高 茳

（作者單位：浙江廣播電視集團(tuán)電視播出中心）

全臺(tái)網(wǎng)文件化播出環(huán)境下的網(wǎng)絡(luò)安全

高 茳

（作者單位：浙江廣播電視集團(tuán)電視播出中心）

目前，全國各地許多的廣電系統(tǒng)都在進(jìn)行包含文件化播出系統(tǒng)的全臺(tái)網(wǎng)建設(shè)。隨著全臺(tái)網(wǎng)的建立，計(jì)算機(jī)網(wǎng)絡(luò)化平臺(tái)在給我們帶來便利的同時(shí)，也帶來了一些和網(wǎng)絡(luò)相關(guān)的安全隱患。危害網(wǎng)絡(luò)安全的主要因素是病毒和黑客。本文就廣電系統(tǒng)全臺(tái)網(wǎng)的網(wǎng)絡(luò)安全解決方案進(jìn)行相應(yīng)的探討。

全臺(tái)網(wǎng)；網(wǎng)絡(luò)安全；文件化播出系統(tǒng)

近年來，全國各地許多的廣電系統(tǒng)都在進(jìn)行包含文件化播出系統(tǒng)的全臺(tái)網(wǎng)建設(shè)。隨著全臺(tái)網(wǎng)的建立，廣播電視節(jié)目的制作和播出，在運(yùn)作模式上做了全新的改變，節(jié)目的傳遞將不再通過磁帶這一環(huán)節(jié)，而是在網(wǎng)絡(luò)中以文件的形式進(jìn)行傳遞，使信息流通更為高效，管理效率大為提高，使跨平臺(tái)跨頻道資源共享的實(shí)現(xiàn)更為便捷，使節(jié)目的業(yè)務(wù)流程處理更加高效率、高質(zhì)量，為運(yùn)作和管理提供了先進(jìn)完善的技術(shù)手段。隨著全臺(tái)網(wǎng)的建立，計(jì)算機(jī)網(wǎng)絡(luò)化平臺(tái)在帶來便利的同時(shí)，也給原來相對封閉和安全的制作和播出系統(tǒng)面臨風(fēng)險(xiǎn)。

由于廣電的網(wǎng)絡(luò)系統(tǒng)具有開放性，必然會(huì)與別的網(wǎng)絡(luò)有連接，因此有可能感染到存在于整個(gè)網(wǎng)絡(luò)中的病毒或因黑客的非法闖入而受到攻擊；內(nèi)部人員的上網(wǎng)操作也有可能將病毒帶入網(wǎng)絡(luò)。病毒和黑客的攻擊有可能導(dǎo)致網(wǎng)絡(luò)的癱瘓、系統(tǒng)的紊亂、文件和數(shù)據(jù)的被篡改、破壞及竊取和丟失等。廣電系統(tǒng)的全臺(tái)網(wǎng)由于涉及到廣播電視節(jié)目的制作和播出，網(wǎng)絡(luò)安全問題就顯得更為重要和突出。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，并采取強(qiáng)有力的安全策略，對于保障網(wǎng)絡(luò)安全、實(shí)現(xiàn)安全播出十分重要。

1 影響網(wǎng)絡(luò)安全的因素

網(wǎng)絡(luò)由內(nèi)部網(wǎng)、外部網(wǎng)和廣域網(wǎng)組成。影響網(wǎng)絡(luò)安全的因素眾多，主要有：系統(tǒng)存在的漏洞，病毒、黑客攻擊，數(shù)據(jù)“竊聽”和攔截，惡意掃描、密碼破解、拒絕服務(wù)、數(shù)據(jù)篡改、垃圾郵件、地址欺騙和基礎(chǔ)設(shè)施破壞等。

2 網(wǎng)絡(luò)安全的解決措施

2.1 系統(tǒng)存在的漏洞

漏洞，是指系統(tǒng)中存在的一些危害系統(tǒng)安全的缺陷，一些黑客和病毒就是利用這些缺陷，通過某種手段和方式進(jìn)行未授權(quán)的訪問，并采取一些對系統(tǒng)和信息造成損害的行為。漏洞既有主觀因素的成分，也是一種客觀存在，是影響網(wǎng)絡(luò)安全問題的內(nèi)在因素。如黑客入侵、設(shè)置木馬、傳播病毒都是通過漏洞來突破網(wǎng)絡(luò)安全防線的。所以，防堵漏洞是系統(tǒng)和網(wǎng)絡(luò)安全的重要舉措。

