当前位置:台州广播电 影电视集团(总台) > 科研论著

有线电视综 合网络系统的安全策略

文章来源:五年飞飏之创新之源(上) 发布于:2012-09-13 阅读:8713次

  摘要:有线电视网 正逐步发展成为宽带综合信息网,作为面向公 众营运的综合信息网络,必须重视网 络的安全性设计。简要介绍有 线电视网络在规划构建时应采用的各种安全技术和措施。
  关键词:有线电视;网络系统;安全策略
  
  1引言
  我国有线电 视网是我国广播电视事业中的重要组成部分,正向产业化 的方向迈进,已经成为人 民群众收看电视信息的重要手段。然而,随着有线电视的发展,它越来越面 临一个大难题,那就是有线 电视的网络安全问题。这个问题甚 至影响了社会的安定,它的解决已 经刻不容缓。
  根据有线电 视网络系统的设计,为保证系统 各类信息在存取、处理和传输 中的完整性、机密性、可审计性、可用性和可控性,以及网络系 统自身的可靠性、完整性和可用性,需全方位考 虑设计网络系统的安全方案。为保证该网 络系统安全方案的制定尽可能全面和合理,下面将制定 出网络系统各个级别的安全策略。
  2有线中心系 统安全设计
  2.1服务器群集技术
  数据中心的 服务器采用双机Cluster来提高系统的安全性,双机系统通 过采用群集(Cluster)技术,将两个或多 个服务器连接到一个“群集”中,从而提供了低成本、可扩充、高可用性的解决方案,并且使用服 务器的资源更加易于管理,如图1所示。它还具有透 明的故障克服能力,当一台服务 器出现故障(CPU、电源、内存、主板)或一条通信 链路出现故障(网络跳线出错、异常关机)时,系统依然能 正常稳定运行。
   
