◆閆 政

雙向有線網(wǎng)絡(luò)安全域劃分及防護(hù)建議

◆閆 政

(太原有線電視網(wǎng)絡(luò)有限公司 山西 030024)

本文主要分成三個部分。第一部分，介紹了雙向有線網(wǎng)絡(luò)、安全域及其劃分的相關(guān)概念；第二部分，闡述了我國雙向有線網(wǎng)絡(luò)所面臨的問題；第三部分，重點(diǎn)介紹了雙向有線網(wǎng)絡(luò)安全域的劃分，并分別提出了具體的防護(hù)建議。

雙向有線網(wǎng)絡(luò)；安全域劃分；網(wǎng)絡(luò)安全防護(hù)；安全域互訪

1 基本概念闡述

1.1雙向有線網(wǎng)絡(luò)

城域網(wǎng)，由廣播網(wǎng)絡(luò)和數(shù)據(jù)主干網(wǎng)絡(luò)組成，廣播網(wǎng)絡(luò)一般為星形或環(huán)形結(jié)構(gòu)。數(shù)據(jù)主干網(wǎng)絡(luò)，承擔(dān)著大量的數(shù)據(jù)處理任務(wù)，因此設(shè)計(jì)成網(wǎng)狀結(jié)構(gòu)。接入網(wǎng)和用戶端，根據(jù)接入方式的不同，可以分為同軸電纜接入和五類線接入。

1.2安全域劃分

安全域的定義，就是指具有一致的安全需求、共享一致的安全策略、擁有一致的訪問的網(wǎng)絡(luò)或子網(wǎng)。安全域的存在，能夠便于網(wǎng)絡(luò)安全防護(hù)的規(guī)劃和執(zhí)行，減少工作量，提高設(shè)備效率。

而安全域的劃分，是建立網(wǎng)絡(luò)防御系統(tǒng)的基礎(chǔ)工作。隨著廣電業(yè)務(wù)的發(fā)展，其計(jì)算機(jī)網(wǎng)絡(luò)日趨復(fù)雜化，如果不進(jìn)行有層次的安全域劃分，很難建立全面、縱深的防御體系。

通常情況下，對安全域的劃分，主要依據(jù)以下三個方面[1]。

（1）依據(jù)業(yè)務(wù)系統(tǒng)。將不同的業(yè)務(wù)系統(tǒng)，劃分為不同的安全域。安全需求類似等業(yè)務(wù)系統(tǒng)，歸入同一安全域，避免由于安全域劃分過于細(xì)致而導(dǎo)致的重復(fù)投資。此種方法能夠利用現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)際操作起來十分方便。

（2）依據(jù)防護(hù)等級。按照網(wǎng)絡(luò)資產(chǎn)的重要程度，從高到低設(shè)置不同的優(yōu)先級，其享受的防護(hù)等級，隨著優(yōu)先級的提高而提升。同一等級的網(wǎng)絡(luò)資產(chǎn)處在同一個安全域。享受同樣的防護(hù)策略。如此一來，防護(hù)系統(tǒng)的建立，就具有了針對性，突出重點(diǎn)，防止重復(fù)投資。這種方法適合新建的網(wǎng)絡(luò)系統(tǒng)，對于已有的網(wǎng)絡(luò)結(jié)構(gòu)來說，實(shí)際操作過程中調(diào)整的幅度太大。

（3）依據(jù)系統(tǒng)行為。全面評估業(yè)務(wù)系統(tǒng)的系統(tǒng)行為，以及其所面臨的外部威脅，將類似的系統(tǒng)設(shè)為同一安全域。此種方法兼顧了降低實(shí)際操作難度與保障防御縱深度，是目前較為主流的安全域劃分方法。

2 雙向有線網(wǎng)絡(luò)面臨的主要安全問題

2.1黑客攻擊與病毒入侵

傳統(tǒng)電視網(wǎng)絡(luò)是單向傳輸，而且與外界存在著物理隔離。然而雙向有線網(wǎng)絡(luò)卻不同，由于其雙向傳輸?shù)奶匦?，互?lián)網(wǎng)中的黑客攻擊或者病毒，能夠經(jīng)由客戶終端逆流而上，攻擊前端服務(wù)器，造成用戶信息被泄露、影音資源被盜取，甚至服務(wù)器癱瘓，致使有線電視公司蒙受經(jīng)濟(jì)上與名譽(yù)上的巨大損失。有時(shí)，不法分子利用系統(tǒng)內(nèi)與外網(wǎng)連接的節(jié)點(diǎn)，推送非法內(nèi)容，造成播放事故[2]。

