广播电视信息安全保护研究

摘要：本文从广播电视网络信息安全的实际出发，提出了采用分层保护网络的思想，并对网络分层保护的必要性、划分方法进行研究，设计了每一层的安全保护措施，提升了网络的安全性。为广播电视网络的安全研究和实践奠定了基础。

关键词：广播电视信息安全；网络安全；安全分层体系；防火墙

1引言

信息化技术在当今国民经济中具有非常重要的战略地位和作用，广播电视网络和计算机通信网络在政治、金融、军事、交通、教育、商业等方面的作用不断增大。数字电视网络、通信网络和计算机网络“三网合一”的技术是当今信息社会特征最重要的基础设施。其中，广播电视领域是我国重要的信息资源提供者和传播者，是用户获取信息的最主要渠道之一。广播电视的数字化、电子化、网络化的不断发展，应用逐渐增多，网络信息安全技术和方法也层出不穷。随着下一代互联网技术如IPV6等技术的不断推进，一个高效、安全、方便的广播影视资料内容和节目的集成、交换、分发系统显得尤为重要，也逐渐成为信息科学的一个重要研究领域，日益受到研究者的关注[1]。广播电视网络安全从不同的角度具有不同的含义，从运行系统安全角度，保证节目播出和传输系统的安全；从网络上系统信息的安全，包括用户合法性的鉴别，用户收视权限控制，数据存取权限方式控制，安全审计，病毒防治，用户信息和授权信息的加密，节目加密等；从网络上节目播出的安全出发，包括节目审查、过滤等，侧重于防止和控制非法、有害的节目和信息的传播。用户可以快速、自由、自主地利用广播电视网络实现所有Internet业务，如电子现金、电视商务、数字货币、网上银行等，因此对网络安全技术的研究一直是计算机、数字电视、通信中的一个热点，广播电视网络无疑是其重要研究对象之一。本文结合传统广播电视网络存在的非法入侵、信息泄露和病毒等安全问题，提出采用分层保护的思想，并对分层保护的划分方法以及安全保护的实施等情况进行了探讨，改善和提升了广播电视网络的安全性。

2广播电视信息安全分层模式

广播电视网络安全问题主要是由于资源共享和开放性的特点所导致的，无论是采用目前较流行的IPV4还是正在发展的IPV6协议，存在着容易利用DNS攻击，邻居发现协议NDP，广播放大攻击、病毒等安全隐患。如何采取有利措施，保障广播电视节目的正常播出和安全性是首要解决的问题。通过对现有广播电视网络的分析和研究发现，整个网络体系结构由不同的子网和多个不同的业务板块组成。主要包括：在广播节目播放过程中的发射子网，在节目录制等过程中的制作子网，对播放平台及各种业务的监控子网以及日常办公及管理过程中的办公子网。由于子网所处的环境不同以及面临的安全威胁差异性，以往的子网往往采用相似的安全措施，不仅增加了网络运行和维护成本，而且并不能保证不同子网的安全性，同时导致整个网络的运行效率的下降。因此，可采用对不同子网分层保护的方法，针对不同子网所面临的安全威胁，划分出不同的安全等级，在有限的资源中集中保护较关键的子网，进一步提升整体网络的安全性，同时，减少了运行和维护成本，提高了网络运行的效率[2]。对不同子网及不同业务板块的分析，论文提出将整个广播电视网络分为五个层次的思想，有利于根据不同的安全级别设置防范措施。此外，根据各板块的业务特点和安全级别，在网络上划分多个安全区域，通过安全区域的边界隔离保护各板块网络的安全。主要的层次包括：（1）办公子网。办公子网负责相关的数字音频节目、稿件等资料的交互、传输和日常办公、审稿等管理工作。可采用千兆以太网技术，具有组网灵活、支持多用户端口镜像等特点，可通过合理划分网段，保证工作人员的客户端性能。感染病毒和受到外来安全攻击的可能性较高。由于办公子网覆盖面广，物理设备较多，因此，该子网存在较大的安全隐患。（2）安全隔离区。由于电视节目制作子网与办公子网之间存在着大量的信息交互过程，因此需要在该两个网络之间采取一定的安全措施，安全隔离区可以起到一定的隔离和缓冲作用，保证子网之间信息传递的安全可靠性。（3）节目制作子网。主要涉及到数据采集过程、制作过程以及对数据制作过程中的管理等业务板块，这一子网需要较高级别的安全性。（4）主干子网。主干子网是整个广播电视网络的核心部分，承担着整个网络的数据交互和管理任务，对这一子网的安全性要求非常高。（5）节目发射子网。在新闻等广播节目的发射播出过程中，非常容易受到各种威胁，因此，对这一板块的安全性要求是整个广播电视网络中最高的。经过将广播电视网络的分层设计，可针对不同的安全性要求，设置不同的安全策略，安全性随着不同需求逐渐增加。

