淺議發(fā)射臺(tái)網(wǎng)絡(luò)安全

摘要互聯(lián)網(wǎng)技術(shù)在廣播電視里廣泛應(yīng)用，在帶來方便的同時(shí)，由于網(wǎng)絡(luò)開放性和自由性，也為廣播電臺(tái)的安全埋下了隱患。本文針對(duì)廣播電臺(tái)的網(wǎng)絡(luò)安全進(jìn)行分析和論述，并提出了看法和要求。

關(guān)鍵詞網(wǎng)絡(luò)安全 保密 防護(hù) 入侵檢測(cè)

中圖分類號(hào):TN915文獻(xiàn)標(biāo)識(shí)碼:A

0 引言

隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)化已經(jīng)成為當(dāng)今信息化的發(fā)展大趨勢(shì)，信息資源也得到最大程度的共享。國家廣播電視總局各直屬臺(tái)，遍布全國各地，近幾年各臺(tái)站信息化建設(shè)正在快速發(fā)展，從內(nèi)網(wǎng)到外網(wǎng)已經(jīng)形成了一定規(guī)模，網(wǎng)絡(luò)已經(jīng)成為工作中不可或缺的部分。在享受信息化給我們帶來方便的同時(shí)也面臨著網(wǎng)絡(luò)安全問題的挑戰(zhàn)。如果不很好地解決這個(gè)問題，必將影響正常的工作，甚至影響安全傳輸發(fā)射工作。作者就廣播電臺(tái)網(wǎng)絡(luò)安全保護(hù)機(jī)制和計(jì)算機(jī)網(wǎng)絡(luò)安全等諸多的網(wǎng)絡(luò)安全問題，談?wù)勛约旱目捶ê蛻?yīng)該采取哪些防范措施。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)安全指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的軟件、硬件系統(tǒng)受到保護(hù)，不會(huì)因?yàn)榕既坏幕蛘邜阂獾脑蚨艿狡茐摹⒏幕蛐孤Ｏ到y(tǒng)能夠連續(xù)可靠地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷。

網(wǎng)絡(luò)安全的內(nèi)容包括了系統(tǒng)安全和信息安全兩個(gè)部分。系統(tǒng)安全主要指網(wǎng)絡(luò)設(shè)備的硬件、操作系統(tǒng)和應(yīng)用軟件的安全;信息安全主要指各種信息的存儲(chǔ)、傳輸?shù)陌踩唧w體現(xiàn)在數(shù)據(jù)的完整性、保密性及不可抵賴性。

現(xiàn)在網(wǎng)絡(luò)安全大致包括四個(gè)方面:(1)網(wǎng)絡(luò)實(shí)體安全:如計(jì)算機(jī)機(jī)房的物理?xiàng)l件、物理環(huán)境及設(shè)施的安全標(biāo)準(zhǔn);計(jì)算機(jī)硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的安裝及配置等。(2)軟件安全:如保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法侵入，系統(tǒng)軟件與應(yīng)用軟件不被非法復(fù)制、篡改、不受病毒的侵害等。(3)數(shù)據(jù)安全:保護(hù)數(shù)據(jù)不被非法存取，確保其完整性、一致性、機(jī)密性等。(4)安全管理:運(yùn)行時(shí)突發(fā)事件的安全處理等，包括采取計(jì)算機(jī)安全技術(shù)，建立安全管理制度，開展安全審計(jì)，進(jìn)行風(fēng)險(xiǎn)分析等。

從特征上看，網(wǎng)絡(luò)安全包括五個(gè)要素:(1)完整性:只有得到允許的人才能夠修改數(shù)據(jù)，并能判別數(shù)據(jù)是否已被篡改。(2)機(jī)密性:確保內(nèi)容不暴露給未授權(quán)的實(shí)體。(3)可控性:可以控制授權(quán)范圍內(nèi)的信息流向以及行為方式。(4)可用性:得到授權(quán)的實(shí)體在需要時(shí)可訪問數(shù)據(jù)，即攻擊者不能占用所有資源阻礙授權(quán)者的工作。(5)可審查性:對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

