《全台网安全技术构想.docx》由会员分享,可在线阅读,更多相关《全台网安全技术构想.docx(8页珍藏版)》请在三一文库上搜索。
1、感谢你的观看全台网安全技术构想一、引言:随着计算机网络技术与传统视频的相互结合, 电视台业务从传统 的对编发展到非线编辑,从单一的制作网,逐步发展到如今的新闻、 制作、媒资、传输、播出为一体的全台网,IT技术与视频技术越来 越密不可分。但是随着计算机网络系统逐步技术升级, 涉及的业务日 益增多时,网络安全性成为一个严峻的问题。 一旦作为全台业务运转 的网络出现故障,造成系统崩溃,对要求准确性、时效性为生命线来 说,无疑时灭顶之灾。本文就视频业务的安全分级,从系统到局部, 从软件到硬件做一分析,为将来我台全台网络的涉及做一探索。二、我台全台网技术安全构想:电视台通常由多个业务模块或子模块组成,
2、如实现节目传播的播 出网络,实现节目生产的节目制作网,实现办公及节目生产管理的办 公网络,实现节目存储、检索的媒资网络等等。不同的网络有着不同 的安全风险,对安全防护的需求也不同,如果不分主次、不分区域需 求,全部按照高安全性的策略进行设计,这样势必会提高整体成本。 以我台的经济实力,无法承担这样的建设和运营维护。因此对不同系 统、不同需求应当进行不同的安全等级设计, 集中资源保障关键业务 网络,在确保安全的前提下,兼顾成本和效益,实现安全与效率、成 本的正比。对照我台数字化改造,现有和未来将要扩展的各个子网络(如图),根据其相关业务和重要程度,应当将其划分为以下几个安全级别的网络区域:收录网
3、络系统电视生产业务网络系统电视台主体业务系统其它业务办公业务系统新闻 节目 制播后期 节目 制作播出异地 节目 制作移动视讯其它办公OA网络系统网络系统网络系统网络系统网络系统网络系统网络系统媒资系统业务支撑平台一级:办公网:此网络作为日常办公,与互联网完全开放网络感染病毒的几率和风险很高, 同时作为办公区域大,设备终端多、管理难度大的特性,办公网络的安全级别最低。二级:内外网络交互区:作为视频媒体,每天的节目稿件、图片或其他格式的节目素材、都有可能从办公网向生产网之间交互,基于生产网络的考虑,此区域需采取严格的保护措施,在保 证安全和可管可控的方式下,实现两个网络的信息和数据交换。三级:内网
4、采集交换、综合制作等:此区域包含了日常综合 节目的采集制作、数据交换等业务功能,关系到日常节目制作, 对系统安全要求较高。四级:主干平台:包含媒资管理的全台网络数据传输,关系到整体系统的安全稳定运行,对安全性要求非常高。五级:播出与新闻制播系统。播出是电视台的生命线,新闻是电视台立台之本,这两个系统是全台的重点和核心, 属于安全 防护的最高级别。三、全台安全设置中的关键技术作为全台整个网络构建,投入应当遵循此级别,有计划、有比例 的投入设备成本,做到整个网络的安全稳定,核心业务的万无一失。 以下将按照这5部分做进一步说明。1 .办公网:我台办公网络主要包括日常的文件交换、外网连接、申稿等方面内
5、容。由于与外网、内网之间有连接,故要采取严密的 保护措施。首先在公网和台内办公网、FTP服务器之间部署边界防火墙。防 火墙是整个系统对外的第一道屏障。防火墙一般设置在不同网段或不 同安全网域之间,可以是软件的,硬件的或者二者相互结合。防火墙 对流经它的网络通信进行扫描、检测和限制、过滤攻击,尽可能地对 外部屏蔽网络内部的安全保护。还可以关闭不使用的端口,指定特定 端口的单向通信,或是禁止来自特殊站点的访问,从而有效的防止来 自不明入侵者通信。通过 NAT (网络地址转换)技术,将受保护的 内部网络的特殊几台用于内外网传输的信息交换主机地址映射成防 火墙上设置的少数几个有效的公网IP地址,以对外
6、屏蔽内部网络结 构IP地址,保护内网的安全。其次,对整个办公网络的终端安装网络杀毒软件,并按时对杀毒软件进行更新,开启防火墙功能并定期进行查毒。网络版的杀毒服务 与单机版杀毒服务相比,最大的特点就是可以进行统一的管理和及时 病毒更新、杜绝漏杀,避免由于不能一次性的同时将局域网中的病毒 全部消灭干净,而造成大面积的染毒事件。再次在终端安装智能客户端软件,有效监控用户,用户拥有合法 的帐号才能上网,每次连接网络前自动对是否安排有杀毒软件, 杀毒 软件更新情况,操作系统补丁安装等情况进行检查, 对不符和安全策 略的拒绝网络访问。同时在网络中安装网络监控管理软件,实时监控 网内有故障的设备。2 .内外
7、网络交互区,可以理解为办公网和核心系统之间的节点, 在这个关键区域中,使用网闸来进行隔离连接。网闸与防火墙不同, 防火墙的初衷是保证网络连通的前提下提供有限的安全策略,而网闸就是在确保安全的前提下实现有限的数据交换, 网闸强调隔离,多采 用2+1的硬件设计形式,即内网主机+专用隔离硬件(隔离岛)+外 网主机。在数据达到一侧主机时,网闸对数据的每个层面进行检测, 符合规则的数据将被拆解,形成所谓的裸数据,交由专用的隔离硬件 摆渡到另一侧,摆渡的过程则采用非协议的方式,逻辑上内外主机在 同一时刻不存在连接,起到彻底切断协议连接的目的。当数据摆渡过 来后,再由另一侧主机对其进行应用层监测, 符合规则
