文/魏巾豪

廣電監(jiān)測網(wǎng)屬于廣電行業(yè)中十分核心的基礎性任務，監(jiān)測質量和社會大眾的精神文化生活密切聯(lián)系。隨著國內各級廣電欄目的逐漸增加、廣電網(wǎng)絡持續(xù)延展，監(jiān)測網(wǎng)絡的服務范圍逐漸擴大，就使得監(jiān)測過程逐漸繁瑣化，增多了任務量，給監(jiān)測網(wǎng)絡穩(wěn)定運行帶來巨大風險，且多種廣電衍生項目的快速增多，同樣對廣電網(wǎng)絡質量提出了較高要求。為此，廣電安全是一個需要高度重視、高度預防警戒的因素。對于廣電監(jiān)測網(wǎng)也是一項需要在質量、安全、監(jiān)測方面輕視不得的高難度工作。

1.廣電監(jiān)測網(wǎng)系統(tǒng)分析

監(jiān)測系統(tǒng)以計算機網(wǎng)絡平臺、千兆以太網(wǎng)系統(tǒng)、動態(tài)路由系統(tǒng)、鏈路冗余系統(tǒng)等為依據(jù)，屬于一個集視頻、語音及信息于一體的信息傳送網(wǎng)絡。結合監(jiān)測網(wǎng)絡信息傳送量大、時效性高，對信息安全性、穩(wěn)定性和統(tǒng)一性需求高等特征，在全網(wǎng)絡的總體設計階段，要考量以下幾點需求。

（1）配合健全的防火墻系統(tǒng)，制定安全的處理計劃，滿足保密需求。支撐AAA性能、ACL、IPSEC、NAT 、路由檢驗、CHAP、PAP、CA、MD5、DES、日志等多種功能。

（2）需要網(wǎng)絡的物理架構、邏輯架構以及地址空間層次化與模塊化，科技及產品規(guī)范化，且具備可持續(xù)性，有助于網(wǎng)絡的建成和拓展；并伴隨網(wǎng)絡的進步，能持續(xù)延展，充分保障現(xiàn)有資源。

（3）系統(tǒng)需要容錯性好、防損性能高、穩(wěn)定性強，網(wǎng)絡內單點故障并不會令局域網(wǎng)絡喪失于全網(wǎng)絡的鏈接，多點異常不會導致全網(wǎng)絡被分為幾個互不連接的部分。

（4）滿足多業(yè)務開展要求，提供高性能的能為圖像、語音、信息提供服務的業(yè)務網(wǎng)。

（5）通信協(xié)議與接口滿足國際規(guī)定。

（6）結合當前的要求與能夠預見的要求增長狀況規(guī)劃網(wǎng)絡，不強調空洞的技術科學性，防止追求高檔與最新科技而消耗巨大資金。

（7）具備很高的傳送寬帶，且可以在高負荷條件下依然具備很強的吞吐性能及效率，延遲小。

2.監(jiān)測網(wǎng)系統(tǒng)的安全問題

當前，國內廣電監(jiān)測網(wǎng)系統(tǒng)在安全層面存在較大問題，具體表現(xiàn)如下：

2.1 煩瑣的系統(tǒng)布局影響安全

國內廣電行業(yè)最明顯的特征即與國內廣域國土資源有關，即廣電行業(yè)的疆域較廣，該廣度基本已包含中國所有國土的絕大多數(shù)區(qū)域，甚至已包含中國的一些無人區(qū)。與之對應的監(jiān)測網(wǎng)絡平臺也持續(xù)拓展，導致國內廣電監(jiān)測系統(tǒng)顯現(xiàn)地理方面的分散性，在通訊方式方面的煩瑣多樣性，在節(jié)點方面的布局性。正是由于這些性質，導致我國進行全面的、高效的、真正可以保證安全的監(jiān)控變得非常困難。

因為國內各大廣電單位間存在設施和技術的不一致性，部分已發(fā)展好的大型省級以及省級電視臺已具備能力分布超出中央級的廣電設施。而且，各大廣電站均能夠選用不同的以及多種通訊模式共存的信息傳送和傳播途徑。而每一種信息傳送和傳播方法及監(jiān)測的方式方法都有區(qū)別，該種煩瑣性給監(jiān)測系統(tǒng)的安全帶來了巨大威脅。

分布性，分布性最常見的難點即分布監(jiān)測系統(tǒng)的也應與之相應的布局，但是分布并非最后目的，最后的目的在于實現(xiàn)即時的集中管理及控制，在一個十分廣闊的地區(qū)上分布已經很難，得到實時的集中管控便會難之又難。

