廣電視頻網(wǎng)站網(wǎng)絡(luò)安全問題解決方案

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了廣電視頻網(wǎng)站網(wǎng)絡(luò)安全問題解決方案范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：電視臺視頻網(wǎng)站是傳輸媒體信息的重要傳輸渠道，良好的、安全的網(wǎng)絡(luò)環(huán)境有助于傳播好國家政策信息，為廣大老百姓提供良好的信息渠道，為用戶提供良好的業(yè)務(wù)體驗(yàn)。本文依據(jù)現(xiàn)有視頻網(wǎng)站網(wǎng)絡(luò)環(huán)境存在的安全風(fēng)險(xiǎn)進(jìn)行全面評估，對現(xiàn)有的安徽電視臺視頻網(wǎng)站提出四個層次、六個方面的整改意見，使安徽廣播電視臺視頻網(wǎng)站成為更安全的網(wǎng)絡(luò)環(huán)境，為傳播政策信息、豐富百姓文化知識提供良好的安全保障。廣播電視網(wǎng)絡(luò)安全關(guān)系國家安全，關(guān)系國計(jì)民生，保證廣電網(wǎng)絡(luò)安全是保障廣播電視媒體有效、有序、安全傳播給千家萬戶。

關(guān)鍵詞：廣播電視網(wǎng)；媒體；傳輸；網(wǎng)絡(luò)安全

在廣播電視系統(tǒng)中所傳輸?shù)男畔⒎N類很多，以媒體的種類來區(qū)分可分為視頻、音頻、圖片、數(shù)據(jù)等介質(zhì)；從視頻網(wǎng)站中的各類應(yīng)用來看，有電視節(jié)目直播、視頻點(diǎn)播、多媒體信息查詢、節(jié)目回看、大數(shù)據(jù)查詢以及其他媒體形式的專題等；從傳輸手段看有網(wǎng)絡(luò)、無線發(fā)射、有線電視、微波傳輸、衛(wèi)星傳輸?shù)?，形成“天地一體，星網(wǎng)結(jié)合”的立體傳輸網(wǎng)絡(luò)，打通了傳輸方式全覆蓋，實(shí)現(xiàn)信息、介質(zhì)傳輸?shù)亩嗲垒敵觯瑸橛脩舳嗲阔@取媒資信息提供了方便。廣播電視網(wǎng)絡(luò)具有高帶寬、高速率，多用途，終端傳輸不對稱等良好特性，而廣播電視信息中的大視頻，多語言等媒體信息在傳輸中需要較高質(zhì)量的傳輸媒介。目前，安徽廣電視頻網(wǎng)站在傳輸媒資信息時(shí)，直播還無法做到所有頻道的全覆蓋，點(diǎn)播所有欄目、所有期數(shù)無法全留存，遇到節(jié)假日或者特別直播時(shí)，網(wǎng)絡(luò)出現(xiàn)卡頓、無法打開等現(xiàn)象，視頻網(wǎng)站受到攻擊風(fēng)險(xiǎn)激增，用戶人數(shù)、業(yè)務(wù)在增加，所以需要對安徽廣播電視臺視頻網(wǎng)站網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)進(jìn)行評估并逐步解決。

1安徽廣播電視臺視頻網(wǎng)站網(wǎng)絡(luò)安全面臨的系統(tǒng)安全風(fēng)險(xiǎn)

