摘? 要:文章對廣電網(wǎng)絡(luò)信息安全環(huán)境進行了簡單分析,在此基礎(chǔ)上,從網(wǎng)絡(luò)結(jié)構(gòu)安全、播出系統(tǒng)安全、網(wǎng)絡(luò)設(shè)備防護、數(shù)據(jù)恢復(fù)與備份、非對稱加密技術(shù)這幾方面入手,闡述了廣電網(wǎng)絡(luò)信息安全技術(shù)措施,以期實現(xiàn)對廣電網(wǎng)絡(luò)信息安全的更好維護。
關(guān)鍵詞:廣電網(wǎng)絡(luò);信息安全;技術(shù)措施
對廣電網(wǎng)絡(luò)信息安全進行強化維護是保證廣電網(wǎng)絡(luò)信息服務(wù)理想水平達標(biāo)的重要手段,在保護廣電網(wǎng)絡(luò)業(yè)務(wù)質(zhì)量方面發(fā)揮出重要作用,相應(yīng)安全技術(shù)值得深入探究。
一、廣電網(wǎng)絡(luò)信息安全環(huán)境分析
廣電網(wǎng)絡(luò)信息安全環(huán)境可以從安全通信環(huán)境、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、應(yīng)用系統(tǒng)這幾部分進行解讀,具體包括:
第一,安全通信網(wǎng)絡(luò),可以細化為外部網(wǎng)絡(luò),即外單位網(wǎng)絡(luò)、互聯(lián)網(wǎng)以及其他公共網(wǎng)絡(luò)等等;前端網(wǎng)絡(luò),即辦公網(wǎng)絡(luò)、業(yè)務(wù)前端網(wǎng)絡(luò)、廣播業(yè)務(wù)前端網(wǎng)絡(luò);傳輸網(wǎng)絡(luò),即單向廣播網(wǎng)、雙向傳輸網(wǎng);傳輸網(wǎng)絡(luò),即以新型機頂盒或是家庭智能網(wǎng)關(guān)完成搭建的家庭網(wǎng)絡(luò)。
第二,安全區(qū)域邊界,可以細化為外部網(wǎng)絡(luò)與前端網(wǎng)絡(luò)之間的區(qū)域邊界;前端網(wǎng)絡(luò)與傳輸網(wǎng)絡(luò)之間的區(qū)域邊界;傳輸網(wǎng)絡(luò)與終端網(wǎng)絡(luò)之間的區(qū)域邊界。
第三,安全計算環(huán)境,可以細化為辦公電腦等設(shè)備的信息安全;智能終端等設(shè)備的信息安全;終端機頂盒等設(shè)備的信息安全;前端服務(wù)器等設(shè)備的信息安全。
第四,安全管理中心,可以細化為運行檢測、安全管理、審計管理。
第五,應(yīng)用系統(tǒng),包括應(yīng)用下載系統(tǒng)、數(shù)據(jù)廣播系統(tǒng)、中間件系統(tǒng)、EPG系統(tǒng)、EPG廣告系統(tǒng)、VOD系統(tǒng)等等。
二、廣電網(wǎng)絡(luò)信息安全技術(shù)措施探究
(一)網(wǎng)絡(luò)結(jié)構(gòu)安全
應(yīng)可以應(yīng)用可靠性更為理想的物理隔離技術(shù)或是邊界隔離技術(shù)完成省、市、縣三級網(wǎng)絡(luò)結(jié)構(gòu)的構(gòu)建,結(jié)合業(yè)務(wù)重要性、網(wǎng)絡(luò)結(jié)構(gòu)層次、業(yè)務(wù)流程、服務(wù)對象等完成對網(wǎng)絡(luò)安全域的合理性劃分。對于相應(yīng)網(wǎng)絡(luò)安全域而言,其可以劃分出三級接入域、二級中間域以及三級核心域這三部分。對于廣播電視播出業(yè)務(wù)而言,其應(yīng)當(dāng)劃分至一級核心域的范疇,同時,加設(shè)安全審計系統(tǒng)。各個安全域網(wǎng)絡(luò)之間需要應(yīng)用邊界隔離或物理隔離手段完成處理。
參考物理位置、業(yè)務(wù)類型及其重要性等因素對安全域進行子網(wǎng)或是網(wǎng)段的劃分,同時結(jié)合方便管理控制的目標(biāo),對各個子網(wǎng)與網(wǎng)段進行地址端的分配,保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力理想。同時,網(wǎng)絡(luò)寬帶需要必須要具備冗余空間,以此確保業(yè)務(wù)高峰期的現(xiàn)實需求得到全面性滿足。另外,針對與信息系統(tǒng)相關(guān)的匯聚交換機、核心交換機等網(wǎng)絡(luò)設(shè)備也需要配置冗余,防止關(guān)鍵節(jié)點發(fā)生單點故障等問題。
(二)播出系統(tǒng)安全
第一,使用外網(wǎng)物理隔離的方法,對廣播電視切斷播控系統(tǒng)與互聯(lián)網(wǎng)、辦公網(wǎng)進行隔離。第二,對播控平臺的各個系統(tǒng),需要定期展開倒換測試;對應(yīng)急處理流程落實精細化處理,保證系統(tǒng)長時間穩(wěn)定運行[1]。第三,應(yīng)用ASI格式或是單向IP格式完成節(jié)目碼數(shù)據(jù)流的傳輸。第四,中間件系統(tǒng)、數(shù)據(jù)廣播系統(tǒng)等信息業(yè)務(wù)在播出前必須要對相應(yīng)信息落實加密處理,并施加數(shù)字簽名保護,防止相應(yīng)信息受到非法篡改。
