教育新媒體平臺安全體系架構設計

◆王 琴 李紫艷

（漯河食品職業學院 河南 462000）

教育新媒體平臺安全體系架構設計

◆王 琴 李紫艷

（漯河食品職業學院 河南 462000）

本文分析了中國教育電視臺教育新媒體平臺現狀，研究其安全技術體系的設置，通過各類技術安全措施使系統能夠達到國家等級保護第三級所規定的要求。

新媒體；安全技術體系；計算安全

0 引言

新媒體技術是以計算機技術和網絡技術為基礎的新技術，是20世紀末出現的一項新技術。教育新媒體，是一種基于新媒體技術的現代教育媒體，是傳統媒體中沒有出現過的業務形態，它通過網絡、衛星、電子產品等作為終端，向用戶提供音、像等各種形式的教育資源。

新媒體的出現標志著教育技術劃時代的發展，使得教育體現現代化、多樣化、方便化，更為人們所接受。教育新媒體學習平臺的優點是：（1）利用網絡（衛星、因特網、廣播電視網、電話通訊網等）進行傳播。（2）接受終端（手機、電視、IPAD等）方便化。（3）傳播形式的擴充，如：博客等。（4）資源內容的多樣化，傳播渠道的多樣化。在未來，新媒體將取代傳統媒體，成為人們更能接受的信息交流方式。

1 現狀分析

依據中國教育電視臺前期數字化建設的基礎，“學習超市”平臺應運而生，該網絡系統是多ISP接入，共約70M帶寬，通過H3C路由器劃分帶寬為辦公網60M，網站10M。系統中建立了防火墻、防病毒網關、網頁防篡改、網絡管理、日志監控等系列安全設施。網絡安全系統為整體網絡平臺搭建了一個初步的安全防御體系，可以實現高強度身份認證、訪問控制、數據完整性、數據機密性等安全功能。

2 期望達到的目標

“學習超市”教育新媒體平臺更新建設是在原有建設的基礎上進行擴容，采用先進的CDN技術進行內容發布。因此，一方面需要將原建設的機房擴建為主數據中心，另一方面要在全國各地部署邊緣節點。安全建設范圍覆蓋數據中心和3個邊緣節點。

安全體系的建設不可能一步到位。要根據實際情況，逐步增強安全系統，綜合考慮安全與效率的平衡。為此提出以下建設目標：（1）安全平臺與即將建設的CDN內容發布平臺相結合。（2）具備安全等級保護第三級安全保護能力。（3）按照事前防護、事中檢測、事后響應的策略來建設。（4）增強防御能力，依靠行為分析及時發現異常行為，并通過審計系統進行安全事件的全程記錄，并建立網絡安全管理平臺進行統一的安全管理，從而實現動態的安全防護體系。

3 安全技術體系設計

3.1 防火墻子系統的設計

防火墻是最近幾年來發展起來的非常實用的安全技術，其主要功用是在網絡進口點檢查網絡通訊，依據用戶設定的規則，在保護內部網絡安全的前提下，提供安全的網絡通信。防火墻屬于被動安全防御工具。設置防火墻的目的是保護網絡免受另一種網絡攻擊，防火墻的主要功能包括以下幾個方面：

（1）提供安全邊界管制的基本功能。降低被攻擊的風險，提高內部網絡安全是防火墻主要功能之一。

（2）提供安全軟件功能（如密碼、加密、認證、審計等）。

（3）提供日志記錄、統計數據、報警處理、審計跟蹤等。

（4）阻止內部信息泄露。

3.2 防火墻的配置方式

為保障主數據中心業務的穩定性，需要將原有的單鏈路出口擴建為雙冗余鏈路，主數據中心的網絡出口還需要增加基本的防護措施。在本網絡中，需要將新購置的主數據中心的千兆防火墻部署在網絡出口處形成雙鏈路冗余或負載均衡，既增加了安全防護能力，又保證了網絡的安全性。

