《【網(wǎng)站設(shè)計論文】廣電視頻網(wǎng)站網(wǎng)絡(luò)安全問題解決方案》由會員分享���,可在線閱讀���,更多相關(guān)《【網(wǎng)站設(shè)計論文】廣電視頻網(wǎng)站網(wǎng)絡(luò)安全問題解決方案(7頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1���、【網(wǎng)站設(shè)計論文】廣電視頻網(wǎng)站網(wǎng)絡(luò)安全問題解決方案
摘要:電視臺視頻網(wǎng)站是傳輸媒體信息的重要傳輸渠道���,良好的、安全的網(wǎng)絡(luò)環(huán)境有助于傳播好國家政策信息���,為廣大老百姓提供良好的信息渠道���,為用戶提供良好的業(yè)務(wù)體驗。本文依據(jù)現(xiàn)有視頻網(wǎng)站網(wǎng)絡(luò)環(huán)境存在的安全風(fēng)險進行全面評估���,對現(xiàn)有的安徽電視臺視頻網(wǎng)站提出四個層次���、六個方面的整改意見,使安徽廣播電視臺視頻網(wǎng)站成為更安全的網(wǎng)絡(luò)環(huán)境���,為傳播政策信息���、豐富百姓文化知識提供良好的安全保障���。廣播電視網(wǎng)絡(luò)安全關(guān)系國家安全,關(guān)系國計民生���,保證廣電網(wǎng)絡(luò)安全是保障廣播電視媒體有效���、有序、安全傳播給千家萬戶���。
關(guān)鍵詞:廣播電視網(wǎng)���;媒體;傳輸���;網(wǎng)絡(luò)安全
2���、
在廣播電視系統(tǒng)中所傳輸?shù)男畔⒎N類很多,以媒體的種類來區(qū)分可分為視頻���、音頻���、圖片���、數(shù)據(jù)等介質(zhì);從視頻網(wǎng)站中的各類應(yīng)用來看���,有電視節(jié)目直播、視頻點播���、多媒體信息查詢���、節(jié)目回看、大數(shù)據(jù)查詢以及其他媒體形式的專題等���;從傳輸手段看有網(wǎng)絡(luò)���、無線發(fā)射、有線電視���、微波傳輸���、衛(wèi)星傳輸?shù)龋纬伞疤斓匾惑w,星網(wǎng)結(jié)合”的立體傳輸網(wǎng)絡(luò)���,打通了傳輸方式全覆蓋���,實現(xiàn)信息、介質(zhì)傳輸?shù)亩嗲垒敵?��,為用戶多渠道獲取媒資信息提供了方便���。廣播電視網(wǎng)絡(luò)具有高帶寬、高速率���,多用途���,終端傳輸不對稱等良好特性,而廣播電視信息中的大視頻���,多語言等媒體信息在傳輸中需要較高質(zhì)量的傳輸媒介���。目前,安徽廣電視頻網(wǎng)站在傳輸媒資信息時���,直播
3���、還無法做到所有頻道的全覆蓋���,點播所有欄目、所有期數(shù)無法全留存���,遇到節(jié)假日或者特別直播時���,網(wǎng)絡(luò)出現(xiàn)卡頓���、無法打開等現(xiàn)象���,視頻網(wǎng)站受到攻擊風(fēng)險激增,用戶人數(shù)���、業(yè)務(wù)在增加���,所以需要對安徽廣播電視臺視頻網(wǎng)站網(wǎng)絡(luò)安全面臨的風(fēng)險進行評估并逐步解決。
1安徽廣播電視臺視頻網(wǎng)站網(wǎng)絡(luò)安全面臨的系統(tǒng)安全風(fēng)險
從整體來看���,安徽廣播電視臺視頻網(wǎng)站網(wǎng)絡(luò)系統(tǒng)高安全風(fēng)險主要出現(xiàn)在以下三個層面:
1.1網(wǎng)絡(luò)層面