漏洞問題主要存在兩個(gè)方面：一是軟件系統(tǒng)方面的漏洞，如操作系統(tǒng)、瀏覽器以及一些其他的應(yīng)用軟件、數(shù)據(jù)庫系統(tǒng)等；二是硬件方面的漏洞，如防火墻、路由器等網(wǎng)絡(luò)產(chǎn)品的漏洞。

由于不存在沒有漏洞的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，隨著時(shí)間的推移，一些漏洞會(huì)陸續(xù)地暴露出來。其中，操作系統(tǒng)漏洞帶來的問題尤為突出。消除漏洞除了安裝補(bǔ)丁軟件外，并無它途。一旦發(fā)現(xiàn)新的漏洞，軟件制作方的官方網(wǎng)站會(huì)及時(shí)發(fā)布新的補(bǔ)丁程序，但有的補(bǔ)丁程序要求正版認(rèn)證。所以，使用正版軟件和及時(shí)下載補(bǔ)丁程序是防堵漏洞的有效方法。

2.2 病毒的入侵

接觸過計(jì)算機(jī)的人，多多少少都會(huì)碰到自己的計(jì)算機(jī)系統(tǒng)被病毒侵?jǐn)_的經(jīng)歷。計(jì)算機(jī)病毒傳播速度快、影響面廣。它們通常隱藏在文件或程序代碼內(nèi)，伺機(jī)進(jìn)行自我復(fù)制，通過網(wǎng)絡(luò)、光盤、U盤等諸多手段進(jìn)行傳播。在危害網(wǎng)絡(luò)安全的因素中占有較大的比重。病毒的危害程度根有輕有重。嚴(yán)重時(shí)有可能破壞計(jì)算機(jī)的軟、硬件，竊取、損壞一些重要的文件和數(shù)據(jù)，甚至危害到整個(gè)網(wǎng)絡(luò)的安全，造成網(wǎng)絡(luò)癱瘓等惡性事件。由于網(wǎng)絡(luò)具有去中心化的特點(diǎn)，病毒的傳播是非線性的，而大部分病毒是在不經(jīng)意之間被擴(kuò)散出去的。這些病毒會(huì)從一臺(tái)計(jì)算機(jī)傳播開來。所以，有些病毒短時(shí)間內(nèi)無法找出“源頭”對其進(jìn)行檢測、防控。因而對在網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)安裝防病毒軟件，并定期對軟件中的病毒定義進(jìn)行更新是網(wǎng)絡(luò)免受病毒攻擊最有效的應(yīng)對措施。但僅僅通過技術(shù)手段還不行，還必須引起使用者的重視，注重操作的規(guī)范性，防患于未然，部署統(tǒng)一的防毒策略，及時(shí)有效地應(yīng)對病毒的侵?jǐn)_。

需要引起關(guān)注的另一個(gè)問題是隨著智能技術(shù)的發(fā)展，病毒的智能化程度也會(huì)越來越高。屆時(shí)會(huì)產(chǎn)生一個(gè)“病毒生成器”的病毒，它能夠不斷產(chǎn)生具有不同標(biāo)志特征的病毒，使人們防不勝防。而它自己通過高智能技術(shù)，躲過檢測而不易被識(shí)破。

2.3 黑客的非法闖入

最近幾年，越來越多的黑客事件被報(bào)道出來，有個(gè)人的，也有團(tuán)體組織的，甚至包括國家間的。目的有經(jīng)濟(jì)的，也有政治的。所以，必須高度重視黑客對廣電網(wǎng)絡(luò)可能的入侵。防止系統(tǒng)被黑客控制，從事竊取、篡改、毀壞數(shù)據(jù)的活動(dòng)，并進(jìn)而造成重大的安全播出事故。防御黑客攻擊的最好手段是采用防火墻技術(shù)。它是一種網(wǎng)絡(luò)安全設(shè)施，是執(zhí)行訪問控制策略的一個(gè)或一組軟、硬件系統(tǒng)，通過放置于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的合適節(jié)點(diǎn)上，使其成為內(nèi)外通訊的唯一途徑，從而隔離全臺(tái)網(wǎng)和外部網(wǎng)絡(luò)。并根據(jù)安全策略制定的過濾規(guī)則（訪問控制規(guī)則）對經(jīng)過它的信息流進(jìn)行監(jiān)控和審查，過濾掉任何不符合安全規(guī)則的信息，以保障內(nèi)部網(wǎng)絡(luò)不受外界的非法訪問和攻擊。

