本站小編為你精心準備了廣播電視臺內域網安全防護參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《計算機安全雜志》2014年第六期

1廣播電視臺網

1.1定義和結構廣播電視臺網是指以現代信息技術和數字廣播電視技術為基礎，以計算機網絡為核心，實現廣播電視節目的采集、編輯、存儲、播出交換以及相關管理等輔助功能的網絡化系統。圖1給出了一般的廣播電視臺網的總體框架。如圖1所示，廣播電視臺網由基礎支撐平臺、業務支撐平臺、業務系統、統一信息門戶組成。從業務類型的角度廣播電視臺網包含兩大部分：節目生產板塊和綜合管理板塊。節目生產板塊一般包含以下功能系統：采集交換系統、新聞制播系統、綜合制作系統、數字內容管理系統、節目收錄系統、播出分發系統、廣告串編系統等。綜合管理板塊一般包含以下功能系統：節目生產管理系統、廣告管理系統、設備資源管理系統、辦公自動化系統等。從物理結構的角度廣播電視臺網包含兩大部分：業務網和辦公網。業務網和辦公網一般在物理上完全分離，不共用網絡鏈路和設備。最初的節目生產板塊與業務網、綜合管理板塊與辦公網是一一對應的。隨著業務融合程度的加深，管理系統的業務模塊可以納入生產板塊，生產板塊的業務模塊也可以在辦公網上運行。例如：有些電視臺將新聞文稿管理納入了新聞制播板塊，將總編室編播管理納入了數字內容管理板塊；為了綜合利用辦公資源，有些電視臺提出了“桌面化”的概念，將生產板塊中的收錄申請、素材檢索、低碼流編輯、審片等業務模塊，部署到辦公網絡，從而可以在辦公網的桌面終端完成一部分生產業務功能。圖1廣播電視臺網總體框架

1.2安全要求安全生產播出是廣播電視臺的生命線，是一切工作的重中之重。在數字化、網絡化后，技術系統的復雜程度顯著提高，傳統的工作模式發生根本改變。因此，必須建立完善的安全防范機制，從系統、網絡數據、運維等不同層面，保障系統高可用和端到端的安全。根據相關標準[2-7]，可以得出我國各級廣播電視中心中的等級保護定級情況，如表1所示；根據相關指南，陜西臺系統定級結果如表2所示。

2常用防護技術

2.1防火墻防火墻（Firewall）是一項協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。防火墻可能是一臺專屬的硬件或是架設在一般硬件上的一套軟件。防火墻最基本的功能就是隔離網絡，通過將網絡劃分成不同的區域，制定出不同區域之間的訪問控制策略來控制不同信任程度區域間傳送的數據流。可通過NAT隱藏保護網段的IP地址，采用包過濾和狀態檢測進行邏輯隔離，配置簡便，具有直觀的實時監控、日志分析功能。缺點是對通過文件傳染的病毒無能為力，對蠕蟲病毒、木馬、惡意攻擊的防護能力有限。在網絡流量大時，防火墻對網絡性能有影響。

2.2入侵防御入侵預防系統（IntrusionPreventionSystem，IPS）是一部能夠監視網絡數據傳輸行為的計算機網絡安全設備，能夠實時地中斷、調整或隔一些不正常或是具有傷害性的網絡數據傳輸行為。入侵預防系統可以專門深入網絡數據內部，查找它所認識的攻擊代碼特征，過濾有害數據流，丟棄有害數據包，并進行記載，以便事后分析。除此之外，大部分的IPS會結合考慮應用程序和網絡傳輸層的異常情況，來輔助識別入侵和攻擊。缺點是功能僅限于隔離蠕蟲病毒和網絡攻擊，存在漏報、誤動作的可能，網絡流量大時，IPS對網絡性能有影響。

2.3主機加固主機加固軟件是一種專門針對服務器系統的優化防護軟件，在操作系統的底層對多類資源（文件、注冊表、進程、網絡訪問）等做安全防護，針對病毒和木馬可能的發作機制做主動防御，對服務器系統禁止訪問的關鍵資源做了控制。陳偉東等[8]提出一種融合TSOC（可信服務器安全運營平臺）理念和自主研發的ROST（加固操作系統）技術，可以透明地提升服務器操作系統的安全級別。在內核層對安全威脅的主體和客體等加以鑒別控制。在內核層對文件、注冊表、進程等做強制訪問控制。缺點是只針對操作系統進行安全防護，需要與網絡、硬件等安全措施配合使用。

