胡睿鵬，李光輝

（石家莊有線電視臺，石家莊 050000）

廣電寬帶網(wǎng)絡(luò)安全問題分析

胡睿鵬，李光輝

（石家莊有線電視臺，石家莊 050000）

文章首先對當(dāng)前廣電寬帶網(wǎng)絡(luò)環(huán)境中存在的安全隱患進(jìn)行具體分析，并在此基礎(chǔ)上提出具有針對性的安全水平提升措施，對切實(shí)加強(qiáng)廣電寬帶網(wǎng)絡(luò)的健康水平有積極價(jià)值。

廣電；寬帶；網(wǎng)絡(luò)；安全

近年來，在廣電寬帶發(fā)展迅速的同時(shí)，其安全問題也越來越突出，受到社會各界的關(guān)注。和傳統(tǒng)網(wǎng)絡(luò)相比，當(dāng)前的廣電寬帶網(wǎng)絡(luò)承載了更多信息，而這些信息是廣電網(wǎng)絡(luò)環(huán)境中需要重點(diǎn)保護(hù)的對象。因此，切實(shí)加強(qiáng)廣電寬帶網(wǎng)絡(luò)安全體系建設(shè)，在當(dāng)前環(huán)境下至關(guān)重要。

1　廣電寬帶網(wǎng)絡(luò)安全隱患分析

在網(wǎng)絡(luò)安全領(lǐng)域，不同應(yīng)用方向的網(wǎng)絡(luò)，會面臨不同的環(huán)境。因此，雖然網(wǎng)絡(luò)安全問題具有一定的共性，但是，在不同應(yīng)用領(lǐng)域中，仍會呈現(xiàn)出差異化特征。廣電寬帶網(wǎng)絡(luò)面臨的主要安全問題有以下兩個(gè)方面。

1.1以太網(wǎng)自身缺陷

當(dāng)前廣電寬帶網(wǎng)絡(luò)采用光纖到戶（Fiber To Home，F(xiàn)TTH）與無源光網(wǎng)絡(luò)（Passive Optical Network ，PON）技術(shù)相結(jié)合的形態(tài)出現(xiàn)，此種技術(shù)形態(tài)對推動整個(gè)廣電網(wǎng)絡(luò)的發(fā)展有積極意義。在PON技術(shù)體系下，當(dāng)前廣電網(wǎng)主要采用以太網(wǎng)無源光網(wǎng)絡(luò)（Ethernet Passive Optical Network，EPON）形態(tài)加以實(shí)現(xiàn)。以太網(wǎng)的框架結(jié)構(gòu)，從技術(shù)層面更容易被工作人員接受。因此，在應(yīng)用和維護(hù)兩個(gè)角度都表現(xiàn)良好。但是，以太網(wǎng)以廣播的方式傳遞數(shù)據(jù)，交換機(jī)將數(shù)據(jù)包從一個(gè)端口向其他所有端口發(fā)送，這種傳送方式極易造成網(wǎng)絡(luò)堵塞，當(dāng)數(shù)據(jù)頻繁交換時(shí)，會明顯降低網(wǎng)絡(luò)的使用效率，一旦有人惡意向網(wǎng)絡(luò)中發(fā)送大量數(shù)據(jù)，可能會導(dǎo)致整個(gè)網(wǎng)絡(luò)處于癱瘓狀態(tài)。廣播式以太網(wǎng)的最底層和上層同處于一個(gè)廣播域中，且匯聚層需要首先接入核心交換機(jī)，然后，再由路由器接入到外網(wǎng)，此種組網(wǎng)方式除易發(fā)生網(wǎng)絡(luò)癱瘓外，用戶間的病毒影響也成為重要問題。

1.2機(jī)房管理缺陷

廣電寬帶機(jī)房本身是集中存放各種服務(wù)器的環(huán)境，包括網(wǎng)站服務(wù)器、視頻服務(wù)器、DHCP服務(wù)器、寬帶計(jì)費(fèi)認(rèn)證服務(wù)器、網(wǎng)管服務(wù)器等都會集中存放在機(jī)房中，用以維持良好的工作環(huán)境，確保多種服務(wù)器正常運(yùn)行。但是，眾多服務(wù)器運(yùn)行在同一個(gè)子網(wǎng)段中，如果網(wǎng)絡(luò)出口沒有合理安裝必要的安全設(shè)備，就有可能遭受外界的攻擊。在此環(huán)境下，直接面向網(wǎng)絡(luò)外部提供信息服務(wù)的服務(wù)器則更容易遭受侵害，而類似DNS服務(wù)器和DHCP服務(wù)器等面向內(nèi)部寬帶用戶服務(wù)的設(shè)備，其職能相對單一，因此，較為穩(wěn)定。