從整體來看，安徽廣播電視臺視頻網(wǎng)站網(wǎng)絡(luò)系統(tǒng)高安全風(fēng)險(xiǎn)主要出現(xiàn)在以下三個層面：

1.1網(wǎng)絡(luò)層面

由于網(wǎng)絡(luò)系統(tǒng)訪問控制策略設(shè)計(jì)的不合理或缺乏一些嚴(yán)格的網(wǎng)絡(luò)安全產(chǎn)品（如防火墻、IDS、防病毒、業(yè)務(wù)監(jiān)控網(wǎng)關(guān)等），導(dǎo)致外部互聯(lián)網(wǎng)上的黑客或病毒可以趁隙入侵或破壞，影響整個廣電服務(wù)的資訊提供質(zhì)量。視頻網(wǎng)站網(wǎng)絡(luò)安全影響廣播電視媒體正常傳播，所以，在網(wǎng)絡(luò)層面必須制定策略確保網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全威脅一直威脅著安徽臺視頻網(wǎng)絡(luò)的安全傳輸，一旦發(fā)生網(wǎng)絡(luò)病毒大肆攻擊，威脅著網(wǎng)絡(luò)安全，影響千家萬戶對廣播電視媒體的正常使用。確保網(wǎng)絡(luò)層面安全關(guān)系重大，把控好網(wǎng)絡(luò)層安全，保證視頻網(wǎng)站的正常傳輸。

1.2系統(tǒng)層面

由于網(wǎng)絡(luò)設(shè)備和服務(wù)器操作系統(tǒng)的安全漏洞頻繁出現(xiàn)，利用這些漏洞的入侵工具和病毒（蠕蟲）等攻擊手段也隨之產(chǎn)生，導(dǎo)致安徽廣播電視臺視頻網(wǎng)站存在隨時(shí)被黑客入侵或蠕蟲爆發(fā)的可能。系統(tǒng)層面的威脅可能是存在于系統(tǒng)根上，也有可能存在于外界的入侵。對于系統(tǒng)根上的基因自帶的漏洞需要及時(shí)彌補(bǔ)漏洞，補(bǔ)丁，短板需要及時(shí)堵住；對于來自外界的入侵需要做到嚴(yán)加防范與系統(tǒng)監(jiān)管。

1.3管理層面

安全事件發(fā)生的主要原因往往是安全管理問題，缺乏有效的安全管理制度、安全制度執(zhí)行與監(jiān)督不力、沒有統(tǒng)一的安全策略、沒有嚴(yán)格的機(jī)房管理制度等，一系列不嚴(yán)格措施均可能導(dǎo)致內(nèi)部人員工作松懈，為外部黑客的攻擊創(chuàng)造了條件，甚至內(nèi)部人員惡意的竊聽、破壞、偷竊信息等。管理層面的疏忽成為現(xiàn)如今發(fā)生網(wǎng)絡(luò)安全威脅的重要原因。安全管理制度的制定與有效的執(zhí)行是防范安全事件發(fā)生的有效辦法。做到日查、登記備案、應(yīng)急演習(xí)都能夠有效防范安全事件的發(fā)生。制定有效的安全管理制度、有效的執(zhí)行、良好的機(jī)房管理環(huán)境、強(qiáng)大的維保隊(duì)伍需要在管理層面下功夫，做到管理層面的不疏忽、不懈怠，及時(shí)高效保障網(wǎng)絡(luò)安全。針對安全風(fēng)險(xiǎn)出現(xiàn)的三個層面的剖析，經(jīng)過前期對廣電整體網(wǎng)絡(luò)拓?fù)涞姆治?，目前安徽臺視頻網(wǎng)站的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要存在于如下幾方面：（1）網(wǎng)絡(luò)出口現(xiàn)有安全設(shè)備的抗攻擊性能難以滿足安全需求，一旦發(fā)生大規(guī)模的網(wǎng)絡(luò)攻擊（如各種DDOS攻擊等）時(shí)容易出現(xiàn)流量擁塞甚至癱瘓，導(dǎo)致業(yè)務(wù)不可用；（2）安徽省廣電IP承載網(wǎng)互聯(lián)網(wǎng)出口缺乏針對應(yīng)用層攻擊的檢測及防御能力，此類攻擊的典型特點(diǎn)是以小搏大，即使很小流量的攻擊，也會造成業(yè)務(wù)不可用；（3）視頻網(wǎng)站接入互聯(lián)網(wǎng)，需要超強(qiáng)的辨別識別能力，必須時(shí)刻了解跑在網(wǎng)絡(luò)上的各種業(yè)務(wù)帶寬的使用情況以及流量情況，只有這樣才能傳輸大量數(shù)據(jù)內(nèi)容，特別是媒體信息，才能保證老百姓網(wǎng)絡(luò)環(huán)境正常，保證各種業(yè)務(wù)的正常開展以及良好的用戶體驗(yàn)；（4）因?yàn)闊o限制的P2P、在線視頻等新興業(yè)務(wù)對廣電網(wǎng)絡(luò)帶來的電信業(yè)務(wù)收入、帶寬利用等威脅，所以，視頻網(wǎng)站網(wǎng)絡(luò)必須對使用的業(yè)務(wù)所需的網(wǎng)絡(luò)環(huán)境進(jìn)行控制和管理，只用做到良好監(jiān)管，有序分布使用，才能確保廣播電視網(wǎng)絡(luò)的服務(wù)質(zhì)量。根據(jù)對安徽省廣電系統(tǒng)信息安全風(fēng)險(xiǎn)分析和需求分析，在國家對信息安全各種政策的要求下，保證現(xiàn)有各類業(yè)務(wù)信息正常運(yùn)行的前提下，以現(xiàn)代信息安全保障體系為理論基礎(chǔ)，運(yùn)用最新的安全保護(hù)技術(shù)、國家標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全技術(shù)規(guī)范為架構(gòu)，為保障廣播電視網(wǎng)網(wǎng)絡(luò)安全提出以下解決方案。

