广电网络安全加固浅谈

访客:17119  发表于:2015-03-05 14:03:13

     在我国, 广播电视是党和政府的“喉舌”,是联系政府和人民的桥梁和纽带,是社会主义精神文明建设的重要阵地,肩负着社会舆论宣传的重要责任,安全播出是广电的生命线。

  随着技术的不断发展,广电从最早的无线广播、闭路电视发展到单向HFC模拟信号传输,随着数字化技术的引入,再从单向数字电视发展到今天的双向互动业务,显示终端已经从单一电视发展到电视、PC、PAD、手机等多种终端。广电在给人们群众带来更丰富的业务体验的同时,对安全播出的要求也在不断提高。

  在过去广电采用模拟信号传播时,不法分子非法攻击和破坏广播电视传输系统采用的攻击方式以破坏电视传输设施,非法插播,干扰广电信号为主,主要为物理层攻击破坏。随着广电数字化、双向化的改造,不法分子的攻击手段更加的多样化,L2~L7层的攻击逐步增多,老革命遇到新问题,广播电视安全播出已经开始从重点防范非法攻击破坏(不能断)提升到防止播出内容篡改,保障设备安全运行(不能乱)的高度,广播电视安全播出管理的重要性日益凸显。

  数字化改造后的广电业务系统众多,广电的安全建设往往是随着业务系统的上线,针对关键业务系统独立的进行安全防护,呈现烟囱式布局,而随着业务系统关联度不断增强,攻击方式的多样化,广电网络的结构更加复杂,单个系统的安全问题极易扩散到其他系统,系统化的安全防护日益困难。广电原有单一关键点的安全控制已经不能满足要求,广电安全需要系统化的规划建设。从广电内网安全广电城域网网安全均需要系统的考虑。

  广电内网系统化的安全建设要分四步走:

  一、安全域划分:将广电各个业务系统及流程进行梳理,将具有相同或相近的安全属性(价值、威胁和风险)的业务系统划分成一个安全域,每个安全域具有一致的安全等级和策略,简化整个网络结构,便于设计后续的安全防护体系,

  二、网络核心整合,FW安全控制到边界:通过高性能防火墙、模块化插卡+虚拟化技术,使得每个区域都有独立的FW分布式部署,实现安全到边界,未来,在服务器侧云虚拟化之后,现有的高性能防火墙通过简单的配置调整就可以满足新的要求。

  三、提升防御层次:对于关键区域如互联网接入区域、以及部分关键服务器区域的L4-L7层的深度安全防护,同时配套安全日志审计系统,对安全信息进行记录,便于日后溯源。

  四、加强用户终端接入控制:长期以来,对于网络安全问题,我们通常认为安全问题主要源于外面因素,于是寄希望于在互联网接入处,把病毒和攻击挡在门外,就可安全无忧,殊不知,有许多重大的网络安全问题正是由于内部人员引起,由于广电员工安全意识薄弱,PC终端经常出现未打补丁、未安装防病毒、弱口令、安装非法软件、违反广电系统安全策略等事件;不同子系统的终端混用现象严重,容易发生非法访问和信息泄漏。广电外部人员随意接入网络,也存在非法访问、泄露、篡改、病毒传播的风险,所以针对广电用户和外部用户接入,需要实现差异化的安全控制策略,并实现端点的健康检查和自动补丁升级。生产业务终端和OA业务终端做端点准入系统再接入服务器,通过不同的Domain域来进行用户划分并设置差异化的访问控制策略。

  在广电内网安全加固以外,也不能忽视城域网安全,广电接入网需要为高清机顶盒提供VoD、OTT视频服务,使得广电业务平台整体处于一张大的承载网络中,终端黑客通过PC接入后使用端口扫描工具即可发现,若接入网络不做相应的安全策略控制及防护措施,很容易被攻破,从而造成严重的网络安全事故。

  一般黑客常用攻击手段,通过端口扫描工具扫描出在网设备、服务器的IP及其开放的端口(常用TCP80、23等),通过各种方式尝试获取设备、服务器的控制权限,获取到权限后通过设备作为跳板攻击广电内网、窃取机密数据,对广电视频服务器进行攻击。

  所以终端控制与业务分离是广电城域网安全加固的重要手段。

  一、用户接入终端控制:广电城域网增加BRAS设备,将机顶盒MAC地址、IP地址等信息进行绑定,只有合法机顶盒用户才能访问,杜绝非法攻击源接入广电网络。

  二、视频业务分离:将VOD视频业务彻底从城域网中剥离出来,组建独立的VOD视频承载网,点播信令通过安全设备进行过滤,提升整网安全水平。

  目前,杭州华三通信已拥有覆盖网络层安全、应用层安全以及安全管理三个层面近百余款产品,具备2〜7层全业务安全防护能力。经过多年的耕耘,H3C安全取得了骄人成绩,销售额和出货量均稳据安全市场第一集团。H3C拥有国内专业的攻防团队,同时与微软、CVE、Commtouch等国际安全组织和知名厂商保持长期深度合作,确保安全产品持续的应用层防护能力。

  杭州华三通信作为国内网络安全厂商的领先者,通过技术和产品的协作,将网络中的计算资源、网络资源、安全资源以及存储资源联动起来,并通过多层次的安全策略和流程控制,实现用户网络的局部安全、全局安全以及智能安全,实现网络与安全融合的高可用架构。安全加固从过去的糖葫芦式的串接方式提升至与网络设备进行有机融合,安全随需而动。

  安全加固是系统性工程,凭借多件扎根广电,对广电业务深刻理解的H3C愿与广电客户一起打造安全的广电业务运营平台

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");