2　切實(shí)打造廣電網(wǎng)絡(luò)安全保障體系

廣電網(wǎng)絡(luò)的安全隱患來自多個(gè)方面，除本身固有的源于網(wǎng)絡(luò)技術(shù)層面的缺陷外，管理和人員也是造成安全問題的重要因素。就目前社會對信息的消費(fèi)需求現(xiàn)狀來看，高質(zhì)量和穩(wěn)定的數(shù)據(jù)傳輸，已成為新的社會需求。因此，只有切實(shí)打造更具針對性的廣電網(wǎng)絡(luò)安全環(huán)境，才能切實(shí)實(shí)現(xiàn)穩(wěn)定的廣電信號傳輸，不斷優(yōu)化用戶體驗(yàn)。具體而言，可以從以下幾方面入手。

2.1技術(shù)層面加強(qiáng)網(wǎng)絡(luò)安全特征

網(wǎng)絡(luò)的安全水平隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大逐步降低，當(dāng)網(wǎng)絡(luò)規(guī)模及復(fù)雜程度達(dá)到一定水平時(shí)，安全就會成為突出問題?；诖朔N考慮，可以將網(wǎng)絡(luò)進(jìn)行進(jìn)一步劃分，區(qū)隔出不同區(qū)域，通過縮小廣播域的手段來提升網(wǎng)絡(luò)安全水平。在匯聚層的端口和VLAN實(shí)現(xiàn)一一對應(yīng)，使用戶在上聯(lián)第一個(gè)端口阻止廣播包發(fā)送，在用戶接入端盡量使用端口隔離交換機(jī)，用以實(shí)現(xiàn)底層用戶間的直接數(shù)據(jù)訪問隔離，確保整個(gè)網(wǎng)絡(luò)的廣播形態(tài)特征。此種方式本質(zhì)上是把網(wǎng)絡(luò)的管理權(quán)限集中到核心部門，不僅便于加強(qiáng)用戶權(quán)限管理及計(jì)費(fèi)管理，在防止ARP病毒攻擊方面也有積極作用。

2.2加強(qiáng)服務(wù)器群管理

當(dāng)前服務(wù)器的集中存放，在一定程度上為服務(wù)器的安全管理提供一定有力支持，但是，機(jī)房相對密封的環(huán)境，會成為工作人員疏失的源頭。在實(shí)際工作中，考慮到服務(wù)器本身易遭受攻擊，應(yīng)當(dāng)切實(shí)制定并且落實(shí)服務(wù)器維護(hù)管理制度，定期升級安全補(bǔ)丁，安裝網(wǎng)絡(luò)版殺毒軟件，定期升級病毒庫，及時(shí)修改服務(wù)器安全配置，刪除所有無用端口，定期檢查網(wǎng)絡(luò)訪問日志，備份服務(wù)器的重要數(shù)據(jù)。同時(shí)，在服務(wù)器防火墻層面，加強(qiáng)對軟硬件的防范。加強(qiáng)對內(nèi)網(wǎng)數(shù)據(jù)訪問的監(jiān)督，避免授權(quán)過當(dāng)?shù)入[患存在。此外，使機(jī)房環(huán)境中的工作站和服務(wù)器的集群保持隔離狀態(tài)，分網(wǎng)段劃分，對公共終端設(shè)置還原功能，避免病毒擴(kuò)散。

2.3加強(qiáng)人員管理

在網(wǎng)絡(luò)環(huán)境中，相關(guān)統(tǒng)計(jì)表明有超過60%的安全問題來源于對數(shù)據(jù)操作和使用不當(dāng)。在實(shí)際工作中，控制和改善此種情況的首要做法是加強(qiáng)人員管理，確保為對應(yīng)網(wǎng)絡(luò)體系配備合格的工作團(tuán)隊(duì)，并且要加強(qiáng)人員授權(quán)管理工作力度，從組織和管理角度實(shí)現(xiàn)對網(wǎng)絡(luò)的保護(hù)。具體而言，要規(guī)范機(jī)房工作出入權(quán)限，并在此基礎(chǔ)上深化數(shù)據(jù)訪問權(quán)限。通過對工作人員行為的記錄和限制，實(shí)現(xiàn)對整個(gè)信息環(huán)境的凈化和安全水平的保證。

3　結(jié) 語

廣電寬帶網(wǎng)的安全管理是一個(gè)綜合復(fù)雜的系統(tǒng)工程，只有從多方面不斷深入分析和發(fā)現(xiàn)問題，并且有的放矢地采取針對性措施和改進(jìn)手段，才能切實(shí)提升整體網(wǎng)絡(luò)環(huán)境的安全水平，才能推動整個(gè)廣電網(wǎng)絡(luò)的整體發(fā)展，優(yōu)化用戶體驗(yàn)。

主要參考文獻(xiàn)

［1］郝文江，馬曉明.三網(wǎng)融合背景下信息安全問題與保障體系研究［J］.信息網(wǎng)絡(luò)安全，2010（9）.

［2］楊狀振.從網(wǎng)絡(luò)信息安全角度看三網(wǎng)融合［J］.信息網(wǎng)絡(luò)安全，2010（9）.

［3］陳實(shí)，程得紅.對有線電視網(wǎng)絡(luò)安全運(yùn)行實(shí)施監(jiān)控的方案探討［J］.有線電視技術(shù)，2002（23）.

10.3969/j.issn.1673 - 0194.2015.16.127

TN948.3

A

1673-0194（2015）16-0180-01

2015-05-22