络攻击但容易传播USB病毒;五是无深度检测,需配杀毒软件做辅助检测;六是病毒库升级需连接外网,安全与风险并存。
系统异构是指硬件平台、操作系统、并发控制、访问方式和通信能力等的不同,这里主要指两个或两个以上的操作系统不同。操作系统是管理和控制计算机硬件与软件资源的计算机程序,是用户和计算机的接口,同时也是计算机硬件和其他软件的接口。操作系统交换数据是采用先杀毒再导入的工作模式,适用环境有安全要求的节点。异构网络存在不足:先杀毒再导入的模式;系统病毒和文件病毒毫无隔离功能;无深度检测,需要选配杀毒软件检测。
综合安全隔离应该是软硬结合的安全隔离,主要是进行通道控制,并实现内容检查。通道控制主要采用物理隔离技术,内网与外网没有物理连接;依靠电子开关和数据缓存池分时导通,隔离开关摆渡传输数据,保证在任意时刻内外网都是断开的。内容检查的核心是检测数据文件真伪和是否有夹带,首先根据扩展名对传输文件与特定数据格式进行分析、比对,判断文件的真伪。在确定文件真正身价后,再全文扫描,确认文件是否有夹带,比如含执行代码语言等。这就从根本上断绝了病毒数据的扩散,保证了内网的安全。
安全方案比较
以上几种安全解决方案各有优缺点,各机构应该根据本单位的实际情况,选择安全解决方案。根据我台的实际情况,我们在各类网络系统中采用综合隔离方案。
一、制作播出安全隔离。综合安全隔离设备部署在制作网与播出网之间,制作网向播出网传输的播出素材,必须通过综合安全隔离设备的检测后,才能够进入播出的二级存储中,再通过转码软件迁移到播出服务器中。通过该设备可彻底杜绝来自网络通道的威胁(网络攻击及木马程序等),并依靠数据深度检测彻底避免非法文件及病毒的入侵,进而全面保护播出网,保证播出安全运行。
二、外部素材安全导入。综合安全隔离设备部署在广播电视台外来素材的安全导入环节。通过安装在不同部门的上传工作站进行外部数据的交换和共享,可以避免因需要导入外来数据而带来安全隐患,避免因使用外部介质(U盘、移动硬盘、P2卡等)而带来的各种病毒进入内网。
三、外网数据安全交互。部署多台综合安全隔离设备用于广播电视台各个网络之间的安全隔离,其中有部署在广告中心和制作网之间的,也有部署在几个不同的制作网之间的。保证网络之间的数据交换和共享,同时可以避免相互之间的网络攻击和病毒传播。
四、远程数据安全上传。部署综合安全隔离设备,通过FTP方式,将外地数据素材上传到外网上载客户端,之后上载客户端经过综合安全隔离,将素材传到内网服务器。通过安全隔离设备安全地将广播电视台的数据素材传输到非编网中,保证数据的安全交换,同时可以避免相互之间的网络攻击和病毒传播。
五、文稿數据安全交互。综合安全隔离设备部署于内部网络与制作网互联,办公网用户使用自动上传方式向制作网上传文件,将客户端安装在FTP服务器上,用户通过ftp将文件传输到服务器上各个账户指定的自动上传目录来传输到安全网络中。每个记者使用自己的特定ftp账号,互相之间看不到任何有关传输文件的信息。
随着黑客和病毒的攻击方式的不断变换,任何防护手段都是相对的,只有提高安全意识,多方面采取安全措施,不断研究探讨新的防护手段,不断更新提高防护技术,才能保证内网与互联网安全、高效交换信息。
(作者单位:江西广播电视台)
关键词:广播电视 媒体业务网络 网间安全 物理隔离
随着网络技术在各级广播电视台广泛使用,各台均已实现了采、编、播的全程文件化,极大地提高了工作效率和播出质量,但同时也带来了网络安全问题。如何保障广播电视台业务网络系统的正常运行和相关资源得以合法访问,使业务网络系统免受病毒、恶意软件、黑客或其他不良意图的攻击就显得尤为重要。如何既能严格执行国家相关规定将内外网络物理隔离,解决好网络的安全,而又能实现各网络的信息系统数据方便地安全交换呢?我们常常采用下列方法。
杀毒软件也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。杀毒软件通常集成监控识别,病毒扫描和清除、自动升级病毒库,主动防御等功能,有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能,是计算机防御系统的重要组成部分。杀毒软件适用单机使用,方便易用。但存在漏杀和误杀、工作效率低、升级有风险等不足。