硬件防火墻產(chǎn)品應(yīng)該具備以下先進(jìn)功能：包狀態(tài)檢查、流量控制、虛擬專用網(wǎng)（VPN）技術(shù)、Java、ActiveX及Cookie屏蔽、代理服務(wù)器屏蔽、電子郵件發(fā)信監(jiān)控。

2.4 內(nèi)部網(wǎng)絡(luò)安全

網(wǎng)絡(luò)的管理者往往重視對來自外部的主動(dòng)攻擊進(jìn)行預(yù)防、檢測及處理，而忽視對內(nèi)部網(wǎng)絡(luò)安全的管理。統(tǒng)計(jì)數(shù)字表明，由內(nèi)網(wǎng)使用者的操作而引起的安全事件占較大比例。為了達(dá)到網(wǎng)絡(luò)安全的目的，可以將內(nèi)網(wǎng)與外網(wǎng)進(jìn)行物理隔離，或者將內(nèi)部網(wǎng)絡(luò)通過統(tǒng)一的網(wǎng)關(guān)接入外網(wǎng)，并在網(wǎng)關(guān)處架設(shè)防火墻，IPS、IDS等安全監(jiān)控設(shè)備。既是如上述所示的各類安全措施都得到了實(shí)現(xiàn)，卻仍有泄密事件或其他各類內(nèi)網(wǎng)安全事件的不斷發(fā)生，內(nèi)網(wǎng)安全維護(hù)的復(fù)雜性可見一斑。

內(nèi)網(wǎng)主機(jī)大多以LAN的方式進(jìn)行接入，主機(jī)之間以物理互連，邏輯隔離的方式共存，但為實(shí)現(xiàn)主機(jī)間的資料共享及數(shù)據(jù)通信需求，又必須讓它們共存于同一網(wǎng)絡(luò)中，并以信任的關(guān)系進(jìn)行處理。因此，某臺(tái)主機(jī)有意或無意的誤操作都會(huì)對整網(wǎng)主機(jī)的安全性造成威脅。造成這些威脅的原因主要可以分為以下幾類。

2.4.1 內(nèi)網(wǎng)邏輯邊界不完整

無線通信技術(shù)的迅猛發(fā)展讓人隨時(shí)隨地更為方便地連通網(wǎng)絡(luò)。這在給人們帶來便利的同時(shí)，也給網(wǎng)絡(luò)安全管理帶來了更大挑戰(zhàn)。內(nèi)網(wǎng)邊界的完整性受到考驗(yàn)，限制不明終端非法穿越網(wǎng)絡(luò)邊界接入內(nèi)網(wǎng)是必須解決的一大難題。人們常說的網(wǎng)絡(luò)邊界防護(hù)更多地被理解為網(wǎng)絡(luò)出口的保護(hù)，而從目前網(wǎng)絡(luò)運(yùn)行的實(shí)際情況來看，“出口”這一狹隘的概念，早已無法涵蓋對網(wǎng)絡(luò)邊界的定義。邊界防護(hù)已經(jīng)從點(diǎn)和線擴(kuò)展到立體層面，是對所有網(wǎng)絡(luò)邊界的防護(hù)。當(dāng)然，內(nèi)網(wǎng)入口仍然是防護(hù)的重點(diǎn)。

2.4.2 有效身份認(rèn)證機(jī)制

內(nèi)部網(wǎng)絡(luò)使用者身份識(shí)別機(jī)制必須予以加強(qiáng)。如果缺乏有效的身份認(rèn)證機(jī)制，只需一根網(wǎng)線或在局域網(wǎng)AP信號(hào)覆蓋的范圍之內(nèi)，就可以非常方便地連入內(nèi)部網(wǎng)絡(luò)，那么，機(jī)密泄露和病毒入侵則是必然發(fā)生的事。

