郁偉慧

（上海市崇明區(qū)融媒體中心，上海 202155）

0 引言

在媒體融合的過程中，相關媒體需要依靠網(wǎng)絡實現(xiàn)媒體互聯(lián)，促使媒介生態(tài)向著網(wǎng)絡空間延伸，形成融媒體生態(tài)。開放式系統(tǒng)互聯(lián)（Open System Interconnection，OSI）參考模型是由國際標準化組織提出的概念模型，可以為各種計算機互連構成網(wǎng)絡提供標準框架。在用OSI 模型實現(xiàn)融媒體平臺網(wǎng)絡組建的過程中，相關主體需要認識到網(wǎng)絡面臨的安全威脅，通過合理運用網(wǎng)絡安全策略保證平臺安全、穩(wěn)定運行，為各種媒體共享資源提供可靠的平臺技術支撐。

1 基于OSI 參考模型的融媒體平臺網(wǎng)絡安全問題

利用OSI 模型進行融媒體平臺網(wǎng)絡構建，將采用開放式網(wǎng)絡架構，為實現(xiàn)各種媒體資源共享提供支持。對OSI 安全體系結(jié)構展開分析，可以預測網(wǎng)絡可能面臨的安全問題。從層別來看，OSI 將網(wǎng)絡通信劃分為物理層、鏈路層、傳輸層等七個層別。但實際上，OSI 僅為理想?yún)⒖寄Ｐ停瑢嶋H在融媒體平臺網(wǎng)絡建立過程中僅采用四層架構，包含接口層、數(shù)據(jù)層、網(wǎng)絡層及應用層。對各層級的信息安全問題展開分析，能夠確定平臺面臨的安全威脅。在接口層，平臺將面對MAC 地址攻擊等風險，而采用無線技術容易出現(xiàn)數(shù)據(jù)被竊聽問題。在平臺數(shù)據(jù)層，各系統(tǒng)交換數(shù)據(jù)時需要使共同資源池跨越多個區(qū)域，將承受病毒傳遞、非法訪問等風險。在網(wǎng)絡層，由于配備了多樣化終端，需要面臨各種未知的攻擊和威脅。在應用層，則面臨軟件漏洞攻擊、木馬病毒等威脅。結(jié)合融媒體平臺網(wǎng)絡面臨的安全威脅，技術部門應做好安全架構部署，通過采取多種安全機制提供有效安全服務。

2 基于OSI 參考模型的融媒體平臺網(wǎng)絡安全管理

2.1 安全架構部署

實際在平臺網(wǎng)絡安全架構部署上，設計人員需要對照信息安全登記要求和相關規(guī)定進行網(wǎng)絡安全域規(guī)劃，將防火墻當成核心，對接口層訪問進行控制，通過建設平臺內(nèi)網(wǎng)和外部接入網(wǎng)，加強其他層別的信息安全管理，如圖1 所示。其中，內(nèi)網(wǎng)可以結(jié)合用戶安全需求劃分為核心交換、業(yè)務生產(chǎn)兩個區(qū)域，保證數(shù)據(jù)層的數(shù)據(jù)交換安全。而外網(wǎng)可以根據(jù)各種應用和接入等需求劃分成資源共享平臺、互聯(lián)網(wǎng)接入以及高安全三個區(qū)域，應對網(wǎng)絡層各種終端接入風險，并加強應用層各種應用的安全管理。核心交換區(qū)需要完成網(wǎng)絡安全設備部署，采用漏洞掃描等技術強化數(shù)據(jù)交換管理。業(yè)務生產(chǎn)區(qū)需要為平臺內(nèi)部提供安全服務，需要完成服務器部署，為各種節(jié)目生產(chǎn)加工提供支持?；ヂ?lián)網(wǎng)接入?yún)^(qū)需要完成安全網(wǎng)關、WAF 防火墻等安全服務部署，要能夠應對各種網(wǎng)絡攻擊，并通過部署雙設備保證整個系統(tǒng)穩(wěn)定運行[1-2]。數(shù)據(jù)共享平臺需要在各媒體網(wǎng)絡間進行數(shù)據(jù)交換，需要加強端口控制，嚴格進行數(shù)據(jù)審核，保證推送至平臺的數(shù)據(jù)安全。所謂高安全區(qū)，需要為各種審計服務器、后臺服務器提供安全服務，加強平臺網(wǎng)絡安全管理。

