呂 浩

(陜西能源職業(yè)技術(shù)學(xué)院,陜西 咸陽(yáng)712099)

0 引言

隨著信息技術(shù)的快速發(fā)展及廣電行業(yè)的數(shù)字化轉(zhuǎn)型,廣電系統(tǒng)面臨著日益嚴(yán)峻的安全挑戰(zhàn),其承載著廣播、電視、互聯(lián)網(wǎng)及通信等多種服務(wù)功能,安全性對(duì)于廣電行業(yè)的穩(wěn)定運(yùn)營(yíng)及用戶(hù)信息的保護(hù)至關(guān)重要。廣電網(wǎng)絡(luò)包含直播、數(shù)據(jù)網(wǎng)及OA網(wǎng)等不同系統(tǒng)架構(gòu),為跨平臺(tái)網(wǎng)絡(luò)系統(tǒng),故網(wǎng)絡(luò)安全方面存在較多的漏洞[1-2]。對(duì)廣電系統(tǒng)數(shù)據(jù)進(jìn)行監(jiān)督及反饋,是保障廣電系統(tǒng)安全、維持系統(tǒng)平穩(wěn)運(yùn)行的關(guān)鍵[3]。云計(jì)算技術(shù)作為一種新興的計(jì)算模式,具有高度可擴(kuò)展性、彈性資源分配及靈活等特點(diǎn),為廣電系統(tǒng)安全平臺(tái)的設(shè)計(jì)提供了新的技術(shù)方案。將廣電系統(tǒng)安全功能部署在云平臺(tái)上,可實(shí)現(xiàn)對(duì)廣電系統(tǒng)的全面監(jiān)測(cè)及對(duì)入侵檢測(cè)與防御、數(shù)據(jù)保護(hù)與恢復(fù)等功能的集中管理及強(qiáng)化。云計(jì)算技術(shù)的引入可提高廣電系統(tǒng)的安全性及可靠性,降低成本及系統(tǒng)的復(fù)雜性,提升其整體的運(yùn)行效率。

1 系統(tǒng)設(shè)計(jì)思路與構(gòu)成

1.1 設(shè)計(jì)思路

廣電網(wǎng)絡(luò)安全平臺(tái)的總體設(shè)計(jì)思路是堅(jiān)持綜合防范的原則[4],分為事前、事中、事后3個(gè)階段進(jìn)行安全設(shè)計(jì)。①事前防御機(jī)制。根據(jù)廣電系統(tǒng)安全平臺(tái)的設(shè)計(jì)規(guī)模,設(shè)定合適的安全防御手段,將危險(xiǎn)事件消滅在發(fā)生前。②事中保護(hù)機(jī)制。采用安全技術(shù)檢測(cè)系統(tǒng)運(yùn)行狀態(tài),基于實(shí)時(shí)數(shù)據(jù)分析將網(wǎng)絡(luò)行為控制在合法范圍。③事后控制機(jī)制。系統(tǒng)在運(yùn)行過(guò)程中記錄運(yùn)行日志,通過(guò)對(duì)日志進(jìn)行匯總及分析,判斷系統(tǒng)是否發(fā)生安全攻擊事件。

1.2 系統(tǒng)構(gòu)成

廣電系統(tǒng)安全平臺(tái)框架如圖1所示,包括GSM網(wǎng)絡(luò)、服務(wù)器、硬件防火墻、計(jì)算機(jī)及智能設(shè)備、防病毒服務(wù)器、漏洞掃描設(shè)備[5]。

圖1 系統(tǒng)框架Fig.1 Framework of the system

2 需求分析與防火墻功能的配置

2.1 需求分析

廣電系統(tǒng)安全平臺(tái)設(shè)計(jì)要進(jìn)一步結(jié)合云計(jì)算技術(shù)的安全管理現(xiàn)狀,了解系統(tǒng)建構(gòu)需求。具體包括以下幾個(gè)方面:①出現(xiàn)非法入侵現(xiàn)象時(shí),系統(tǒng)安全能夠及時(shí)做出反饋,精準(zhǔn)研判,降低系統(tǒng)誤差及漏報(bào)率。②正常運(yùn)行期間,能夠圍繞不同防御時(shí)間實(shí)時(shí)反饋,完成智能化分析,全面提升智能化處理。③自動(dòng)追蹤入侵行為,能夠圍繞可能對(duì)系統(tǒng)產(chǎn)生安全威脅的相關(guān)因素做出反饋。④借助云計(jì)算技術(shù),自動(dòng)識(shí)別報(bào)警信息并對(duì)報(bào)警信息進(jìn)行分析處理,進(jìn)一步增強(qiáng)廣電系統(tǒng)安全防范功能,確保廣電數(shù)據(jù)的安全、穩(wěn)定。

