基于OSI 參考模型的融媒體平臺(tái)網(wǎng)絡(luò)的安全分析

郁偉慧

（上海市崇明區(qū)融媒體中心，上海 202155）

0 引言

在媒體融合的過程中，相關(guān)媒體需要依靠網(wǎng)絡(luò)實(shí)現(xiàn)媒體互聯(lián)，促使媒介生態(tài)向著網(wǎng)絡(luò)空間延伸，形成融媒體生態(tài)。開放式系統(tǒng)互聯(lián)（Open System Interconnection，OSI）參考模型是由國際標(biāo)準(zhǔn)化組織提出的概念模型，可以為各種計(jì)算機(jī)互連構(gòu)成網(wǎng)絡(luò)提供標(biāo)準(zhǔn)框架。在用OSI 模型實(shí)現(xiàn)融媒體平臺(tái)網(wǎng)絡(luò)組建的過程中，相關(guān)主體需要認(rèn)識(shí)到網(wǎng)絡(luò)面臨的安全威脅，通過合理運(yùn)用網(wǎng)絡(luò)安全策略保證平臺(tái)安全、穩(wěn)定運(yùn)行，為各種媒體共享資源提供可靠的平臺(tái)技術(shù)支撐。

1 基于OSI 參考模型的融媒體平臺(tái)網(wǎng)絡(luò)安全問題

利用OSI 模型進(jìn)行融媒體平臺(tái)網(wǎng)絡(luò)構(gòu)建，將采用開放式網(wǎng)絡(luò)架構(gòu)，為實(shí)現(xiàn)各種媒體資源共享提供支持。對(duì)OSI 安全體系結(jié)構(gòu)展開分析，可以預(yù)測(cè)網(wǎng)絡(luò)可能面臨的安全問題。從層別來看，OSI 將網(wǎng)絡(luò)通信劃分為物理層、鏈路層、傳輸層等七個(gè)層別。但實(shí)際上，OSI 僅為理想?yún)⒖寄Ｐ停瑢?shí)際在融媒體平臺(tái)網(wǎng)絡(luò)建立過程中僅采用四層架構(gòu)，包含接口層、數(shù)據(jù)層、網(wǎng)絡(luò)層及應(yīng)用層。對(duì)各層級(jí)的信息安全問題展開分析，能夠確定平臺(tái)面臨的安全威脅。在接口層，平臺(tái)將面對(duì)MAC 地址攻擊等風(fēng)險(xiǎn)，而采用無線技術(shù)容易出現(xiàn)數(shù)據(jù)被竊聽問題。在平臺(tái)數(shù)據(jù)層，各系統(tǒng)交換數(shù)據(jù)時(shí)需要使共同資源池跨越多個(gè)區(qū)域，將承受病毒傳遞、非法訪問等風(fēng)險(xiǎn)。在網(wǎng)絡(luò)層，由于配備了多樣化終端，需要面臨各種未知的攻擊和威脅。在應(yīng)用層，則面臨軟件漏洞攻擊、木馬病毒等威脅。結(jié)合融媒體平臺(tái)網(wǎng)絡(luò)面臨的安全威脅，技術(shù)部門應(yīng)做好安全架構(gòu)部署，通過采取多種安全機(jī)制提供有效安全服務(wù)。