2.4.3 訪問權(quán)限控制機(jī)制

除了有效身份認(rèn)證機(jī)制外，還需設(shè)立訪問權(quán)限控制機(jī)制。為了網(wǎng)絡(luò)安全，網(wǎng)絡(luò)在設(shè)計(jì)時(shí)往往被分成兩大區(qū)域：一個(gè)是辦公、作業(yè)區(qū)，另一個(gè)是服務(wù)資源共享區(qū)。它們雖然被設(shè)計(jì)在兩個(gè)邏輯網(wǎng)絡(luò)中，但在物理上共存，且缺乏明確的邏輯隔離。如果不對訪問權(quán)限進(jìn)行控制，而任由不同區(qū)域、不同層級的人員甚至外來人員隨意訪問，那么端口防護(hù)做得再好，網(wǎng)絡(luò)安全的防護(hù)也形同虛設(shè)，堡壘將從內(nèi)部被攻破。

2.4.4 內(nèi)網(wǎng)主機(jī)漏洞

現(xiàn)在計(jì)算機(jī)的軟件系統(tǒng)規(guī)模越來越大，其存在的可被利用的漏洞也將按照一定的比例增加。即使有些軟件開發(fā)商有每月一次的補(bǔ)丁更新計(jì)劃，但由于內(nèi)部網(wǎng)絡(luò)中的終端數(shù)多，終端使用者的網(wǎng)絡(luò)安全意識(shí)和IT技能水平參差不齊，難免掛一漏萬，導(dǎo)致補(bǔ)丁無法及時(shí)更新。這些漏洞一旦被黑客利用，將成為攻擊內(nèi)網(wǎng)中其他主機(jī)的跳板，引發(fā)更大的內(nèi)網(wǎng)安全事故。所以，除了需要加強(qiáng)網(wǎng)絡(luò)安全意識(shí)外，亟需通過技術(shù)手段的輔助，形成一個(gè)立體化、覆蓋面廣的安全模型。終端用戶眾多的全臺(tái)網(wǎng)需要依靠新的技術(shù)手段來對網(wǎng)絡(luò)內(nèi)的終端進(jìn)行掃描，并自動(dòng)修補(bǔ)軟件系統(tǒng)的補(bǔ)丁。

2.5 數(shù)據(jù)的“竊聽”和攔截

黑客可以通過利用網(wǎng)絡(luò)安全系統(tǒng)存在的缺陷，對傳輸數(shù)據(jù)進(jìn)行“竊聽”和攔截。因此，廣電系統(tǒng)的全臺(tái)網(wǎng)在與其他網(wǎng)絡(luò)進(jìn)行傳輸時(shí)，需要采取相應(yīng)的安全措施，防止重要數(shù)據(jù)，如用戶的賬號(hào)和登錄密碼等，在中途被非法截獲。加密技術(shù)是保護(hù)傳輸數(shù)據(jù)免受外部竊聽較好辦法，它將數(shù)據(jù)變成只有授權(quán)接收者才能還原并閱讀的編碼。虛擬專用網(wǎng)（VPN）技術(shù)是加密方法之一。它通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路。一個(gè)遠(yuǎn)程用戶也可以通過建立一條連接局域網(wǎng)的VPN鏈路來安全地訪問廣電系統(tǒng)的內(nèi)部數(shù)據(jù)。隨著量子通信技術(shù)和設(shè)備的普及和應(yīng)用，從理論上講，這種危害網(wǎng)絡(luò)安全方式將不復(fù)存在。

除了上述威脅廣電系統(tǒng)網(wǎng)絡(luò)安全的因素外，還存在其他一些具體的網(wǎng)絡(luò)安全隱患。例如，黑客對服務(wù)器端口進(jìn)行掃描，尋找漏洞并破解相關(guān)密碼達(dá)到入侵系統(tǒng)的目的，然后通過篡改數(shù)據(jù)、拒絕服務(wù)，對服務(wù)器進(jìn)行攻擊，對基礎(chǔ)設(shè)施進(jìn)行破壞，導(dǎo)致服務(wù)器無法向正常用戶提供相關(guān)服務(wù)。

通過上面的分析可見，網(wǎng)絡(luò)安全的隱患是客觀存在的。作為網(wǎng)絡(luò)的管理者，應(yīng)該制定相應(yīng)的網(wǎng)絡(luò)安全策略，并對全臺(tái)網(wǎng)相關(guān)業(yè)務(wù)的安全等級進(jìn)行劃分，做出有針對性的網(wǎng)絡(luò)安全防范措施，將可能對網(wǎng)絡(luò)安全運(yùn)行造成的危害降到最低，并確保核心業(yè)務(wù)制作系統(tǒng)和播出系統(tǒng)的網(wǎng)絡(luò)安全不受影響。

