全台网安全技术构想new.docVIP

全台网安全技术构想 一、引言： 随着计算机网络技术与传统视频的相互结合，电视台业务从传统的对编发展到非线编辑，从单一的制作网，逐步发展到如今的新闻、制作、媒资、传输、播出为一体的全台网，IT技术与视频技术越来越密不可分。但是随着计算机网络系统逐步技术升级，涉及的业务日益增多时，网络安全性成为一个严峻的问题。一旦作为全台业务运转的网络出现故障，造成系统崩溃，对要求准确性、时效性为生命线来说，无疑时灭顶之灾。本文就视频业务的安全分级，从系统到局部，从软件到硬件做一分析，为将来我台全台网络的涉及做一探索。 二、我台全台网技术安全构想： 电视台通常由多个业务模块或子模块组成，如实现节目传播的播出网络，实现节目生产的节目制作网，实现办公及节目生产管理的办公网络，实现节目存储、检索的媒资网络等等。不同的网络有着不同的安全风险，对安全防护的需求也不同，如果不分主次、不分区域需求，全部按照高安全性的策略进行设计，这样势必会提高整体成本。以我台的经济实力，无法承担这样的建设和运营维护。因此对不同系统、不同需求应当进行不同的安全等级设计，集中资源保障关键业务网络，在确保安全的前提下，兼顾成本和效益，实现安全与效率、成本的正比。 对照我台数字化改造，现有和未来将要扩展的各个子网络（如图），根据其相关业务和重要程度，应当将其划分为以下几个安全级别的网络区域： 一级：办公网：此网络作为日常办公，与互联网完全开放。网络感染病毒的几率和风险很高，同时作为办公区域大，设备终端多、管理难度大的特性，办公网络的安全级别最低。 二级：内外网络交互区：作为视频媒体，每天的节目稿件、图片或其他格式的节目素材、都有可能从办公网向生产网之间交互，基于生产网络的考虑，此区域需采取严格的保护措施，在保证安全和可管可控的方式下，实现两个网络的信息和数据交换。 三级：内网采集交换、综合制作等：此区域包含了日常综合节目的采集制作、数据交换等业务功能，关系到日常节目制作，对系统安全要求较高。 四级：主干平台：包含媒资管理的全台网络数据传输，关系到整体系统的安全稳定运行，对安全性要求非常高。 五级：播出与新闻制播系统。播出是电视台的生命线，新闻是电视台立台之本，这两个系统是全台的重点和核心，属于安全防护的最高级别。 三、全台安全设置中的关键技术 作为全台整个网络构建，投入应当遵循此级别，有计划、有比例的投入设备成本，做到整个网络的安全稳定，核心业务的万无一失。以下将按照这5部分做进一步说明。 办公网：我台办公网络主要包括日常的文件交换、外网连接、申稿等方面内容。由于与外网、内网之间有连接，故要采取严密的保护措施。 首先在公网和台内办公网、FTP服务器之间部署边界防火墙。防火墙是整个系统对外的第一道屏障。防火墙一般设置在不同网段或不同安全网域之间，可以是软件的，硬件的或者二者相互结合。防火墙对流经它的网络通信进行扫描、检测和限制、过滤攻击，尽可能地对外部屏蔽网络内部的安全保护。还可以关闭不使用的端口，指定特定端口的单向通信，或是禁止来自特殊站点的访问，从而有效的防止来自不明入侵者通信。通过NAT（网络地址转换）技术，将受保护的内部网络的特殊几台用于内外网传输的信息交换主机地址映射成防火墙上设置的少数几个有效的公网IP地址，以对外屏蔽内部网络结构IP地址，保护内网的安全。 其次，对整个办公网络的终端安装网络杀毒软件，并按时对杀毒软件进行更新，开启防火墙功能并定期进行查毒。网络版的杀毒服务与单机版杀毒服务相比，最大的特点就是可以进行统一的管理和及时病毒更新、杜绝漏杀，避免由于不能一次性的同时将局域网中的病毒全部消灭干净，而造成大面积的染毒事件。 再次在终端安装智能客户端软件，有效监控用户，用户拥有合法的帐号才能上网，每次连接网络前自动对是否安排有杀毒软件，杀毒软件更新情况，操作系统补丁安装等情况进行检查，对不符和安全策略的拒绝网络访问。同时在网络中安装网络监控管理软件，实时监控网内有故障的设备。 2.内外网络交互区，可以理解为办公网和核心系统之间的节点，在这个关键区域中，使用网闸来进行隔离连接。网闸与防火墙不同，防火墙的初衷是保证网络连通的前提下提供有限的安全策略，而网闸就是在确保安全的前提下实现有限的数据交换，网闸强调隔离，多采用2+1的硬件设计形式，即内网主机+专用隔离硬件（隔离岛）+外网主机。在数据达到一侧主机时，网闸对数据的每个层面进行检测，符合规则的数据将被拆解，形成所谓的裸数据，交由专用的隔离硬件摆渡到另一侧，摆渡的过程则采用非协议的方式，逻辑上内外主机在同一时刻不存在连接，起到彻底切断协议连接的目的。当数据摆渡过来后，再由另一侧主机对其进行应用层监测，符合规则的由该主机从新打包将数据发送到目标主机。这样，再将摆渡范围设置允许已指定的、有限类型的文件专有协议传输通过网