2 發(fā)射臺(tái)網(wǎng)絡(luò)安全現(xiàn)狀

2.1 計(jì)算機(jī)病毒危害突出

計(jì)算機(jī)病毒是一種人為編制的程序，能在計(jì)算機(jī)系統(tǒng)運(yùn)行的過程中自身精確地拷貝或有修改地拷貝到其他程序體內(nèi)，給計(jì)算機(jī)系統(tǒng)帶來某種故障或使其完全癱瘓，它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點(diǎn)。

隨著互聯(lián)網(wǎng)的發(fā)展，計(jì)算機(jī)病毒的種類急劇增加，擴(kuò)散速度大大加快，受感染的范圍也越來越廣。全世界已發(fā)現(xiàn)的計(jì)算機(jī)病毒的種類有上萬種，并且正以平均每月300~500的速度瘋狂增長。

在發(fā)射臺(tái)外網(wǎng)計(jì)算機(jī)維護(hù)過程中，我們?cè)?jīng)發(fā)現(xiàn)大部分外網(wǎng)計(jì)算機(jī)，普遍存在被病毒感染的情況。調(diào)查發(fā)現(xiàn)大部分計(jì)算機(jī)是通過移動(dòng)存儲(chǔ)設(shè)備、電子郵件、下載文件、瀏覽網(wǎng)頁等方式被感染。有些計(jì)算機(jī)被感染后，對(duì)發(fā)射臺(tái)站中其它的計(jì)算機(jī)發(fā)起攻擊，使網(wǎng)絡(luò)信息服務(wù)無法開展，甚至于丟失了許多數(shù)據(jù)，造成服務(wù)器癱瘓、網(wǎng)絡(luò)癱瘓，給臺(tái)站正常工作帶來了極大的影響。

2.2 發(fā)射臺(tái)系統(tǒng)安全威脅

經(jīng)過對(duì)某發(fā)射臺(tái)網(wǎng)絡(luò)現(xiàn)狀分析。發(fā)現(xiàn)該臺(tái)目前常見的網(wǎng)絡(luò)安全隱患主要包括:網(wǎng)絡(luò)級(jí)攻擊:竊聽報(bào)文、IP地址欺騙、源路由攻擊、端口掃描、拒絕服務(wù)攻擊;應(yīng)用層攻擊:有多種形式，包括探測(cè)應(yīng)用軟件的漏洞、“特洛伊木馬”等;系統(tǒng)級(jí)攻擊:針對(duì)應(yīng)用系統(tǒng)。

2.3 物理環(huán)境的安全

從物理上講，計(jì)算機(jī)網(wǎng)絡(luò)安全包括通信線路的安全，物理設(shè)備的安全，機(jī)房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性(線路備份、網(wǎng)管軟件、傳輸介質(zhì))，軟硬件設(shè)備安全性(替換設(shè)備、拆卸設(shè)備、增加設(shè)備)，設(shè)備的備份，防災(zāi)害能力、防干擾能力，設(shè)備的運(yùn)行環(huán)境(溫度、濕度、煙塵)，不間斷電源保障，等等。

發(fā)射臺(tái)計(jì)算機(jī)房都有專人負(fù)責(zé)管理。定期檢查機(jī)房內(nèi)主、備線路是否正常;檢查機(jī)房內(nèi)各服務(wù)器運(yùn)行程序是否正常，并定期重啟服務(wù)器;檢查機(jī)房內(nèi)電源供應(yīng)是否正常，并定期對(duì)機(jī)房內(nèi)UPS進(jìn)行放電操作，以防電池老化;定期開啟機(jī)房備用設(shè)備，檢查其是否正常運(yùn)行;定期清潔機(jī)房衛(wèi)生，并查看機(jī)房溫度、溫度情況等。對(duì)戶外鋪設(shè)的光纜、電纜、網(wǎng)線、電話線等，設(shè)計(jì)時(shí)都應(yīng)加絕緣防水套管，以保護(hù)它安全;對(duì)干擾嚴(yán)重的發(fā)射機(jī)房應(yīng)使用帶屏蔽的網(wǎng)線，重要的網(wǎng)絡(luò)使用光纖，并且對(duì)發(fā)射機(jī)房內(nèi)的所有電子設(shè)備做接地保護(hù)。與此同時(shí)，還應(yīng)派專人定期檢查戶外線路安全，發(fā)現(xiàn)隱患及時(shí)處理。通過以上一系統(tǒng)措施保證網(wǎng)絡(luò)物理上安全，就能有效避免計(jì)算機(jī)網(wǎng)絡(luò)因?yàn)槲锢碓蛟斐傻陌c瘓。