2整體安全解決方案

根據(jù)安徽廣電系統(tǒng)高可靠性和高安全性要求，對廣電互聯(lián)網(wǎng)出口進(jìn)行綜合安全防護(hù)，需要部署六套系統(tǒng)：

2.1部署一套DDOS防護(hù)系統(tǒng)

拒絕服務(wù)攻擊DOS是當(dāng)前Internet最流行的攻擊手段，拒絕服務(wù)攻擊是通過制造大量非法流量，占用大量系統(tǒng)服務(wù)資源以達(dá)到耗盡帶寬為目的，使正常網(wǎng)絡(luò)業(yè)務(wù)無法正常開展的一種攻擊手段。拒絕服務(wù)攻擊具有攻擊方式簡單粗暴，迅速達(dá)到目的，而且很難防范與源頭追蹤等特點(diǎn)。所以，在現(xiàn)如今的在網(wǎng)絡(luò)上開展的如電子商務(wù)、電子政務(wù)、電子銀行等一系列網(wǎng)絡(luò)服務(wù)，都有可能通過這種攻擊方式使業(yè)務(wù)無法正常開展，給國家、公司、人民造成巨大損失，耗費(fèi)大量人力、物力、財(cái)力。所以，需要嚴(yán)加防范這種網(wǎng)絡(luò)攻擊。DDOS即分布式拒絕服務(wù)[1]，攻擊指借助客戶/服務(wù)器技術(shù)，將多個計(jì)算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DOS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。所以，需要在現(xiàn)有廣電網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接的邊界處部署一套可支持多種類DDOS攻擊的準(zhǔn)確識別和控制系統(tǒng)，不僅可以做到對攻擊的準(zhǔn)確識別，還可以提高對蠕蟲病毒流量的識別能力，從而提高系統(tǒng)的安全防范能力。該DDOS防御系統(tǒng)包括三部分，監(jiān)測及分析中心，控制及清洗中心和安全管理中心，三個中心互聯(lián)互動，可實(shí)現(xiàn)自動檢測，識別攻擊自動或手動引流清洗，統(tǒng)計(jì)分析報(bào)表定期生成。

2.2部署一套業(yè)務(wù)監(jiān)控系統(tǒng)