2 基于OSI 參考模型的融媒體平臺(tái)網(wǎng)絡(luò)安全管理

2.1 安全架構(gòu)部署

實(shí)際在平臺(tái)網(wǎng)絡(luò)安全架構(gòu)部署上，設(shè)計(jì)人員需要對(duì)照信息安全登記要求和相關(guān)規(guī)定進(jìn)行網(wǎng)絡(luò)安全域規(guī)劃，將防火墻當(dāng)成核心，對(duì)接口層訪問進(jìn)行控制，通過建設(shè)平臺(tái)內(nèi)網(wǎng)和外部接入網(wǎng)，加強(qiáng)其他層別的信息安全管理，如圖1 所示。其中，內(nèi)網(wǎng)可以結(jié)合用戶安全需求劃分為核心交換、業(yè)務(wù)生產(chǎn)兩個(gè)區(qū)域，保證數(shù)據(jù)層的數(shù)據(jù)交換安全。而外網(wǎng)可以根據(jù)各種應(yīng)用和接入等需求劃分成資源共享平臺(tái)、互聯(lián)網(wǎng)接入以及高安全三個(gè)區(qū)域，應(yīng)對(duì)網(wǎng)絡(luò)層各種終端接入風(fēng)險(xiǎn)，并加強(qiáng)應(yīng)用層各種應(yīng)用的安全管理。核心交換區(qū)需要完成網(wǎng)絡(luò)安全設(shè)備部署，采用漏洞掃描等技術(shù)強(qiáng)化數(shù)據(jù)交換管理。業(yè)務(wù)生產(chǎn)區(qū)需要為平臺(tái)內(nèi)部提供安全服務(wù)，需要完成服務(wù)器部署，為各種節(jié)目生產(chǎn)加工提供支持。互聯(lián)網(wǎng)接入?yún)^(qū)需要完成安全網(wǎng)關(guān)、WAF 防火墻等安全服務(wù)部署，要能夠應(yīng)對(duì)各種網(wǎng)絡(luò)攻擊，并通過部署雙設(shè)備保證整個(gè)系統(tǒng)穩(wěn)定運(yùn)行[1-2]。數(shù)據(jù)共享平臺(tái)需要在各媒體網(wǎng)絡(luò)間進(jìn)行數(shù)據(jù)交換，需要加強(qiáng)端口控制，嚴(yán)格進(jìn)行數(shù)據(jù)審核，保證推送至平臺(tái)的數(shù)據(jù)安全。所謂高安全區(qū)，需要為各種審計(jì)服務(wù)器、后臺(tái)服務(wù)器提供安全服務(wù)，加強(qiáng)平臺(tái)網(wǎng)絡(luò)安全管理。

圖1 融媒體平臺(tái)網(wǎng)絡(luò)安全架構(gòu)

2.2 融媒體平臺(tái)網(wǎng)絡(luò)安全策略

2.2.1 防火墻部署

在防火墻部署方面，需要在內(nèi)、外網(wǎng)邊界出口位置設(shè)置防火墻，結(jié)合不同業(yè)務(wù)防護(hù)等級(jí)要求采取不同策略。首先，在各安全域之間，需要采用訪問控制策略，根據(jù)目標(biāo)地址、端口、協(xié)議等限制越權(quán)訪問行為，保證各種訪問有序開展。其次，針對(duì)重要區(qū)域邊界，應(yīng)做好防火墻部署，如針對(duì)常見拒絕服務(wù)攻擊行為制定抗攻擊策略[3]。根據(jù)訪問協(xié)議、業(yè)務(wù)源等信息采取控制策略，明確數(shù)據(jù)流向和業(yè)務(wù)流程，如設(shè)置端到端訪問，使特定用戶訪問指定服務(wù)器，保證訪問行為安全、可靠。

2.2.2 邊界安全監(jiān)測(cè)

在各區(qū)域邊界，還應(yīng)加強(qiáng)安全感知和防護(hù)，通過整合各種數(shù)據(jù)信息加強(qiáng)網(wǎng)絡(luò)運(yùn)維管理，有效應(yīng)對(duì)各種網(wǎng)絡(luò)威脅與攻擊。在利用防火墻等設(shè)備構(gòu)成首道防線的基礎(chǔ)上，可以針對(duì)內(nèi)網(wǎng)和外網(wǎng)通信區(qū)進(jìn)行隔離處理，通過部署威脅探針對(duì)潛在威脅進(jìn)行探測(cè)，達(dá)到加強(qiáng)邊界防御的目標(biāo)。如圖2 所示，面向全網(wǎng)搭建安全感知平臺(tái)，能夠?qū)Ω鬟吔鐓^(qū)域探針采集到的數(shù)據(jù)進(jìn)行管理，實(shí)現(xiàn)數(shù)據(jù)集中展示和生成可視化報(bào)表。利用網(wǎng)絡(luò)軟硬件平臺(tái)構(gòu)成防護(hù)體系，需要將安全大數(shù)據(jù)當(dāng)成基礎(chǔ)進(jìn)行安全態(tài)勢(shì)感知，通過對(duì)設(shè)備、主機(jī)、服務(wù)器等要素信息的歸并、分析，做到全天候、立體化感知網(wǎng)絡(luò)安全威脅[4]。

