有线电视网络安全规划研究

时间:2022-06-20 08:11:58

有线电视网络安全规划研究

【摘要】有线电视的快速发展,极大的促进了网络覆盖范围的扩大,这种情况下,网络安全关系到所有网络用户的信息及财产安全。在最近几年,不法分子经常会选择破坏网络的方式来获得非法利益。这不仅仅危害了网络用户及国家的财产安全,同时也暴露除了网络管理中的漏洞,所以提高对网络安全的管理与规划是非常重要的。本文就将讨论有线电视网络安全漏洞及控制技术措施。

【关键词】有线电视;网络安全;规划

1网络框架现状及漏洞

通常情况下,省级的有线电视网络系统包括三个部分,也就是企业内部内部的局域网、覆盖全省范围的DVB承载网及波分网和IP城域网,不同部分所负责的内容都是不同的。其中企业局域网是内部办公环境,IP城域网主要作为生产业务的核心信息交换通道存在,而DVB承载网及波分网是该地区的信号通道。DVB承载网主要负责该区域有线电视直播节目以及一部分专线业务,而波分网承担VOD点播业务以及地区专线业务和局域网业务等等。其中IP城域网与DVB承载网及波分网所组成的信息双向传播通道是有线电视网络系统的关键内容。有线电视的这种网络框架将办公区与生产业务区分散开来,这种网络结构安排是较为合理的,能够有效的保证系统服务能力满足用户的需求。但是这种网络框架也存在着较大的安全隐患,威胁着整体网络系统的安全。其中存在的主要漏洞包括以下内容:①不同的信息系统未进行分类的部署,对于信息的安全管理难度是较大的;②不同的信息之间的联系是非常复杂的,很多情况下并没有部署统一的通信通道,导致很多信息的传递都需要经过业务网络,这提高了信息被窃听的风险;③局域网内部一般情况下没有划分子网管理,很容易造成地址上的冲突或者广播风暴现象的出现,同时又因为对访问控制上管理的欠缺,从而使得网络安全受到了极大的威胁;④没有进行运维管理的统一规划,从而无法保证运维通道的安全以及操作审计的统一,进而无法及时追踪到安全事件;最后信息系统一般仅是通过防火墙等手段来进行防护,安全防护措施不够,因此导致弱口令安全隐患。