通過DPI技術(shù)[2]對網(wǎng)絡(luò)流量進(jìn)行深入?yún)f(xié)議分析，把控好網(wǎng)絡(luò)流量對于業(yè)務(wù)區(qū)分以及業(yè)務(wù)所需要的網(wǎng)絡(luò)流量的質(zhì)量控制。并且，通過對業(yè)務(wù)流量統(tǒng)計(jì)數(shù)據(jù)進(jìn)行深入挖掘，更深入地了解網(wǎng)絡(luò)使用情況，如用戶使用寬帶的習(xí)慣、方式等。業(yè)務(wù)監(jiān)控系統(tǒng)的部署對于業(yè)務(wù)流量的分配調(diào)動起到了及時(shí)的監(jiān)視作用，有了一套業(yè)務(wù)監(jiān)控系統(tǒng)可以為現(xiàn)有的網(wǎng)絡(luò)環(huán)境提供優(yōu)化改造意見，也可以為開辟新業(yè)務(wù)以及增值業(yè)務(wù)提供指導(dǎo)意見。所以，需要部署一套業(yè)務(wù)監(jiān)看系統(tǒng)。

2.3部署一套互聯(lián)網(wǎng)緩存系統(tǒng)

對于廣電網(wǎng)絡(luò)傳輸?shù)囊曨l、圖片、音頻等大數(shù)據(jù)量內(nèi)容，保證用戶使用的流暢度與所有業(yè)務(wù)的質(zhì)量，使網(wǎng)絡(luò)“不卡”業(yè)務(wù)“不頓”，特別是緩存系統(tǒng)中的調(diào)度子系統(tǒng)運(yùn)用了負(fù)載均衡、熱點(diǎn)內(nèi)容搜索管理調(diào)度以及緩存記錄搜索等技術(shù)，能夠引導(dǎo)請求用戶和已經(jīng)緩存過的數(shù)據(jù)設(shè)備發(fā)生數(shù)據(jù)交換，增加已緩存數(shù)據(jù)設(shè)備使用率。另外，無限制的P2P、在線視頻等新興業(yè)務(wù)對當(dāng)前帶寬超負(fù)荷使用等威脅。所以，需要一個高速、優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。做到網(wǎng)絡(luò)的優(yōu)質(zhì)、高速需要部署一套互聯(lián)網(wǎng)緩存系統(tǒng)，采用分析定向、自動緩存、精確調(diào)度和速度搜索等技術(shù)，將占用總出口帶寬60％～80％的P2P流量、在線視頻以及大文件下載流量本地化，進(jìn)而達(dá)到節(jié)省出口帶寬、降低網(wǎng)間結(jié)算費(fèi)用、提高網(wǎng)絡(luò)利用效率、降低網(wǎng)絡(luò)運(yùn)營成本，最終實(shí)現(xiàn)廣電網(wǎng)優(yōu)質(zhì)高速，提升用戶使用的流暢度以及所有業(yè)務(wù)的高質(zhì)量開展。

2.4部署一套日志管理系統(tǒng)

在信息管理系統(tǒng)中，日志是指對計(jì)算機(jī)設(shè)備運(yùn)行中重要活動或事件的完整記錄和描述，它能夠記錄信息系統(tǒng)內(nèi)發(fā)生的動作和行為，向外界展示信息系統(tǒng)運(yùn)作的完整軌跡和本質(zhì)。幫助網(wǎng)管實(shí)現(xiàn)日志統(tǒng)一管理，系統(tǒng)能夠采集、過濾、歸并、分析、存儲、監(jiān)控并上報(bào)成專業(yè)的防火墻會話日志，并支持發(fā)送告警和輸出報(bào)表。形成完整的上報(bào)日志對系統(tǒng)內(nèi)發(fā)生任何行為做到有跡可查、有跡可循、有事可報(bào)，這對于解決系統(tǒng)問題以及業(yè)務(wù)起到非常重要的作用。并且，以報(bào)表的形式可以做到問題的溯源以及備案，為后續(xù)問題的查證與追責(zé)提供重要依據(jù)。本次部署的日志管理系統(tǒng)可以針對網(wǎng)絡(luò)出口處的防火墻和服務(wù)器防火墻進(jìn)行統(tǒng)一的日志分析，以檢測當(dāng)前網(wǎng)絡(luò)中的最新攻擊類型。

