廣電網絡傳輸系統信息安全管理的建議

目前，很多省級及地方電視臺為提升廣電網絡傳輸系統的信息安全級別，穩定傳輸各種廣播電視業務信號，建立了廣電網絡傳輸系統。在信息化時代網絡技術的發展，增加了系統管理和網絡傳輸信息的安全風險。廣電網絡傳輸系統要面對信息安全威脅。在這個背景下，通過分析廣電網絡傳輸系統信息安全威脅，提出廣電網絡傳輸系統信息安全管理對策。

一、加強廣電網絡傳輸系統信息安全管理的重要性

社會經濟與科技的飛快發展，促使網絡將各個國家逐步融合為一個整體，人們開始應用信息化設備。網絡不斷擴大應用領域，網絡用戶的數量也持續增長，網絡信息安全成為網絡技術發展的主要影響因素。病毒入侵、違法攻擊或黑客破壞都威脅了絡安全。如何保證網絡安全，是廣電網絡信息發展的重心。目前，很多人用殺毒軟件保護重要信息，這種方法只能一定程度避免產生病毒，不能從源頭解決問題。而完全防止信息泄露的方式是在開發商品過程應用互聯網或信息安全技術，提高技術水平，在病毒攻擊信息時，可立即啟動應對方案，只有這樣，才能保證信息安全供應。

二、廣電網絡傳輸系統信息安全威脅

（一）計算機病毒入侵

目前，互聯網為病毒傳播創造了機會。計算機病毒的具體類型為：①引導病毒，寄生介質是軟盤或硬盤引導區，計算機啟動便可加載;②文件類型病毒。可執行文件是其生存環境。它在文件感染時運行加載，不僅感染其他文件，還可復制病毒;③宏病毒，形成宏指令集錯誤。如被Microsoft Word，Excel等感染的宏。計算機處理內存與網絡寬帶被蠕蟲入侵，導致系統崩潰。此外，攻擊者通過對計算機植入木馬病毒從而對其控制[1]。

（二）黑客攻擊

廣電網絡傳輸系統以互聯網訪問傳送信息，為黑客攻擊系統創造了機會。黑客入侵用戶計算機的主要方式為植入木馬病毒，從而竊取用戶信息。黑客事前搜集目標協議信息，對攻擊目標鎖定。而廣電網絡傳輸系統涉及的路由器、主機/服務器和網關等均是攻擊目標。黑客確定攻擊目標后，對其隱藏信息全面解析，掌握服務漏洞。黑客以端口對漏洞實現掃描檢測，利用猜測密碼，監聽密碼或遠程攻擊調用等方式，獲取訪問系統的權限。黑客以非法手段運用數據，對部分重要信息竊取、操縱，為攻擊者提供有利答案。攻擊者惡意添加和修改數據，阻止內外網連接。

（三）系統存在的漏洞威脅

互聯網的瞬息變化，網絡安全技術水平的提高，豐富了網絡攻擊手段，也為黑客掌握廣電網絡傳輸系統缺陷提供了途徑，成為黑客的攻擊目標。黑客借助已知的網絡安全漏洞，獲取系統管理員權限，實行木馬植入、DOS攻擊和傳播病毒，降低軟件系統的安全等級。

三、廣電網絡傳輸系統信息安全管理對策

（一）傳輸系統防護

1.基礎網絡安全

①根據傳輸承載業務要求與業務類型設計網絡結構，按系統運行特征，繪制網絡拓撲結構圖、配置圖、網絡管理信息傳送圖，且定期更新[2];②傳輸網絡具備可靠的自愈保護能力。即便網絡出現單點故障，還可以傳送網絡信息;③根據網絡的結構層次、承載業務對象，合理規劃傳輸網絡安全域。對不同安全域網絡，按物理隔離與邊界隔離技術進行界定，禁止干線網的設備訪問網管信息。

2.運行日志記錄

①記錄傳輸系統的各項操作，實現有據可查。為了提高系統操作的安全水平，科學設計系統技術方案、應急預案，聯合人員保障手段，審批合格后執行;②傳輸系統記錄重要事件，如設備的運行情況和用戶行為;③日志記錄內容包括事件的日期、時間、操作用戶名、設備型號、事件類型等;④仔細保存運行記錄，禁止刪除、修改各種運行記錄;⑤定期分析日志記錄，方便及時找出異常行為[3]。

3.傳輸網管安全對策

①全省綜合網管交換機的指定接口與省市干線傳輸網管服務器及客戶端連接，該交換機無法應用在其他系統和未使用的端口，只與傳輸網管接入;②省市干線傳輸網管通過審批后建立新用戶，設置實效用戶名，及時刪除過期用戶名。

