廣電視頻網站網絡安全問題解決方案

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了廣電視頻網站網絡安全問題解決方案范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：電視臺視頻網站是傳輸媒體信息的重要傳輸渠道，良好的、安全的網絡環境有助于傳播好國家政策信息，為廣大老百姓提供良好的信息渠道，為用戶提供良好的業務體驗。本文依據現有視頻網站網絡環境存在的安全風險進行全面評估，對現有的安徽電視臺視頻網站提出四個層次、六個方面的整改意見，使安徽廣播電視臺視頻網站成為更安全的網絡環境，為傳播政策信息、豐富百姓文化知識提供良好的安全保障。廣播電視網絡安全關系國家安全，關系國計民生，保證廣電網絡安全是保障廣播電視媒體有效、有序、安全傳播給千家萬戶。

關鍵詞：廣播電視網；媒體；傳輸；網絡安全

在廣播電視系統中所傳輸的信息種類很多，以媒體的種類來區分可分為視頻、音頻、圖片、數據等介質；從視頻網站中的各類應用來看，有電視節目直播、視頻點播、多媒體信息查詢、節目回看、大數據查詢以及其他媒體形式的專題等；從傳輸手段看有網絡、無線發射、有線電視、微波傳輸、衛星傳輸等，形成“天地一體，星網結合”的立體傳輸網絡，打通了傳輸方式全覆蓋，實現信息、介質傳輸的多渠道輸出，為用戶多渠道獲取媒資信息提供了方便。廣播電視網絡具有高帶寬、高速率，多用途，終端傳輸不對稱等良好特性，而廣播電視信息中的大視頻，多語言等媒體信息在傳輸中需要較高質量的傳輸媒介。目前，安徽廣電視頻網站在傳輸媒資信息時，直播還無法做到所有頻道的全覆蓋，點播所有欄目、所有期數無法全留存，遇到節假日或者特別直播時，網絡出現卡頓、無法打開等現象，視頻網站受到攻擊風險激增，用戶人數、業務在增加，所以需要對安徽廣播電視臺視頻網站網絡安全面臨的風險進行評估并逐步解決。

1安徽廣播電視臺視頻網站網絡安全面臨的系統安全風險

從整體來看，安徽廣播電視臺視頻網站網絡系統高安全風險主要出現在以下三個層面：

1.1網絡層面

由于網絡系統訪問控制策略設計的不合理或缺乏一些嚴格的網絡安全產品（如防火墻、IDS、防病毒、業務監控網關等），導致外部互聯網上的黑客或病毒可以趁隙入侵或破壞，影響整個廣電服務的資訊提供質量。視頻網站網絡安全影響廣播電視媒體正常傳播，所以，在網絡層面必須制定策略確保網絡安全，網絡安全威脅一直威脅著安徽臺視頻網絡的安全傳輸，一旦發生網絡病毒大肆攻擊，威脅著網絡安全，影響千家萬戶對廣播電視媒體的正常使用。確保網絡層面安全關系重大，把控好網絡層安全，保證視頻網站的正常傳輸。

1.2系統層面

由于網絡設備和服務器操作系統的安全漏洞頻繁出現，利用這些漏洞的入侵工具和病毒（蠕蟲）等攻擊手段也隨之產生，導致安徽廣播電視臺視頻網站存在隨時被黑客入侵或蠕蟲爆發的可能。系統層面的威脅可能是存在于系統根上，也有可能存在于外界的入侵。對于系統根上的基因自帶的漏洞需要及時彌補漏洞，補丁，短板需要及時堵住；對于來自外界的入侵需要做到嚴加防范與系統監管。

1.3管理層面

安全事件發生的主要原因往往是安全管理問題，缺乏有效的安全管理制度、安全制度執行與監督不力、沒有統一的安全策略、沒有嚴格的機房管理制度等，一系列不嚴格措施均可能導致內部人員工作松懈，為外部黑客的攻擊創造了條件，甚至內部人員惡意的竊聽、破壞、偷竊信息等。管理層面的疏忽成為現如今發生網絡安全威脅的重要原因。安全管理制度的制定與有效的執行是防范安全事件發生的有效辦法。做到日查、登記備案、應急演習都能夠有效防范安全事件的發生。制定有效的安全管理制度、有效的執行、良好的機房管理環境、強大的維保隊伍需要在管理層面下功夫，做到管理層面的不疏忽、不懈怠，及時高效保障網絡安全。針對安全風險出現的三個層面的剖析，經過前期對廣電整體網絡拓撲的分析，目前安徽臺視頻網站的網絡安全風險主要存在于如下幾方面：（1）網絡出口現有安全設備的抗攻擊性能難以滿足安全需求，一旦發生大規模的網絡攻擊（如各種DDOS攻擊等）時容易出現流量擁塞甚至癱瘓，導致業務不可用；（2）安徽省廣電IP承載網互聯網出口缺乏針對應用層攻擊的檢測及防御能力，此類攻擊的典型特點是以小搏大，即使很小流量的攻擊，也會造成業務不可用；（3）視頻網站接入互聯網，需要超強的辨別識別能力，必須時刻了解跑在網絡上的各種業務帶寬的使用情況以及流量情況，只有這樣才能傳輸大量數據內容，特別是媒體信息，才能保證老百姓網絡環境正常，保證各種業務的正常開展以及良好的用戶體驗；（4）因為無限制的P2P、在線視頻等新興業務對廣電網絡帶來的電信業務收入、帶寬利用等威脅，所以，視頻網站網絡必須對使用的業務所需的網絡環境進行控制和管理，只用做到良好監管，有序分布使用，才能確保廣播電視網絡的服務質量。根據對安徽省廣電系統信息安全風險分析和需求分析，在國家對信息安全各種政策的要求下，保證現有各類業務信息正常運行的前提下，以現代信息安全保障體系為理論基礎，運用最新的安全保護技術、國家標準、網絡安全技術規范為架構，為保障廣播電視網網絡安全提出以下解決方案。

