| 标题 | 有线电视前端系统网络安全设计 |
| 范文 | 王慧勇 [摘 要]有线电视数字前端系统的安全性十分重要,特别是在有线数字电视前端系统IP化改造、媒介融合的大环境下,安全隐患大大增加。基于此,本文对有线电视网络的安全问题进行分析,并提出针对性的技术防护措施与手段。 [关键词]有线数字电视;前端;网络安全;设计 doi:10.3969/j.issn.1673 - 0194.2020.12.081 [中圖分类号]TN943.6[文献标识码]A[文章编号]1673-0194(2020)12-0-02 0 ? ? 引 言 2017年6月1日,我国正式颁布《中华人民共和国网络安全法》,明确网络安全等级保护制度是网络安全维护的基本制度。有线电视前端系统一旦受到网络攻击,会造成功能丧失、数据泄露,或者发布有害信息,对企业业务、公共利益、国家安全产生重大危害。 1 ? ? 系统现状 有线数字电视前端系统拥有庞大的用户群,是国家重要的信息基础设施。因此,该系统的网络安全建设十分重要。有线数字电视前端主要包含信源处理系统、加扰表单系统以及传输系统。对视音频进行相应处理,使用户能够通过机顶盒等方式接收并观看节目。信源处理系统主要完成音视频信号的编码以及码率转换,主要设备包括编码器以及转码器。信号处理系统主要负责EPG(Electronic Program Guide,电子节目指南)和数据广播、产生CA信号,主要设备包括EPG服务器以及加扰机等。传输处理系统主要完成信号复用、调制输出,主要设备包括节目复用器以及射频调制器等。目前,对有线数字电视前端系统的非法入侵、篡改网络问题层出不穷。攻击态势逐步规模化、专业化、多样化。随着业务增加、核心业务网的拓展,网络拓扑日益复杂,网络安全边界模糊,缺少必要的网络安全设备。网络安全设备的安全配置较弱,缺少对用户行为的控制和审计,业务主机系统及数据库版本较老,漏洞较多。一旦被侵入,将涉及多种业务,风险巨大。 2 ? ? 安全域划分 对业务网络进行安全域划分,需要根据系统架构,承载的业务和数据流、安全需求等情况,按照层次化、纵深防御的安全域划分思想,进行科学、严谨划分。根据业务梳理,前端系统中重点对EPG单元、CA单元、SMS单元、数据库单元、网管单元进行网络安全设计。 2.1 ? ? EPG及数据广播 EPG系统是一种广告内容处理系统。在符合规范的有线电视私有数据中插入自定义的广告数据,使用户在电视节目接收终端进行一系列操作时,画面中出现相应的广告数据内容。数据广播系统,即单向数据广播,负责应用数据的单向广播,基于DSM-CC(ISO 13818-6)协议,可发送HTML(HyperText Markup Language,超文本标记语言)应用、JAVA应用或任意其他预置应用的数据,如MP3、图片文件、XML文件等;同时可配置发送数据广播相关业务的PSI/SI数据以及与各应用相关的AIT表。其中,EPG广告系统以及数据广播以TS流的方式进入复用器的TS输入口。 2.2 ? ? CAS系统以及SMS系统 CAS系统是为了确保有线数字电视前端的输出信号只能被经过授权的用户进行接收的一种条件接收系统。省级以及直辖市级有线电视运营商一般采用3家CA同密技术来保障加密数据的安全性。主要设备包含EMMG服务器、ECMG服务器、加密机服务器、加密数据库等部分。SMS系统是有线数字电视前端用户管理系统,通常也被称作BOSS系统,负责开通业务、运营服务。由此可见,在有线电视数字前端中,CAS以及SMS/BOSS系统,只有拥有一个高安全性、高可靠性的网络,才能稳定地完成其功能,保障付费用户和运营商的利益。 2.3 ? 网络安全设计 对于网络信息化系统,需要对通信网络架构、区域边界、计算环境3个方面进行安全加固,从而保障制播系统内的应用业务、重要数据的正常流转。通过分析,可以建立一个数字电视前端网络模型,如图1所示。 在网络模型中,对于核心业务,需要做冗余保障,确保主备链路切换。