2安全域的规划

对于有线电视系统这种大型的网络系统而言,安全控制不能仅仅从某些具体的安全控制点来保障,而是应该从整体安全性能出发来对网络系统进行安全规划。将网咯系统业务功能相近或者安全防护级别类似的信息进行安全域的归类与划分,在对整个网络系统进行安全防护基础之上,按照国家出台的《信息系统安全等级保护定级指南》以及《有线数字电视系统安全指导意见》等内容中关于安全等级划分及分级防护的内容,对各个安全域之间进行有效的隔离与管控,从而保证即使有安全域出现问题的时候也能够紧急对这些情况进行处理,避免其扩散,有效降低损害。所以安全域的划分是保护有线电视网络安全的重点内容。对于有线电视网络的安全域划分往往可以分为六种:2.1内部系统区域。主要生产业务区域可以说是内部系统区,该安全域是用户的主要使用窗口及重点保护对象,其中主要包含直播系统、接入认证系统、双向互动业务系统、BOSS系统等等。从业务性质角度分类,该区域又可以分为基本业务与增值业务,不同安全域所承担的业务都是不同的是,内部系统区的出口进行统一,并且接入到IP城域系统。其中直播服务区就是为用户提供电视直播业务,该区域信息是单向传播的,所以需要进行内容控制,并且对信息采集通道进行严格的安全防护;视频点播区是为用户提供电视视频点播业务的,该区域的信道分为信令通道及推流通道。由于该区域为终端用户提供Web访问,因此需要在信道的入口处通过防火墙的设置提高安全等级;信息服务区视为机顶盒用户提供信息交互服务的,所以需要进行Web防火墙及相关安全设备的部署,进而有效避免用户发起应用层攻击,防止数据的篡改、病毒的侵袭以及DDOS的攻击等。而此区域的访问量是非常大的,所以对于安全设备的要求是非常高的,因此在区域边界还需要设置负载均衡器来实现分流;终端控制区主要是对用户所提供的IP地质进行验证、分配等服务,该区域中的多个系统都与BOSS系统有信息交互通道,所以在入口位置需要部署防火墙以及IPS,保护内部系统的安全。2.2内部互联区域。内部互联区实际上是机构内部的局域网络,该区域是通过核心网络交换设备、LAN、营业厅及网点组成的。而营业厅及网点由于位置是相对分散的,所以需要通过波分网中的子通道来连接。内部互联去要将IP城域网、信息管理区及内部公共区连接到一起。内部互联区中的网络往往需要根据地区以及层级来实现子网管理的划分,从而防止网络广播拥挤现象的发生,便于网络的隔离。在该区域中,要求IP城域网出口处部署防火墙及其他防护设备,从而避免来自外部的攻击,并且通过在网络出口位置部署上网行为管理系统来读内部人员网络访问行为进行管理与约束。2.3内部公共区域。所谓内部公共区就是出于内部互联网区的网络环境中,作为内部企业人员的办公区域。很多情况下,该区域是集中在一两个点上,但是涉及的部门是相对较多的,要进行频繁的网络交换,因此也是最容易受到攻击的区域。所以在该区域应该要按部门划分网段,在入口处部署防火墙以及IPS防护设备,对网络杀毒措施进行集中部署,在涉密区域以及重要部门还需要设置集中的管控系统,运维人员要时刻注意公共信息通道锁进行的远程运维任务,并且阻止这种行为的发生。最后部门工作人员应该要使用独立终端系统,通过安全管理区域专用通道进行操作以及运维。2.4信息管理区域。信息管理区域是在内部互联区网络环境中,主要用于企业内部的集中信息处理。通常情况下,该区域中的系统都是进行多个安全子区域的划分来进行分散管理的,主要的信息管理区域包括BOSS区域、Web信息服务区域、管理服务系统区域等等。在信息管理区域中,入口处要部署访问控制措施、DMZ区域以及WAF设备,并且在各级出口的防火墙上进行地址或者终端放射,从而能够实现深度防御。作为网络系统的核心系统-BOSS系统,其安全管理以及个人信息防护是非常关键点,所以要对该区域进行单独的安全防护,在于其他内部系统使用同样的信息传输通道的时候,出入口要分别部署安全设施来实现所有外部通信的加密。2.5安全管理区域。作为安全管理区域,作为重要的作用就是为所有的系统提供统一的运维通道,进行运维堡垒机的部署,对运维事件进行审计,以及对所有的系统主机以及设备进行安全审计,进行安全管理平台的建立,从而实现对所有系统的风险进行集中分析,并且作出预警处理及应急响应。在安全管理区要进行系统补丁或者升级服务器、服务器杀毒软件管理器等设备的部署,在接入口还需要部署VPN防火墙来实现信息的加密,从而形成专门的运维管理通道,负责对审计信息的传送。2.6业务用户区域。业务用户区域就是终端用户接入区域。对于业务用户区域的防护需要在终端设备上设置一个唯一的终端标识,该标识的作用就是以此为基础来进行IP地址以及用户身份的验证,对无法得到验证的信息进行阻挡。并且在接入层设置IP地址规则,对于两类终端用户分配不同的IP地址,并且对其访问进行控制。

3结束语

有线电视中的网络系统关系到国家以及用户的信息安全以及社会稳定,对于有线电视的发展也是有重要影响的。所以加强有线电视网络系统的安全防护是非常关键的,本文中就提高了根据国家相关法律进行的安全区域划分,并且对不同区域的防护措施进行了总结,希望能够提高相关对有线电视网络系统的安全防护,保护人民的利益不受侵犯。

参考文献

[1]梁炜莹.数字电视网络安全防护研究[D].华南理工大学,2012.

[2]姜峰.有线数字电视播出平台的信息安全防护研究[J].广播电视信息,2015(3):17~21.

[3]屠国苗,赵丰,章利军.有线数字电视安全播出的探讨[J].广播电视信息,2015(2):43~47.

[4]《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008).2008.

作者:郭文举 赵龙 单位:陕西广电网络传媒(集团)股份有限公司西安分公司