2整體安全解決方案

根據安徽廣電系統高可靠性和高安全性要求，對廣電互聯網出口進行綜合安全防護，需要部署六套系統：

2.1部署一套DDOS防護系統

拒絕服務攻擊DOS是當前Internet最流行的攻擊手段，拒絕服務攻擊是通過制造大量非法流量，占用大量系統服務資源以達到耗盡帶寬為目的，使正常網絡業務無法正常開展的一種攻擊手段。拒絕服務攻擊具有攻擊方式簡單粗暴，迅速達到目的，而且很難防范與源頭追蹤等特點。所以，在現如今的在網絡上開展的如電子商務、電子政務、電子銀行等一系列網絡服務，都有可能通過這種攻擊方式使業務無法正常開展，給國家、公司、人民造成巨大損失，耗費大量人力、物力、財力。所以，需要嚴加防范這種網絡攻擊。DDOS即分布式拒絕服務[1]，攻擊指借助客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DOS攻擊，從而成倍地提高拒絕服務攻擊的威力。所以，需要在現有廣電網絡與互聯網連接的邊界處部署一套可支持多種類DDOS攻擊的準確識別和控制系統，不僅可以做到對攻擊的準確識別，還可以提高對蠕蟲病毒流量的識別能力，從而提高系統的安全防范能力。該DDOS防御系統包括三部分，監測及分析中心，控制及清洗中心和安全管理中心，三個中心互聯互動，可實現自動檢測，識別攻擊自動或手動引流清洗，統計分析報表定期生成。

2.2部署一套業務監控系統通過DPI技術[2]對網絡流量進行深入協議分析，把控好網絡流量對于業務區分以及業務所需要的網絡流量的質量控制。并且，通過對業務流量統計數據進行深入挖掘，更深入地了解網絡使用情況，如用戶使用寬帶的習慣、方式等。業務監控系統的部署對于業務流量的分配調動起到了及時的監視作用，有了一套業務監控系統可以為現有的網絡環境提供優化改造意見，也可以為開辟新業務以及增值業務提供指導意見。所以，需要部署一套業務監看系統。

2.3部署一套互聯網緩存系統

對于廣電網絡傳輸的視頻、圖片、音頻等大數據量內容，保證用戶使用的流暢度與所有業務的質量，使網絡“不卡”業務“不頓”，特別是緩存系統中的調度子系統運用了負載均衡、熱點內容搜索管理調度以及緩存記錄搜索等技術，能夠引導請求用戶和已經緩存過的數據設備發生數據交換，增加已緩存數據設備使用率。另外，無限制的P2P、在線視頻等新興業務對當前帶寬超負荷使用等威脅。所以，需要一個高速、優質的網絡服務。做到網絡的優質、高速需要部署一套互聯網緩存系統，采用分析定向、自動緩存、精確調度和速度搜索等技術，將占用總出口帶寬60％～80％的P2P流量、在線視頻以及大文件下載流量本地化，進而達到節省出口帶寬、降低網間結算費用、提高網絡利用效率、降低網絡運營成本，最終實現廣電網優質高速，提升用戶使用的流暢度以及所有業務的高質量開展。

2.4部署一套日志管理系統

在信息管理系統中，日志是指對計算機設備運行中重要活動或事件的完整記錄和描述，它能夠記錄信息系統內發生的動作和行為，向外界展示信息系統運作的完整軌跡和本質。幫助網管實現日志統一管理，系統能夠采集、過濾、歸并、分析、存儲、監控并上報成專業的防火墻會話日志，并支持發送告警和輸出報表。形成完整的上報日志對系統內發生任何行為做到有跡可查、有跡可循、有事可報，這對于解決系統問題以及業務起到非常重要的作用。并且，以報表的形式可以做到問題的溯源以及備案，為后續問題的查證與追責提供重要依據。本次部署的日志管理系統可以針對網絡出口處的防火墻和服務器防火墻進行統一的日志分析，以檢測當前網絡中的最新攻擊類型。