防火墙是最常用的网络隔离手段。防火墙设计原理来自于数据包过滤与应用代理技术,工作在OSI七层协议的1至4层,主要执行访问控制策略,可以通过设置ICMP或TCP/IP参数对数据包IP地址或MAC地址进行过滤。防火墙的逻辑是在保证连接联通的情况下尽可能安全,不对数据格式进行深度检测。防火墙对于安全要求初级的隔离是可以的,但对于需要深层次的网络隔离就显得不足了。另外还存在物理通道、未设置策略无效、协议漏洞威胁、无数据的检测等问题。
网闸即采用隔离卡架构,以物理方式将一台PC虚拟为两个电脑,实现工作站的双重状态,既可在安全状态,又可在公共状态,两个状态是完全隔离的,从而使一部工作站可在完全安全状态下联结内、外网。网闸做到了物理上不同时连接,对攻击防护好,但协议的代理对病毒防护仍然依赖当前技术,只适合定期的批量数据交换,不适合多应用的穿透。另外,无数据的检测、低级名单识别、数据威胁需要辅助、无广电特点是其硬伤。
USB隔离采用两台PC机作主机,分别连在内、外网系统上,在内、外网主机之间,使用USB双端电缆连接,在两台主机上分别安装USB驱动程序和专用程序,用于存储转发芯片的控制和文件检测、传输,但USB隔离在防攻击方面存在问题。一是PC机系统自身的防病毒、防攻击稳定性问题;二是黑客进入外网主机破坏USB驱动程序造成网桥中断工作;三是采用通用的USB协议取代TCP/IP协议;四能阻断网络攻击但容易传播USB病毒;五是无深度检测,需配杀毒软件做辅助检测;六是病毒库升级需连接外网,安全与风险并存。
系统异构是指硬件平台、操作系统、并发控制、访问方式和通信能力等的不同,这里主要指两个或两个以上的操作系统不同。操作系统是管理和控制计算机硬件与软件资源的计算机程序,是用户和计算机的接口,同时也是计算机硬件和其他软件的接口。操作系统交换数据是采用先杀毒再导入的工作模式,适用环境有安全要求的节点。异构网络存在不足:先杀毒再导入的模式;系统病毒和文件病毒毫无隔离功能;无深度检测,需要选配杀毒软件检测。
综合安全隔离应该是软硬结合的安全隔离,主要是进行通道控制,并实现内容检查。通道控制主要采用物理隔离技术,内网与外网没有物理连接;依靠电子开关和数据缓存池分时导通,隔离开关摆渡传输数据,保证在任意时刻内外网都是断开的。内容检查的核心是检测数据文件真伪和是否有夹带,首先根据扩展名对传输文件与特定数据格式进行分析、比对,判断文件的真伪。在确定文件真正身价后,再全文扫描,确认文件是否有夹带,比如含执行代码语言等。这就从根本上断绝了病毒数据的扩散,保证了内网的安全。
安全方案比较
以上几种安全解决方案各有优缺点,各机构应该根据本单位的实际情况,选择安全解决方案。根据我台的实际情况,我们在各类网络系统中采用综合隔离方案。
一、制作播出安全隔离。综合安全隔离设备部署在制作网与播出网之间,制作网向播出网传输的播出素材,必须通过综合安全隔离设备的检测后,才能够进入播出的二级存储中,再通过转码软件迁移到播出服务器中。通过该设备可彻底杜绝来自网络通道的威胁(网络攻击及木马程序等),并依靠数据深度检测彻底避免非法文件及病毒的入侵,进而全面保护播出网,保证播出安全运行。
二、外部素材安全导入。综合安全隔离设备部署在广播电视台外来素材的安全导入环节。通过安装在不同部门的上传工作站进行外部数据的交换和共享,可以避免因需要导入外来数据而带来安全隐患,避免因使用外部介质(U盘、移动硬盘、P2卡等)而带来的各种病毒进入内网。
三、外网数据安全交互。部署多台综合安全隔离设备用于广播电视台各个网络之间的安全隔离,其中有部署在广告中心和制作网之间的,也有部署在几个不同的制作网之间的。保证网络之间的数据交换和共享,同时可以避免相互之间的网络攻击和病毒传播。
四、远程数据安全上传。部署综合安全隔离设备,通过FTP方式,将外地数据素材上传到外网上载客户端,之后上载客户端经过综合安全隔离,将素材传到内网服务器。通过安全隔离设备安全地将广播电视台的数据素材传输到非编网中,保证数据的安全交换,同时可以避免相互之间的网络攻击和病毒传播。
五、文稿數据安全交互。综合安全隔离设备部署于内部网络与制作网互联,办公网用户使用自动上传方式向制作网上传文件,将客户端安装在FTP服务器上,用户通过ftp将文件传输到服务器上各个账户指定的自动上传目录来传输到安全网络中。每个记者使用自己的特定ftp账号,互相之间看不到任何有关传输文件的信息。
随着黑客和病毒的攻击方式的不断变换,任何防护手段都是相对的,只有提高安全意识,多方面采取安全措施,不断研究探讨新的防护手段,不断更新提高防护技术,才能保证内网与互联网安全、高效交换信息。
(作者单位:江西广播电视台)