由于網(wǎng)絡(luò)系統(tǒng)訪問控制策略設(shè)計的不合理或缺乏一些嚴格的網(wǎng)絡(luò)安全產(chǎn)品(如防火墻���、IDS���、防病毒、業(yè)務(wù)監(jiān)控網(wǎng)關(guān)等)���,導(dǎo)致外部互聯(lián)網(wǎng)上的黑客或病毒可以趁隙入侵或
4���、破壞,影響整個廣電服務(wù)的資訊提供質(zhì)量���。視頻網(wǎng)站網(wǎng)絡(luò)安全影響廣播電視媒體正常傳播���,所以,在網(wǎng)絡(luò)層面必須制定策略確保網(wǎng)絡(luò)安全���,網(wǎng)絡(luò)安全威脅一直威脅著安徽臺視頻網(wǎng)絡(luò)的安全傳輸���,一旦發(fā)生網(wǎng)絡(luò)病毒大肆攻擊,威脅著網(wǎng)絡(luò)安全���,影響千家萬戶對廣播電視媒體的正常使用���。確保網(wǎng)絡(luò)層面安全關(guān)系重大���,把控好網(wǎng)絡(luò)層安全,保證視頻網(wǎng)站的正常傳輸���。
1.2系統(tǒng)層面
由于網(wǎng)絡(luò)設(shè)備和服務(wù)器操作系統(tǒng)的安全漏洞頻繁出現(xiàn)���,利用這些漏洞的入侵工具和病毒(蠕蟲)等攻擊手段也隨之產(chǎn)生,導(dǎo)致安徽廣播電視臺視頻網(wǎng)站存在隨時被黑客入侵或蠕蟲爆發(fā)的可能���。系統(tǒng)層面的威脅可能是存在于系統(tǒng)根上,也有可能存在于外界的入侵���。對
5���、于系統(tǒng)根上的基因自帶的漏洞需要及時彌補漏洞,補丁���,短板需要及時堵?��?��;對于來自外界的入侵需要做到嚴加防范與系統(tǒng)監(jiān)管。
1.3管理層面
安全事件發(fā)生的主要原因往往是安全管理問題���,缺乏有效的安全管理制度���、安全制度執(zhí)行與監(jiān)督不力、沒有統(tǒng)一的安全策略���、沒有嚴格的機房管理制度等���,一系列不嚴格措施均可能導(dǎo)致內(nèi)部人員工作松懈,為外部黑客的攻擊創(chuàng)造了條件���,甚至內(nèi)部人員惡意的竊聽���、破壞、偷竊信息等���。管理層面的疏忽成為現(xiàn)如今發(fā)生網(wǎng)絡(luò)安全威脅的重要原因���。安全管理制度的制定與有效的執(zhí)行是防范安全事件發(fā)生的有效辦法���。做到日查、登記備案���、應(yīng)急演習(xí)都能夠有效防范安全事件的發(fā)生���。制定有效的安全管
6、理制度���、有效的執(zhí)行���、良好的機房管理環(huán)境、強大的維保隊伍需要在管理層面下功夫���,做到管理層面的不疏忽���、不懈怠���,及時高效保障網(wǎng)絡(luò)安全���。針對安全風(fēng)險出現(xiàn)的三個層面的剖析���,經(jīng)過前期對廣電整體網(wǎng)絡(luò)拓撲的分析,目前安徽臺視頻網(wǎng)站的網(wǎng)絡(luò)安全風(fēng)險主要存在于如下幾方面:(1)網(wǎng)絡(luò)出口現(xiàn)有安全設(shè)備的抗攻擊性能難以滿足安全需求���,一旦發(fā)生大規(guī)模的網(wǎng)絡(luò)攻擊(如各種DDOS攻擊等)時容易出現(xiàn)流量擁塞甚至癱瘓���,導(dǎo)致業(yè)務(wù)不可用;(2)安徽省廣電IP承載網(wǎng)互聯(lián)網(wǎng)出口缺乏針對應(yīng)用層攻擊的檢測及防御能力���,此類攻擊的典型特點是以小搏大���,即使很小流量的攻擊,也會造成業(yè)務(wù)不可用���;(3)視頻網(wǎng)站接入互聯(lián)網(wǎng)���,需要超強的辨別識別能力,必須時刻了
