摘 要：電視臺網(wǎng)絡化給電視臺節(jié)目制作、播出、存儲和媒體資產(chǎn)的充分利用帶來了極大的便捷，提高了工作效率，提升了節(jié)目質量，但隨著業(yè)務平臺的拓展和網(wǎng)絡技術的飛速發(fā)展，原有的安全保障體系已不能滿足要求。本文將根據(jù)縣級電視臺網(wǎng)絡安全的特點，分析影響縣級電視臺網(wǎng)絡安全的主要因素，提出實現(xiàn)全臺網(wǎng)安全建設的具體解決方案，為電視臺營造安全的網(wǎng)絡環(huán)境。

　　關鍵詞: 網(wǎng)絡安全,全臺網(wǎng),安全體系,防病毒

　　引 言

　　近幾年來，國內各級電視臺都在逐步實現(xiàn)數(shù)字化，網(wǎng)絡化的改造，網(wǎng)絡化將傳統(tǒng)電視臺集成內容產(chǎn)業(yè)的優(yōu)勢和技術手段的先進性融為一體，提高電視臺的綜合競爭能力。

　　縣級電視臺在得益于網(wǎng)絡加快業(yè)務運作的同時,其網(wǎng)絡化的安全性也遭到了不同程度的挑戰(zhàn)。現(xiàn)代網(wǎng)絡環(huán)境是建立在飛速發(fā)展的開放網(wǎng)絡環(huán)境中，開放的環(huán)境既為電視臺提供與外界進行交互的窗口，同時也使網(wǎng)絡面臨種種威脅、風險：病毒、黑客、系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、違規(guī)不安全操作設置等行為所造成的損失都是不可估量，如何營造一個良好的、有序的、可靠的縣級電視臺全臺網(wǎng)安全建設是一個迫在眉睫的問題。下面就有關于縣級電視臺全臺網(wǎng)問題淺析本人的看法。

　　1縣級電視臺網(wǎng)絡安全的特點

　　縣級電視臺網(wǎng)絡不同于普通局域網(wǎng)，它具有以下幾個特點：

　　1.1.網(wǎng)絡負載能力大

　　電視臺網(wǎng)絡傳輸?shù)幕旧鲜腔贛PEG-2或MPEG-4格式的視頻流，很多時效性強的新聞必須能在當天上傳下達，網(wǎng)絡數(shù)據(jù)流量相對較大，因此要求網(wǎng)絡有足夠的吞吐量，保證信息高質量、高效率地傳輸。

　　1.2.節(jié)目播出的安全要求高

　　廣播電視行業(yè)作為黨和國家的重要喉舌，播出安全受到各級領導和市民的高度重視。對于一個電視臺來說無論規(guī)模和覆蓋面的大小，系統(tǒng)安全性和播出安全性都是我們必須首要考慮的問題。

　　1.3.網(wǎng)絡穩(wěn)定性強

　　電視臺不僅要把播出安全性放在首位，還要把整個系統(tǒng)的安全運營放在極重要的地位，包括系統(tǒng)的整體安全、播出安全、各個子系統(tǒng)的安全性。為保證電視節(jié)目“高質量、不間斷”的播出要求，必須保證網(wǎng)絡的穩(wěn)定。

　　2縣級電視臺網(wǎng)絡安全威脅分析

　　縣級電視臺網(wǎng)絡安全威脅主要來自外部網(wǎng)絡和內部網(wǎng)絡。外部威脅是指網(wǎng)絡與外界互通引起的安全問題，有入侵、病毒、惡意代碼與攻擊等。內部威脅是指網(wǎng)絡的合法用戶在使用網(wǎng)絡資源的時候，發(fā)生的不合規(guī)的行為、誤操作、惡意破壞等行為

　　對網(wǎng)絡安全的威脅主要表現(xiàn)在：非授權訪問、冒充合法用戶破壞系統(tǒng)和數(shù)據(jù)的有效性和完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡傳播病毒、截獲、竊取、破譯以獲得重要機密信息等方面。

　　安全威脅主要利用以下途徑：系統(tǒng)存在的漏洞、系統(tǒng)安全體系的缺陷、工作人員安全意識、安全知識、安全技能匱乏，導致安全策略不能真正的得到很好的落實

　　3電視臺全臺網(wǎng)安全體系

　　根據(jù)對電視臺網(wǎng)絡安全威脅的分析，不同網(wǎng)絡面臨的安全風險不同.對安全防護的需求不同.在全臺網(wǎng)系統(tǒng)建設中要充分考慮以太網(wǎng)安全性。在網(wǎng)絡安全體系下可為全臺網(wǎng)系統(tǒng)提供端到端的安全保障機制，最大程度的保證網(wǎng)絡層面的安全。