2.2 防火墻的功能配置

基本功能配置。主要包括安全域配置、VLAN配置、NAT配置。其中安全配置包括信任域、不信任域、DMZ域及用戶(hù)自己設(shè)置的域,主要對(duì)各方面進(jìn)入的信息進(jìn)行檢查及控制。VLAN配置主要是防火墻的信號(hào)接收包,完成信息發(fā)送及傳遞。NAT配置用來(lái)實(shí)現(xiàn)內(nèi)外部防護(hù),避免受到外界攻擊,能防止IP地址泄露。

反入侵技術(shù)。安裝在防火墻中實(shí)現(xiàn)入侵?jǐn)r截,及時(shí)對(duì)信息做出反饋并攔截入侵信息,能夠反映信息的攻擊行為,及時(shí)將入侵信息通報(bào)至控制中心。主要采用IDS技術(shù),包括網(wǎng)絡(luò)IDS、主機(jī)IDS及節(jié)點(diǎn)IDS,主機(jī)IDS實(shí)現(xiàn)信息篩查及監(jiān)督,網(wǎng)絡(luò)IDS完成網(wǎng)絡(luò)數(shù)據(jù)包的檢查任務(wù),節(jié)點(diǎn)IDS完成有機(jī)密底端網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)聽(tīng)任務(wù),起到安全防護(hù)作用。

防火墻流量監(jiān)控。在小型網(wǎng)絡(luò)中設(shè)置防火墻,對(duì)流量進(jìn)行實(shí)時(shí)監(jiān)控,避免流量過(guò)大威脅系統(tǒng)安全。

3 廣電系統(tǒng)安全平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)

廣電系統(tǒng)安全平臺(tái)設(shè)計(jì)需遵循一些關(guān)鍵原則與要求。具備高可用性及容錯(cuò)性,以確保廣電系統(tǒng)的連續(xù)運(yùn)行及故障恢復(fù)能力。支持實(shí)時(shí)監(jiān)測(cè)與分析,能夠及時(shí)檢測(cè)并響應(yīng)安全事件與威脅。具有可擴(kuò)展性及靈活性,以應(yīng)對(duì)廣電系統(tǒng)規(guī)模及需求變化。此外,數(shù)據(jù)保護(hù)與隱私保護(hù)也是平臺(tái)設(shè)計(jì)中不可忽視的重要因素。

3.1 總體設(shè)計(jì)

為保證廣電網(wǎng)絡(luò)安全,功能模塊按照?qǐng)D2進(jìn)行劃分,以實(shí)現(xiàn)系統(tǒng)功能。

圖2 廣電系統(tǒng)安全平臺(tái)的功能模塊Fig.2 Function module of radio and television system security platform

3.2 功能模塊的實(shí)現(xiàn)

安全檢測(cè)模塊。應(yīng)用云計(jì)算技術(shù)設(shè)計(jì)廣電系統(tǒng)安全平臺(tái),需考慮系統(tǒng)入侵檢測(cè)報(bào)警模塊的設(shè)計(jì)。該模塊運(yùn)行時(shí),需及時(shí)檢測(cè)到計(jì)算機(jī)受到攻擊的相關(guān)信息,為相關(guān)人員提供警報(bào)支持。為了確保其運(yùn)行效果,要重點(diǎn)關(guān)注報(bào)警速度及檢測(cè)精度,提升工作效率。功能模塊設(shè)計(jì)與實(shí)現(xiàn)如圖3所示。為進(jìn)一步保障廣電網(wǎng)絡(luò)安全防御系統(tǒng)入侵檢測(cè)模塊的安全運(yùn)行,引入千兆網(wǎng)絡(luò)適配器功能,用于分析檢測(cè)報(bào)告內(nèi)容,降低漏報(bào)或誤報(bào)發(fā)生率,提升檢測(cè)精度。

圖3 安全檢測(cè)模塊的設(shè)計(jì)與實(shí)現(xiàn)Fig.3 Design and implementation of safety detection module

智能處理模塊。智能模塊的設(shè)計(jì)與實(shí)現(xiàn)主要用來(lái)獲取安全信息,判定具體網(wǎng)絡(luò)攻擊端口,出現(xiàn)攻擊時(shí)能立即切斷連接,防止更加嚴(yán)重的入侵影響?；谠朴?jì)算技術(shù)引入人工智能模塊,使系統(tǒng)能夠自主學(xué)習(xí),及時(shí)休整并補(bǔ)充內(nèi)容庫(kù)。模塊設(shè)計(jì)與實(shí)現(xiàn)如圖4所示。廣電網(wǎng)絡(luò)安全防御系統(tǒng)執(zhí)行任務(wù)時(shí),該系統(tǒng)能夠匯集不同的行動(dòng)處理方式,展開(kāi)差異化防御工作重點(diǎn)行動(dòng),主要包括緊急行動(dòng)、適時(shí)行動(dòng)、本地長(zhǎng)期性行動(dòng)及全局長(zhǎng)期性行動(dòng)。

