陳韜

摘 要 “甘南廣電新媒體”是全國少數(shù)民族地區(qū)地級廣電單位為數(shù)不多自行開發(fā)建設(shè)、自行維護并且穩(wěn)定運行超過2年以上的新媒體平臺，甘南州屬于全國藏區(qū)反分裂斗爭的最前沿，新媒體網(wǎng)絡信息安全尤為重要，在建設(shè)資金不足的情況下，通過運用高性能防火墻對網(wǎng)絡系統(tǒng)劃分為基本的外網(wǎng)非安全區(qū)、DMZ隔離區(qū)、內(nèi)網(wǎng)安全區(qū)的方式，達到了網(wǎng)絡安全防護要求，滿足日常使用，可供地方民族臺或者地級市臺參考。

關(guān)鍵詞 民族地區(qū)；廣電新媒體；網(wǎng)絡安全體系

中圖分類號 G2 文獻標識碼 A 文章編號 2096-0360（2017）08-0028-02

2014年11月，甘南廣播電視臺率先在甘肅乃至整個安多藏區(qū)開通了首家集網(wǎng)站、手機App、微信、微博于一體的全媒體平臺，通過互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)的傳輸實現(xiàn)了甘南臺廣播電視節(jié)目的網(wǎng)絡點播和直播，廣受全州各族群眾和好評。該平臺依托后臺強大的媒資采集、編碼、存儲、管理和發(fā)布等模塊，把傳統(tǒng)的電視、廣播的內(nèi)容，同步發(fā)布到WEB和手機客戶端，實現(xiàn)媒體內(nèi)容的全屏幕覆蓋。甘南廣電新媒體平臺是甘南廣電在互聯(lián)網(wǎng)上的服務窗口，承擔著對州內(nèi)群眾宣傳黨和國家的政策和聲音，對州外群眾宣傳甘南生態(tài)、旅游、文化建設(shè)成就的重要任務，在我臺新媒體平臺建設(shè)當中，網(wǎng)絡信息安全防護更是重中之中的工作，網(wǎng)絡信息安全事關(guān)國家主權(quán)穩(wěn)定、經(jīng)濟健康發(fā)展，更是我臺新媒體平臺穩(wěn)定運行的基礎(chǔ)，由于甘南州地處安多藏區(qū)，是反分裂斗爭的最前線，一旦新媒體平臺受到黑客攻擊、劫持發(fā)生嚴重的網(wǎng)絡安全事故，將對甘南州的對外形象以及全州的維穩(wěn)工作產(chǎn)生極其惡劣的影響和嚴重的后果。

1 甘南廣電新媒體平臺網(wǎng)絡安全威脅來源

甘南廣電新媒體平臺面臨的網(wǎng)絡威脅來源分內(nèi)網(wǎng)和外網(wǎng)，最主要是外網(wǎng)的攻擊。一般來說內(nèi)網(wǎng)威脅主要是局域網(wǎng)內(nèi)工作站電腦由于使用人員缺乏網(wǎng)絡安全意識、操作不當感染了木馬、病毒等惡意程序或被黑客所劫持，從而繞開防火墻對所其連接的服務器、后臺管理系統(tǒng)、數(shù)據(jù)庫進行進行攻擊破壞，或者由于從業(yè)人員人為因素故意進行破壞。

外網(wǎng)攻擊主要分網(wǎng)絡層攻擊和應用層攻擊。常見的網(wǎng)絡層攻擊有DOS（拒絕服務）、DDOS（分布式拒絕服務）等，網(wǎng)絡層的攻擊其根本就是利用TCP協(xié)議的缺陷通過竊聽、篡改、IP欺騙、偽造方式來占用和消耗大量的網(wǎng)絡，造成主機的拒絕服務、網(wǎng)絡資源無法訪問、系統(tǒng)癱瘓崩潰，其中DDOS攻擊（分布式拒絕服務攻擊）更是有很強的破壞力，也是我們在網(wǎng)絡層中重點防范的攻擊類型。常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood等；應用層（WEB）攻擊常見的有：跨站腳本攻擊、注入攻擊、緩沖區(qū)溢出攻擊、Cookie假冒、認證逃避、表單繞過、非法輸入、強制訪問、隱藏變量篡改、應用層DDOS拒絕服務攻擊等等，其原理都是利用網(wǎng)頁、服務器的漏洞插入惡意的HTML代碼或者寫入惡意的SQL代碼，從而竊取用戶瀏覽會話中諸如用戶名和口令等敏感信息或者非法獲得操作后臺的數(shù)據(jù)庫的權(quán)限，導致敏感信息泄露、網(wǎng)頁掛木馬、數(shù)據(jù)庫內(nèi)容和結(jié)構(gòu)遭到破壞。除了以上兩類外還有一種綜合性的APT攻擊（高級持續(xù)性威脅），是利用先進的攻擊手段長期對特定目標發(fā)起持續(xù)性的網(wǎng)絡攻擊，破壞力極強，造成的危害極大，通常是針對高價值目標，比如政府、商業(yè)、企業(yè)等部門。

甘南廣電新媒體平臺運行兩年多以來，在網(wǎng)絡攻擊方面我們遇到最多的，也是重點防范的也就是DDOS、XSS跨站攻擊、SQL注入、APT攻擊和爬蟲這幾種類型的攻擊。