7���、解跑在網(wǎng)絡(luò)上的各種業(yè)務(wù)帶寬的使用情況以及流量情況���,只有這樣才能傳輸大量數(shù)據(jù)內(nèi)容���,特別是媒體信息,才能保證老百姓網(wǎng)絡(luò)環(huán)境正常���,保證各種業(yè)務(wù)的正常開展以及良好的用戶體驗���;(4)因為無限制的P2P、在線視頻等新興業(yè)務(wù)對廣電網(wǎng)絡(luò)帶來的電信業(yè)務(wù)收入���、帶寬利用等威脅���,所以,視頻網(wǎng)站網(wǎng)絡(luò)必須對使用的業(yè)務(wù)所需的網(wǎng)絡(luò)環(huán)境進行控制和管理���,只用做到良好監(jiān)管���,有序分布使用,才能確保廣播電視網(wǎng)絡(luò)的服務(wù)質(zhì)量���。根據(jù)對安徽省廣電系統(tǒng)信息安全風(fēng)險分析和需求分析���,在國家對信息安全各種政策的要求下,保證現(xiàn)有各類業(yè)務(wù)信息正常運行的前提下���,以現(xiàn)代信息安全保障體系為理論基礎(chǔ)���,運用最新的安全保護技術(shù)、國家標準���、網(wǎng)絡(luò)安全技術(shù)規(guī)范為架構(gòu)���,為保
8、障廣播電視網(wǎng)網(wǎng)絡(luò)安全提出以下解決方案���。
2整體安全解決方案
根據(jù)安徽廣電系統(tǒng)高可靠性和高安全性要求���,對廣電互聯(lián)網(wǎng)出口進行綜合安全防護,需要部署六套系統(tǒng):
2.1部署一套DDOS防護系統(tǒng)
拒絕服務(wù)攻擊DOS是當(dāng)前Internet最流行的攻擊手段���,拒絕服務(wù)攻擊是通過制造大量非法流量���,占用大量系統(tǒng)服務(wù)資源以達到耗盡帶寬為目的���,使正常網(wǎng)絡(luò)業(yè)務(wù)無法正常開展的一種攻擊手段。拒絕服務(wù)攻擊具有攻擊方式簡單粗暴���,迅速達到目的���,而且很難防范與源頭追蹤等特點。所以���,在現(xiàn)如今的在網(wǎng)絡(luò)上開展的如電子商務(wù)���、電子政務(wù)、電子銀行等一系列網(wǎng)絡(luò)服務(wù)���,都有可能通過這種
9���、攻擊方式使業(yè)務(wù)無法正常開展,給國家���、公司���、人民造成巨大損失���,耗費大量人力���、物力���、財力。所以���,需要嚴加防范這種網(wǎng)絡(luò)攻擊���。DDOS即分布式拒絕服務(wù)[1],攻擊指借助客戶/服務(wù)器技術(shù)���,將多個計算機聯(lián)合起來作為攻擊平臺���,對一個或多個目標發(fā)動DOS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力���。所以���,需要在現(xiàn)有廣電網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接的邊界處部署一套可支持多種類DDOS攻擊的準確識別和控制系統(tǒng)���,不僅可以做到對攻擊的準確識別,還可以提高對蠕蟲病毒流量的識別能力���,從而提高系統(tǒng)的安全防范能力���。該DDOS防御系統(tǒng)包括三部分,監(jiān)測及分析中心���,控制及清洗中心和安全管理中心���,三個中心互聯(lián)互動,可實現(xiàn)自動檢測���,識別攻擊自動或手動引
10���、流清洗,統(tǒng)計分析報表定期生成���。
2.2部署一套業(yè)務(wù)監(jiān)控系統(tǒng)