2.5部署一套安全管理平臺

隨著廣電信息化深入，網絡規模逐漸擴大，所使用的網絡及安全設備逐漸增多，如何更好更方便地對網絡及安全設備進行管理，是每個使用者優先考慮的問題。然而，網絡設備的管理又存在設備類型復雜、管理信息多樣性等問題，如何更好地解決這些問題，網絡管理就顯得尤為重要。統一安全網管系統[3]要支持全系列安全設備和主流網絡設備的網絡拓撲管理、故障排查管理、網元管理、設備性能管理、集中策略配置管理、VPN管理等一系列功能。安全管理平臺需要能夠直觀展現網絡架構，幫助管理員快速定位網絡故障，提升管理能力，提高工作效率，降低維護成本，為用戶提供一個對全網設備高效管理的平臺。

2.6在網絡出口位置部署一套功能強大的防火墻

現網絡出口位置的網絡防火墻暫時能夠滿足當前用戶數的安全需求，但隨著用戶數量的不斷增加，現有的網絡防火墻性能逐漸達不到需求，所以，需要考慮布置新型防火墻。布置新型防護墻的性能需求有強大的入侵防御功能、反病毒功能、強大的GTP保護功能、IDS聯動等主要功能。（1）強大的入侵防御功能需求：傳統的IPS策略[4]是通過分析現有系統的漏洞以及對已有攻擊方式引發的攻擊事件進行特征提取，進而制定防御規則。比如：防范有針對性的操作系統漏洞攻擊、針對郵箱服務器漏洞攻擊、文件服務器攻擊、瀏覽器漏洞攻擊等。對當下大多數的木馬、蠕蟲、間諜軟件等能夠進行很好的防御與檢測。針對現有的防火墻功能缺陷需要IPS能夠識別運行于非知名端口的常用數據流類型以及對于特定介質流量減少誤報。（2）反病毒功能：反病毒功能指支持郵件傳輸協議SMTP、POP3，網頁協議HTTP的傳輸數據掃描中做到病毒的刪除操作或者向用戶發送通過。但現防火墻對10種以上、多層壓縮文件、對病毒進行加殼操作的壓縮文件進行掃描時發現病毒能力較弱。所以，需要部署新防火墻具有對病毒具有脫殼操作能力，并且對文件類別具有智能識別功能。（3）強大的GTP保護功能[5]：部署在Gn、Gp和Gi接口進行GTP安全防范功能需要有支持R97GTP、R99GTP、GTP協議、報文分析控制能力以及按照規則對報文進行過濾的能力；在路由模式和透明模式兩種工作模式下工作；能夠解決GTP隧道的限制、能夠檢測GTP隧道信息、GTP隧道雙機熱備功能；支持分片緩存功能等。（4）IDS聯動[6]是指IDS設備能自動偵聽整個網絡中是否存在惡意攻擊、入侵或其他安全隱患行為，通過下發指令的方式通知統一安全網關，由統一安全網關對攻擊報文進行丟棄或其他處理。運用IDS聯動的方式來防范惡意攻擊，是將惡意攻擊分為入侵檢測和攻擊處理兩個過程分量后進行處理，充分發揮各設備的優勢，改善系統性能。通過和IDS設備聯動，統一安全網關可以提供一種高可靠的主動防御模型和安全解決方案。用戶優先配置好靜態的安全性能配置信息，通過IDS設備可以動態發現安全隱患，通過統一安全網關設備修改安全策略，起到實時、動態的修改防御策略，保證整網的安全。要有靈活的聯動接口協議，可以和很多IDS設備互通，方便支持各種IDS設備和統一安全網關聯合工作。

3結語

為應對眾多網絡不安全因素，本文提出的解決方案包含外網出口、入侵檢測和日志審計，同時提供了統一的安全管理中心各模塊，可以有效解決當前視頻網站面臨的問題。在廣電行業產業化改造的歷史機遇面前，建立一個高起點、高技術含量、多功能、智能化并具有良好擴展性的綜合信息平臺至關重要。讓安徽電視臺視頻網絡信息高速、優質地通往千家萬戶，讓廣電網絡能夠高效傳遞信息，成為百姓獲取信息咨詢、豐富文化知識的良好載體，成為國家信息基礎建設以及現代化信息服務的重要組成部分。

參考文獻：

[1]于躍.基于安全路由聯盟DD0S攻擊防御機制[D].保定:河北大學,2018.

[2]李婷婷.DPI技術在廣電IP化檢測系統中的應用[J].廣播與電視技術,2019(9):124-127.

[3]翟綱.基于SNMPv3的安全網管技術研究[D].成都:西南交通大學,2003.

[4]譚菲菲.入侵防御系統(IPS)專利技術分析[J].網絡安全技術與應用,2018(8):121-122.

[5]李俊鳳.基于ENP-2611的GTP防火墻的設計與實現[J].湖南郵電職業技術學院學報,2016(3):42-44,75.

[6]張艷.防火墻與IDS聯動的網絡安全技術應用研究[J].電腦知識與技術,2012(13):3050-3051.

作者：李振輝 單位：安徽廣播電視臺