對于3個邊緣節點，也需要各部署1套中高端防火墻（其中一臺利用主中心原有的防火墻），主要進行網絡層和傳輸層的基本的訪問控制和防護。

由于電視臺衛星雙向系統具備衛星互聯網接入功能，因此也需要配備一臺防火墻系統用于不同網絡之間的訪問控制過濾。

3.3 入侵防御子系統設計

DoS攻擊、垃圾郵件、網絡資源濫用（P2P下載、IM即時通訊、網游）黑客攻擊、蠕蟲病毒、木馬病毒、網絡僵尸這些安全威脅因素日益復雜多樣，時刻困擾著用戶、威脅著用戶的信息安全，同時給企業信息化網絡的運行也帶來了極大的危害。各個企業都在想盡一切辦法保證可以及時檢測到網絡黑客的入侵，確保企業的信息網絡能夠安全正常的運行。

3.4 防火墻與入侵防御系統的組合

在這些威脅問題面前，依靠傳統的安全設施產品已經無法解除危險。因為傳統的防火墻只是訪問控制設備，依靠訪問控制是無法檢測到內部網絡中的攻擊行為，無法攔截到普通用戶流量中的惡意代碼的攻擊。TDS（入侵檢測系統）旁路部署在網絡中，即使它檢測到黑客的攻擊，黑客可能已經對系統造成了威脅、損失。IDS比較適合網絡監控、安全審計，適合做對網絡安全狀態的了解及分析上。

中國教育電視臺教育新媒體平臺信息系統建設完成后將有大量服務器，這些服務器需要對內外網提供重要的WEB服務，面臨著被攻擊的風險。必須使用入侵防御系統專門對這些重要服務器面臨的風險進行防御，阻擋SQL注入和跨站腳本攻擊等嚴重危害WEB安全的攻擊行為，避免WEB服務遭受攻擊。

在實際網絡的部署中，需要在主數據中心部署2套網絡入侵防御系統，其中兩個邊緣節點部署2套網絡入侵防御系統（另一邊緣節點采用原主數據中心防火墻的入侵防御模塊。

3.5 網絡防病毒子系統設計

防病毒子系統的范圍應該包括所有潛在感染源，包括：Internet出口、服務器、個人主機。針對中國教育電視臺“學習超市”教育新媒體平臺信息系統網絡，建立整體的病毒防護體系是非常必要的，綜合型病毒防護系統將中國教育電視臺、學習型超市教育新媒體平臺的信息系統工作站、服務器、網關進行綜合考慮和覆蓋，從而避免網絡中出現病毒防護的“短板”。

3.6 工作站病毒防御系統設計

工作站直接面對用戶，因為用戶擁有對主機的控制權，能夠直接操作病毒軟件。工作站的另一個難點是軟件的安裝，工作站通過軟件分發系統安裝軟件，對于病毒防御系統的安裝，與一般的計算機系統不同。

企業級工作站病毒軟件分為兩層：中心服務器和客戶端軟件。中心服務器性能要求較高，需要單獨安裝；客戶端軟件需要安裝在受保護工作機上。

此外，工作站反病毒系統只是網絡病毒防護系統的一部分，它必須能夠提供與集中管理平臺的對接方式，實現整體統一的監控。

4 總結

教育新媒體是一種基于新媒體技術的現代教育媒體，它對教育的現代化、信息化有著重要的戰略意義。本文分析了中國教育電視臺教育新媒體平臺現狀，研究其安全技術體系的設置，通過綜合運用防火墻子系統、入侵防御子系統、網絡防病毒子系統、工作站病毒防御系統等各類技術安全措施，使系統能夠達到國家規定的信息安全保護的標準要求。

[1]李紫艷，劉奇付.基于計算機視覺系統的機器人焊接路徑修正研究[J].鑄造技術，2017.

[2]李紫艷，劉奇付.基于誘導線描畫算法的車載導航系統的研究[J].電腦與電信，2016.

[3]李紫艷.探索數據庫技術在現代企業中的運用[J].數字技術與應用，2017.