摘要:
当前广电有线电视快速发展,这得益于有线网络覆盖范围以及功能内容的全面升级。在如此背景下,有线网络安全规划实践就成为关键,它希望深层次打击破坏网络而获取非法利益的等违法行为,为有线电视创新优化发展创造有利契机。本文中就首先概述了网络基本架构相关概述,对网络基本架构中所存在的问题进行分析,最后结合有线电视网络的内部公共区域、系统区域、电视信息区域以及内部互联区域的安全规划展开全面论述。
前言:
当前有线数字电视系统存在安全问题,主要是有线网络安全建设缺乏统一规划,安全管理制度与应急预案不够完善,且内网边界不够模糊,也存在信息化设备相对陈旧、技术支持发力等等问题。所以说构建有线网络安全规划管理体系势在必行。
一.网络基本架构概述
目前的有线电视网络在系统网络基本架构方面追求内部局域网有效关联,在优化IP城域网络背景下的DVB承载机制,建立DVB承载网络与波分网络。具体来说,有线数字电视网络系统中就包含了互联网、企业办公网、IP城域网、波分网、DVB承载网、内部系统区等等。整体来讲,有线数字电视网络主要覆盖了地区IP城域网,建立了以生产业务为基础核心的信息交换通道。这其中波分网以及DVB承载网就承担了数字电视直播信号通道的所有技术操作,希望围绕部分集客建立MSTP专线业务体系,而波分网则能够承担部分VOD点播与互动服务业务。另外像IP城域网、波分网以及DVB承载网能够两两构建网络传输通道对有线数字电视系统中的内容进行传播,如此就构建了一套完整的业务网络传输通道,确保有线电视网络系统中信号内容传播高质量。
首先是DVB直播电视系统,它是有线电视网络的核心系统,其所面临的风险问题较多。例如它就建立了地方有线电视网络系统DVB直播系统,它与CA系统连接,主要通过CA系统作为跳板进行入侵;其次是交互电视系统,其交互式体系中建立了多个业务子系统,且部署相对分散,在该过程中就基于网络边界建立统一标准,基于基础网络系统建立安全防护措施。就基础网络系统而言,它首先就建立了宽带支撑系统,与互联网建立数据交互连接,涉及互联网业务内容,但其中存在一定的安全风险与不确定性要素。在宽带基础网络建设过程中,它就建立了办公网络与IP通信网络,对其中的逻辑隔离设备与安全访问控制手段进行分析,解决风险问题。
另外,有线电视网络系统中还包含了OSS系统、BOSS系统以及云计算平台。总体来说,基于上述网络基本构架展开分析,它在确保系统服务能力的同时,也希望深度考量有线电视的网络基本架构内容,发现其中所存在的现实待解决问题,即对网络基本架构所存在的问题进行分析。
二、网络基本架构存在的问题分析
目前国内的有线电视网络系统内容丰富,但其网络基本架构中也存在多点问题,下文以有线网络为例主要分析5点。
第一,网络基本架构中存在信息系统未分类部署问题,这非常不利于有线数字电视网络系统的安全管理。究其原因,主要是因为在有线电视网络系统中不同的信息系统未进行分类部署,且对于信息的安全管理难度相对较大。这就说明了有线电视网络系统存在内部公共区域安全规划问题。
第二,网络基本架构中各个信息系统之间联系相对复杂,且在有线电视网络系统中未能有效部署统一规划的通信通道。如此就导致通信业务网络存在被窃听的风险问题,在内部系统区域安全规划方面缺乏有效网络架构方案。
第三,网络基本架构中的局域网未能有效规划分子网管理机制,这容易造成严重的地址冲突问题,也可能出现各种广播风暴问题。在该过程中,其访问控制欠缺问题严重,这导致系统安全本身面临较大风险,不容忽视。
第四,网络基本架构在统一规划系统运维管理方面不到位,它使得有线电视网络系统的运维通道安全无法获得统一的保障与操作审计,在追踪安全事件方面也缺乏有效性。这说明其系统在内部互联区域安全规划方面是存在问题的。
第五,网络基本架构中保护信息系统的手段通常为防火墙,这种基础防护手段并不理想,整体看来安全防护等级严重不足,内部管理层面安全规划不够到位。一般来说,经常会出现弱口令安全隐患问题,某些口令甚至会被恶意利用,严重时将会为系统带来较大安全隐患,后果难以估量[1]。
综上所述,基于上述问题,必须思考提出有线电视网络的安全规划有效路径,围绕网络安全建立有线电视的信息安全规划体系。
三.有线电视网络安全规划路径
有线电视网络需要围绕网络提出安全规划路径,它可规避来自各个层面的安全威胁,利用资产对象(专用设备、网站内容、信息数据、硬件设备、软件程序、安全服务、文档资料、工作人员)存在的脆弱性,产生可能造成系统核心业务(DVB直播电视节目平台、交互电视平台、双向业务、广告内容发布业务、基础网络系统)出现问题或故障的风险,确保有线电视网络系统核心业务安全稳定运行,大体来说,围绕有线电视网络系统构建网络基本架构,其对网络基本架构所提出的区域安全规划内容就涵盖了以下4点[2]
(一)内部公共区域安全规划