通過DPI技術(shù)[2]對網(wǎng)絡(luò)流量進行深入?yún)f(xié)議分析���,把控好網(wǎng)絡(luò)流量對于業(yè)務(wù)區(qū)分以及業(yè)務(wù)所需要的網(wǎng)絡(luò)流量的質(zhì)量控制���。并且,通過對業(yè)務(wù)流量統(tǒng)計數(shù)據(jù)進行深入挖掘���,更深入地了解網(wǎng)絡(luò)使用情況���,如用戶使用寬帶的習(xí)慣���、方式等���。業(yè)務(wù)監(jiān)控系統(tǒng)的部署對于業(yè)務(wù)流量的分配調(diào)動起到了及時的監(jiān)視作用,有了一套業(yè)務(wù)監(jiān)控系統(tǒng)可以為現(xiàn)有的網(wǎng)絡(luò)環(huán)境提供優(yōu)化改造意見���,也可以為開辟新業(yè)務(wù)以及增值業(yè)務(wù)提供指導(dǎo)意見���。所以,需要部署一套業(yè)務(wù)監(jiān)看系統(tǒng)���。
2.3部署一套互聯(lián)網(wǎng)緩存系統(tǒng)
對于廣電網(wǎng)絡(luò)傳輸?shù)囊曨l���、圖片���、音頻等大數(shù)
11、據(jù)量內(nèi)容���,保證用戶使用的流暢度與所有業(yè)務(wù)的質(zhì)量���,使網(wǎng)絡(luò)“不卡”業(yè)務(wù)“不頓”,特別是緩存系統(tǒng)中的調(diào)度子系統(tǒng)運用了負載均衡���、熱點內(nèi)容搜索管理調(diào)度以及緩存記錄搜索等技術(shù)���,能夠引導(dǎo)請求用戶和已經(jīng)緩存過的數(shù)據(jù)設(shè)備發(fā)生數(shù)據(jù)交換,增加已緩存數(shù)據(jù)設(shè)備使用率���。另外���,無限制的P2P、在線視頻等新興業(yè)務(wù)對當(dāng)前帶寬超負荷使用等威脅���。所以���,需要一個高速���、優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。做到網(wǎng)絡(luò)的優(yōu)質(zhì)���、高速需要部署一套互聯(lián)網(wǎng)緩存系統(tǒng)���,采用分析定向、自動緩存���、精確調(diào)度和速度搜索等技術(shù),將占用總出口帶寬60%~80%的P2P流量���、在線視頻以及大文件下載流量本地化���,進而達到節(jié)省出口帶寬、降低網(wǎng)間結(jié)算費用���、提高網(wǎng)絡(luò)利用效率���、降低網(wǎng)絡(luò)運營成本���,最
12、終實現(xiàn)廣電網(wǎng)優(yōu)質(zhì)高速���,提升用戶使用的流暢度以及所有業(yè)務(wù)的高質(zhì)量開展���。
2.4部署一套日志管理系統(tǒng)
在信息管理系統(tǒng)中,日志是指對計算機設(shè)備運行中重要活動或事件的完整記錄和描述���,它能夠記錄信息系統(tǒng)內(nèi)發(fā)生的動作和行為���,向外界展示信息系統(tǒng)運作的完整軌跡和本質(zhì)。幫助網(wǎng)管實現(xiàn)日志統(tǒng)一管理���,系統(tǒng)能夠采集���、過濾、歸并���、分析���、存儲���、監(jiān)控并上報成專業(yè)的防火墻會話日志,并支持發(fā)送告警和輸出報表���。形成完整的上報日志對系統(tǒng)內(nèi)發(fā)生任何行為做到有跡可查���、有跡可循、有事可報���,這對于解決系統(tǒng)問題以及業(yè)務(wù)起到非常重要的作用���。并且,以報表的形式可以做到問題的溯源以及備案���,為后續(xù)問題的查證與追責(zé)提供重