3分层设置安全决策

通过将广播电视网络的分层模式，对不同的层次可采取不同的安全措施，同时，应防止不同子网之间病毒、入侵等信息的感染。该设计模式将提高效率，减少运行和维护成本。论文对不同子网和业务板块设计了不同的安全对策[2]。

3.1办公子网

办公子网由工作站、自适应交换机以及光纤收发器等组成，存在覆盖面广，物理设备较多等特点，并通过局部地区广电系统SDH环网与外部网络进行相连，涉及到办公软件的运行、财务管理、人事管理等，同时与节目制作子网存在信息交互，可设计如下的方式对办公子网进行安全性保护：(1)设置防火墙：采用一定的物理设备如思科、华为公司产品设置百兆防火墙，使办公内网与Internet之间或其他子网之间相互隔离，限制网络之间的互访，采用深入数据包检测和处理、IP/URL过滤、TCP/IP过滤检测、流量检测控制等技术，搜索异常和非法入侵，保护内部网络资源免遭非法用户的使用和入侵。（2）入侵检测：分布式防御系统框架通过设置分布式入侵检测系统，预先对入侵活动和具有攻击性数据流进行有效地拦截，将从Internet网络中进入的数据信息进行协议分析等检测，抵御各种恶意攻击。（3）子网划分：通过将办公子网进一步划分为多个子网的方法，在不同子网之间设置防火墙等安全规范，防止出现故障时病毒等信息的扩散。（4）终端接口检测：电脑中安装网络版杀毒软件，具有实时查毒、杀毒的功能。对于接入电脑的硬件自动检测。此外，对于需要上网的用户自动检测其电脑杀毒软件的安装和更新情况。（5）监控措施：在办公子网中安装华为等公司的网络管理软件，主要对网络安全情况实时监控，防止非法入侵、病毒感染等问题[3]。

3.2安全隔离区

安全隔离区是独立于节目制作子网、办公子网的过渡子网，它的物理位置位于节目制作子网、办公子网的边界，通过该隔离区可防止Internet网络中的恶意攻击，其次，可对广播电视网络内网与外网的数据交互进行监控。除了采用与办公子网相同的防护措施以外，还需要采取以下的安全策略：（1）设置镜像站点：节目制作子网相关数据在安全隔离区建立镜像站点，镜像站点服务器出现故障不会影响节目制作子网的正常运行。（2）采用反向服务器：反向服务器配备有大容量的内存和高速磁盘，可用来防止从公司外部直接、不受监视地访问服务器数据，同时可实现负载平衡。（3）设置更高级别的防火墙：可设置网络访问控制权限，如限制目的IP地址、端口号等。（4）安装企业级防病毒软件：网络版针对企业级的杀毒软件具有自动升级更新、集中式的病毒记录报告以及远程管理等功能，有利于隔离区的安全管理。

3.3节目制作子网

节目制作子网主要完成数据采集、节目编辑、数据交换等功能，是新闻、娱乐等节目生成的主体，因此，需要较高级别的安全性。除了采用与安全隔离区相似的防护措施以外，还可采用如下的安全策略：（1）集群设计模式：针对不同的业务板块进行集群设计，保证数据传输过程中的关键链路和关键设备的安全。（2）设置高级别的防火墙：节目制作子网采用千兆级的防火墙模块进行隔离，保证不同子网之间数据交换的安全性。（3）设置访问控制权限：利用物理设备如交换机的访问控制列表功能，针对不同的业务设置交换机与主干子网之间的访问权限。