(三)網(wǎng)絡(luò)設(shè)備防護
第一,將安全升級系統(tǒng)加設(shè)在安全的網(wǎng)絡(luò)設(shè)備內(nèi),確保所有使用者請求通過安全升級系統(tǒng)后實現(xiàn)操作,以此維護系統(tǒng)的安全。第二,將安全登錄口令加設(shè)在設(shè)備訪問與配置過程內(nèi),其中,登陸口令主要包含特權(quán)口令、認(rèn)證登錄口令、控制臺口令等;對于口令密碼需要使用強度更高的密碼以及密碼顯示加密方式,同時保證定期進行更換。第三,對于遠程登錄的源地址,需要應(yīng)用訪問控制列表完成控制。通常情況下,只能允許單個IP地址或是較小的局域網(wǎng)IP端落實訪問。第四,對網(wǎng)絡(luò)設(shè)備內(nèi)的所有無關(guān)服務(wù)進行關(guān)閉,以此確保系統(tǒng)運行服務(wù)具有更為理想的有效性。
(四)數(shù)據(jù)恢復(fù)與備份
第一,搭建并應(yīng)用災(zāi)難備份系統(tǒng),并對相應(yīng)工作機制進行完善,提前設(shè)定災(zāi)難恢復(fù)預(yù)案,同時應(yīng)當(dāng)定期展開災(zāi)難恢復(fù)演練,保證數(shù)據(jù)安全以及核心應(yīng)用系統(tǒng)能夠長時間維持在安全穩(wěn)定運行的狀態(tài)下。第二,搭建并應(yīng)用數(shù)據(jù)備份機制,設(shè)定數(shù)據(jù)備份的專業(yè)工作人員對各類數(shù)據(jù)進行備份管理。針對一些具有較強機密性的信息數(shù)據(jù),應(yīng)當(dāng)應(yīng)用具備更高強度的加密算法落實加密操作,避免相應(yīng)數(shù)據(jù)信息受到非法存取,降低加密數(shù)據(jù)泄露問題的發(fā)生概率。第三,應(yīng)用多種備份方法落實對重要數(shù)據(jù)的備份處理,包括外置存儲設(shè)備備份、本地備份、異地備份等等,避免數(shù)據(jù)遭受破壞后難以及時、全面的完成數(shù)據(jù)信息恢復(fù)。針對相應(yīng)備份文件,應(yīng)當(dāng)在非本地磁盤的其他中介內(nèi)進行存放,并始終保證放置地點的環(huán)境良好程度,確保各類環(huán)境參數(shù)維持在允許范圍內(nèi)。第四,在對數(shù)據(jù)庫進行重大變動之前,包括變更配置、版本升級等等,必須要對相應(yīng)數(shù)據(jù)進行備份處理。在核心應(yīng)用系統(tǒng)內(nèi),所有的數(shù)據(jù)需要落實每日增量備份、每周全量備份;在其他應(yīng)用系統(tǒng)內(nèi)保存的數(shù)據(jù),需要在每周或是每月進行一次備份。第五,在對數(shù)據(jù)進行恢復(fù)之前,需要落實一致性校驗,對兩份備份數(shù)據(jù)的文件數(shù)量、創(chuàng)建日期、大小等檢查,確保一致性校驗通過后進行使用。應(yīng)當(dāng)定期展開對備份數(shù)據(jù)恢復(fù)操作的演練,確保備份數(shù)據(jù)具有更強的可用性及完成程度。
(五)非對稱加密技術(shù)
應(yīng)用加密技術(shù)對數(shù)據(jù)信息傳輸過程進行安全性維護在當(dāng)前較為常見,實踐中,可以引入非對稱加密技術(shù),由于在該技術(shù)中所應(yīng)用著的密鑰并不對稱,所以安全保護程度更為理想。非對稱加密算法生成密鑰的關(guān)鍵流程如下所示:
隨機選擇兩個大素數(shù),p和q;計算這兩個數(shù)的乘積:n=pq,n用作模(稱為鑰模);隨機選擇一個整數(shù)e作為公鑰,滿足1<e<(p-1)(q-1),確保e和(p-1)(q-1)互素;計算私鑰d,滿足de-1是(p-1)(q-1)的倍數(shù);公鑰=(n,e)(ASN.1格式);私鑰=(n,d);要用公鑰(n,e)加密消息m,則公式為C=me mod n,C最大值n-1;要用私鑰(n,d)解密消息c,則公式為M=cd mod n,M最大值n-1[2]。
在此過程中,還需要對填充問題進行考量。例如,在應(yīng)用1024位密鑰和PKCS1Padding的條件下,明文長度最大可以達到(1024bit/8-11Byte=117Byte)。在填充的支持下,針對相同數(shù)據(jù)應(yīng)用同種密鑰完成非對稱加密,雖然所輸出的結(jié)果可能存在差異,但是這些加密結(jié)果均具有正確性。
三、總結(jié)
綜上所述,廣電網(wǎng)絡(luò)信息安全防護極為必要。實踐中,除了要設(shè)置多級防護體系之外,還要引入非對稱加密技術(shù)等先進信息安全技術(shù),實現(xiàn)廣電網(wǎng)絡(luò)信息安全防護工作的升級。
參考文獻:
[1]劉潔. 廣電系統(tǒng)網(wǎng)絡(luò)安全防護的研究[J]. 中國有線電視,2021,(12):1220-1222.
[2]吳雪燕. 信息安全技術(shù)在廣電網(wǎng)絡(luò)中的實踐探索[J]. 中國傳媒科技,2020,(09):94-95.
作者簡介:任志霞(1985年3月),女,陜西榆林人,大專,中級工程師,廣電網(wǎng)絡(luò)信息安全技術(shù)分析方向.