呂 浩
(陜西能源職業(yè)技術(shù)學院,陜西 咸陽712099)
隨著信息技術(shù)的快速發(fā)展及廣電行業(yè)的數(shù)字化轉(zhuǎn)型,廣電系統(tǒng)面臨著日益嚴峻的安全挑戰(zhàn),其承載著廣播、電視、互聯(lián)網(wǎng)及通信等多種服務(wù)功能,安全性對于廣電行業(yè)的穩(wěn)定運營及用戶信息的保護至關(guān)重要。廣電網(wǎng)絡(luò)包含直播、數(shù)據(jù)網(wǎng)及OA網(wǎng)等不同系統(tǒng)架構(gòu),為跨平臺網(wǎng)絡(luò)系統(tǒng),故網(wǎng)絡(luò)安全方面存在較多的漏洞[1-2]。對廣電系統(tǒng)數(shù)據(jù)進行監(jiān)督及反饋,是保障廣電系統(tǒng)安全、維持系統(tǒng)平穩(wěn)運行的關(guān)鍵[3]。云計算技術(shù)作為一種新興的計算模式,具有高度可擴展性、彈性資源分配及靈活等特點,為廣電系統(tǒng)安全平臺的設(shè)計提供了新的技術(shù)方案。將廣電系統(tǒng)安全功能部署在云平臺上,可實現(xiàn)對廣電系統(tǒng)的全面監(jiān)測及對入侵檢測與防御、數(shù)據(jù)保護與恢復等功能的集中管理及強化。云計算技術(shù)的引入可提高廣電系統(tǒng)的安全性及可靠性,降低成本及系統(tǒng)的復雜性,提升其整體的運行效率。
廣電網(wǎng)絡(luò)安全平臺的總體設(shè)計思路是堅持綜合防范的原則[4],分為事前、事中、事后3個階段進行安全設(shè)計。①事前防御機制。根據(jù)廣電系統(tǒng)安全平臺的設(shè)計規(guī)模,設(shè)定合適的安全防御手段,將危險事件消滅在發(fā)生前。②事中保護機制。采用安全技術(shù)檢測系統(tǒng)運行狀態(tài),基于實時數(shù)據(jù)分析將網(wǎng)絡(luò)行為控制在合法范圍。③事后控制機制。系統(tǒng)在運行過程中記錄運行日志,通過對日志進行匯總及分析,判斷系統(tǒng)是否發(fā)生安全攻擊事件。
廣電系統(tǒng)安全平臺框架如圖1所示,包括GSM網(wǎng)絡(luò)、服務(wù)器、硬件防火墻、計算機及智能設(shè)備、防病毒服務(wù)器、漏洞掃描設(shè)備[5]。
圖1 系統(tǒng)框架Fig.1 Framework of the system
廣電系統(tǒng)安全平臺設(shè)計要進一步結(jié)合云計算技術(shù)的安全管理現(xiàn)狀,了解系統(tǒng)建構(gòu)需求。具體包括以下幾個方面:①出現(xiàn)非法入侵現(xiàn)象時,系統(tǒng)安全能夠及時做出反饋,精準研判,降低系統(tǒng)誤差及漏報率。②正常運行期間,能夠圍繞不同防御時間實時反饋,完成智能化分析,全面提升智能化處理。③自動追蹤入侵行為,能夠圍繞可能對系統(tǒng)產(chǎn)生安全威脅的相關(guān)因素做出反饋。④借助云計算技術(shù),自動識別報警信息并對報警信息進行分析處理,進一步增強廣電系統(tǒng)安全防范功能,確保廣電數(shù)據(jù)的安全、穩(wěn)定。
基本功能配置。主要包括安全域配置、VLAN配置、NAT配置。其中安全配置包括信任域、不信任域、DMZ域及用戶自己設(shè)置的域,主要對各方面進入的信息進行檢查及控制。VLAN配置主要是防火墻的信號接收包,完成信息發(fā)送及傳遞。NAT配置用來實現(xiàn)內(nèi)外部防護,避免受到外界攻擊,能防止IP地址泄露。
反入侵技術(shù)。安裝在防火墻中實現(xiàn)入侵攔截,及時對信息做出反饋并攔截入侵信息,能夠反映信息的攻擊行為,及時將入侵信息通報至控制中心。主要采用IDS技術(shù),包括網(wǎng)絡(luò)IDS、主機IDS及節(jié)點IDS,主機IDS實現(xiàn)信息篩查及監(jiān)督,網(wǎng)絡(luò)IDS完成網(wǎng)絡(luò)數(shù)據(jù)包的檢查任務(wù),節(jié)點IDS完成有機密底端網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)聽任務(wù),起到安全防護作用。
防火墻流量監(jiān)控。在小型網(wǎng)絡(luò)中設(shè)置防火墻,對流量進行實時監(jiān)控,避免流量過大威脅系統(tǒng)安全。
廣電系統(tǒng)安全平臺設(shè)計需遵循一些關(guān)鍵原則與要求。具備高可用性及容錯性,以確保廣電系統(tǒng)的連續(xù)運行及故障恢復能力。支持實時監(jiān)測與分析,能夠及時檢測并響應安全事件與威脅。具有可擴展性及靈活性,以應對廣電系統(tǒng)規(guī)模及需求變化。此外,數(shù)據(jù)保護與隱私保護也是平臺設(shè)計中不可忽視的重要因素。
為保證廣電網(wǎng)絡(luò)安全,功能模塊按照圖2進行劃分,以實現(xiàn)系統(tǒng)功能。
