电视播控系统的网络安全建设浅谈.doc
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电视播控系统的网络安全建设浅谈-
1广播电视播控系统网络安全的重要性
随着媒体融合的发展,新媒体和传统媒体在经营渠道和内容管理方面已经进一步深入融合起来,在传播模式方面,向多终端、交互式的传播方式转变,在运营模式方面,跨媒体、跨区域、跨行业的合作运营成为趋势。如此多的融合发展导致了传统广电行业也面临了信息安全问题。因此,对我们来说,网络安全的研究和网络安全技术的应用,是必须加以重视和认真贯彻执行的。广电网络安全中最核心的莫过于安全播出。在有线电视网或者互联网中向观众播出内容健康、导向正确的节目,并且保证信号不中断,内容不被篡改,节目质量良好,保证所有的用户都能观看正常的电视节目,是安全播出的重要条件。由于广电的政治属性,所以广电的播出安全不仅是广电的问题,还涉及到社会公共安全问题。
2关于广播电视播控系统网络安全方面的法律法规和行业等保规范
广播电视播控系统是广播电视信息系统中最核心的部分,因为它承载了安全播出大部分的工作。根据《广播电视相关信息系统安全等级保护定级指南》中的要求,我台广播电视播控系统的安全保护等级是三级。在《广播电视相关信息系统安全等级保护基本要求》(简称《基本要求》)中,明确规定了安全保护等级三级的广电播控系统的网络安全工作要求。《基本要求》中指出,各播出单位要建立纵深防御体系,采取互补的防御措施,进行集中的安全管理。安全保护等级三级及以上的信息安全系统要求建立有统一的安全策略、统一的安全管理制度下的安全管理中心,
它负责管理信息系统中的各个安全控制组件(即基本防护要求)的连接、交互、协调、协同工作,使之提高整体的网络安全防护水平。播控系统位于纵深防御体系的最内层,电视播控系统的网络安全建设文/马文丽本文通过对我台电视播控系统的网络安全现状的分析,结合广播电视信息安全等级保护工作的要求,提出使用入防火墙、入侵检测、审计服务器等技术措施,登录访问控制、数据安全管理等管理措施,更好的保证广播电视网络安全。摘要网络防御措施级别要求相对较高,安全管理中心应将与播控有联系的各个部门网络边界的安全策略,提升到播控系统的安全等级。以保证播控系统的网络安全。《基本要求》中提出了从物理上、技术上、管理上,三个方面出发采取由点到面的各种安全措施,其中包括结构安全、边界安全、终端系统安全、服务器端系统安全、应用安全、数据备份与恢复六个具体方面,保证信息系统的整体安全防护能力。
3技术措施
基于《基本要求》提出的具体安全防御措施,结合我台播控系统的网络现状,本文以山西卫视高清频道网络为例(网络拓扑图见图1),提出使用防火墙、入侵检测和审计服务器相结合的技术措施,能有效的防范来自于广电传输网OTN中的威胁源所带来的损害,进而能保证播控系统的边界安全,与外网的数据交换安全。
3.1防火墙
防火墙是设置在被保护内网和外网之间的一道屏障,它可以控制被保护网络的非法访问,检查网络入口点信息交换,根据设定的安全规则,对通过防火墙的数据进行监测、限制和修改,过滤掉特定网络攻击和不明站点的访问。防火墙可以提供对系统的
访问控制,仅允许外网访问某些内网主机和某些端口及服务;它可以过滤不安全的服务,仅允许HTTP、FTP、TELNET、SSH 等信息系统使用的协议通过;它可以设置IP与MAC地址绑定策略,绑定后只有特定地址的网络主机才能访问防火墙,有效防止网络地址欺骗;它可以使用有效的数字证书来区分网络用户,并可以给予不同级别用户不同的访问权限;它可以提供对流量的识别和控制功能,限制网络连接的数量以保证重要业务的正常运转。
3.2入侵检测
入侵检测通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测可以监视、分析网络及用户的活动,审计用户和网络中的异常模式进行统计分析,识别已知的网络攻击活动模式并向用户报警;当一个入侵正在发生或试图发生时,入侵检测系统会立即记录并向用户发动预警,而且它还能自动抵御这些攻击,如切断网络连接或者配置防火墙使之能拒绝这些地址的连接;它可以对重要程序进行完整性分析,一旦这个程序被攻击,立即从备份文件中提取相应的原始文件,恢复重要程序中被攻击的部分,恢复程序原有功能。
3.3安全审计服务器
安全审计是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。在此基础上使用审计服务器能实现日志的集中管理,各设备、服务器内的安全事件收集,建立应急预警体系。审计服务器可以收集和记录各
个系统、应用和网络活动的日志,完成事件的格式化和标准化工作;它可以集中长期存储收集的日志,以及所有的管理配置信息,保证记录的可靠性、安全性、完整性,同时还提供快速检索和统计报表;它对收集的风险信息进行定期分析和监控,并提供资产分析、风险展示、事故响应等功能;它提供C/S管理方式,安全管理中心可以实时监控数据,并实施安全策略调整方案。审计服务器监听口不配置IP地址,使原有的网络不发生改变,使部署变得更加灵活。综上所述,使用防火墙、入侵检测和审计服务器相结合的技术措施,能按照《基本要求》提出的安全策略进行部署,满足播控网络的安全防护功能。
4管理措施
广播电视播控网络安全是一个系统的工程,不能单靠某些技术措施,还需要依靠全面的管理措施才能稳固的提高播控网络的安全。《基本要求》中还对网络安全管理提出了更为全面的建议和要求。结合我台网络管理的现状,本文提出了要加强登录访问控制和数据安全管理两个方面的管理措施。
4.1登录访问控制
登录访问控制是指对登录网络设备的用户进行身份鉴别。本文建议应对播控系统的所有用户(包括上载编单和系统管理员)都要实施单人单密码制度,对所有登录访问的用户名和密码都要制定复杂度及定期更换制度;对关键设备的登录操作要有两人及以上系统管理员在场,并联合操作;启用系统或应用中的登录超时和登录失败功能,失败后要求更高权限的系统管理员才能恢复登录;实行业务和系统管理分散授权的制度,分离网络安全风险;制定统一的上载介质制度,禁止使用U盘,关闭不必要的服务和端口,制定定期系统升级和病毒库升级方案,系统漏洞补丁定