圖4 智能處理模塊的設(shè)計(jì)與實(shí)現(xiàn)Fig.4 Design and implementation of intelligent processing module

輔助決策模塊。結(jié)合云計(jì)算技術(shù)進(jìn)行系統(tǒng)設(shè)計(jì)時(shí),應(yīng)設(shè)計(jì)更加完善的系統(tǒng)輔助決策模塊。在輔助決策模塊中,由入侵報(bào)警系統(tǒng)做出反映,根據(jù)所承擔(dān)的任務(wù)自動(dòng)生成輔助建議或處理方案,為決策人員提供參考。具體設(shè)計(jì)如圖5所示,通過(guò)對(duì)安全知識(shí)庫(kù)的擴(kuò)充及完善,進(jìn)行內(nèi)容劃分(如安全策略、入侵行為檢測(cè)、漏洞查補(bǔ)等)。在知識(shí)庫(kù)強(qiáng)大的支撐下,廣電系統(tǒng)安全平臺(tái)在面對(duì)入侵時(shí)能夠及時(shí)落實(shí)防御對(duì)策,為后續(xù)決策提供輔助方案。

圖5 輔助決策模塊的設(shè)計(jì)與實(shí)現(xiàn)Fig.5 Design and implementation of auxiliary decision-making module

自動(dòng)追蹤模塊?；谠朴?jì)算技術(shù)的廣電系統(tǒng)安全平臺(tái)添加了系統(tǒng)自動(dòng)追蹤及分析模塊。自動(dòng)追蹤模式的設(shè)計(jì)是為了面對(duì)威脅時(shí)能夠作自動(dòng)化及深入分析,獲取多元化的信息知識(shí),即網(wǎng)絡(luò)安全系統(tǒng)的信息源及全過(guò)程信息被攻擊時(shí),系統(tǒng)可啟動(dòng)網(wǎng)絡(luò)安全自動(dòng)追蹤模型,通過(guò)組織主動(dòng)追蹤程序,對(duì)抗外部入侵,為網(wǎng)絡(luò)安全入侵事件調(diào)查提供有效參考,便于系統(tǒng)的不斷完善及功能的擴(kuò)充。模塊分析如圖6所示。該模塊的主要功能包括追蹤定位、網(wǎng)絡(luò)陷阱、網(wǎng)絡(luò)取證3部分,3個(gè)模塊之間相互獨(dú)立。當(dāng)自動(dòng)追蹤模塊運(yùn)行時(shí),必須與云計(jì)算技術(shù)的智能模塊相連接,嚴(yán)格完成智能控制模塊發(fā)布的任務(wù)并實(shí)時(shí)回傳信息,為工作質(zhì)量的提升提供保障。

圖6 自動(dòng)追蹤模塊的設(shè)計(jì)與實(shí)現(xiàn)Fig.6 Design and implementation of automatic tracking module

安全評(píng)估模塊。當(dāng)整個(gè)流程完成后,系統(tǒng)可進(jìn)行評(píng)估,獲取全面的參考信息,在此基礎(chǔ)上進(jìn)行軟硬件的徹底消殺,杜絕網(wǎng)絡(luò)病毒復(fù)現(xiàn)。對(duì)大數(shù)據(jù)分析結(jié)果進(jìn)行判斷,保障廣電網(wǎng)絡(luò)安全。為進(jìn)一步提高廣電系統(tǒng)安全平臺(tái)的穩(wěn)定性,應(yīng)加強(qiáng)學(xué)習(xí)云計(jì)算技術(shù)及深度學(xué)習(xí)算法,對(duì)廣電網(wǎng)絡(luò)安全信息進(jìn)行全方位采集及整理,實(shí)現(xiàn)精準(zhǔn)化服務(wù)。

4 結(jié)束語(yǔ)

廣電網(wǎng)絡(luò)安全事關(guān)國(guó)家文化安全,一旦其網(wǎng)絡(luò)內(nèi)容遭受到攻擊及破壞,勢(shì)必會(huì)帶來(lái)巨大的損失。為滿(mǎn)足廣電系統(tǒng)安全防御需求,需對(duì)云計(jì)算技術(shù)下的廣電系統(tǒng)安全平臺(tái)進(jìn)行設(shè)計(jì),明確廣電系統(tǒng)面臨的安全挑戰(zhàn)及威脅,了解傳統(tǒng)的安全防御方法存在的局限性。云計(jì)算技術(shù)具有互聯(lián)互通特性,令信息資源更加多樣化、豐富化?；谠朴?jì)算技術(shù)的廣電系統(tǒng)安全平臺(tái)設(shè)計(jì),可避免網(wǎng)絡(luò)攻擊,提高計(jì)算機(jī)的安全性能,為保障廣電網(wǎng)絡(luò)信息安全提供技術(shù)支持。