由表6可知，A型TPS排水式瀝青混合料低溫彎曲強(qiáng)度達(dá)7.159MPa，大于B型TPS排水式瀝青混合料低溫彎曲強(qiáng)度6.813MP，兩種混合料均具有優(yōu)良的低溫性能。

2.2播放內(nèi)容難以控制

由于有線網(wǎng)絡(luò)的雙向性，每一個用戶終端，都能發(fā)布影音資料，再加上手機(jī)、平板電腦便利性，導(dǎo)致節(jié)目源的隨意性和多樣性，播放內(nèi)容難以管制，非法插播便能趁虛而入。

2.3設(shè)備問題

我國的有線電視設(shè)備，大部分都是從國外進(jìn)口，雖然從性能和穩(wěn)定性能得到保障，但缺乏相應(yīng)的運(yùn)維條件，對進(jìn)口設(shè)備的不熟悉，再加上備份數(shù)量的不足，無法建立完善的防護(hù)體系，一旦遭受網(wǎng)絡(luò)攻擊，便無法在短時(shí)間內(nèi)恢復(fù)運(yùn)行。

2.4網(wǎng)絡(luò)基本構(gòu)架存在安全隱患

目前的雙向有線網(wǎng)絡(luò)構(gòu)架，還存在著不少安全隱患。比如：各信息系統(tǒng)之間關(guān)系混雜，難以進(jìn)行管理；內(nèi)部局域網(wǎng)未劃分子網(wǎng)絡(luò)，訪問缺乏管制；信息系統(tǒng)防護(hù)措施簡陋，有時(shí)甚至僅依賴防火墻，通信通道缺乏加密措施等等。

3 雙向有線網(wǎng)絡(luò)安全域劃分及防護(hù)建議

對于雙向有線網(wǎng)絡(luò)，我們使用前文所述的第一種方法，即依據(jù)業(yè)務(wù)系統(tǒng)來劃分安全域，并提出相應(yīng)的防護(hù)建議[3]。

3.1業(yè)務(wù)生產(chǎn)區(qū)

業(yè)務(wù)生產(chǎn)機(jī)也叫內(nèi)部系統(tǒng)區(qū)，由直播系統(tǒng)、接入系統(tǒng)、boss系統(tǒng)等組成，它的重要性不言而喻，需要配套與之對等的保護(hù)等級。按照業(yè)務(wù)性質(zhì)，可以分為基本業(yè)務(wù)，增值業(yè)務(wù)。業(yè)務(wù)生產(chǎn)區(qū)，經(jīng)過統(tǒng)一的接口，進(jìn)入城域網(wǎng)。如圖1所示。

圖1 業(yè)務(wù)生產(chǎn)區(qū)

對于直播服務(wù)區(qū)，需要對其內(nèi)容進(jìn)行控制，同時(shí)，對信息通道進(jìn)行防護(hù)。由于其不與城域網(wǎng)直連，與其他區(qū)域也只有信息傳遞，因此，需要將其與其他系統(tǒng)隔離。視頻點(diǎn)播區(qū)，與用戶的終端設(shè)備相連，需要在入口處設(shè)置web防火墻，并布置相應(yīng)的終端管控核安全設(shè)備。信息服務(wù)區(qū)，通常訪問量很大，需要布置相關(guān)設(shè)備分擔(dān)流量，同時(shí)，受到用戶的惡意攻擊的頻率也很高，因此，需要高標(biāo)準(zhǔn)的安全設(shè)備。終端控制區(qū)，其主要功能是為用戶提供系統(tǒng)服務(wù)，需要加強(qiáng)數(shù)據(jù)備份，設(shè)置防火墻和入侵防御系統(tǒng)。增值業(yè)務(wù)區(qū)，其信息來源廣、信息形式龐雜，而且，與其他業(yè)務(wù)系統(tǒng)有交集。因此，需要以信息來源為依據(jù)，采取不同的安全措施。

3.2內(nèi)部互聯(lián)區(qū)

機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)，就是內(nèi)部互連區(qū)，其結(jié)構(gòu)如圖2所示，包括了信息管理區(qū)域內(nèi)部公共區(qū)。

圖2 內(nèi)部互聯(lián)區(qū)

在城域網(wǎng)與內(nèi)部互連區(qū)的接口處，應(yīng)設(shè)立防火墻和入侵防御系統(tǒng)，以抵御外部攻擊。同時(shí)，針對內(nèi)部人員，進(jìn)行上網(wǎng)行為約束。我們可以按照地域或者層級，對內(nèi)部互聯(lián)區(qū)劃分子網(wǎng)，分層管理與防護(hù)，既能避免擁堵，又能方便隔離。