首先是内部公共区域安全规划,它主要针对生产业务区域展开,主要采用用户窗口与重点保护对象,其中就包含了直播系统、双向互动业务系统、接入认证系统以及BOSS系统等等,它们主要从业务性质层面分析有线电视网络系统基本业务内容,同时分析其中的增值业务内容。即要将内部系统区域与IP城域网络连接起来,这其中就包括了直播服务区域以及视频点播区域。就以视频点播区域为例,它为有线电视用户提供视频点播业务,将区域信道直接划分为推流通道与信令通道,建立终端用户Web访问机制,同时搭建Web防火墙,在部署安全防护设备与终端管控方面追求安全规划到位。在内部公共区域安全规划过程中,要为系统新增数据库审计系统,对数据库操作实施细粒度审计,做好合规性管理工作。例如针对数据库所遭受的风险行为进行警告,阻断一切攻击行为。在针对用户访问数据库行为的记录进行分析与回报过程中,也希望建立用户事后生成合规报告,确保实现针对某些安全事故的追根溯源。再者,要加强内外部数据库网络行为记录优化,有效提高数据资产安全,确保中心管理服务器功能优化到位,建立多个分布式网关与代理,并实施统一管理[3]。
(二)内部系统区域安全规划
有线电视网络系统在内部系统区域安全规划方面涉及到信息服务区,明确机顶盒终端用户,主要为用户提供信息交互业务,合理部署Web防火墙以及其它安全设备。内部系统区域安全规划主要是为了有效避免恶意用户发起应用层攻击,如此就可避免DDOS攻击、病毒侵袭以及数据篡改等等问题。在该过程中需要分析区域访问量较大、对安全设备要求较高等等问题。另外在终端控制区域方面建立终端用户IP地址分配机制,对身份验证系统服务内容进行分析。例如系统中就建设了网络安全监测中心,它建立了全局预警机制与风险态势分析手段,其安全监控中心建设内容就包括了“一网、一平台”其中“一网”就是监测信息审计系统内部网络,“一平台”为安全态势感知平台。网络平台主要遵循内部系统区域安全规划原则,其项目内容就涵盖了系统平台软件、监测工具、审计系统、安全带外支撑网络等等。另外系统还建立了安全检测评估分析机制,主要展开远程聚合扫描分析,实施渗透测试与漏洞扫描,在安全检测评估分析过程中优化安全监测值守内容,确保实现全天候7x24小时系统服务保障[4]。
(三)电视信息区域安全规划
在电视信息区域安全规划过程中,则主要围绕内部互联区网络环境建立内部集中信息处理区域标准,它主要希望将区域系统分子中的诸多安全子区域实施分类分段管理。比如说,针对外部的Web信息服务区域管理,确保管理服务区域与BOSS系统区域重叠,而在信息管理区入口位置还专门部署了访问控制措施,基于各级出口防火墙地址与端口进行映射,构建一套完整的纵深防御体系。BOSS业务支撑系统作为业务开展的核心工作平台,它的接入方较多,网络边界缺失严格的访问控制和入侵检测防护措施。BOSS业务支撑系统可对具有访问权限的系统和终端进行认证和审计手段,这其中服务器和应用系统存在大量可被利用的高危漏洞。如果在网络连通出口多、访问对象复杂的情况下,其业务支撑系统整体上则可能缺少纵深防御保障的规划,往往会被恶意攻击者设定为重点攻击目标和深入攻击的跳板[5]。
(四)内部管理层面安全规划
要针对有线电视网络的内部管理层面进行安全规划,其规划主要对象就包括了机房、网络、网络节点等等,要在内部管理层面融入应急管理机制,确保内部管理效率提升。例如可建立内部管理互联区域,确保有线网络电视各部门有效联动。应当为有线电视网络系统建立数据库审计系统,通过该系统能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,在加强内外部数据库网络行为记录方面也有一定促进作用,可提升数据资产整体安全建设。
(五)内部互联区域安全规划
最后可建立系统内部互联区域,并实施区域安全规划,由此建立局域网络。在系统中,需要围绕核心网络交换设备与机房、LAN、网点建立波分网,连接子通道内容,其中也包含了内部互联区,有效连接IP城域网与信息管理区。在内部互联区中就主要参考网络地区与层级划分子网管理建立内部互联区。避免外部攻击。而在网络出口部署方面则采用到了上网行为管理系统,主要对系统内部管理人员进行网络访问,并加以约束[6]。
四.结语
综上所述,有线电视网络安全规划实践需要结合信息安全防护措施展开,对网络基本架构概况及其中所存在的问题展开分析,并建立网络安全规划路径,确保内部公共区、系统区、信息区、互联区安全规划到位。这其中制定了诸多安全管理制度,例如应急安全管理规划,它为有线电视网络安全规划完善提供了有价值技术参考,也有效提升了有线电视网络系统的整体安全规划与防护能力,为国家有线电视网络事业发展创造有利空间条件。
五.参考文献
[1]刘兴磊. 有线数字电视网络安全规划分析[J]. 数字通信世界, 2020,182(02):111-111.
[2]林泽权. 有线数字电视IP前端建设思路探讨[J]. 有线电视技术, 2019, 000(001):52-59.
[3]韩桐, 贾双华. 数字电视双前端IP化网络改造及安全优化[J]. 广播电视网络, 2020,365(05):68-69.
[4]翁义龙. 福建省网有线数字电视前端系统信息安全等级保护建设方案的设计和实施[J]. 有线电视技术, 2019,358(10):64-66.
[5]顾凯. 浅谈数字电视信号传输过程中风险规避措施[J]. 数字通信世界, 2019, 000(006):65-65.
[6]吴苏妹. 简述有线数字电视网络技术维护的几个要点[J]. 中国有线电视, 2019, 000(005):465-466.