2.2 IP網(wǎng)絡本身存在的安全問題

世界各地的廣電監(jiān)測系統(tǒng)包含國內廣電監(jiān)測系統(tǒng)，均是一種和互聯(lián)網(wǎng)結構一樣的依靠TCP/IP協(xié)議的體系。還有依靠無線的和模擬信號的監(jiān)控網(wǎng)絡平臺。TCP/IP網(wǎng)絡盡管出現(xiàn)的歷史比較久，但該種依靠TCP/IP協(xié)議的公開性、貫通性、訪問性、探測性也是非常容易被攻擊的缺點。

2.3 管理制度不完善

廣電監(jiān)測網(wǎng)快速發(fā)展，規(guī)模及網(wǎng)絡出現(xiàn)了巨大擴張，但在系統(tǒng)建立、保障網(wǎng)絡平臺安全運轉及數(shù)據(jù)保密方面，當前依舊缺乏集中的安全標準、整體的管理制度和法律條文。系統(tǒng)管理不只是對計算機、網(wǎng)絡設施、系統(tǒng)軟件的控制，還涉及對總體數(shù)據(jù)資源的管控，對數(shù)據(jù)資源的標準化、科學化管理。唯有制定科學的安全管理制度，方可令物理層、運用層等安全對策真正高效。

2.4 黑客入侵計算機系統(tǒng)

黑客是威脅網(wǎng)絡安全的關鍵因素，計算機系統(tǒng)內的黑客利用本身所掌握的計算機專業(yè)知識來破壞計算機網(wǎng)絡平臺，是借助計算機系統(tǒng)犯罪的主體。是指利用自己編寫或是其他的病毒設施監(jiān)測網(wǎng)絡內的漏洞，然后侵襲網(wǎng)絡，黑客的各種行為極大地威脅著計算機系統(tǒng)的安全性。

地方節(jié)慶在當代科技迅速發(fā)展條件之下，有了許多新的信息傳播路徑，無論是知悉程度還是影響范圍都較以前有了大幅度的提升，這些優(yōu)勢也完全可以用在通過地方節(jié)慶拓廣傳統(tǒng)文化的傳承路徑上。目前不僅可以通過報刊雜志和網(wǎng)絡等現(xiàn)代傳媒手段拓廣地方節(jié)慶的知名度和增加參與人數(shù)，還可以通過廣告、植入影視作品等途徑擴大影響，增進認同。

和單機環(huán)境比較，網(wǎng)絡平臺通信功能高，所以病毒傳遞迅速，同時提高了測病毒的困難性。從物理角度說，計算機系統(tǒng)的安全比較脆弱，由廣電系統(tǒng)內的網(wǎng)絡結構圖（見圖1）能夠發(fā)現(xiàn)，廣電系統(tǒng)通過制作播報、信號傳遞、發(fā)射配置、客戶接收幾個網(wǎng)絡過程，就像通信方面所遇到的問題那樣，計算機網(wǎng)絡包含設施分布普遍，任何個人和部門都無法時刻全面監(jiān)測這些設施，任何設置在無法上鎖的地區(qū)的設施，包含通訊光纜、電纜、LAN與電話線、遠程網(wǎng)等均有可能受到損壞，進而導致計算機系統(tǒng)癱瘓，阻礙正常信息業(yè)務傳遞。在日常操作中的危害包括：降低計算機和網(wǎng)絡系統(tǒng)穩(wěn)定的運行效率，損壞計算機操作平臺和客戶的信息，損壞計算機硬件平臺，關鍵數(shù)據(jù)被盜取等。

圖1 廣電系統(tǒng)內的網(wǎng)絡結構

3.廣電監(jiān)測網(wǎng)安全對策

廣電監(jiān)測網(wǎng)絡安全對策要全面考量技術措施與管理措施。從技術層面來講，因為采用系統(tǒng)的煩瑣性，單調的安全對策遠無法迎合應用系統(tǒng)的煩瑣需求。所以，要求提出多種安全對策，而且與各種應用系統(tǒng)運轉在相同網(wǎng)絡中一樣，網(wǎng)絡安全也需要是一個集中、全面的處理計劃，需要制定一個層次性安全系統(tǒng)結構。

3.1 操作平臺安全對策

操作平臺的安全漏洞，大都是因為系統(tǒng)控制不善所引起的。比如，密碼設置不善且不定時調整、文件權限設立不當、服務器的搭配不當?shù)?，要制定完善的操作平臺安全升級體系，立即下載且安裝補丁。