2.4殺毒軟件殺毒軟件（Antivirussoftware）是用于偵測、移除計算機病毒、計算機蠕蟲、和特洛伊木馬程序的應用軟件。殺毒軟件通常含有實時程序監控識別、惡意程序掃描和清除和自動更新病毒數據庫等功能，有的殺毒軟件附加損害恢復等功能，殺毒軟件所賦予的任務是隨時監控計算機程序的舉動、及掃描系統是否含有病毒等惡意程序。殺毒軟件最基本的功能是防范病毒、查找病毒、清除病毒。可在一定程度上避免計算機感染病毒。缺點是占用服務器和工作站資源，可能會與個別應用軟件發生沖突。

2.5VPNVPN（VirtualPrivateNetwork，虛擬專用網絡）指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM（異步傳輸模式）、FrameRelay（幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN使用加密隧道協議，通過阻止截聽與嗅探來提供機密性，還允許發送者身份驗證，以阻止身份偽造，同時通過防止信息被修改提供消息完整性。VPN可以實現對業務網的擴展，在辦公網和業務網之間建立可信的安全連接，并保證數據的安全傳輸。缺點是通過VPN方式接入業務網的辦公電腦，其性能、安全性、可用性往往不在自己控制的范圍內。

2.6物理隔離網閘物理隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接，并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。物理隔離網閘，是利用雙主機形式，從物理上來隔離阻斷潛在攻擊的連接。其中包括一系列的阻斷特征，如沒有通信連接、沒有命令、沒有協議、沒有TCP/IP連接、沒有應用連接、沒有包轉發，只有文件“擺渡”，對固態介質只有讀和寫兩個命令。其結果是無法攻擊，無法入侵，無法破壞。缺點是對網絡性能有影響，不能滿足多系統交互、高實時性、大流量的要求。

3基于應用類型的安全防護策略

通過以上分析可知，每一項安全防護技術都只能解決某一方面的安全問題，一勞永逸的方法是不存在的。因此在實際項目中，往往采用多種安全技術進行組合，從而實現多層次、多方位、立體化的網絡安全防御體系。一般的思路是在互通鏈路上部署防火墻、IPS、物理隔離網閘等，在服務器端部署主機加固系統、殺毒軟件等，或者通過VPN連接。這種思路存在著效率與安全之間的矛盾，即安全性與設備串接的數量成正比，設備串接的數量與系統效率成反比。在這種思路下，如何取得效率與安全兩方面的平衡，如何確定最優的搭配，往往使系統設計者和使用者陷入兩難境地。本文提出一種基于應用類型的安全防護策略，主要思想是對需要互聯互通的兩個計算機網絡系統進行詳細分析，根據實際情況和相關標準或法規，確定出系統的安全級別；對從低安全級別系統流向高安全級別系統的數據進行重點分析，按照應用類型進行分類；在此基礎上針對每一種具體類型設計不同的物理鏈路；在各自的物理鏈路上根據每種應用類型的特點有的放矢，制定最有效的安全預警和防護措施；通過統一調度平臺來區分用戶請求并進行鏈路調度。一方面，針對不同應用的特點選用專門的安全措施，防護效果更好；另一方面，將流量分攤到不同的鏈路，傳輸效率更高。在陜西臺的實際環境中，業務網等保定級為二級，辦公網未納入等保定級范圍，業務網的安全要求顯然要高于辦公網。因此，從辦公網流向業務網的數據就要重點防范，而從業務網流向辦公網的數據相對安全。通過分析業務需求可將交互數據分類為四種類型：文件類型、消息類型、服務調用和流媒體，可對應建立三條物理通道：控制信息及元數據傳輸通道、辦公網至業務網數據傳輸通道、業務網至辦公網數據傳輸通道。再針對每條通道傳輸數據的特點部署不同的安全措施。

4結語

本文首先對內域網的定義和安全防護進行了綜述，然后介紹了廣播電視臺網的定義和一般結構，分析了常見安全防護措施的優缺點。最后結合廣播電視具體業務提出基于應用類型的安全防護策略，在實際項目中應用效果良好。

作者：史國寶單位：陜西廣播電視臺