建立动态安全的广电运营平台.pdfVIP

建立动态安全的广电运营平台 方锋 (汇源科技发展股份有限公司，四川省成都市610000) 广电网向电信业务扩展，是广电行业的世界发展趋势。对于中国有线网而言，不仅在于其业务广度的 扩展，而且在于充分利用广电优势，更好地向公众提供所需的服务。 安全的需求来自于网络的需求。网络需求是多样的、复杂的，是动态变化的。对于市场中用户群，我 们对用户作一分类。根据专网网络用户的需求，用户群可分为特殊专网类、一般专网类、大众专网类三 类。 特殊专网类：如银行、证券、电子政务。这类用户为保证网络严格保密、安全、可靠需要提供特殊需 求，主要是QOs服务质量保证和维护快速响应。 一般专网类：如税务、公安、气象，提供一级服务，保证数据安全。 大众专网类：如教学、企业、医院。提供二级服务，这类专网具有独立专网要求，也有信息大众化的 要求，提供标准服务。 专网业务收入将是广电增值业务收入的重要来源。如何改变传统广电网络的脆弱性和不安全性，使专 网用户对我们的运营平台安全可靠性放心，将是争取专网用户的基本条件。安全的运营平台涉及信息系 统、运营策略、市场推广、内容建设等等，本文重点介绍信息系统安全。 信息系统安全方案必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计和分析的基 础。为了系统地描述和分析安全问题，将从系统层次结构的角度展开，分析广电网络各个层次可能存在的 安全漏洞和安全风险，并提出解决方案。 1环境与硬件 为保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故 (如电磁污染等)破坏，应采取适当的保护措施、过程。 解决方案：建设机房辅助设备动力配电系统，建设接地、防雷系统，建设门禁、监控系统，建设消 防、报警系统。 2网络层 网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于 大型网络系统内运行的TCP／IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。 网络入侵者一般采用预攻击探测、窃听等搜集信息，然后利用IP欺骗、重放或重演、拒绝服务攻击 (sYNFLoOD，PINGHDOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。 解决方案： 合理划分网段，利用网络中间设备的安全机制控制各网络问的访问； 利用网络安全扫描工具，寻找网络安全漏洞、评估并提出修改建议； 利用防火墙，在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火 墙的数据流，实现对进、出内部网络的服务和访问的审计和控制； 利用网络入侵监测系统，监控网络上的数据流，动态地监测网络内部活动并做出及时的响应； 3操作系统 操作系统安全也称主机安全，由于现代操作系统的代码庞大，从而不同程度上都存在一些安全漏洞。 一些广泛应用的操作系统，如unix，windowNT，其安全漏洞更是广为流传。另一方面，系统管理员或使 用人员对复杂的操作系统和其自身的安全机制了解不够，配置不当也会造成的安全隐患。 解决方案： 106 利用系统扫描器，帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。系统管理员 要不断跟踪有关操作系统漏洞的发布，及时下载补丁来进行防范，同时要经常对关键数据和文件进行备份 和妥善保存，随时留意系统文件的变化。 利用入侵监测技术，监测技术监控主机的系统事件，从中检测出攻击的可疑特征，并给与响应和处 理。 4数据库层 许多关键的业务系统特别是认证计费信息、用户帐号都运行在数据库平台上，如果数据库安全无法保 证，其上的应用系统也会被非法访问或破坏。数据库安全隐患集中在： 系统认证：口令强度不够，过期帐号，登录攻击等。 系统授权：帐号权限，登录时间超时等。 系统完整性：特洛伊木马，审核配置，补丁和修正程序等 解决方案： 利用数据库扫描器，保护存储在数据库管理系统中的数据的安全。 5操作管理层 ‘ 层次系统安全架构的最顶层就是对广电网络进行操作、维护和使用的内部人员。人员有各种层次，对 人员的管理和安全制度的制订是否有效，影响由这一层次所引发的安全问题。 除按业务划分的组织结构以外，必须成立专门安全组织结构。这个安全组织应当由各级行政负责人、 安全技术负责人、业务负责人及负责具体实施的安全技术人员组