圖1 融媒體平臺網(wǎng)絡安全架構

2.2 融媒體平臺網(wǎng)絡安全策略

2.2.1 防火墻部署

在防火墻部署方面，需要在內(nèi)、外網(wǎng)邊界出口位置設置防火墻，結(jié)合不同業(yè)務防護等級要求采取不同策略。首先，在各安全域之間，需要采用訪問控制策略，根據(jù)目標地址、端口、協(xié)議等限制越權訪問行為，保證各種訪問有序開展。其次，針對重要區(qū)域邊界，應做好防火墻部署，如針對常見拒絕服務攻擊行為制定抗攻擊策略[3]。根據(jù)訪問協(xié)議、業(yè)務源等信息采取控制策略，明確數(shù)據(jù)流向和業(yè)務流程，如設置端到端訪問，使特定用戶訪問指定服務器，保證訪問行為安全、可靠。

2.2.2 邊界安全監(jiān)測

在各區(qū)域邊界，還應加強安全感知和防護，通過整合各種數(shù)據(jù)信息加強網(wǎng)絡運維管理，有效應對各種網(wǎng)絡威脅與攻擊。在利用防火墻等設備構成首道防線的基礎上，可以針對內(nèi)網(wǎng)和外網(wǎng)通信區(qū)進行隔離處理，通過部署威脅探針對潛在威脅進行探測，達到加強邊界防御的目標。如圖2 所示，面向全網(wǎng)搭建安全感知平臺，能夠?qū)Ω鬟吔鐓^(qū)域探針采集到的數(shù)據(jù)進行管理，實現(xiàn)數(shù)據(jù)集中展示和生成可視化報表。利用網(wǎng)絡軟硬件平臺構成防護體系，需要將安全大數(shù)據(jù)當成基礎進行安全態(tài)勢感知，通過對設備、主機、服務器等要素信息的歸并、分析，做到全天候、立體化感知網(wǎng)絡安全威脅[4]。

圖2 融媒體平臺網(wǎng)絡安全感知平臺

2.2.3 入侵防御

在平臺網(wǎng)絡邊界，為加強對各種入侵行為的防御，需要部署入侵檢測引擎，利用鏡像端口加強數(shù)據(jù)流分析，對各種網(wǎng)絡入侵行為進行檢測。通過與控制中心協(xié)同工作，能夠加強入侵管理，完成安全事件關聯(lián)，通過郵件、短信等各種途徑發(fā)出告警[5]。采用串聯(lián)橋接方式建立防御系統(tǒng)，內(nèi)置bypass 功能，可以在系統(tǒng)斷電后依然保證網(wǎng)絡鏈路正常進行數(shù)據(jù)傳輸。采用入侵防御系統(tǒng)對蠕蟲、木馬等各種網(wǎng)絡攻擊進行檢測，可以配合采用審計、阻斷、限流等不同防御措施[6]。在系統(tǒng)運行期間，通過對各種報文展開分析，并完成事件庫的匹配，能夠做出適當?shù)捻憫獎幼鳎瓿煞烙娜罩居涗洝?/p>

2.2.4 堡壘機部署

在安全管理區(qū)域，需要完成堡壘機的部署，依靠內(nèi)控平臺對服務器維護端口進行遠程訪問，實現(xiàn)交換機訪問控制。例如，人員在對融媒體平臺各種設備、系統(tǒng)進行維護時，需要先通過Web 網(wǎng)頁登錄堡壘機，根據(jù)界面訪問資源列表獲得權限。依靠堡壘機，能夠?qū)崿F(xiàn)系統(tǒng)賬號管理，設置專門的管理員，與系統(tǒng)管理員、審計員保持相互獨立，以便對融媒體平臺的各種操作進行同步監(jiān)視[7]。在審計人員的畫面中，管理員能夠中斷違規(guī)會話操作，通過操作記錄重現(xiàn)維護過程。管理員通過堡壘機登錄安全管理平臺，能夠完成安全編輯，利用各等級安全模板對不同區(qū)域的安全策略進行設定，如圖3 所示，并完成管理區(qū)域劃分，確保管理責任能夠落實到個人。

圖3 融媒體平臺網(wǎng)絡堡壘機安全管理平臺

3 結(jié)語

針對基于OSI 模型構建的融媒體平臺網(wǎng)絡，需要合理進行安全架構部署，確?？梢詾閭鬏攲印脤拥雀鲗觿e提供安全保障，確保各媒體平臺可以順利通信，實現(xiàn)資源共享。在實際進行網(wǎng)絡架構部署時，需要將防火墻當成核心劃分內(nèi)網(wǎng)和外網(wǎng)，針對不同安全區(qū)域做好邊界檢測、入侵防御等各種安全策略的部署，為融媒體平臺網(wǎng)絡提供多種安全服務。