2.5部署一套安全管理平臺

隨著廣電信息化深入，網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大，所使用的網(wǎng)絡(luò)及安全設(shè)備逐漸增多，如何更好更方便地對網(wǎng)絡(luò)及安全設(shè)備進(jìn)行管理，是每個使用者優(yōu)先考慮的問題。然而，網(wǎng)絡(luò)設(shè)備的管理又存在設(shè)備類型復(fù)雜、管理信息多樣性等問題，如何更好地解決這些問題，網(wǎng)絡(luò)管理就顯得尤為重要。統(tǒng)一安全網(wǎng)管系統(tǒng)[3]要支持全系列安全設(shè)備和主流網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)拓?fù)涔芾?、故障排查管理、網(wǎng)元管理、設(shè)備性能管理、集中策略配置管理、VPN管理等一系列功能。安全管理平臺需要能夠直觀展現(xiàn)網(wǎng)絡(luò)架構(gòu)，幫助管理員快速定位網(wǎng)絡(luò)故障，提升管理能力，提高工作效率，降低維護(hù)成本，為用戶提供一個對全網(wǎng)設(shè)備高效管理的平臺。

2.6在網(wǎng)絡(luò)出口位置部署一套功能強(qiáng)大的防火墻

現(xiàn)網(wǎng)絡(luò)出口位置的網(wǎng)絡(luò)防火墻暫時(shí)能夠滿足當(dāng)前用戶數(shù)的安全需求，但隨著用戶數(shù)量的不斷增加，現(xiàn)有的網(wǎng)絡(luò)防火墻性能逐漸達(dá)不到需求，所以，需要考慮布置新型防火墻。布置新型防護(hù)墻的性能需求有強(qiáng)大的入侵防御功能、反病毒功能、強(qiáng)大的GTP保護(hù)功能、IDS聯(lián)動等主要功能。（1）強(qiáng)大的入侵防御功能需求：傳統(tǒng)的IPS策略[4]是通過分析現(xiàn)有系統(tǒng)的漏洞以及對已有攻擊方式引發(fā)的攻擊事件進(jìn)行特征提取，進(jìn)而制定防御規(guī)則。比如：防范有針對性的操作系統(tǒng)漏洞攻擊、針對郵箱服務(wù)器漏洞攻擊、文件服務(wù)器攻擊、瀏覽器漏洞攻擊等。對當(dāng)下大多數(shù)的木馬、蠕蟲、間諜軟件等能夠進(jìn)行很好的防御與檢測。針對現(xiàn)有的防火墻功能缺陷需要IPS能夠識別運(yùn)行于非知名端口的常用數(shù)據(jù)流類型以及對于特定介質(zhì)流量減少誤報(bào)。（2）反病毒功能：反病毒功能指支持郵件傳輸協(xié)議SMTP、POP3，網(wǎng)頁協(xié)議HTTP的傳輸數(shù)據(jù)掃描中做到病毒的刪除操作或者向用戶發(fā)送通過。但現(xiàn)防火墻對10種以上、多層壓縮文件、對病毒進(jìn)行加殼操作的壓縮文件進(jìn)行掃描時(shí)發(fā)現(xiàn)病毒能力較弱。所以，需要部署新防火墻具有對病毒具有脫殼操作能力，并且對文件類別具有智能識別功能。（3）強(qiáng)大的GTP保護(hù)功能[5]：部署在Gn、Gp和Gi接口進(jìn)行GTP安全防范功能需要有支持R97GTP、R99GTP、GTP協(xié)議、報(bào)文分析控制能力以及按照規(guī)則對報(bào)文進(jìn)行過濾的能力；在路由模式和透明模式兩種工作模式下工作；能夠解決GTP隧道的限制、能夠檢測GTP隧道信息、GTP隧道雙機(jī)熱備功能；支持分片緩存功能等。（4）IDS聯(lián)動[6]是指IDS設(shè)備能自動偵聽整個網(wǎng)絡(luò)中是否存在惡意攻擊、入侵或其他安全隱患行為，通過下發(fā)指令的方式通知統(tǒng)一安全網(wǎng)關(guān)，由統(tǒng)一安全網(wǎng)關(guān)對攻擊報(bào)文進(jìn)行丟棄或其他處理。運(yùn)用IDS聯(lián)動的方式來防范惡意攻擊，是將惡意攻擊分為入侵檢測和攻擊處理兩個過程分量后進(jìn)行處理，充分發(fā)揮各設(shè)備的優(yōu)勢，改善系統(tǒng)性能。通過和IDS設(shè)備聯(lián)動，統(tǒng)一安全網(wǎng)關(guān)可以提供一種高可靠的主動防御模型和安全解決方案。用戶優(yōu)先配置好靜態(tài)的安全性能配置信息，通過IDS設(shè)備可以動態(tài)發(fā)現(xiàn)安全隱患，通過統(tǒng)一安全網(wǎng)關(guān)設(shè)備修改安全策略，起到實(shí)時(shí)、動態(tài)的修改防御策略，保證整網(wǎng)的安全。要有靈活的聯(lián)動接口協(xié)議，可以和很多IDS設(shè)備互通，方便支持各種IDS設(shè)備和統(tǒng)一安全網(wǎng)關(guān)聯(lián)合工作。