3 全臺(tái)網(wǎng)的網(wǎng)絡(luò)安全管理

要實(shí)現(xiàn)網(wǎng)絡(luò)安全的管理目標(biāo)，需建立相應(yīng)的網(wǎng)絡(luò)信息安全保障體系。

3.1 網(wǎng)絡(luò)信息安全保障體系基本框架

通過人、管理策略和技術(shù)手段三大要素，構(gòu)成動(dòng)態(tài)的信息與網(wǎng)絡(luò)安全保障體系框架WPDRR模型，實(shí)現(xiàn)系統(tǒng)的安全保障。WPDRR是指：預(yù)警（Warning）、保護(hù)（Protection）、檢測（Detection）、反應(yīng)（Reaction）、恢復(fù)（Recovery），五個(gè)環(huán)節(jié)具有時(shí)間關(guān)系和動(dòng)態(tài)閉環(huán)反饋關(guān)系（見圖1）。

安全保障是綜合的、相互關(guān)聯(lián)的，不僅僅是技術(shù)問題，而是人、管理策略和技術(shù)三大要素的結(jié)合。

保障網(wǎng)絡(luò)系統(tǒng)安全的技術(shù)也不是單一的技術(shù)，它包括多個(gè)方面的內(nèi)容。在整體的安全策略的控制和指導(dǎo)下，綜合運(yùn)用防護(hù)工具（如防火墻、VPN加密等手段）利用檢測工具（如安全評估、入侵檢測等系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，并通過備份容錯(cuò)手段來保證系統(tǒng)在受到破壞后的迅速恢復(fù)，通過監(jiān)控系統(tǒng)來實(shí)現(xiàn)對非法網(wǎng)絡(luò)使用的追查。

3.1.1 預(yù)警

利用遠(yuǎn)程安全評估系統(tǒng)提供的模擬攻擊技術(shù)來檢查系統(tǒng)存在的、可能被利用的脆弱環(huán)節(jié)，收集和測試網(wǎng)絡(luò)與信息在安全方面可能存在的問題，并以直觀的方式進(jìn)行報(bào)告，為解決方案的提供建議。在經(jīng)過分析后，了解網(wǎng)絡(luò)的風(fēng)險(xiǎn)變化趨勢和存在的嚴(yán)重的風(fēng)險(xiǎn)隱患，并制定相應(yīng)的解決方案，從而有效降低網(wǎng)絡(luò)的總體風(fēng)險(xiǎn)，保護(hù)關(guān)鍵業(yè)務(wù)和數(shù)據(jù)。

3.1.2 保護(hù)

保護(hù)通常是通過采用成熟的信息安全技術(shù)及方法來實(shí)現(xiàn)網(wǎng)絡(luò)與信息的安全，主要有防火墻、授權(quán)、加密和認(rèn)證等。

3.1.3 檢測

通過檢測和監(jiān)控網(wǎng)絡(luò)以及系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點(diǎn)，強(qiáng)制執(zhí)行安全策略。在這個(gè)過程中采用入侵檢測、惡意代碼過濾等這樣一些技術(shù)，形成動(dòng)態(tài)檢測的制度，建立報(bào)告協(xié)調(diào)機(jī)制，提高檢測的實(shí)時(shí)性。

圖1 信息與網(wǎng)絡(luò)安全保障體系框架WPDRR模型

圖2 OSI安全體系結(jié)構(gòu)參考模型

3.1.4 反應(yīng)

在檢測到安全漏洞和安全事件之后必須及時(shí)做出正確響應(yīng)，從而把系統(tǒng)調(diào)整到安全狀態(tài)。為此需要相應(yīng)的報(bào)警、跟蹤、處理系統(tǒng)，其中處理包括封堵、隔離、報(bào)告等子系統(tǒng)。

3.1.5 恢復(fù)

災(zāi)難恢復(fù)系統(tǒng)是當(dāng)網(wǎng)絡(luò)、數(shù)據(jù)和服務(wù)受到黑客攻擊并遭到破壞或影響后，通過必要的技術(shù)手段（如容錯(cuò)、冗余、備份、替換或修復(fù)等），在盡可能短的時(shí)間內(nèi)使系統(tǒng)恢復(fù)正常。

3.2 全臺(tái)網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)的體系結(jié)構(gòu)設(shè)計(jì)

