一.实施业务网络安全化的举措及应用
1.系统监控
监控系统用可视化界面来描绘出整个系统的基础构架,同时能对终端工作站、网络设备、服务器、存储系统等设备的运行,实行7×24小时不间断地实时监控,并及时预警、报警,有利于技术人员对系统的监控,从而保证系统的运行安全。
2.入侵检测
入侵检测可帮助提供入侵者采取了哪些活动,造成了什么损失的相关线索;帮助确定应该采取哪些措施来弥补损失和使系统恢复到安全状态,对已经发生的安全事件明确责任,查明原因,帮助确定应采取的措施。一般来说入侵检测有如下4方面的作用:
识别常用入侵与攻击:通过分析各种攻击特征,IDS可以较为全面快速地识别缓冲区溢出攻击、拒绝服务攻击、探测攻击等各种常用攻击手段,同时发出报警,便于管理员及时做好相应的防范工作。
监控网络异常通信:IDS会对网络中不正常的通信连接做出反应,任何不符合网络安全策略的网络数据都会被IDS侦测到,同能及时报警。
鉴定系统漏洞和后门:IDS系统带有关于系统漏洞和后门的详细信息,通过对网络数据包连接方式、连接端口和连接中特定的内容等特征分析,可以有效发现网络通信中利用系统漏洞的非法行为。
强化网络安全管理:IDS通过对攻击或入侵的检测和反应,可以有效地发现并防止大部分网络非法行为,通过其统计、分析和报表功能,从而进一步加强网络安全的控制。
中央人民广播电台入侵检测设备采用的是网神SecIDS3600入侵检测系统,该设备有2个千兆光口、4个千兆电口、1个控制管理口,双电源,入侵检测设备连接图,如图1所示。
图1 入侵检测设备连接图
3.访问控制
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。
访问控制列表(ACL)是应用在三层路由接口上的控制列表。这些控制列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,它是根据数据包的源地址、目的地址、端口号等来决定。
中央人民广播电台制播网在核心设备商使用了大量的访问控制来实现允许部分网段之间互通,拒绝其他所有的访问的目的,如图2所示。
图2 制播网vlan关系图
4.病毒防护
广播台网中的服务器、工作站都可能受到病毒的感染,病毒的种类多样,如文件型病毒、蠕虫病毒、木马病毒等,病毒的传播方式也多种多样,如传统介质、网络等。如果是通过网络高速传播或具有网络攻击能力的病毒,将在整个网络内进行扩散,占用有限的网络资源,并导致网络交换机、路由器、服务器严重过载,进而导致网络瘫痪,给广播台网的安全带来极大的威胁。由于网络环境下攻击手段是不断进步的,安全漏洞、病毒也是动态出现的,因此与病毒斗争是一项长期的工作。
杀毒件通常在客户端/服务器模式下工作,应在工作站、服务器上安装杀毒软件客户端,实时对本机的网络、内存、硬盘进行监控,避免病毒入侵。网内部署杀毒服务器负责管理所有客户端,服务器可以连接至Internet实时获取最新的病毒库,并下发更新到所有客户端上。反病毒防火墙可以是单独的硬件设备,也可以是结合防火墙等功能一体化的产品。
在功能网互联的边界处,必须采取病毒防护措施,建议安装企业级防毒软件,便于统一管理,同时应定期进行病毒库升级,防止系统感染已知或未知的计算机病毒。
5.授权认证
证书授证系统,作为广播电台业务应用中,受信任和具有权威性的第三方,承担公钥体系中公钥的合法性检验的责任。
证书授证系统为每个使用公开密钥的客户发放数字证书,数字证书包含了合法客户及公开密钥,并证明其合法性。
证书授证系统在广播台网的各种应用中,可有效证明用户的合法身份。
广播电台网络系统通过统一身份认证等安全技术,定制合理的用户权限策略,分级完成对用户管理,是安全技术应用层所提供的重要安全保障措施。通过用户管理,对用户的行为进行规范,对于保障系统的安全、数据的安全具有重要的意义。
中央人民广播电台授权认证软件采用的是LanSecS内网安全管理系统。LanSecS内网安全管理系统在架构设计上采用了三层管理结构:终端监控引擎、总控中心、管理控制台。接下来分别对以上三个部分进行说明:
终端监控引擎:终端监控引擎以服务的形式运行于终端计算机上,是终端计算机管理的核心和基础部件,用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。终端监控引擎可以部署在所有Windows系列操作系统上。终端监控引擎的设计充分考虑了稳定性、安全性和兼容性要求。终端监控引擎可防止恶意停止,并全面兼容防病毒软件、防火墙软件、设计开发软件、业务软件、办公软件。
总控中心:总控中心用于计算机的集中管理,为终端监控引擎和管理控制台提供一系列的管理服务;由策略管理服务、审计管理服务、Radius认证服务、文件备份服务、补丁与软件分发服务、时间同步服务、网络管理服务、分级管理服务、事件订阅服务、健康状态监测服务等组成。视内网规模和性能要求,这些服务可分别部署在不同的硬件平台上,也可部署在同一个硬件平台上。
管理控制台:管理控制台为系统管理人员提供系统管理入口;采用BS方式进行系统管理,通过管理控制台完成全部系统管理操作。
6.防火墙
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据制定的安全策略,控制(允许、拒绝、监测)出入网络的信息流,是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙从实体上一般分为硬件防火墙和软件防火墙。软件防火墙只有包过滤得功能,硬件防火墙中可能还有除软件防火墙以外的其他功能,例如CF(内容过滤)、IDS(入侵侦测)、IPS(入侵防护)以及VPN等功能。
