阳江电视台网络安全解决方案

���
201 2 年第 4 期 （总第 26 8期 ）
网是不可见的 �
4
结束语
笔者参与了阳江电视台网络安全解决方案的制 定， 并与厂家一起安装调试系统� 调试过程中， 对各种 病毒及与播出无关的文件确实有有效的拦截功能 � 以 前， 由于广告制作网中经常传入病毒， 导致播出网内 的播出机经常大面积死机， 以致出现较严重的播出事
故� 自从实施了这套安全方案， 播出网受病毒攻击的 主 机 的 I P 地 址 分段 信 息 � 开 放 的 服务 信 息都 被 � 机会几乎为零， 有效地确保电视信号的安全播出� M R G -9000U 有效屏蔽，播出网的网络拓扑信息对外 � � � � � � � � � � � � � � � � � � � � （上接第 101 页 ） 吐量 �模块化电信计算平台定义的一系列规范的集 合 �系统物理部署如图 8 所示� 阶段三： 规范流程， 完成与 B SS 和 C R M 的集成， 实现工单系统和运维流程管理系统� O SS 系统建设在国内广电行业是个薄弱环节， 缺 乏现成的方案，只有通过借鉴国内外电信运营商先 进经验， 注重实效， 才能建成一套满足新业务开展和 O SS 系统的建设是个复杂的系统工程， 根据运维 需求的迫切程度和信息整合层次的不同， 我们制定了 统一规划， 分步实施的策略： 阶段一： 实现 EPO N � E C� H FC � I PQAM � G IS 资源
2 阳江电视台网络概况
2. 1 网络组成及互联关系 为了实现全台信息一体化的目标Hale Waihona Puke Baidu 强化管理提高
工作效率， 阳江电视台网络由播出网与以下四个局域
���
201 2 年第 4 期 （总第 26 8期 ）
有线电视技术
技术交流
图 1 阳江电视台联网概况
的风险 � 广告制作网的威胁主要来自移动介质的外部 � � 墙技术� 这种技术能够对网络连接按照源/ 目的 地 数据导入，广告内容的制作，必然会引入外来的数 据， 比如广告厂商提供的各种数据： 包括图片 � 视频 � 音频 � 动画等； 新闻非编网的威胁主要来自区县新闻 数据上传， 因为远端的节目素材 （下辖 1 区 1 市 2 县 的地方新闻） ，存储于未知的不可控的网络环境， 如 果该环境含有病毒， 在节目上传的过程中， 很可能会 把病毒引入到新闻非编网中， 那样后果将会很可怕， 甚至会把整个新闻非编网搞瘫痪，进而无法正常工 作� 址� 通信端口� 通信时间等属性进行过滤 � 该技术能够 满足绝大多数用户的一般性安全需求， 因为其易于使 用， 投资少， 而成为最为经典和常用的安全防御措施 � 在阳江电视台播出网和台网站之间， 其联网需求则体 现为： （ 1 ） 播出网需要将特定格式的文件上传给台网站平台； （ 2 ） 台网站平台无需将任何形式的数据传输给播出网� 显然， 采用通用的防火墙技术无法满足上述两个 网络边界的安全防护需求 � 需要采用针对电视台业务 特征定制开发的专业设备才能实现切实的安全控制 � � � � 经过多番考虑， 我台决定采用 - 000 媒资卫士来 3� 安全解决方案 局域网内的边界分割 在局域网内， 要将平面网络按照功能划分为相对 � � � � - 000 部署如图 2 所示� 独立的安全域， 并在域间进行必要的访问控制， 经济 � � � � 在该方案中， - 000 具有如下功能： � � � � 有效的方法一般都采用交换机的 � 划分 � 即为每 （1 ） 阻断 / 会话的功能： 能通过专用协议封 一个业务功能相对独立的主机类别归类到一个虚拟 � � � � 装， 完成 - 000 双端机上的文件交换 �交换过程 局域网中， 并赋予唯一的 � �交换机可以在各 � � � � � � � � � 中将所有的 / 协议封装剥离，任何基于 / 个 之间配置路由规则 � 访问控制规则 �由此可 协议格式的网络攻击都被有效屏蔽 � � 以达到允许 � � � / 禁止某个 与另一 之间是否 （2 ） 文件交换： - 000 提供高速的交换功能 � 通信的功能 �而在 内， 各个主机之间是可以畅 其能将位于两端文件服务器的文件按照指定的映射 通访问的� 关系， 快速同步到对端文件服务器 � 因此， 采用在现有的交换机中逻辑划分 � � � � 的 （ 3 ） 基于文件属性的深度检测： - 000 提供了 方式， 完成广告制作网 � 媒资网� 新闻非编网 � 播出网 各类文件的数字指纹提取功能 �并基于该数字指纹， 和台网站内的安全域分割和访问控制 � 对传输中的文件类型进行深度控制， 最终达到只有给 3. 2 � 网间防护安全机制 � � � 定格式的文件才能通过 - 000 传输� 而当传输文 依据边界防护的强度要求， � � � � 具有不同的安全防护 件中被注入恶意代码时， 能够被 - 000 准确识别 技术� 对于一般性的安全防护， 往往采用包过滤防火 并加以阻断� 告警� 3. 1 实现 � 3. 3 M RG- 9000 部署