安全體系結(jié)構(gòu)就是把信息安全保障技術(shù)集合到一起所構(gòu)成的模型。安全體系結(jié)構(gòu)是一種抽象的體系結(jié)構(gòu)，為安全系統(tǒng)的設(shè)計(jì)提供原理和原則。OSI（Open System Interconnect）參考模型，是ISO（國際標(biāo)準(zhǔn)化組織）組織在1985年研究的網(wǎng)絡(luò)互聯(lián)模型。該體系結(jié)構(gòu)標(biāo)準(zhǔn)定義了網(wǎng)絡(luò)互連的七層框架（物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層），即ISO開放系統(tǒng)互連參考模型。在這一框架下進(jìn)一步詳細(xì)規(guī)定了每一層的功能，以實(shí)現(xiàn)開放系統(tǒng)環(huán)境中的互連性、互操作性和應(yīng)用的可移植性。信息和網(wǎng)絡(luò)安全保障體系由安全服務(wù)、協(xié)議層次和安全機(jī)制三個(gè)層面組成（見圖2）。信息和網(wǎng)絡(luò)安全是任何單一安全技術(shù)都無法解決的。所以，全臺(tái)網(wǎng)應(yīng)該根據(jù)自己的業(yè)務(wù)特點(diǎn)，選擇適合自身的安全體系結(jié)構(gòu)模型。并在此基礎(chǔ)上，制定相應(yīng)的網(wǎng)絡(luò)安全策略。

3.3 網(wǎng)絡(luò)安全策略

3.3.1 技術(shù)與管理相結(jié)合的網(wǎng)絡(luò)安全策略

全臺(tái)網(wǎng)的網(wǎng)絡(luò)安全，不僅是一個(gè)技術(shù)問題，也是一個(gè)管理問題。因?yàn)闊o論怎么樣先進(jìn)、完備的技術(shù)，如果忽視了人的因素，網(wǎng)絡(luò)安全這張網(wǎng)將仍然會(huì)是千瘡百孔。假如人們只對系統(tǒng)使用，而缺少維護(hù)甚至不維護(hù)，那么許多軟件開發(fā)公司及時(shí)發(fā)布的補(bǔ)丁軟件及各種各樣的查殺工具將被束之高閣，仍將無法阻止黑客利用漏洞對系統(tǒng)發(fā)動(dòng)的攻擊及病毒的蔓延。所以，保證系統(tǒng)安全的關(guān)鍵，首先是要做到重視安全管理，從管理與技術(shù)相結(jié)合的高度，制定整體的管理策略，并認(rèn)真貫徹、實(shí)施這些網(wǎng)絡(luò)安全策略，全臺(tái)網(wǎng)的網(wǎng)絡(luò)安全目標(biāo)才可能實(shí)現(xiàn)。

3.3.2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估

對廣電系統(tǒng)的網(wǎng)絡(luò)進(jìn)行梳理。標(biāo)記出已經(jīng)聯(lián)網(wǎng)的網(wǎng)絡(luò)；搞清楚整個(gè)廣電系統(tǒng)網(wǎng)絡(luò)存在的缺陷及可能引起的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并評估這些風(fēng)險(xiǎn)將會(huì)產(chǎn)生什么樣的影響。

3.3.3 網(wǎng)絡(luò)安全計(jì)劃和實(shí)施

建立廣電系統(tǒng)的網(wǎng)絡(luò)安全政策，培養(yǎng)更多的從事與網(wǎng)絡(luò)安全相關(guān)的技術(shù)人員，提高這些人員在整個(gè)技術(shù)隊(duì)伍中所占的比例。因?yàn)殡S著社會(huì)的進(jìn)步和智能化的進(jìn)一步發(fā)展，技術(shù)人員中的比例構(gòu)成也必將反映出這一發(fā)展趨勢。掌握保障網(wǎng)絡(luò)安全所需的相關(guān)技術(shù)，并規(guī)劃好發(fā)生特定安全事故時(shí)，廣電系統(tǒng)應(yīng)該采取的解決方案。

安全策略由兩個(gè)部分組成：一個(gè)是總體的安全策略，另一個(gè)是具體規(guī)則。其中，總體安全策略是制定戰(zhàn)略性的安全指導(dǎo)方針；同時(shí)，需要為實(shí)現(xiàn)這個(gè)方針分配必要的人力物力。