圖2 廣電系統(tǒng)安全平臺的功能模塊Fig.2 Function module of radio and television system security platform
安全檢測模塊。應用云計算技術(shù)設(shè)計廣電系統(tǒng)安全平臺,需考慮系統(tǒng)入侵檢測報警模塊的設(shè)計。該模塊運行時,需及時檢測到計算機受到攻擊的相關(guān)信息,為相關(guān)人員提供警報支持。為了確保其運行效果,要重點關(guān)注報警速度及檢測精度,提升工作效率。功能模塊設(shè)計與實現(xiàn)如圖3所示。為進一步保障廣電網(wǎng)絡(luò)安全防御系統(tǒng)入侵檢測模塊的安全運行,引入千兆網(wǎng)絡(luò)適配器功能,用于分析檢測報告內(nèi)容,降低漏報或誤報發(fā)生率,提升檢測精度。
圖3 安全檢測模塊的設(shè)計與實現(xiàn)Fig.3 Design and implementation of safety detection module
智能處理模塊。智能模塊的設(shè)計與實現(xiàn)主要用來獲取安全信息,判定具體網(wǎng)絡(luò)攻擊端口,出現(xiàn)攻擊時能立即切斷連接,防止更加嚴重的入侵影響?;谠朴嬎慵夹g(shù)引入人工智能模塊,使系統(tǒng)能夠自主學習,及時休整并補充內(nèi)容庫。模塊設(shè)計與實現(xiàn)如圖4所示。廣電網(wǎng)絡(luò)安全防御系統(tǒng)執(zhí)行任務(wù)時,該系統(tǒng)能夠匯集不同的行動處理方式,展開差異化防御工作重點行動,主要包括緊急行動、適時行動、本地長期性行動及全局長期性行動。
圖4 智能處理模塊的設(shè)計與實現(xiàn)Fig.4 Design and implementation of intelligent processing module
輔助決策模塊。結(jié)合云計算技術(shù)進行系統(tǒng)設(shè)計時,應設(shè)計更加完善的系統(tǒng)輔助決策模塊。在輔助決策模塊中,由入侵報警系統(tǒng)做出反映,根據(jù)所承擔的任務(wù)自動生成輔助建議或處理方案,為決策人員提供參考。具體設(shè)計如圖5所示,通過對安全知識庫的擴充及完善,進行內(nèi)容劃分(如安全策略、入侵行為檢測、漏洞查補等)。在知識庫強大的支撐下,廣電系統(tǒng)安全平臺在面對入侵時能夠及時落實防御對策,為后續(xù)決策提供輔助方案。
圖5 輔助決策模塊的設(shè)計與實現(xiàn)Fig.5 Design and implementation of auxiliary decision-making module
自動追蹤模塊?;谠朴嬎慵夹g(shù)的廣電系統(tǒng)安全平臺添加了系統(tǒng)自動追蹤及分析模塊。自動追蹤模式的設(shè)計是為了面對威脅時能夠作自動化及深入分析,獲取多元化的信息知識,即網(wǎng)絡(luò)安全系統(tǒng)的信息源及全過程信息被攻擊時,系統(tǒng)可啟動網(wǎng)絡(luò)安全自動追蹤模型,通過組織主動追蹤程序,對抗外部入侵,為網(wǎng)絡(luò)安全入侵事件調(diào)查提供有效參考,便于系統(tǒng)的不斷完善及功能的擴充。模塊分析如圖6所示。該模塊的主要功能包括追蹤定位、網(wǎng)絡(luò)陷阱、網(wǎng)絡(luò)取證3部分,3個模塊之間相互獨立。當自動追蹤模塊運行時,必須與云計算技術(shù)的智能模塊相連接,嚴格完成智能控制模塊發(fā)布的任務(wù)并實時回傳信息,為工作質(zhì)量的提升提供保障。
圖6 自動追蹤模塊的設(shè)計與實現(xiàn)Fig.6 Design and implementation of automatic tracking module
安全評估模塊。當整個流程完成后,系統(tǒng)可進行評估,獲取全面的參考信息,在此基礎(chǔ)上進行軟硬件的徹底消殺,杜絕網(wǎng)絡(luò)病毒復現(xiàn)。對大數(shù)據(jù)分析結(jié)果進行判斷,保障廣電網(wǎng)絡(luò)安全。為進一步提高廣電系統(tǒng)安全平臺的穩(wěn)定性,應加強學習云計算技術(shù)及深度學習算法,對廣電網(wǎng)絡(luò)安全信息進行全方位采集及整理,實現(xiàn)精準化服務(wù)。
廣電網(wǎng)絡(luò)安全事關(guān)國家文化安全,一旦其網(wǎng)絡(luò)內(nèi)容遭受到攻擊及破壞,勢必會帶來巨大的損失。為滿足廣電系統(tǒng)安全防御需求,需對云計算技術(shù)下的廣電系統(tǒng)安全平臺進行設(shè)計,明確廣電系統(tǒng)面臨的安全挑戰(zhàn)及威脅,了解傳統(tǒng)的安全防御方法存在的局限性。云計算技術(shù)具有互聯(lián)互通特性,令信息資源更加多樣化、豐富化?;谠朴嬎慵夹g(shù)的廣電系統(tǒng)安全平臺設(shè)計,可避免網(wǎng)絡(luò)攻擊,提高計算機的安全性能,為保障廣電網(wǎng)絡(luò)信息安全提供技術(shù)支持。