3.3內(nèi)部公共區(qū)

企業(yè)內(nèi)部人員的辦公區(qū)域，即內(nèi)部公共區(qū)。大部分企業(yè)，其辦公區(qū)域多集中在一兩棟大樓里，部門種類和人員密集，網(wǎng)絡(luò)交流頻繁。出于這個原因，內(nèi)部公共區(qū)很容易受到網(wǎng)絡(luò)攻擊。需要以部門為單位，劃分為不同的網(wǎng)段，設(shè)置防火墻和入侵防御系統(tǒng)。對于涉及商業(yè)機(jī)密和企業(yè)重要信息的部門，進(jìn)行集中管制，運(yùn)營和維護(hù)時(shí)，禁止使用公共通道，必須使用專用的安全通道。

3.4信息管理區(qū)

通常情況下，企業(yè)會設(shè)置一個區(qū)域，對其內(nèi)部各種信息進(jìn)行集中處理，這個區(qū)域就是信息管理區(qū)。我們一般將其分成幾個部分進(jìn)行分別管理。其中，BOSS系統(tǒng)是重中之重，它涉及個人的隱私信息和企業(yè)的核心業(yè)務(wù)，需要為其單獨(dú)設(shè)立一個安全域，使用專用通道，對出入其中的所有通信進(jìn)行加密處理。

3.5安全管理區(qū)

建立完善的網(wǎng)絡(luò)防護(hù)機(jī)制，需要設(shè)立安全管理區(qū)，為系統(tǒng)內(nèi)所有的主機(jī)和設(shè)備提供安全管理服務(wù)。比如，審計(jì)運(yùn)維事件、進(jìn)行風(fēng)險(xiǎn)分析、危險(xiǎn)報(bào)警等，其結(jié)構(gòu)如圖3所示。在重要接口處設(shè)置防火墻，設(shè)立運(yùn)維堡壘機(jī)等等。

3.6用戶區(qū)

終端用戶的接入?yún)^(qū)域，就是業(yè)務(wù)用戶區(qū)。為每一個終端設(shè)備設(shè)置獨(dú)立的標(biāo)識，以此為依據(jù)進(jìn)行ip地址驗(yàn)證和身份驗(yàn)證，限制接入規(guī)則，對不同類型的終端用戶，進(jìn)行訪問控制。

3.7小結(jié)

在保證基本通信需求的基礎(chǔ)上，盡可能強(qiáng)化防護(hù)手段。考慮到安全域之間互訪的風(fēng)險(xiǎn)，應(yīng)該遵循以下原則：保障高防護(hù)等級的系統(tǒng)具有操作的控制權(quán)。意思就是說，低防護(hù)等級的系統(tǒng)在訪問高防護(hù)等級的系統(tǒng)時(shí)，只允許讀取，不允許寫入。如此一來，在低防護(hù)等級的系統(tǒng)受到黑客攻擊和感染病毒時(shí)，能夠有效地與高防護(hù)等級的系統(tǒng)隔離開來，防止擴(kuò)散。

圖3 安全管理區(qū)

在安全域的內(nèi)部，還能夠進(jìn)一步分成多個子安全域，控制子安全域之間的互訪，進(jìn)行一定程度的隔離。對系統(tǒng)內(nèi)各部件，進(jìn)行及時(shí)的補(bǔ)丁更新。在所有重要的互聯(lián)邊界，都應(yīng)該設(shè)立防火墻和入侵防御系統(tǒng)。除了抵御來自外部的威脅，內(nèi)部人員的管理也相當(dāng)重要，加強(qiáng)對員工的網(wǎng)絡(luò)安全意識與技能的培訓(xùn)，避免因?yàn)槭韬龌虿僮鞑灰?guī)范而產(chǎn)生的安全問題。

4 結(jié)語

如今，有線網(wǎng)絡(luò)已基本雙向化，業(yè)務(wù)的擴(kuò)展和用戶的劇增，帶來巨大收益的同時(shí)，也帶來了更大的安全威脅。而安全域的劃分，是進(jìn)行網(wǎng)絡(luò)安全防護(hù)的第一步，是保障防護(hù)效果、降低防護(hù)成本的重要條件。

[1]許德仲，牛妍華，朱佩江.雙向有線網(wǎng)絡(luò)安全域劃分及防護(hù)建議[J].廣播電視信息，2014.

[2]黃小虎.有線數(shù)字電視網(wǎng)絡(luò)安全技術(shù)研究[J].科學(xué)技術(shù)與應(yīng)用，2015.

[3]成星.有線數(shù)字電視網(wǎng)絡(luò)安全規(guī)劃淺談[J].廣播電視信息，2017.