13、要依據(jù)���。本次部署的日志管理系統(tǒng)可以針對網(wǎng)絡(luò)出口處的防火墻和服務(wù)器防火墻進行統(tǒng)一的日志分析���,以檢測當(dāng)前網(wǎng)絡(luò)中的最新攻擊類型。
2.5部署一套安全管理平臺
隨著廣電信息化深入,網(wǎng)絡(luò)規(guī)模逐漸擴大���,所使用的網(wǎng)絡(luò)及安全設(shè)備逐漸增多���,如何更好更方便地對網(wǎng)絡(luò)及安全設(shè)備進行管理,是每個使用者優(yōu)先考慮的問題���。然而���,網(wǎng)絡(luò)設(shè)備的管理又存在設(shè)備類型復(fù)雜、管理信息多樣性等問題���,如何更好地解決這些問題���,網(wǎng)絡(luò)管理就顯得尤為重要。統(tǒng)一安全網(wǎng)管系統(tǒng)[3]要支持全系列安全設(shè)備和主流網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)拓撲管理���、故障排查管理���、網(wǎng)元管理、設(shè)備性能管理���、集中策略配置管理���、VPN管理等一系列功能���。安全管理平臺需
14、要能夠直觀展現(xiàn)網(wǎng)絡(luò)架構(gòu)���,幫助管理員快速定位網(wǎng)絡(luò)故障���,提升管理能力,提高工作效率���,降低維護成本���,為用戶提供一個對全網(wǎng)設(shè)備高效管理的平臺。
2.6在網(wǎng)絡(luò)出口位置部署一套功能強大的防火墻
現(xiàn)網(wǎng)絡(luò)出口位置的網(wǎng)絡(luò)防火墻暫時能夠滿足當(dāng)前用戶數(shù)的安全需求���,但隨著用戶數(shù)量的不斷增加���,現(xiàn)有的網(wǎng)絡(luò)防火墻性能逐漸達不到需求���,所以���,需要考慮布置新型防火墻���。布置新型防護墻的性能需求有強大的入侵防御功能、反病毒功能���、強大的GTP保護功能���、IDS聯(lián)動等主要功能。(1)強大的入侵防御功能需求:傳統(tǒng)的IPS策略[4]是通過分析現(xiàn)有系統(tǒng)的漏洞以及對已有攻擊方式引發(fā)的攻擊事件進行特征提取���,進而制定防
15���、御規(guī)則。比如:防范有針對性的操作系統(tǒng)漏洞攻擊���、針對郵箱服務(wù)器漏洞攻擊���、文件服務(wù)器攻擊、瀏覽器漏洞攻擊等���。對當(dāng)下大多數(shù)的木馬���、蠕蟲���、間諜軟件等能夠進行很好的防御與檢測。針對現(xiàn)有的防火墻功能缺陷需要IPS能夠識別運行于非知名端口的常用數(shù)據(jù)流類型以及對于特定介質(zhì)流量減少誤報���。(2)反病毒功能:反病毒功能指支持郵件傳輸協(xié)議SMTP���、POP3,網(wǎng)頁協(xié)議HTTP的傳輸數(shù)據(jù)掃描中做到病毒的刪除操作或者向用戶發(fā)送通過���。但現(xiàn)防火墻對10種以上���、多層壓縮文件、對病毒進行加殼操作的壓縮文件進行掃描時發(fā)現(xiàn)病毒能力較弱���。所以���,需要部署新防火墻具有對病毒具有脫殼操作能力,并且對文件類別具有智能識別功能���。(3)強大的GTP