8、的由该主机从 新打包将数据发送到目标主机。这样,再将摆渡范围设置允许已指定 的、有限类型的文件专有协议传输通过网闸, 就能有效的遏制病毒的 传播和攻击。3 .这部分包括了我台非时效性的相关业务生产网络,如综合节目 制作网络、维语节目制作网络以及以后专题演播室等网络。 这些都属 于实用相对频繁,技术水平相对成熟的网络,在安全性方面主要考虑 有三点:首先是物理安全。物理安全主要是:布线施工严格执行相关标准 和要求,保证施工质量;相关设备必须是经过测试、检验合格的国际 或国内知名品牌产品;核心设备必须做到冗余,包含关键设备冗余或 整个系统的冗余,实现高可靠性;其次是网络(交互)安全。网络安全考虑到整
9、个系统的安全运 行,数据流量的合理化,严格考核网络使用人员,做到正确操作,合 理使用,对中心存储的使用量进行严格控制, 做到有效存储容量达到 整体容量的60%,保证中心存储的安全运行。再次,将各制作终端的对外接口屏蔽,设置一台或几台统一对 外尚在的IT端口,由专业人员统一负责,检测安全后再传送到指定 的存储。最后是故障应急恢复机制,实现高可靠性故障应急恢复机制是要建立一套完善的故障应对措施,能够快速的对不同级别的故障进行正 确反映,最大程度的挽救事故造成的后果, 并对现有漏洞创建长期和 短期的解决方案。4 .主干平台是全台网络互联互通和管理控制媒资存储的核心,如 果出现问题,将影响板块之间的互
10、联互通,虽然各子网在设计时都考 虑了能够脱离主干平台独立运行,但对全台综合性业务会造成很大冲 击,因此安全性应当从系统物理架构和网络管理两方面考虑:首先,从系统物理架构上考虑,所有分系统之间应当部署硬件防 火墙,在主干平台上的交换机;线缆要合理分配,考虑到各个分系统 之间的数据流量,避免在使用高峰期造成瓶颈;关键设备要进行冗余, 如核心交换机与数据库服务器、ESBEMB服务器等确保关键链路、 设备的安全;布线时要考虑到备用线缆,在终端节点处安置跳线,避 免因为终端接线处出现问题造成整个线缆报废。在网络管理方面,首先使用 VLAN技术,将主干平台上的服务 器根据业务应用划分为不同的 VLAN ,
11、如数据库服务器划分为一个单 独的VLAN , EMB迁移服务器划分为一个独立的 VLAN等等,对不 同的VLAN之间的访问通过严格的策略进行控制;其次使用操作系 统异构,将数据库、应用服务器中间件等关键服务器部署到 UNIX或 LIUUX操作系统平台、提高安全性;在 ESB+EMB交换平台上,采 用单点统一认证,所有用户的账户密码必须在ESB+EMB交换平台上 同意创建,用户在子网中登陆时,会首先调用交换平台的账户进行认证服务,通过认证的用户则返回子令牌给子网进行正常登陆,这样可以避免整个网络的账户重复、密码混乱等状况,便于统一管理;在整 个主干平台上架构实时网络监控,实现对网络拓扑、网络流量
12、、网络 故障以及全台网业务流程的实时监控。5 .播出与新闻制播系统。我台数字化改造后新闻计划采用直播形 式,新闻因有其特殊的政治属性,所以新闻与播出是全台网络的安全 核心,具安全设计方面也是非常复杂和详尽的, 除了做到与以上几点 共有的安全部署外,还要从以下几点进行考虑:a.多重网络设计。在设计时将新闻制作、演播室播出等网络模块分 别设计,各模块之间相互独立、互不干扰,提高运行安全性。同时, 将同级别的汉语制作网络与新闻制作网络作为系统级的冗余。因为 我台汉语制作网络与新闻制作网络所使用的设备基本一致,我们在 汉语制作网络中心存储处划分出一块固定的存储空间,连接新闻制 作网络的迁移服务器,中间
13、采用USB摆渡手段进行隔离,定期对新 闻固定素材进行迁移更新,并在新闻直播模块处预留与汉语制作网 络中心存储的网络端口,同样适用USB摆渡手段进行隔离。这样在 新闻制作网出现网络故障时,第一时间能够在他网上制作、播出。b.多路径的传输通路,在播控端预留与所有模块的直通路径,这样 在主干线出现故障时,能够快速的连接子网中的节目内容,拷贝到 本地服务器中进行应急播出。c.在播出上采用三级播出存储:包括播出媒资、播出二级缓存、播出本地服务器。d.硬盘播出采用系统三级备份:即主 +备+机动备份,通过多级备份 提高不出系统的安全性e.播出系统的冗余,播出由两套系统组成,互为备份,同时增加一 套频道作为备份、应急播出。真正做到 24小时不停播。f.播出系统的监控;以串联单为核心,以业务流程为主线构建监控系 统,可以根据监控文件的运行状态,实现全面监控。g.设置新闻快速通道和新闻应急预案,将一切可能发生的情况都做一预案,能够实现紧急播出。h.在系统中设置杀毒软件,各模块接口处设置防火墙。四、结束语全台网的系统,根据各个电视台的规模大小、资金实力等各方面 因素,设计上也略有不同,无论设计多么详尽,使用人员、维护人员 时关键,只有在技术上做到安全稳定,人员操作上做到规范正确、网 络维护上做到定期全面,这样才能使全台网络正常运行。感谢你的观看