3 廣播發(fā)射臺(tái)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來說，主要由防病毒、防火墻、入侵檢測(cè)等多個(gè)安全組件組成，一個(gè)單獨(dú)的組件無法確保網(wǎng)絡(luò)信息的安全性。早期的網(wǎng)絡(luò)防護(hù)技術(shù)的出發(fā)點(diǎn)是首先劃分出明確的網(wǎng)絡(luò)邊界，然后通過在網(wǎng)絡(luò)邊界處對(duì)流經(jīng)的信息利用各種控制方法進(jìn)行檢查，只有符合規(guī)定的信息才可以通過網(wǎng)絡(luò)邊界，從而達(dá)到阻止對(duì)網(wǎng)絡(luò)攻擊、入侵的目的。就目前發(fā)射臺(tái)站運(yùn)用的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、防病毒技術(shù)、入侵檢測(cè)技術(shù)、策略管理等。

3.1 防火墻

防火墻是網(wǎng)絡(luò)的訪問控制設(shè)備，它可以幫助保護(hù)機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)不受外界攻擊。就其本質(zhì)，防火墻是邊界安全設(shè)備，它意味著它們存在于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的邊界。經(jīng)過合理設(shè)置的防火墻已經(jīng)成為了一種必需的安全設(shè)備。不過，防火墻不會(huì)阻止攻擊者使用一個(gè)允許的連接進(jìn)行攻擊。防火墻還不能保護(hù)機(jī)構(gòu)不受內(nèi)部用戶的攻擊，因?yàn)閮?nèi)部用戶已經(jīng)處于內(nèi)部網(wǎng)絡(luò)中了。

發(fā)射臺(tái)應(yīng)通過防火墻各種設(shè)置保證網(wǎng)絡(luò)的安全。防火墻配置路由模式，技術(shù)網(wǎng)作為TRUST區(qū)，辦公網(wǎng)作為UNTRUST區(qū)。防火墻配置IP地址和技術(shù)網(wǎng)/辦公網(wǎng)核心交換機(jī)相連。通過靜態(tài)路由實(shí)現(xiàn)網(wǎng)絡(luò)連通。增加包過濾規(guī)則，對(duì)匹配通訊服務(wù)器之間的網(wǎng)絡(luò)流量允許通過，其余流量禁止通過，同時(shí)利用訪問控制類別過濾特定端口，如關(guān)閉135、139端口，將自己的“共享文件夾”公開到網(wǎng)絡(luò)上的的隱患去除，只供特定的人有瀏覽目錄內(nèi)的文件;通過防火墻對(duì)專線廣域網(wǎng)進(jìn)行攻擊過濾;通過技術(shù)網(wǎng)防火墻，限制只有發(fā)射臺(tái)特定的通訊服務(wù)器可以和技術(shù)網(wǎng)特定服務(wù)器進(jìn)行數(shù)據(jù)交換，并保障發(fā)射臺(tái)站辦公網(wǎng)無法看到技術(shù)網(wǎng)。

3.2 防病毒技術(shù)

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)病毒變得越來越復(fù)雜和高級(jí)，對(duì)計(jì)算機(jī)信息系統(tǒng)構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件，防病毒軟件是良好的安全計(jì)劃的必要組成部分。如果實(shí)施和配置合理，就可以減少機(jī)構(gòu)遭受惡意程序攻擊的機(jī)會(huì)。不過防病毒軟件只能保護(hù)機(jī)構(gòu)不愛惡意程序(而且不是全部)的破壞。它不能保護(hù)機(jī)構(gòu)免受使用合法程序?qū)ο到y(tǒng)進(jìn)行訪問的入侵者進(jìn)行的惡意破壞。防病毒軟件也不能保護(hù)機(jī)構(gòu)免受另一類合法用戶的破壞，這類用戶試圖對(duì)不應(yīng)該訪問的文件進(jìn)行訪問。