4.傳輸網管入侵防范對策

①省市公司直接對傳輸網管的超級用戶進行管理，其他網管用戶可供各地市使用，這部分用戶向省中心直接報備信息。各地市自主管理本地網、城域網、接入網等;②傳輸網管的登錄口令應達到相應要求，且定期更換，盡量避免用戶名和口令相同;③科學分配管理用戶角色權限，分離管理用戶的權限，按管理用戶的特征授予最小權限;④利用終止會話、設計非法登錄次數和連接超時自行退出等措施解決登錄失敗問題;⑤監視員級別用戶登錄傳輸網管，開展日常操作。修改傳輸設備配置時，要求用戶本人登錄，修改結束后退出。禁止與他人共用有修改功能的用戶名、密碼等。

（二）傳輸網元安全

1.網元口令管理

①市干傳輸設備的網元特殊用戶由省中心直接管理，各地市使用其他網元用戶，且向省中心報備信息。地市主要管理與使用各地市本地網、城域網、接入網網元用戶;②網元用戶登錄傳輸設備的口令應達到一定復雜度要求，注意定期更換，用戶名避免與口令一致，上線的傳輸設備網元用戶禁用廠家默認密碼。

2.網元訪問控制

①禁止外設設備與在用傳輸設備連接，不在用的非網關網元通信端口立即關閉，外單位機房傳輸設備不另外配置網管通信接口板;②對傳輸網絡網管網元進行安全設置，隔離不同域的網元，其連接同一交換機且互通信息;③對不同層次或管理域的傳輸網絡信息進行隔離，關閉不同層次網絡或管理域的網元DCN通道，與不同網絡關口的網管信息通道連接，從而達到隔離的目標。

（三）服務器系統安全

1.身份鑒別

①禁止冒用用戶身份鑒別信息，定期更改口令，用戶名與口令避免一致;②各地市分別管理市干、本地網、城域網、接入網的傳輸網管服務器和客戶端操作系統的管理員用戶、口令，向省中心直接報備市干傳輸網管服務器和客戶端操作系統的用戶管理信息;③負責維護人員授權后，對網管服務器客戶端進行更改和操作，各地市詳細記錄，將市干管網服務器和客戶端修改作業直接報備至省中心;④啟動登錄失敗處理功能，包括結束會話、限制非法登錄次數和自行退出。75F94995-6749-439D-AA8D-1B194A60BA7F

2.安全控制

①根據最小安裝原則進行傳輸系統網管操作，按實際需求安裝組件和運行程序，定期更新系統補丁，與其他信息系統交換數據，應限定文件類型與格式;②限定移動介質網管主機和端口作業，禁止用全部傳輸網管服務器，以及與客戶端端口無關的外設設備。網管服務器避免與客戶端其他網口設備連接，推薦利用USB固定端口;③對與網管客戶端電腦連接的移動介質合理控制，使用前做好殺毒工作;④以科學手段對用戶訪問電腦資源進行限制，開啟遠程連接服務前進行審核與授權;⑤統一清除多余、過期的賬戶，防止形成共享賬戶。

3.入侵防范

對入侵重要服務器綜合檢測，統一登記入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，可對嚴重入侵事件發揮警示作用。

4.病毒和惡意代碼防范

針對病毒和惡意代碼布置統一管理軟件，對其定期更新。

（四）數據安全與備份恢復

1.數據的完整性

①傳輸系統各級管理和維護部門布置對應軟件和數據備份，即傳輸網管軟件、軟件補丁、數據庫，從而對網元數據、網絡腳本實現傳輸;②對傳輸和運行的重要業務數據，如服務器數據、網元數據等完整性進行檢測，判斷其是否被破壞，并采取相應的恢復措施。

2.數據保密性

①利用加密或其他有效措施存儲信息，傳送信息禁用外部郵箱和聊天工具;②以不同途徑和方法傳送加密的數據和密鑰。

3.備份與恢復

①定期為傳輸網管操作系統、網管數據、網元數據等進行本地備份，在不同電腦拷貝和存儲備份數據;②數據恢復前對數據實行一致性校驗，對備份數據大小、文件數量、創建時間等逐一檢查，通過一致性校驗后使用。

要想提高廣電網絡傳輸的安全水平，應加強對傳輸系統信息數據的安全管理，提高網絡安全管理水平。避免廣電網絡傳輸作業事故，減少系統出現問題的概率，保證廣電企業經營質量。

參考文獻：

[1]邱福如.基于廣電網絡融合終端信息安全系統的應用研究[J].無線互聯科技，2020（16）：15-16.

[2]李航.淺談廣播電視政務系統信息安全等級保護定級方法及實施思路[J].廣播電視網絡，2020（12）：58-60.

[3]宋建國.網絡廣播電視信息安全風險及防范措施[J].中國高新區，2019（8）：254.

作者簡介：石新宇（1991-），男，本科，初級工程師，研究方向：網絡傳輸系統信息安全建設及遠程管理控制。75F94995-6749-439D-AA8D-1B194A60BA7F