� � � � � � � � � � � � � � � � � � � � � � � � � 2 N G O SS T . T M F F, G B 922
阶段二：整合客户信息和 C PE 终端设备信息， � � � � � � � � � � � � � � � � � � � � � � � � � � � � 4 T N G O SS T -N A I. M F,TM F05 3 实现能够定位到客户的端到端服务保障系统； � � � � � � � � � � � � � � � � � � � � 5 T A M . IM F,G B 929
201 2 年第 4 期 （总第 26 8期 ）
���
技术交流
有线电视技术
图 2 M R G -9000 在全台网部署总图
（4 ） 访问控制： 能够对数据传输源� 目的等属性进 行有效控制， 最终只允许特定的主机向特定的主机完 成应用数据传输； （5 ） 拓扑隐蔽功能： 网络中任何主机的 IP 地址分 段信息 � 开放的服务信息都被 M R G -9000 有效屏蔽� M R G -9000U 还具有文 件单向传输功 能， M RG 9000U 提供高速的文件单向传输功能 � 其能将位于外 端文件服务器的文件按照指定的映射关系， 快速单向 同步到指定播出工作站的播出目录中 � 播出网中任何
技术交流
有线电视技术
许奕祥 广东省阳江电视台
1
前
言
网组成： （� ） 媒资网： 全台的信息管理及存储中心， 数字内 容管理板块， 由媒体资产管理系统组成； （� ） 广告制作网： 全台的广告节目制作中心， 由多 个功能板块组成并有外来数据导入的需求 （移动介质 存储的图片� 文字等数据的导入 ） ； （� ） 新闻非编网： 全台新闻制作中心， 由新闻非编 网组成， 并有远端数据导入的需求 （所辖下属的区县 市新闻节目数据上传 ） ； （� ） 台网站： 独立的网站信息发布网络平台� 网络互联如图 � 所示 � 2. 2 网络风险分析 由于阳江电视台五大网络模块拓扑结构清晰� 功
能分区明确，因此其面临的安全风险也比较容易界 定� 除了每个局域网自身管理安全和网络实体安全以 外， 其安全风险主要来自网络边界 � 在本网络结构中， 播出网是全台的核心， 保证播 出网的安全也是网络安全的重中之重� 从网络边界威 胁理论可以看出，播出的安全主要来自以下四个方 面： （� ） 来自广告制作网的安全威胁； （� ） 来自新闻非编网的安全威胁； （� ） 来自媒资网的安全威胁； （� ） 来自台网站的安全威胁� 另外， 广告制作网和新闻非编是台里的重要制作 网络， 保护这两大网络的安全运行， 也是我们的首要 目标 � 他们的主要安全威胁来自外来数据的导入带来
随着我台全台网的建立， 从根本上改变了以往传 统的运作模式， 节目以文件传递取代了磁带， 最大限 度实现信息流通 �跨平台跨频道资源共享和高效管 理， 并为运作 � 管理 � 应用提供了先进完善的技术手 段， 使节目的业务处理更加高效率� 高质量 � 但同时也 带来了安全隐患， 因为全台网也是标准网络， 也存在 网络安全问题� 一个封闭的网络如果感染了病毒， 病 毒只会在该网络内部进行传播， 但是如果这个网络和 别的网络有连接，则病毒就有可能通过网络边界传 播到与之相连的网络中， 例如 " 计算机蠕虫 " " 冲击 � 波" 等病毒就通过计算机网络传播， 利用网络从一台 机器的内存传播到其它机器的内存，病毒将自身通 过网络向外发送 � 一旦某个网络节点感染了病毒， 病 毒就会在网络内部迅速蔓延，并通过网络边界传播 到其他网络， 继而扩散到全台网， 那样后果将会非常 严重 � 网络之间简单互联， 在数据交换的同时必然导 致病毒� 攻击在网络间相互传播 �因此， 很有必要在 网络中建立一个安全系统，确保电视节目制作与播 出顺利开展 �
1
6 系统建设步骤和策略
运维需求的支撑系统， 提升广电运营商的竞争力 �
参 考 文 献
关于广电宽 带城域网综合网 管管理系统建 设-专家技术 研讨建议 书. 中国广播电视协会技术研究委员会
的跨域资源管理和监控系统； � � � � � � � � � � � � � � � � � � � � � � 3 S I / D ( SID ) M . TM