3.2 備份對策

為保障監(jiān)測網(wǎng)絡安全可靠運轉，針對安全網(wǎng)的重要LAN平臺硬件，能采取雙機熱備計劃，對運用服務器、信息庫服務器、文檔服務器、交換器、防火墻等硬件選擇雙機共行，負載平衡的模式運轉，確保任何一點產生問題，系統(tǒng)均可以智能切換至熱備硬件上工作，不影響系統(tǒng)穩(wěn)定應用。但是，以上方案需要投入巨大資金，在經費有限的情況下也能采取熱備份計劃，但需要定時的人工備份與維護檢測，方可在產生故障時減少處理時間。

3.3 網(wǎng)絡資源設計對策

創(chuàng)建監(jiān)測網(wǎng)以前，要統(tǒng)一規(guī)劃網(wǎng)絡資源，建立科學的IP計劃、網(wǎng)絡拓撲計劃，對多種資源實現(xiàn)集中編碼，創(chuàng)建集中的信息字典。實踐表明，科學的、集中的網(wǎng)絡計劃對網(wǎng)絡維護和安全運轉均有較大優(yōu)勢，有助于保證網(wǎng)絡在持續(xù)拓展中的長遠性與可靠性，持續(xù)克服與處理產生的技術故障。

3.4 設施安全配備方法

針對核心網(wǎng)絡設施，如交換器、路由器等要求建立科學的配備管理方法，閉合不重要的設施服務，采用強口令和密碼，增強設施訪問認證及授權，創(chuàng)新BIOS，采用訪問管理列表權限、制約信息包類別等。

3.5 防病毒對策

3.6 網(wǎng)絡安全對策

首先，防火墻平臺。監(jiān)測網(wǎng)因其布局限制，通常由諸多安全域構成，要加防火墻，封閉核心端口，對各個安全邊界采取訪問管理，對來往工作記錄日志。借助防火墻得到系統(tǒng)中各級網(wǎng)絡間的分隔與訪問控制，并對公開服務設備的安全防護與對遠程客戶的安全認證及ACL，而且可以實現(xiàn)對專線信息的流量控制及管理與防入侵。防火墻作用準確實施的核心是其安全對策的分配及控制。針對僅有一個LAN平臺的監(jiān)測網(wǎng)，防火墻安裝與網(wǎng)絡進口點檢測網(wǎng)絡通訊，針對多個LAN的分布式監(jiān)測平臺，防火墻能結合其網(wǎng)絡分級設置、統(tǒng)一控制。

其次，LDS。LDS平臺是一種全新的網(wǎng)絡安全系統(tǒng)，可以補充防火墻的問題，有效處理源于網(wǎng)絡中的攻擊，可以有效保護網(wǎng)絡。[2]針對分級控制平臺，能在每個LAN防火墻之后安裝LDS平臺，成為分布式布局，各區(qū)域對網(wǎng)絡流量展開信息分析，當出現(xiàn)異常行為時，記下證據(jù)，且向網(wǎng)絡控制者報警，而且呈現(xiàn)在各地分中心及總監(jiān)控中心，統(tǒng)一分析網(wǎng)絡行為，并集中采取科學的防范方法。

最后，漏洞掃描。安全漏洞掃描平臺是當前最科學的系統(tǒng)，安全評定科技可以定期和不定時的掃描監(jiān)控網(wǎng)絡與多種平臺，并向安全控制者提供科學的系統(tǒng)漏洞信息，使管理者可以及時掌握系統(tǒng)目前存在的漏洞，采用科學的措施加以修補。

另外，網(wǎng)絡管理對策。網(wǎng)絡安全防護的主體由人建立、由人應用、由人管控。而網(wǎng)絡侵襲的發(fā)起對象也是人，因此網(wǎng)絡安全的關鍵在于人，對網(wǎng)絡安全必須加強管理，僅依靠簡單的技術工具遠遠無法達到安全目的，檢查一個內部網(wǎng)的安全性既要檢查其技術手段，還要檢查該網(wǎng)絡所選擇的各種方法的整體性。

3.7 信息傳送安全對策

監(jiān)測網(wǎng)是一個廣域網(wǎng)，無專門的通訊網(wǎng)絡，大都借助廣電光纜和電信線路實現(xiàn)通訊，信息在廣域網(wǎng)中的傳遞要采用加密方法。[3]因為傳送形式的多元化，在不同狀態(tài)下的加密方法也不一樣。如借助VPN系統(tǒng)和動態(tài)加密系統(tǒng)等，要對不同通訊模式及信息的安全級別建立不同的信息傳送對策。