中央人民广播电台的制播网采用了网神SecGate3600硬件防火墙,防火墙设6个千兆光口,6个千兆电口,2个管理端口,双电源。
7.安全隔离网闸
广播制播网是广播台网内安全等级最高的功能网,它与综合业务网、广播门户网等功能网实现网间互联,可考虑使用经国家保密工作部门认定的“安全隔离网闸”。“安全隔离网闸”能实现网络物理隔离,还需结合其他安全技术,以提高互联时的网络安全。
GAP技术是在两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。安全隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统,采用GAP技术的信息安全设备。一般由三部分构成:内网处理单元、外网处理单元和专用隔离硬件交换单元。在网络互联时,将设备的内网处理单元与广播制播网连接,外网处理单元连接外部其他功能网,其专用隔离硬件交换单元在任一时刻点仅连接内网处理单元或外网处理单元,与两者间的连接受硬件电路控制高速切换。这种工作方式保证了专用隔离硬件交换单元在任一时刻仅联通广播制播网或者其他功能网,既满足了广播制播网与其他功能网网络物理隔离的要求,又能实现数据的动态交换。
采用安全隔离网闸进行广播制播网与其他功能网互联,能使广播制播网或者外部其他功能网间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据普通协议的信息包转发,当数据从一端通过安全隔离网闸传递到另一端时,网闸会将数据包中的裸数据剥离,并对它采用自定义数据通讯协议进行重新封装后,实现数据包静态“摆渡”,同时还能对网络协议、数据格式进行检测,当发现数据包存在安全隐患,则会立即丢弃。安全隔离网闸在物理上隔离、阻断了已知和未知的网络潜在攻击,可提高广播制播网等高安全级别功能网与其他功能网互联时的安全性。
安全隔离网闸不仅能实现数据文件的交互,同时还应支持数据库访问,以支持各种应用的开展。[page]
二.广播电台网络的互联互通特点
企业网络安全是一个永远说不完的话题,今天企业网络安全已被提到重要的议事日程。计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。
广播电台的业务网络已经在逐步建立目前基本能够满足广播业务安全防范是要求,但是由于考虑到业务安全等因素,广播电台也存在一台多网,并且多网不能相互连通的状况。广播台网内如何采用各种安全措施和技术手段,在保证安全的前提下,台内不同功的网络能网、不同的子系统、不同业务应用间实现安全互联,使各类数据实现跨网络、跨系统、跨业务的交换,必将成为广播电台网络业务发展的强烈要求和必然趋势。
根据广电行业业务的特性行广播电台网络的互联互通有如下特点:
1. 广播电台网络互联互通必须以保证制播网及同等安全级别功能网的网络系统安全为前提。由于制播网及同等安全级别功能网的网络是广播电台业务网络的核心,避免其因受到黑客入侵和病毒攻击而导致网络系统不能正常运行,乃至网络瘫痪,是广播电台业务网络互联互通的重中之重。
2. 广播电台网络互联互通必须实现对数据流向、数据访问进行严格的访问控制。数据允许从安全等级较高的网络向安全等级较低的网络流出,如果反向流动,必须经过严格控制;安全等级较低的网络只能有限的访问安全等级较高网络的部分资源。各功能网间所传输的数据只能由系统规定的通道进行网间交互,当该通道出现故障而不可用时,系统不应发生由旁路进行网间数据交换。
3. 广播电台网络互联互通应通过加密等手段对数据进行封装,保证其不被非授权用户截取、获得,以避免对广播制播网造成安全隐患。
4. 广播电台网络互联互通所采取的各类安全措施,必须保证所传数据的准确可用。
5. 广播电台网络互联互通的接口必须保证足够的带宽,使数据和信息能高效交互,避免成为瓶颈。广播音频的PCM原始码率虽不及视频信号高,但音频节目信号的连续性,使网络带宽长时间维持一个较高的水平。国内常用的广播编码格式S48编码速率为256K,该压缩格式主要用于文件型的节目交换,某些时候也作为网络音频传输。
目前在传统的音频传输方式中,数字AES信号标准仍然是传输布线的主要方式,数字MADI方式在一对光纤上可传输64路24bit的音频信号。但这些传输方式往往不具备交换的能力,只能端到端传输。近年来,音频的传输网络化技术逐渐发展,例如Cobranet网络音频技术在广播电台应用较多,它可以无压缩的传输128个通道的音频信号,取样率达到48k,20bit。并且具有较低的延时。此类网络音频对网络带宽的要求很高,所以必须要求网络具有足够的带宽。
目前广播台网的互联互通建设,应在基础层重点关注安全的物理互联,在数据层重点关注数据接口及其安全措施,在业务层重点关注应用控制手段,在管理层重点关注制度措施。
各地广播电台除涉及广播节目生产的广播制播网相对独立外,其他功能网间一般采用防火墙、路由器、网关等设备和技术实现了网间互联互通。调查显示,广播制播网与其他功能网,特别是与办公综合网实现互联互通的需求日益迫切。目前有些电台与专业厂商积极配合,通过数据网桥、安全隔离网闸等技术手段,实现数据文件在两网间的交互,同时极少数广播电台还实现了网间数据库的访问。这些应用实践,为网间互联应用的普及奠定了良好的基础。但这种互联互通只是在极少数广播电台内进行的,大部分广播电台网络考虑到广播制播网对广播行业的重要性,以及广播制播网的安全等因素还没有实现互联互通。但是我们坚信,随着网络安全防范技术的不断进步,实现广播电台内部各种网络的互联互通,甚至是广播电台之间的业务网络的互通将指日可待。B&P