發(fā)射臺(tái)建立局域網(wǎng)的防病毒服務(wù)器，在服務(wù)器上部署了諾頓殺毒軟件企業(yè)版，在臺(tái)內(nèi)其它計(jì)算機(jī)上也部署了諾頓殺毒軟件，并且每周對(duì)服務(wù)器上的殺毒軟件進(jìn)行病毒庫的更新，有效地預(yù)防了病毒威脅。不僅如此，發(fā)射臺(tái)還應(yīng)及時(shí)更新局域網(wǎng)內(nèi)的服務(wù)器及客戶端的系統(tǒng)補(bǔ)丁，杜絕了因?yàn)橄到y(tǒng)漏洞而造成的安全隱患。

3.3 入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)(Intrusion Detection System簡(jiǎn)稱IDS)可以被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為，是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

發(fā)射臺(tái)應(yīng)通過設(shè)置入侵檢測(cè)等專用安全設(shè)備，主動(dòng)預(yù)防可能出現(xiàn)的攻擊。

3.4 策略管理

策略和過程是優(yōu)秀的安全程序的重要組成部分，管理跨計(jì)算機(jī)系統(tǒng)的策略也同樣重要。有了策略管理系統(tǒng)，機(jī)構(gòu)就可以掌握那些沒有遵從策略的系統(tǒng)。不過，策略管理可能沒有考慮系統(tǒng)中的薄弱點(diǎn)或程序軟件中的錯(cuò)誤配置。這些有可能導(dǎo)致入侵。計(jì)算機(jī)上的策略管理也不能保證用戶不寫下他們的密碼或?qū)⒚艽a提供給未經(jīng)授權(quán)的個(gè)人。

針對(duì)發(fā)射臺(tái)的實(shí)際情況，對(duì)發(fā)射臺(tái)核心交換機(jī)部署了以下策略:

(1)密碼安全。對(duì)所有網(wǎng)絡(luò)設(shè)備設(shè)置登陸密碼。(2)用戶級(jí)別劃分。對(duì)登錄用戶進(jìn)行認(rèn)證，不同級(jí)別的用戶有不同的配置權(quán)限，提供兩種用戶認(rèn)證方式:本地認(rèn)證和RADIUS認(rèn)證。(3)遠(yuǎn)程登陸限制。按照IP地址范圍限制可以Telnet登錄到交換機(jī)的網(wǎng)段，只允許機(jī)關(guān)局域網(wǎng)中的網(wǎng)段登陸到機(jī)關(guān)的網(wǎng)絡(luò)設(shè)備，臺(tái)站之間用戶必須要登陸到機(jī)關(guān)中心路由器上，才可以登陸其他的網(wǎng)絡(luò)設(shè)備。(4)建立虛擬局域網(wǎng)。通過VLAN的劃分隔離廣播;設(shè)置基于用戶定義的策略，建立訪問控制列表，控制用戶和業(yè)務(wù)之間互訪。

為了使發(fā)射臺(tái)網(wǎng)絡(luò)級(jí)安全(指支撐系統(tǒng)運(yùn)行的物理設(shè)備的安全問題)及數(shù)據(jù)級(jí)安全(指涉及到系統(tǒng)存貯的檔案數(shù)據(jù)的安全問題，包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、檔案數(shù)據(jù)存貯、數(shù)據(jù)備份、數(shù)據(jù)格式的轉(zhuǎn)換以及各類電子文件的保管和異地存貯策略等)一定要從上面四個(gè)方面著手。

4 結(jié)束語

由于互聯(lián)網(wǎng)絡(luò)的開放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲(chǔ)和對(duì)其訪問與處理的分布性特點(diǎn)，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重，因此建立有效的網(wǎng)絡(luò)安全防范體系就更為迫切。實(shí)際上，保障網(wǎng)絡(luò)安全不但需要參考網(wǎng)絡(luò)安全的各項(xiàng)標(biāo)準(zhǔn)以形成合理的評(píng)估準(zhǔn)則，更重要的是必須明確網(wǎng)絡(luò)安全的框架體系、安全防范的層次結(jié)構(gòu)和系統(tǒng)設(shè)計(jì)的基本原則，分析網(wǎng)絡(luò)系統(tǒng)的各個(gè)不安全環(huán)節(jié)，找到安全漏洞，做到有的放矢。

參考文獻(xiàn)

[1]朱理森，張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻(xiàn)出版社，2001.

[2]郭啟全.網(wǎng)絡(luò)信息安全學(xué)科建設(shè)與發(fā)展[J].中國人民公安大學(xué)學(xué)報(bào).