圖2 融媒體平臺(tái)網(wǎng)絡(luò)安全感知平臺(tái)

2.2.3 入侵防御

在平臺(tái)網(wǎng)絡(luò)邊界，為加強(qiáng)對(duì)各種入侵行為的防御，需要部署入侵檢測(cè)引擎，利用鏡像端口加強(qiáng)數(shù)據(jù)流分析，對(duì)各種網(wǎng)絡(luò)入侵行為進(jìn)行檢測(cè)。通過與控制中心協(xié)同工作，能夠加強(qiáng)入侵管理，完成安全事件關(guān)聯(lián)，通過郵件、短信等各種途徑發(fā)出告警[5]。采用串聯(lián)橋接方式建立防御系統(tǒng)，內(nèi)置bypass 功能，可以在系統(tǒng)斷電后依然保證網(wǎng)絡(luò)鏈路正常進(jìn)行數(shù)據(jù)傳輸。采用入侵防御系統(tǒng)對(duì)蠕蟲、木馬等各種網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)，可以配合采用審計(jì)、阻斷、限流等不同防御措施[6]。在系統(tǒng)運(yùn)行期間，通過對(duì)各種報(bào)文展開分析，并完成事件庫的匹配，能夠做出適當(dāng)?shù)捻憫?yīng)動(dòng)作，完成防御的日志記錄。

2.2.4 堡壘機(jī)部署

在安全管理區(qū)域，需要完成堡壘機(jī)的部署，依靠?jī)?nèi)控平臺(tái)對(duì)服務(wù)器維護(hù)端口進(jìn)行遠(yuǎn)程訪問，實(shí)現(xiàn)交換機(jī)訪問控制。例如，人員在對(duì)融媒體平臺(tái)各種設(shè)備、系統(tǒng)進(jìn)行維護(hù)時(shí)，需要先通過Web 網(wǎng)頁登錄堡壘機(jī)，根據(jù)界面訪問資源列表獲得權(quán)限。依靠堡壘機(jī)，能夠?qū)崿F(xiàn)系統(tǒng)賬號(hào)管理，設(shè)置專門的管理員，與系統(tǒng)管理員、審計(jì)員保持相互獨(dú)立，以便對(duì)融媒體平臺(tái)的各種操作進(jìn)行同步監(jiān)視[7]。在審計(jì)人員的畫面中，管理員能夠中斷違規(guī)會(huì)話操作，通過操作記錄重現(xiàn)維護(hù)過程。管理員通過堡壘機(jī)登錄安全管理平臺(tái)，能夠完成安全編輯，利用各等級(jí)安全模板對(duì)不同區(qū)域的安全策略進(jìn)行設(shè)定，如圖3 所示，并完成管理區(qū)域劃分，確保管理責(zé)任能夠落實(shí)到個(gè)人。

圖3 融媒體平臺(tái)網(wǎng)絡(luò)堡壘機(jī)安全管理平臺(tái)

3 結(jié)語

針對(duì)基于OSI 模型構(gòu)建的融媒體平臺(tái)網(wǎng)絡(luò)，需要合理進(jìn)行安全架構(gòu)部署，確保可以為傳輸層、應(yīng)用層等各層別提供安全保障，確保各媒體平臺(tái)可以順利通信，實(shí)現(xiàn)資源共享。在實(shí)際進(jìn)行網(wǎng)絡(luò)架構(gòu)部署時(shí)，需要將防火墻當(dāng)成核心劃分內(nèi)網(wǎng)和外網(wǎng)，針對(duì)不同安全區(qū)域做好邊界檢測(cè)、入侵防御等各種安全策略的部署，為融媒體平臺(tái)網(wǎng)絡(luò)提供多種安全服務(wù)。