   
   图1  图1群集技术示意图
  2.2磁盘阵列技术
  磁盘镜像备 份技术的时代已经过去,应在网络数 据中心采用磁盘阵列技术,以确保数据安全,提高系统可靠性。磁盘阵列技 术是继磁盘镜像之后的一种新型数据备份技术,它是采用多 块物理硬盘通过磁盘阵列控制卡组成的逻辑磁盘组。组成磁盘阵 列至少需要3块物理硬盘,根据实际情 况可以考虑使用多个磁盘阵列通道,每个通道惯技2块硬盘。在一个磁盘 阵列中有多块物理硬盘,如果某一个 物理硬盘发生物理性损坏,决不会造成数据丢失。
  3防火墙安全设计
  建设成功的 有线电视宽带信息网络是一个营运级信息网络,开展的业务包括:IDC(数据中心)业务、主机托管、域名申请、Internet接入、视频会议、IP电话等。为了保证信 息网的数据安全,应在方案规 划中采用防火墙技术,使宽带信息 网安全可靠地运行。
  防火墙技术 的核心思想是在不安全的网间环境中构造一个相对安全的子网环境。防火墙(Firewall)是内部网与 外部之间的“门户”,对两者之间 的交流进行全面管理,以保障内部 和外部之间安全、通畅的信息交换。防火墙采用包过滤、电路网关、应用网关、网络地址转化、病毒防火墙、邮件过滤等技术,使用外部网 无法知晓内部网的情况,对用户使用 网络有严格控制和详细记录。
  防火墙的实 现方式有两种,既基于包过滤(PacketFilter)的防火墙和基于代理(Proxy)的防火墙。包过滤型防 火墙处在网络层,根据IP包的包头信 息来对信息的访问进行控制。IP包的包头包 括以下信息:IP包的源地址、目的地址、包类型、端口号,因此包过滤 型防火墙主要完成基于地址和端口的过滤功能。基于代理的防火墙,也叫应用层 防火墙或层防火墙,处于应用层,可对IP地址和发生在该IP地址上的具 体应用进行控制,由于它能识 别应用协议,可对应用的 整个过程进行控制。
  防火墙安全 防范系统的功能有:控制不安全的服务、站点访问控制、集中安全保护、强化私有权、网络连接的 日志记录及使用统计等。
  3.1控制不安全的服务
  防火墙可以 控制不安全的服务,因为只有授 权的协议和服务才能通过防火墙。这就大大降 低了子网的暴露度,从而提高了 网络的安全度。防火墙还能 防止基于路由的攻击策略,防火墙会拒 绝这种攻击试探并将情况通知系统管理员。
  3.2站点访问控制
  防火墙还提 供了对站点的访问控制,比如,从外界可以 访问某些主机,而另一些主 机则能有效地防止非法访问。一个站点应 该拒绝外部的访问,除了一些特殊情形,比如邮件服 务和信息服务等。由于防火墙 不允许访问不需要访问的主机或服务,它在网络的 边界形成了一道关卡。如果一个用 户很少提供网络服务,或几乎不跟 别的站点打交道,防火墙就是 他保护自己的最好选择。
  3.3集中安全保护
  如果一个子 网的所有或大部分需要改动的软件以及附加的安全软件能集中地放在防火墙系统中,而不是分散 到每个主机中,这样防火墙 的保护就相对集中一些,也相对便宜一些。尤其对于密 码口令系统或其他的身份认证软件等,放在防火墙 系统中更是优于放在每个Internet能访问的机器上。
  3.4强化私有权
  对一些站点而言,私有性是很重要的,因为,某些看似不 甚重要的信息往往会成为攻击者灵感的源泉。使用防火墙系统,站点可以防止Finger(特指数据搜索)以及UNS域名服务。Finger会列出当前 使用者名单、他们上次登录的时间、以及是否读 过邮件等等。
  Finger同时会不经 意地告诉攻击者该系统的使用频率、是否有用户正在使用、以及是否可 能发动攻击而不被发现。防火墙也能 封锁域名服务信息,从而使Internet外部主机无 法获取站点名和IP地址。通过封锁这些信息,可以防止攻 击者从中获得另一些有用信息。
  3.5网络连接的 日志记录及使用统计
  当防火墙系 统被配置为所有内部网络与外部Internet连接均需经 过的安全系统时,防火墙系统 就能够对所有的访问做出日志记录。日志是对一 些可能的攻击进行分析和防范的十分重要的情报。另外,防火墙系统 也能够对正常的网络使用情况做出统计,通过对统计 结果的分析,可以使网络 资源得到更好的使用。
  4网络操作系 统的安全控制
  网络操作系 统安全控制是通过对主体标识和客体标注,划分安全级别和范畴,实现由系统 对主客体之间的访问关系进行强制性控制。基于安全服 务环境的身份鉴别可防止非法用户进入系统。严格的访问控制机制,严格按权限 检查各类人员的各种访问要求,防止进入系 统的合法用户越权访问不该访问的数据。在有线电视 宽带信息网解决方案中无论采用何种操作系统(如WindowsNT,Unix等),都能提供如 下安全控制体系:
  三权分离机制:将普通用户、系统管理员、安全员三者 的权限限制在其完成自身任务的最小范围,从而最大限 度地减少内部人员产生问题的可能性。
  安全审计机制:对安全有关 的事件进行跟踪、记录、报警,供有关人员进行分析,便于安全漏 洞的检查和弥补。
  系统软件的安全控制:提供一个安 全管理策略问题,可以在系统 实施中加以明确。例如:在数据库权限设计时,为提高系统的安全性,应多采用视图等;在部分安全 性要求较高的地方,还应采用加 密等方法保证信息的安全性。
  5网络监控系 统的安全设计
  网络监控系 统主要是为了防止非法信号的干扰。
  管理手段落后、收费困难、网络无安防 措施是长期困扰众多有线电视台的一个不容忽视的大问题。相对而言,电信在这几 个方面技术要成熟得多,情况也好得多,关键在于其 先进的技术与现代化管理,由此产生的 自觉缴纳费用的意识。电信的技术、思想和原则 完全可以借鉴,成为有线电 视网络的技术思想和原则。
  其总体原则是:
  (1)具备电信运 营所要求的高效益(高回收率)、高可靠性、高性能、高安全性,设备要具有 先进性与成熟性,并可在先进 的有线电视HFC网络平台上 实现收费管理。
  (2)系统要具备开放性、可扩展性、战略上的灵活性,能随着市场 的发展和技术的进步平滑升级。
  (3)性价比要高。技术水平、性能、功能在国内 外处于领先水平,设计出价廉 物美的产品供应市场,从而改变有 线电视网络在管理收费和安防监控方面的落后现状。
  (4)技术上必须先进,对运营的可 靠性和稳定性要求很高,特别对非法 入侵的垃圾频道不能让用户收看和收听,能监控出事地点,从而迅速抓 获破坏分子。
  (5)采用随机同步压缩、随机倒相的加扰方式,在帧同步时 加入严格的标识码或台标,达到自动区 别非法频道窜入。相对其他加扰方式,此方式非常 可靠而且不影响图像正程部分,因而其图像 还原质量最好。
  (6)将原机顶盒这种“家用电器”变为集线控 制分别解扰方式的“网络设备”,这样外来非 法信号绝对进入不了用户家庭,安全性极高,想破解也极难。
  6结束语
  有线电视综 合信息网络系统的完善尚需要一个较长的时间,在这个过程中,有很多技术 会随着信息技术的发展得到新的提高,有线电视信 息网络的建设一定会迎来一个美好的明天。
  参考文献:
  曾铭涛.计算机网络 技术在广播电台自动化播出系统中的应用[J].电声技术,2002,(4):71–72.
  孙友伟.下一代有线 数字电视网络BOSS的安全策略[J].电视技术,2005,(9):1–3.
  (发表于《中国有线电视技术》2008年第7期)

首页 上一页 1 下一页 尾页
友情链接:    速中彩票平台   哪个彩票软件最好   速中彩票开户   易购彩票-首页   哪个彩票软件最好