　　網(wǎng)絡的安全是一個動態(tài)的概念。網(wǎng)絡的動態(tài)安全模型能夠提供給用戶更完整、更合理的安全機制，全網(wǎng)動態(tài)安全體系可由下面的公式概括：

　　網(wǎng)絡安全 = 風險分析 + 制定策略 + 防御系統(tǒng)+ 實時監(jiān)測 + 實時響應 + 災難恢復

　　即：網(wǎng)絡的安全是一個“APPDRR”的動態(tài)安全模型。

　　上圖的安全模型為網(wǎng)絡建立了四道防線：安全保護是網(wǎng)絡的第一道防線，能夠阻止對網(wǎng)絡的入侵和危害;安全監(jiān)測是網(wǎng)絡的第二道防線，可以及時發(fā)現(xiàn)入侵和破壞;實時響應是網(wǎng)絡的第三道防線，當攻擊發(fā)生時維持網(wǎng)絡“打不垮”;恢復是第四道防線，使網(wǎng)絡在遭受攻擊后能以最快的速度“起死回生”，最大程度上降低安全事件帶來的損失。

　　安全防范系統(tǒng)不是一個簡單、孤立的系統(tǒng)，它是由各個層次軟硬件及管理規(guī)范組成的聯(lián)動防范體系。

　　3.1. 對于全臺網(wǎng)內網(wǎng)安全，網(wǎng)絡不僅要采用傳統(tǒng)的邊界防火墻、IDS、防殺病毒系統(tǒng)等傳統(tǒng)的網(wǎng)絡邊界安全防護技術，而且要對來自網(wǎng)絡內部的安全威脅、來自移動設備的安全威脅進行防護;在用戶層上解決用戶的身份識別、驗證授權、服務授權的安全問題。

　　3.2.對于來自全臺網(wǎng)系統(tǒng)外部的訪問，包括通過專用網(wǎng)和Internet接入的遠程用戶，采用不同的安全服務等級和策略，既可以實現(xiàn)外部合法用戶對內部網(wǎng)絡的訪問，避免對內部網(wǎng)絡和Internet服務器的攻擊，也可以防范內部用戶對服務中心的未授權訪問、機密竊取和服務攻擊。

　　3.3. 針對攻擊的特點采用核心交換機集成的防火墻特性和IDS(入侵檢測系統(tǒng))實現(xiàn)對攻擊的檢測和全面防御，降低攻擊者對網(wǎng)絡攻擊的可能性;此外，防火墻、IDS系統(tǒng)等能夠做到對攻擊日志、過濾日志、NAT日志等的分析審計

　　3.4.采用集中管理、策略服務管理，杜絕網(wǎng)絡漏洞。對全臺網(wǎng)系統(tǒng)內外網(wǎng)絡不同的機密等級安全層次，采用不同的安全措施，對于網(wǎng)絡提供用戶精細認證授權、防火墻防御和入侵檢測、策略服務集中管理。

　　4安全實現(xiàn)手段

　　電視臺網(wǎng)通常由多個業(yè)務板塊和子網(wǎng)構成，例如實現(xiàn)節(jié)目播出的播出網(wǎng)絡、實現(xiàn)節(jié)目生產(chǎn)的制作網(wǎng)絡、實現(xiàn)辦公及節(jié)目生產(chǎn)管理的辦公網(wǎng)絡、實現(xiàn)平臺及業(yè)務監(jiān)控的監(jiān)控網(wǎng)絡等。根據(jù)各板塊的業(yè)務特點，在網(wǎng)絡上劃分多個安全區(qū)域：

　　4.1以太網(wǎng)方面：

　　4.1.1在核心交換機上部署集成的防火墻、IDS、VPN業(yè)務模塊，來控制和檢測接入核心交換機的所有端口數(shù)據(jù)流量。相對于獨立的防火墻和IDS設備，具有更好的吞吐率、可管理性。減少傳輸?shù)臅r延，更適合視音頻數(shù)據(jù)傳輸。