16���、保護功能[5]:部署在Gn、Gp和Gi接口進行GTP安全防范功能需要有支持R97GTP���、R99GTP���、GTP協(xié)議、報文分析控制能力以及按照規(guī)則對報文進行過濾的能力���;在路由模式和透明模式兩種工作模式下工作���;能夠解決GTP隧道的限制、能夠檢測GTP隧道信息���、GTP隧道雙機熱備功能���;支持分片緩存功能等。(4)IDS聯(lián)動[6]是指IDS設(shè)備能自動偵聽整個網(wǎng)絡(luò)中是否存在惡意攻擊���、入侵或其他安全隱患行為���,通過下發(fā)指令的方式通知統(tǒng)一安全網(wǎng)關(guān)���,由統(tǒng)一安全網(wǎng)關(guān)對攻擊報文進行丟棄或其他處理。運用IDS聯(lián)動的方式來防范惡意攻擊���,是將惡意攻擊分為入侵檢測和攻擊處理兩個過程分量后進行處理���,充分發(fā)揮各設(shè)備的優(yōu)勢,改善系統(tǒng)
17���、性能���。通過和IDS設(shè)備聯(lián)動,統(tǒng)一安全網(wǎng)關(guān)可以提供一種高可靠的主動防御模型和安全解決方案���。用戶優(yōu)先配置好靜態(tài)的安全性能配置信息���,通過IDS設(shè)備可以動態(tài)發(fā)現(xiàn)安全隱患,通過統(tǒng)一安全網(wǎng)關(guān)設(shè)備修改安全策略���,起到實時���、動態(tài)的修改防御策略���,保證整網(wǎng)的安全���。要有靈活的聯(lián)動接口協(xié)議���,可以和很多IDS設(shè)備互通,方便支持各種IDS設(shè)備和統(tǒng)一安全網(wǎng)關(guān)聯(lián)合工作���。
3結(jié)語
為應(yīng)對眾多網(wǎng)絡(luò)不安全因素���,本文提出的解決方案包含外網(wǎng)出口、入侵檢測和日志審計���,同時提供了統(tǒng)一的安全管理中心各模塊���,可以有效解決當(dāng)前視頻網(wǎng)站面臨的問題。在廣電行業(yè)產(chǎn)業(yè)化改造的歷史機遇面前���,建立一個高起點���、高技術(shù)含量���、多功能
18、���、智能化并具有良好擴展性的綜合信息平臺至關(guān)重要���。讓安徽電視臺視頻網(wǎng)絡(luò)信息高速、優(yōu)質(zhì)地通往千家萬戶���,讓廣電網(wǎng)絡(luò)能夠高效傳遞信息���,成為百姓獲取信息咨詢、豐富文化知識的良好載體���,成為國家信息基礎(chǔ)建設(shè)以及現(xiàn)代化信息服務(wù)的重要組成部分���。
參考文獻:
[1]于躍.基于安全路由聯(lián)盟DD0S攻擊防御機制[D].保定:河北大學(xué),2018.
[2]李婷婷.DPI技術(shù)在廣電IP化檢測系統(tǒng)中的應(yīng)用[J].廣播與電視技術(shù),2019(9):124-127.
[3]翟綱.基于SNMPv3的安全網(wǎng)管技術(shù)研究[D].成都:西南交通大學(xué),2003.
[4]譚菲菲.入侵防御系統(tǒng)(IPS)專利技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2018(8):121-122.
[5]李俊鳳.基于ENP-2611的GTP防火墻的設(shè)計與實現(xiàn)[J].湖南郵電職業(yè)技術(shù)學(xué)院學(xué)報,2016(3):42-44,75.
[6]張艷.防火墻與IDS聯(lián)動的網(wǎng)絡(luò)安全技術(shù)應(yīng)用研究[J].電腦知識與技術(shù),2012(13):3050-3051.
【網(wǎng)站設(shè)計論文】廣電視頻網(wǎng)站網(wǎng)絡(luò)安全問題解決方案