2 甘南廣電新媒體平臺防護措施

新媒體平臺的網(wǎng)絡安全是一項動態(tài)的系統(tǒng)工程。從技術(shù)上來說，一個網(wǎng)站所應采用的相應安全技術(shù)主要包括：防病毒、防火墻、入侵檢測、漏洞掃描與檢測、網(wǎng)站實時監(jiān)控與恢復、安全事件緊急響應體系等。甘南廣電新媒體平臺網(wǎng)絡信息安全防護分內(nèi)網(wǎng)、外網(wǎng)兩個方面來建設(shè)實施。按照《廣播電視相關(guān)信息系統(tǒng)安全等級保護基本要求》，在總體安全防護設(shè)計中以高性能UTM防火墻為核心，把整個系統(tǒng)劃分為3個區(qū)，外部非安全區(qū)，內(nèi)部安全區(qū)和DMZ區(qū)設(shè)置不同的權(quán)限和訪問規(guī)則，具有高效率、高可靠性、高安全性、高性能的特點，很好的解決內(nèi)外網(wǎng)絡信息安全防護問題。

內(nèi)部安全區(qū)主要是由連接后臺服務器的發(fā)布審核工作站和音視頻非編工作站、圖文工作站、文稿編輯系統(tǒng)等構(gòu)成。為了方便個人辦公電腦在互聯(lián)網(wǎng)上搜集素材、編輯圖文信息，又避免后臺服務器直接和互聯(lián)網(wǎng)相連，辦公互聯(lián)網(wǎng)和網(wǎng)站出口網(wǎng)絡我們分別采用兩條專線，部署了一臺雙網(wǎng)卡中轉(zhuǎn)存儲服務器，分別與網(wǎng)站專線和辦公網(wǎng)連接，辦公網(wǎng)前端已部署防火墻和行為管理器，在中轉(zhuǎn)存儲服務器按照內(nèi)容空間化出文稿、圖片、視頻空間并做了磁盤映射，分別映射到連接后臺的發(fā)布、審核工作站電腦和個人辦公電腦，中轉(zhuǎn)存儲服務器與網(wǎng)站后臺服務器直接部署隔離網(wǎng)關(guān)，避免病毒、木馬對服務器的攻擊，這樣就可以通過個人電腦方便的通過互聯(lián)網(wǎng)進行圖片搜集、文稿編輯、視頻加工，然后存入中轉(zhuǎn)服務器，由各工作站統(tǒng)一進行殺毒、審核、上傳、發(fā)布，同時審核發(fā)布工作站配備了USB隔離網(wǎng)關(guān)，避免通過U盤來傳素材時發(fā)生病毒感染。DMZ區(qū)由CMS服務器、WEB服務器、手機客戶端服務器、流媒體服務器、媒資磁盤陣列構(gòu)成，是為解決安裝防火墻后外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡服務器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，有效保護了外網(wǎng)對內(nèi)網(wǎng)服務器的訪問安全。外部網(wǎng)絡由帶IDS的下一代UTM防火墻和web防火墻構(gòu)成，主要用于隔離和審查任何需要進入內(nèi)網(wǎng)服務器的數(shù)據(jù)訪問和信息，其中UTM防火墻用抵御網(wǎng)絡層的攻擊，web防火墻專門用于從應用層方面對服務器組提供保護。

3 結(jié)束語

由于甘南藏族自治州屬于邊遠少數(shù)民族貧困地區(qū)，建設(shè)“新媒體網(wǎng)絡平臺”資金十分有限，在網(wǎng)絡安全體系建設(shè)中，我們按照網(wǎng)絡安全等級保護標準，建成了最基本的“三區(qū)”安全體系，系統(tǒng)穩(wěn)定可靠，安全性能方面達到了建設(shè)需求，截至目前沒有發(fā)生過一起網(wǎng)絡安全事故，可以給民族地區(qū)地級新媒體平臺網(wǎng)絡安全防護建設(shè)提供一定的參考，但是隨著今后的發(fā)展和針對我們實際使用中發(fā)現(xiàn)的問題，還需要進一步加強網(wǎng)絡安全防護體系建設(shè)，需要建設(shè)網(wǎng)絡審計系統(tǒng)、日志審計系統(tǒng)、網(wǎng)絡安全實時監(jiān)測告警系統(tǒng)，獨立的硬件IDS系統(tǒng)，購置專門的抗DDOS設(shè)備解決網(wǎng)絡層DDOS攻擊高的問題，同時為了避免單點故障的發(fā)生還需要購置高性能防火墻，增加吞吐量，按口字型網(wǎng)絡部署，實現(xiàn)雙機熱備。新媒體平臺的安全防護體系不能依靠單一技術(shù)體系來保障，管理是網(wǎng)絡安全的重要組成部分，尤其是內(nèi)部網(wǎng)絡管理。因此為了切實保障新媒體平臺的安全運行，還需要建設(shè)完善的安全管理體系，依靠嚴格的安全管理、安全檢查制度來實現(xiàn)。

參考文獻

[1]國家廣播電影電視局總局科技司.GD/J 037-2011 廣播電視相關(guān)信息系統(tǒng)安全等級保護定級指南[S].2011.