所有的安全政策，都需要有一套完善的管理控制架構(gòu)來支持，其中完整的安全性解決方案在整個(gè)的管理控制架構(gòu)中占有突出、重要的位置。

在廣電系統(tǒng)內(nèi)部需要進(jìn)行多種形式的網(wǎng)絡(luò)安全宣傳，普及基本的網(wǎng)絡(luò)安全知識(shí)，增強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)，具備識(shí)別和應(yīng)對網(wǎng)絡(luò)危險(xiǎn)的能力，不能等到出了重大的安全事故后才重視這個(gè)問題。

3.4 物理隔離

在廣電系統(tǒng)內(nèi)部采用物理隔離的方式建立兩套相互獨(dú)立的網(wǎng)絡(luò)，一套用于廣電系統(tǒng)內(nèi)部作業(yè)和辦公；另一套用于連接到Internet。以保護(hù)核心業(yè)務(wù)的正常運(yùn)作。

3.5 遠(yuǎn)程訪問控制

遠(yuǎn)程訪問適應(yīng)網(wǎng)絡(luò)化信息化社會(huì)工作方式改變的需要。為了防止非法用戶的入侵，需要在內(nèi)部網(wǎng)絡(luò)中配置用戶身份認(rèn)證服務(wù)器，對接入的用戶進(jìn)行身份和密碼驗(yàn)證，并對合法用戶的機(jī)器MAC地址進(jìn)行注冊，將IP地址與MAC地址進(jìn)行動(dòng)態(tài)綁定。

3.6 病毒的防護(hù)

培養(yǎng)廣電系統(tǒng)員工的集體防毒意識(shí)，部署統(tǒng)一的防毒策略，對病毒的入侵早發(fā)現(xiàn)、快應(yīng)對。

3.7 防火墻

防火墻是一個(gè)由軟件和硬件設(shè)備組合而成，是在內(nèi)部網(wǎng)和外部網(wǎng)、專用網(wǎng)與公共網(wǎng)之間設(shè)置的保護(hù)屏障。防火墻種類眾多，其中技術(shù)較為復(fù)雜、安全級別較高的防火墻是隱蔽智能網(wǎng)關(guān)。為免遭直接攻擊，它被隱藏在公共系統(tǒng)之后。所有互聯(lián)網(wǎng)功能則是經(jīng)過這個(gè)隱藏在公共系統(tǒng)之后的保護(hù)系統(tǒng)來進(jìn)行。阻止了外部未授權(quán)訪問對專用網(wǎng)絡(luò)的非法訪問。一般來說，這種防火墻的安全性能很高，是較不容易被破壞和入侵的。

3.8 補(bǔ)丁安裝智能化

黑客技術(shù)的不斷變化和發(fā)展，留給我們應(yīng)對的時(shí)間將會(huì)越來越少。對于機(jī)器眾多的廣電網(wǎng)絡(luò)，要通過手工來一臺(tái)一臺(tái)安裝補(bǔ)丁軟件，已經(jīng)難以適應(yīng)大規(guī)模網(wǎng)絡(luò)的管理，需要新的智能軟件實(shí)現(xiàn)對系統(tǒng)內(nèi)各個(gè)操作系統(tǒng)的主動(dòng)掃描及補(bǔ)丁的自動(dòng)修補(bǔ)。

4 文件化播出系統(tǒng)的網(wǎng)絡(luò)安全

播出安全是播出系統(tǒng)的重中之重。文件化播出系統(tǒng)的網(wǎng)絡(luò)安全可從以下兩個(gè)方面考慮：一是播出網(wǎng)絡(luò)系統(tǒng)的安全；二網(wǎng)絡(luò)架構(gòu)的安全。

4.1 播出網(wǎng)絡(luò)系統(tǒng)的安全

文件化播出系統(tǒng)由于涉及到的安全環(huán)節(jié)較傳統(tǒng)播出系統(tǒng)更多，所以，需要建立冗余備份機(jī)制。防止文件化播出系統(tǒng)中由于某一點(diǎn)出錯(cuò)而引起整個(gè)系統(tǒng)的崩潰。

如在播出服務(wù)器方面，需要采用主備異構(gòu)的方式。其中，既可以是硬件的主備異構(gòu)，也可以是操作系統(tǒng)的主備異構(gòu)。

又如播出二級存儲(chǔ)系統(tǒng)是從媒資到播出服務(wù)器節(jié)目備播鏈路的關(guān)鍵業(yè)務(wù)系統(tǒng)（見圖3）。其系統(tǒng)構(gòu)建需著重解決以下幾點(diǎn)。