3結(jié)語

為應(yīng)對眾多網(wǎng)絡(luò)不安全因素，本文提出的解決方案包含外網(wǎng)出口、入侵檢測和日志審計(jì)，同時(shí)提供了統(tǒng)一的安全管理中心各模塊，可以有效解決當(dāng)前視頻網(wǎng)站面臨的問題。在廣電行業(yè)產(chǎn)業(yè)化改造的歷史機(jī)遇面前，建立一個高起點(diǎn)、高技術(shù)含量、多功能、智能化并具有良好擴(kuò)展性的綜合信息平臺至關(guān)重要。讓安徽電視臺視頻網(wǎng)絡(luò)信息高速、優(yōu)質(zhì)地通往千家萬戶，讓廣電網(wǎng)絡(luò)能夠高效傳遞信息，成為百姓獲取信息咨詢、豐富文化知識的良好載體，成為國家信息基礎(chǔ)建設(shè)以及現(xiàn)代化信息服務(wù)的重要組成部分。

參考文獻(xiàn)：

[1]于躍.基于安全路由聯(lián)盟DD0S攻擊防御機(jī)制[D].保定:河北大學(xué),2018.

[2]李婷婷.DPI技術(shù)在廣電IP化檢測系統(tǒng)中的應(yīng)用[J].廣播與電視技術(shù),2019(9):124-127.

[3]翟綱.基于SNMPv3的安全網(wǎng)管技術(shù)研究[D].成都:西南交通大學(xué),2003.

[4]譚菲菲.入侵防御系統(tǒng)(IPS)專利技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2018(8):121-122.

[5]李俊鳳.基于ENP-2611的GTP防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].湖南郵電職業(yè)技術(shù)學(xué)院學(xué)報(bào),2016(3):42-44,75.

[6]張艷.防火墻與IDS聯(lián)動的網(wǎng)絡(luò)安全技術(shù)應(yīng)用研究[J].電腦知識與技術(shù),2012(13):3050-3051.

作者：李振輝 單位：安徽廣播電視臺