3.8 系統(tǒng)安全對策

所有的安全產品均只服務于安全的某個環(huán)節(jié)，均有一定的局限性，網(wǎng)絡屬于一個多樣、煩瑣、動態(tài)的平臺，無一種安全產品及技術可以迎合網(wǎng)絡安全的全部需求。防火墻平臺針對內部的侵襲行為與偽裝成合法要求的行為是不能預防的，入侵監(jiān)控與漏洞掃描常常產生誤報與漏報。[4]而且，簡單的把諸多安全設施堆砌起來，無法提升網(wǎng)絡平臺的安全水平。網(wǎng)絡安全屬于一個多環(huán)節(jié)的結合，如當IDS平臺發(fā)現(xiàn)網(wǎng)絡不良行為時，能和防火墻、關鍵保護實現(xiàn)聯(lián)動；如果防病毒平臺找到新病毒時，也要立即更新IDS平臺的病毒攻擊庫，提升IDS平臺的工作效率。唯有網(wǎng)絡安全的每個構件有效聯(lián)動、相互補充，方可保證網(wǎng)絡安全[5]。而且，業(yè)務系統(tǒng)自身處于發(fā)展階段，安全策略也要隨著系統(tǒng)的調整而變化，如此方可保證系統(tǒng)的安全策略科學。

3.9 身份認證策略

首先，以口令為主的身份認證模式。針對以往的認證技術而言，其所采取的是以口令為主的認證方式。該種方式較為簡單，針對封閉小型平臺而言，其是一個簡單有效的科學辦法，但是客戶在篩選口令時，通常均是姓名以及生日，該種口令極易遭到破解，如此一來就存在較大的安全威脅。

其次，以物理證件為主的認證形式。該種形式通過客戶的某些特殊東西來實現(xiàn)，所采用的物理證件包括智能卡和USB key等，借助智能卡可以加密硬件系統(tǒng)，其安全程度很高。以智能卡為主的認證形式，將客戶所知和客戶所有兩類形式相融合，在物理證件內存入客戶資料，把客戶事先加以選取的某一隨機信息存進AS內，客戶在對系統(tǒng)資源加以訪問時，在錄入ID和口令以后，系統(tǒng)先判定智能卡的規(guī)范性，再借助智能卡判斷客戶身份，如果客戶身份屬于合法，隨后把智能卡內所存儲的隨機信息傳送致AS實現(xiàn)深入認證。

最后，一次性口令認證方法。一次性口令是指把身份代碼和某種無法確定的因素作為密碼算法錄入?yún)?shù)。借助算法的變換獲得一個改變結果，而且將這一結果作為客戶完成登錄的口令，于認證服務設備端借助與之一樣的計算方式進行計算，而且要將之和客戶登錄口令配合，若是合法的則可登錄，該種一次性口令并不重復，而且是持續(xù)改變的。此外，客戶無需記住，一個口令僅有一次應用權利，屬于拒絕反復應用的。就當前情況而言，一次性口令認證方法獲得實現(xiàn)的途徑主要包括3種：（1）Lamport形式。該種形式也稱為哈希鏈模式，該種計劃的實現(xiàn)比較容易，而且無需特殊硬件支撐。但其安全性是基于單向散列函數(shù)得以實現(xiàn)，盡量避免在分布式網(wǎng)絡條件下應用。（2）時間同步形式。該種形式下，每個客戶均有一個相關時間同步令牌。該種形式的核心即要確保認證服務器和令牌時鐘的相同。（3）挑戰(zhàn)應答形式。該種形式下，所有客戶應保持相關挑戰(zhàn)應答令牌，而且在令牌中放入有種子密鑰和加密算法?？蛻粼谠L問系統(tǒng)時，將有一個挑戰(zhàn)信息與服務器內隨機形成，而且將這一信息向客戶傳送，客戶將接收的信息輸進令牌中，令牌結合內部加密算法與種子密鑰應與之相關應答信息計算出來。客戶將這一應答信息向服務器傳送，服務器再把相關應答信息計算出來，將之和客戶上傳信息相對比，進而加以驗證。

結語

綜上所述，伴隨計算機以及相關科技的進步，監(jiān)測系統(tǒng)的安全性要維持動態(tài)運轉概念，從而定時檢查與評價、持續(xù)升級系統(tǒng)與安裝補丁、追蹤最新的安全風險、結合業(yè)務的進展改造系統(tǒng)，創(chuàng)新技術、調整更高質量的產品，或是經過拓撲補償對安全性能的持續(xù)拓展與延續(xù)，以確保系統(tǒng)的穩(wěn)定運轉。網(wǎng)絡控制在網(wǎng)絡建造與維護方面是十分關鍵的，唯有制定與執(zhí)行健全的安全控制標準，保證防患于未然，方可保證監(jiān)測網(wǎng)絡安全工作。