圖3 文件化播出系統(tǒng)備播業(yè)務(wù)流程

4.1.1 存儲(chǔ)架構(gòu)的選擇

采用SAN架構(gòu)集中式存儲(chǔ)技術(shù)。SAN允許用戶根據(jù)需要增加它們的存儲(chǔ)容量，通過中央系統(tǒng)管理軟件對數(shù)據(jù)進(jìn)行統(tǒng)一管理；允許任何服務(wù)器連接到任何存儲(chǔ)陣列，這樣不管數(shù)據(jù)置放在那里，服務(wù)器都可直接存取所需的數(shù)據(jù)；具有高RAID級別保護(hù)；采用光纖接口，具有更高的帶寬。這種存儲(chǔ)技術(shù)有利于控制存儲(chǔ)空間，存儲(chǔ)效率高。

4.1.2 系統(tǒng)冗余性設(shè)計(jì)

除數(shù)據(jù)冗余外，還可以從系統(tǒng)應(yīng)用冗余著手，將二級存儲(chǔ)設(shè)計(jì)為雙陣列系統(tǒng)，所有數(shù)據(jù)在高RAID級別保護(hù)基礎(chǔ)上再獲得雙陣列系統(tǒng)之間的鏡像冗余。

4.1.3 素材文件遷移效率

SAN架構(gòu)集中式存儲(chǔ)技術(shù)使管理及集中控制得到了簡化，所以，提高了二級存儲(chǔ)素材遷移效率，這對高清節(jié)目大文件的讀寫應(yīng)用來說尤為重要。

4.2 網(wǎng)絡(luò)架構(gòu)的安全

播出系統(tǒng)網(wǎng)絡(luò)化使其在系統(tǒng)邊界和業(yè)務(wù)邊界方面和以前的播出系統(tǒng)相比有了很大的不同，這給安全播出帶來了新的課題。如何解決網(wǎng)絡(luò)安全問題，將是文件化播出的關(guān)鍵。影響文件化播出系統(tǒng)網(wǎng)絡(luò)安全的因素主要有以下幾點(diǎn)：防止數(shù)據(jù)的完整性和可用性遭到破壞，預(yù)防惡意代碼，在接口邊界建立端口訪問控制等。為此，在系統(tǒng)的設(shè)計(jì)時(shí)，需要做以下幾方面的考慮。

4.2.1 網(wǎng)絡(luò)架構(gòu)

根據(jù)播出網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，網(wǎng)絡(luò)架構(gòu)采用“核心-接入”二層拓?fù)淠Ｐ?。并通過核心交換機(jī)劃分VLAN，配置ACL，實(shí)現(xiàn)區(qū)域隔離和對外訪問控制。

4.2.2 硬件安全設(shè)備

部署防火墻、網(wǎng)關(guān)和網(wǎng)閘等硬件安全設(shè)備，保護(hù)播出網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)安全，防止病毒的入侵。

4.2.3 建立防病毒服務(wù)體系

除了邊界防護(hù)外，還需要在內(nèi)部設(shè)立防病毒機(jī)制。并在主干系統(tǒng)業(yè)務(wù)應(yīng)用平臺(tái)建立播出系統(tǒng)防病毒數(shù)據(jù)庫的專用升級鏈路。

4.2.4 采用MD5碼校驗(yàn)

采用MD5碼校驗(yàn)，保護(hù)數(shù)據(jù)在傳輸過程中的安全性和完整性。

5 結(jié)語

一份好的網(wǎng)絡(luò)安全解決方案是技術(shù)、策略和管理的集合，其中：技術(shù)是關(guān)鍵，策略是核心，管理是保證，三者缺一不可。網(wǎng)絡(luò)安全解決方案涉及操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)、認(rèn)證和數(shù)字簽名技術(shù)、VPN技術(shù)等多方面的技術(shù)。網(wǎng)絡(luò)的安全策略由物理安全、訪問控制和信息加密等組成。網(wǎng)絡(luò)的安全管理包括：確定安全管理等級和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。

網(wǎng)絡(luò)安全從建網(wǎng)之時(shí)起，就貫穿于整個(gè)的網(wǎng)絡(luò)運(yùn)行階段。因此，既要在設(shè)計(jì)階段未雨綢繆，又需要在實(shí)踐中不斷加以完善。只有這樣，才能在網(wǎng)絡(luò)安全這場永不停歇的攻防戰(zhàn)中立于不敗之地。