　　4.1.2與外網(wǎng)的連接，利用獨立的防火墻和防毒墻設備來實現(xiàn)訪問控制。

　　4.1.3通過合理劃分VLAN區(qū)域，形成虛擬局域網(wǎng)，通過訪問控制策略控制各個子系統(tǒng)之間的數(shù)據(jù)訪問。

　　4.2高安全區(qū)域安全設計

　　高安全區(qū)是獨立于生產(chǎn)網(wǎng)絡，它被置于生產(chǎn)網(wǎng)和辦公網(wǎng)相交的邊界位置.一方面將生產(chǎn)網(wǎng)與辦公網(wǎng)隔離以防止互聯(lián)網(wǎng)中黑客利用漏洞等攻擊手進入生產(chǎn)網(wǎng)絡，另一方面又完成數(shù)據(jù)的中轉，在安全策略的控制下進行內外網(wǎng)的數(shù)據(jù)交互。

　　高安全區(qū)域的詳細訪問控制機制如下圖。

　　辦公網(wǎng)絡是電視臺綜合信息管理的系統(tǒng)，它與互聯(lián)網(wǎng)連接，因此感染病毒或者受到攻擊的可能性較高。同時辦公網(wǎng)的區(qū)域范圍大，終端設備多，管理相對寬松。因此對生產(chǎn)網(wǎng)而言，辦公網(wǎng)是危險的、不信任的、不可控的。

　　由于生產(chǎn)網(wǎng)與辦公網(wǎng)之間存在大量的交互需求，基于生產(chǎn)網(wǎng)安全的考慮我們在全臺網(wǎng)系統(tǒng)中設置專門的高安全區(qū)域，如圖 2 高安全區(qū)連接參考圖所示，高安全區(qū)即起到隔離和緩沖的作用。架起辦公業(yè)務系統(tǒng)訪問全臺網(wǎng)制播網(wǎng)絡系統(tǒng)的橋梁，所有辦公網(wǎng)絡來的請求都訪問高安全區(qū)域的應用服務器。

　　來自辦公網(wǎng)絡的數(shù)據(jù)經(jīng)過核心交換機的防火墻端口，經(jīng)過核心交換機內置的入侵檢測監(jiān)視，再通過訪問規(guī)則約束，經(jīng)過防毒墻的檢測，然后進入高安全區(qū)域指定的服務器。高安全區(qū)域對應的站點得到請求以后，查詢核心數(shù)據(jù)庫，按原路反饋響應信息給辦公網(wǎng)站點。

　　5防病毒

　　隨著Internet和廣域網(wǎng)的廣泛應用，病毒傳播的速度越來越快，如何有效的病毒防護控制，自動實時升級病毒庫以確保整個網(wǎng)絡的安全，將是我們需要解決的另外一個問題。

　　采用集中管理，分級防范設計思想。針對電視臺生產(chǎn)網(wǎng)絡，應部署網(wǎng)絡版防病毒軟件和硬件防毒墻相結合的方案。

　　防病毒系統(tǒng)最重要的是兩個方面：

　　4.3.1病毒定義庫如何最快更新。在辦公網(wǎng)中設置專用的病毒庫更新服務器，通過防火墻連接到廠商病毒庫更新服務器，根據(jù)策略服務器自動更新病毒庫。然后此病毒更新服務器通過防火墻專用的端口，同步更新支撐平臺中的防病毒管理服務器，然后分發(fā)到各個子系統(tǒng)中的防病毒服務器和工作站。

　　4.3.2網(wǎng)絡防病毒系統(tǒng)的管理。生產(chǎn)網(wǎng)中的防病毒面臨眾多的站點，因此，需要采用集中和分布結合的管理模式來實現(xiàn)對防病毒系統(tǒng)的管理。

　　6小結

　　縣級電視臺實現(xiàn)全臺網(wǎng)安全建設有利于實現(xiàn)對新聞、播出等關鍵業(yè)務的重點保護和有效保護，增強安全保護的整體性、針對性和實效性，對于如何解決好網(wǎng)絡安全問題一個永遠說不完的話題，我們要清醒認識到任何網(wǎng)絡安全和數(shù)據(jù)保護的防范措施都是有一定的限度，一勞永逸的網(wǎng)絡安全體系是不存在的。網(wǎng)絡安全需要我們每一個人的參與。

　　參考文獻：

　　[1] 袁津生，昊硯農(nóng)，計算機網(wǎng)絡安全基礎，北京：人民郵電出版社，2002

　　[2] 蔡立軍.計算機網(wǎng)絡安全技術.合肥：中國水利水電出版社，2002

　　[3]丁國祥. 安徽電視臺全臺網(wǎng)安全體系中若干關鍵技術的應用. 現(xiàn)代電視技術，2009, 4