3.4主干子网

分层的思想使得各子网独立运行，然而由于主干子网是整个广播电视网络中数据交换和管理的核心部分，主干子网的安全将关系到其他各子网的安全性。在网络设计中，需要把主干子网的安全放在重要的位置。在设计时，除了采用划分子网、监控措施、数据备份以外，还需采用如下的安全策略：（1）设置分组过滤防火墙：主干子网与其他子网之间设置核心交换机的防火墙模块，设置严格的访问控制权限。此外，核心交换机集成的防火墙具有吞吐率高、管理性强的特点，有利于数据的实时传输。（2）热备份路由协议：利用热备份路由协议将两台交换机虚拟成一台，一台出现故障时另一台接管，提高网络的可靠性和安全性。（3）安装不同的操作系统：采用Linux、Unix作为数据库等关键服务器的操作系统，降低采用单一Windows操作系统的安全风险。（4）身份认证技术：对进入主干子网中的用户和数据进行身份认证，防止非法进入和入侵。

3.5节目发射子网

在广播节目发射播出过程中，容易受到外来入侵攻击的威胁，也是病毒等恶意信息较容易感染和传播的区域。因此，在采用划分子网、播出监控措施、安装杀毒软件以外，还需要采用更多的安全保护策略：（1）设置分组过滤防火墙：节目播出子网在于主干子网连接时安装基于ASIC芯片的千兆防火墙，阻止外来入侵对节目播出的干扰和威胁。（2）数据存储：对播出子网中的数据进行存储备份，组成群集服务器，采用主备份、二级备份、三级备份的方式，一旦播出节目进入播出管理系统，便与主干子网等脱离，提高了安全性。（3）播控系统分级：对于不同的播出节目，采用不同的播放控制设计方案，保证重要频道的安全播出。（4）阵列柜的同步镜像备份：对于播出节目存储的阵列柜除了使用其本身的RAID5技术外，阵列间使用同步镜像备份，保证任意时刻播放的顺利进行。在分层结构基础上，根据不同的业务板块实现的功能，保证板块的高内聚以及板块之间的低耦合；在不同存储设备、连接设备中减少冗余信息；加强对板块边界信息的防护，阻止病毒和故障的扩散。

4其他安全措施

在分层设置安全保护策略的同时，需要考虑广播电视网络的整体安全性，需要考虑如下一些安全性要求：（1）关闭某些系统服务：在不影响网络工作的情况下，关闭容易受到威胁的Windows服务。如关闭RemoteRegistry服务，防止采用木马、陷门等程序修改目标机器的注册表；关闭ComputerBrowser服务，防止黑客获得在线计算机客户信息；关闭IndexingService服务，防止蠕虫病毒的爆发[4]。（2）建立灾难恢复系统：网络分层中应做好系统备份以便及时恢复。对于重要的数据，可采用磁盘阵列及冗余服务器作为实时备份；在不同的地理区域设置备份系统，提高数据抵抗各种可能破坏因素的容灾能力。其次，配备大容量、高性能的UPS，防止电源中断带来的损失。（3）加强管理：为了保证机房网络的正常运行，需要做好防磁、防火、防潮等措施，减少安全隐患，应加强对常态宣传管理工作的规范，严格执行节目审查机制、重播重审机制；不断完善制度建设，构建安全播出保障体系；加强协调监督，确保广播电视设施和场地安全；设置安全评价体系，推动新技术应用，提升广播电视安全播出保障水平[5]。（4）加强宣传：人始终是广播电视网络中系统安全工作的核心因素，因此，需要加强对人的法律、法规宣传，安全知识的学习以及职业道德的教育。

5结束语

随着现代数字技术以及下一代通信网络的迅猛发展，新媒体、新的传播手段不断涌现，在快捷、高效、高质量信息传递的同时，也给广播电视信息安全提出了新的挑战。为了快速、准确、高质量应对信息安全的各种风险和威胁，需要建立起独立自主的、科学完整的、具有前瞻性的广播电视信息安全体系。本文通过对广播电视网络进行安全层次划分，按照安全层次保护要求进行规划、建设、管理，可以实现对电视台网重点保护和有效保护的目的，增强安全保护的整体性、针对性和实效性，使电视台网的安全建设能够突出重点、统一规范。对于不同规模和级别广播电视网络的安全性，还需要进一步研究和探讨。

作者:夏利元 钱文华 陈志明 单位:1.国家新闻出版广电总局501台 2.云南大学计算机科学与工程系

参考文献

[1]张秋华．浅议如何加强广播电视信息安全．信息安全，2010,Vol.5