结合安全域,建立网络区域边界,在边界处进行网络安全加固,并结合业务特性,分析网络数据。另外,对于安全区域内的设备,企业要营造安全计算环境,对系统的每个环节配置安全策略。建立网络安全防护中心,对系统的网络安全态势进行整体监测与控制。 2.4 ? ? 通信网络架构安全加固 网络结构的合理性,对整个系统的高效稳定非常重要。核心业务承载网络需要具备一定的冗余性。重要的网络设备、业务服务器需要进行双机冗余部署,保障通信网络的高可用性。对在线业务进行梳理,对业务的重要性以及带宽、资源需求进行分级规划,优先保障高优先级的业务。优化网络拓扑,做好备份路由建设。核心业务不与外部网络相连,单独划分网络与VLAN。同时,配置防火墙、负载均衡等设备,完善整个网络架构,提高网络架构的安全性。此外,还要过滤内外的网络信息数据,对于内网设备,部署相应的应用层防护软件或硬件,并配置安全策略,进行应用安全防护。 2.5 ? ? 区域边界安全加固 系统部署终端准入控制中心监控外部人员非授权联入内部网络;部署终端安全管理中心监控内部人员非授权联出外部网络。非授权用户私自联到外部网络的行为通过终端安全管理系统进行检查验证。监控跨越网络区域边界的数据交换,并通过指定接口进行数据交换与通信。绑定源地址、目的地址、相应端口、协议等,建立访问控制策略,限制访问权限,利用白名单,允许符合相关规则的请求;利用黑名单,拒绝不符合规则的请求。加强内部主机的相互访问控制,避免非法入侵后,外部人员利用内网主机作为跳板,进一步入侵系统。系统防火墙中配置相关端口安全策略,实现受控端口通信。同时,监视网络区域边界的攻击行为。在网络安全设备中建立监听机制,实现端口扫描,监测木马攻击、网络蠕虫攻击等。 2.6 ? 计算环境安全加固 创建安全的计算环境,部署堡垒机以及身份认证系统。配置严格的安全加固策略,避免突破系统保护边界的外部人员侵入。部署第三方审计系统收集数据库审计日志,并配置相关策略;采用多种组合鉴别技术,通过第三方身份认证系统,配置相关认证策略,实现双因子身份安全认证;对重要资源进行敏感性标记,并设置强制访问控制规则,对主机进行安全加固和安全配置,对重要资源进行敏感性标记。计算环境中的一些重要识别特征,如MAC地址、设备串号、硬件编码等进行绑定限制,保证每一个参与系统运作设备的唯一性。利用条件匹配原则,对不符合唯一性要求的访问设备予以拒绝。 2.7 ? 策略安全加固 除了新增安全设备外,对现网以及安全设备配置合适的安全策略,保证安全建设落到实处。主要包括以下几点:①身份鉴别,权限与用户名一一对应,建立实名制管控机制;②对进入内网的登录地址进行限制,只有通过多因素认证后,才允许其登录;③各种访问密码信令需要定期调换;④限制登录次数,登录若干此失败后,判定为非法登录,需要进行解锁验证后才能正常登录,阻止非法暴力尝试登录等行为。 2.8 ? 运维管理安全加固 网络安全运维是系统安全中极为重要的一个环节,因此,不仅需要配置安全策略,也需要建立严密的运维体系。对于参与运维的人员进行明确唯一的定义,提高管理人员的安全意识,并提升系统运维人员的安全操作水平,避免对业务系统带来人为的安全隐患。 3 ? ? 结 语 根据调研、评估,确保在线业务正常开展的同时,对网络安全需求以及业务流程进行汇总分析,确立网络安全加固方案。优化网络架构,增加系统的冗余保障能力,对网络安全设备、操作系统以及数据库配置安全策略。同时,加强系统网络安全保护工作,保障系统稳定运行。 主要参考文献 [1]杨海文,高宇,张虹.基于等级保护的数据安全管理体系建设实践[J].现代信息科技,2019(2):102-105. [2]曾建中.媒体融合云技术下的信息系统安全防护体系设计[J].广播与电视技术,2016(11):23-27. |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。