广播业务网络安全分析

摘 要：广播业务网络承载着媒体日常业务运转，在网络之间连通的条件下，需要采用网络安全技术和与之配合的运行维护管理，才能保证内部网络业务的安全畅通。

关键词：网络；安全

中图分类号：TP393.08

四川台现有广播业务网络于2011年建成，涉及广播的所有关键业务，在广播节目制作和管理中发挥着重要的作用。近年来随着广播与新媒体融合，网上应用和移动应用不断融入节目制作播出和信息业务中，网络应用的服务范围较以前传统的、小型的局域网系统逐渐向大型、互联互通方向扩展。随着网络规模的不断扩大、接入点数量增多、内部网络结构复杂化，对自身网络的安全性提出了更高的要求，因此梳理网络系统架构，才能及时查清网络安全状况。

1 网络安全技术分析

在网络的使用中，既需要互联互通，又需要系统安全。网络安全技术不断更新发展，网络安全产品很多，如何合理取舍，在网络中配置安全设备，确保网络业务安全？如果为了安全而过多的配置安全产品，必然拖慢网速，造成网络的不良体验，甚至造成网络业务阻塞。网络安全的关键点在于连通，网络安全产品是对连通业务的安全防护，主要采用的相关技术有以下几种。

1.1 防火墙技术

防火墙就是在内网和外网之间设置一道屏障，来保证内部网络安全，防止外部网对内网的非法入侵。它是一个或一组系统，配置在两个或三个网络的连接处，通过实施侦测，可监测、限制、更改跨越防火墙的数据流，确认其来源及去处，检查数据的格式及内容，并依照用户的规则传送或阻止数据。通过参数配置，可以设定哪些内部服务可已被外界访问，以及哪些外部服务可以被内部人员访问，主要采用数据包过滤、监测型、服务器等技术类型。

1.2 虚拟专用网络（VPN）技术

虚拟专用网（VPN）是实现内部网在因特网等公共网络上的延伸，通过加密在公共网络等外部网上创建一个安全的私有连接，采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。VPN技术主要提供在公网上的安全的双向通讯，可使分布在不同地方的专用网络通过不可信任的公共网络，实现安全通信，将远程用户、分支机构等与内部业务网连接起来，构成一个扩展延伸的内部网络，仿佛公共网络是内部网络的一部分，所有的使用都处于内部网络之中。

1.3 计算机病毒的防范

当前全球计算机网络上流行的计算机网络病毒有4万多种，在各种操作系统中包括Windows、UNIX和Netware系统都有大量能够造成危害的计算机病毒，这就要求安装的防病毒软件有较强的查毒、杀毒能力。能够查杀多种系统环境下的病毒，完善的升级服务，以查杀不断出现的新的网络病毒。

1.4 内外网安全隔离技术

内外网络隔离技术种类很多，大致分类为：网桥、网闸等。

网桥是将两个相似的网络连接起来，并对网络数据的流通进行管理，网桥隔离信息，将同一个网络划分成多个网段，隔离出安全网段，防止其他网段内的用户非法访问。网桥工作于数据链路层，能扩展网络的距离或范围，可提高网络的性能、可靠性和安全性。由于网络的分段，各网段相对独立，一个网段的故障不会影响到另一个网段的运行。

安全隔离网闸采用SU-Gap安全隔离技术，创建一个内、外网物理断开的环境。安全隔离网闸的硬件由三部分组成：外部处理单元（外端机）、内部处理单元（内端机）、仲裁处理单元（仲裁机），各单元之间采用了隔离安全数据交换单元。

2 广播业务网络架构的安全分析

广播业务网络分为主干交换和楼层交换两个层次。主干网采用光纤千兆网，两台核心交换机，交换机采用模块化，双电源和双交换引擎进行热备份。播出服务器和楼层交换机通过光纤同时联接到两台核心交换机，任何一台核心交换机的故障都不影响播出。楼层交换部分（水平布线）采用10/100/1000Base-T的网络，使用5类或超5类双绞线进行联接。

服务器采用双电源配置，两块硬盘镜像作为系统盘，服务器之间两两主备，当其中一台出项故障的时候，另外一台可以很快的接管整个工作。确保任何一块硬盘和电源出现故障的时候，服务器能正常工作。

2.1 存储安全

整个存储系统根据业务需要，组成一个逻辑阵列，由机头和阵列构成。机头采用负载均衡的冗余备份方式，同时对外提供存储服务，当其中一个机头失效后，其它个机头接替失效机头的功能，担负起对外提供服务的任务，同时升级冷备机头接替失效机头继续工作。

存储阵列配置相同，形成冗余备份，每个阵列做成RAID，除了用于构建RAID的磁盘外，还配热备盘，当某块RAID盘失效时，能自动启动热备盘重建程序，替代失效的盘。

2.2 防火墙等审核日志记录

配置安全系统防火墙和上网行为管理，并且所有的服务器都开启管理员审核日志记录功能，来记录系统执行的操作，对每一个操作产生记录。通过对需要审核的网络动作进行配置，可以控制网络操作，限制非法的网络操作。事后通过对日志查询，可以追踪网络中所有的操作，进而修正网络破坏。

2.3 网桥防护

广播业务网是一个相对独立的网络，这样可以有效防止病毒的传染和黑客的入侵。但是考虑到广播制播网和综合业务网之间需要进行数据交换，因此在广播业务网与外网之间建立安全连接网桥，通过安全连接网桥来传递允许通过的数据，从而保证广播业务网的安全。安全连接网桥建立在非通用协议基础上的，并且只能允许音频文件等被授权的数据，具备文件格式检测，能够识别伪装成音频文件的可执行文件等，防止木马程序进入系统内部。

3 适应业务网络架构的安全运维

在网络安全设备运转的基础上，加强技术维护，进行网络防护操作，通过封应用端口协议，来实现防护堵漏洞，防止外来的攻击，防止内部链接危险站点。对于相关操作系统打系统补丁，定期更新防火墙、上网行为管理等系统的补丁，定期检查路由器和交换机的更新及设置，保证安全设备运行效果。

配置网管软件记录收集网络日志，将服务器、交换机、防火墙、主机等的各项指标信息收集集中，以报表形式呈现，通过技术巡查，及早发现问题。

4 结束语

广播业务网络采用网络设备冗余，防火墙等内外网隔离连通技术，确保内部网络业务安全畅通，实现对网络操作审核日志记录，可追溯网络操作。这样通过网络安全设备合理配置，以及技术运维管理，达到确保网络安全畅通。

参考文献：

[1]龚敏斌，潘理，钱宏.网络系统策略完整性安全机制[J].信息安全与通信保密，2013（08）：73-75.

[2]王宇，陆松年.Web应用防火墙的设计与实现[J].信息安全与通信保密，2011（05）：104-106.

作者简介：邓丽玲（1968-），女，四川成都人，高级工程师，研究方向：广播业务网络、播控智能化。

作者单位：四川广播电视台，成都 610041