三網融合模式下網絡安全防護技術分析

丁祿祺

摘要：在三網融合背景下，電信網、計算機網和有線電視網實現了物理合一，不僅可以為用戶提供多樣化和高質量的網絡服務，還對網絡安全防護管理提出了更高的要求。特別是在出現黑客攻擊、病毒侵擾等安全問題后，加強三網融合模式下的網絡安全防護技術研究顯得十分有必要。本文首先概述了三網融合，然后對三網融合模式下的網絡安全風險進行細致分析，最后從外部通道、內部系統、公共區域三方面入手，提出創建加密隧道、多層身份認證、設置防火墻、漏洞自動檢測維護等安全防護技術，以供參考。

關鍵詞：三網融合；網絡安全；防護技術

DOI：10.12433/zgkjtz.20233035

隨著信息技術不斷發展，網絡已經覆蓋了人們工作和生活的方方面面。將廣播電視網、電信網和互聯網有效融合起來，增進內容、業務深度融合，可為人們提供更高質量的網絡化服務。然而受網絡開放性、業務多樣化等因素影響，各種網絡安全問題頻頻發生，這就無法保證網絡服務的質量和促進三網融合的深入發展。因此，應加強三網融合模式下的網絡安全研究與分析，并圍繞較常出現的網絡安全問題，采用積極有效的措施進行防控和解決，從而在保證網絡運行安全的同時，推動三網融合事業更進一步發展。

一、三網融合概述

三網融合又叫三網合一，是電信網絡、有線電視網絡和計算機網絡相互滲透和互相兼容，逐步整合成為全世界統一的信息通信網絡，互聯網是其核心部分。簡單來說，實現有線電視、電信和計算機通信三者之間的融合，使之形成健全高效的通信網絡，有效滿足當今社會發展的實際需求。三網融合打破了以往單一網絡在內容輸送、寬帶領域等方面之中的壟斷局面，并通過互相進入和業務內容整合實現協同發展。

二、網絡安全風險分析

（一）網絡協議風險

互聯網通信較常使用的通訊協議是TCP/IP，傳輸層協議為TCP，網絡層協議為IP，這些協議直接定義了電子設備如何接入到網絡系統中和數據如何在它們之間傳輸的標準。網絡層的IP協議會通過預定過程實現對信息的有效交換，實際操作中將復雜成分進行分解，因此，傳輸過程容易出現端到端信息交換無法監控的情況。這時網絡黑客可能會對其隨時發動攻擊，網絡系統癱瘓事故發生概率也會升高，比如，攻擊者利用IP地址欺騙、借助入口工具入侵網絡等。在三網深度融合以后，網絡協議安全風險也會進一步升高，尤其是在對電信網、廣電網等進行IP化推廣以后，網絡協議如何安全地接入也會引起社會大眾廣泛的關注與討論。

（二）跨網病毒風險

在三網融合之前，無論是廣電網絡，還是電信網絡，都具有較強的封閉性和監管力度，遭遇黑客攻擊、木馬程序等安全問題的概率較低。在三網融合后，廣電網絡、電信網絡等在業務運營方面變得更加開放，這些網絡原本封閉的狀態被逐漸打破，但面臨的網絡安全威脅也會越來越多。尤其是在不同網絡之間進行業務交叉和數據交換方面，一旦整個過程有一個網絡或者業務遭受外部攻擊，就會對整個網絡系統安全穩定運行造成較大的影響，因此，需要從三網融合角度入手積極探尋保障網絡安全的有效防護措施。

（三）網絡監控風險

三網融合以后，信息系統遭受網絡風險的概率會急劇升高，對網絡流量和異常行為監控監測的難度也升級。尤其是在將音視頻數據接入到網絡系統中以后，不僅無法有效控制網絡流量，而且容易發生拒絕服務攻擊問題。針對異常情況，要依托互聯網對大量數據信息進行整理分析，網絡異常行為判斷也就變得愈發困難，甚至會出現無法判斷的情況，無法滿足人們多樣化的網絡使用需求。

（四）終端安全風險

在三網融合深入推進的背景下，終端也會得到快速的發展，并逐漸形成三屏合一。這時終端接入的方式會變得更加豐富多樣，比如，藍牙接入、無線接入、WIFI接入等。移動終端正在逐漸成為個人信息處理中心，實際作業在受到電力供應、接入頻率、自身防御等因素影響以后，終端安全問題的發生概率也會升高，并且這些安全問題會變得更加復雜。

（五）隱私安全風險

三網融合可以支持人們直接利用互聯網、電信網等途徑對個人信息進行便捷高效的交互，比如，使用網上銀行、傳送電子病歷等。雖然三網融合為人們獲取和傳遞信息提供了便利，但是也增大了個人信息在網絡上易被獲取的風險。因此，三網融合下要對個人隱私安全風險防范引起高度重視，并保證通過網絡傳遞信息的渠道、方式安全，從而實現對個人隱私的有效保護。

三、網絡安全防護技術分析

（一）外部通道

外部通道是幫助用戶借助互聯網連接電信、廣電并處理相關業務的一種方式。這一權限通常是歸合作第三方機構所有，但這時允許第三方合作機構進入到電信和廣電網絡中，風險性勢必會增加。為保證網絡安全性，可以采用增設安全防護網的方式，在為外部用戶提供安全保障的同時，還能為信息數據傳輸創造安全的環境。具體措施包括：

1.建立統一認證機制

傳統認證機制是用戶在使用網絡時，對用戶名、密碼等進行登錄認證的過程，雖然可以取得較好的安全保障效果，但是這種方式較為簡單，在面對強烈攻擊時也會出現賬號及密碼被竊取的情況。在三網融合背景下，要取得更好的安全防護效果，就需要在原本認證機制基礎上，對統一認證機制進行建立。考慮到互聯網認證通常都有公鑰證書提供支持，因此，在電信網認證上可以預置密鑰為基礎的對稱密碼挑戰應答，然后將兩者有效結合起來進行認證，這樣在進行數據信息交換時，電信網絡可以通過預置密鑰進行認證，互聯網階段進行電信網運營商認證。另外，還可以采用IC卡認證的方式，代替互聯網通訊認證，在降低網絡安全風險的同時，用戶數據交流的便捷程度也會得到提升。

2.防火墻技術

在外部通道加設防火墻技術，可以對網絡之間的訪問進行有效控制，避免外部網絡用戶采用非法手段進入內部網絡，對存在的網絡資源進行訪問竊取。同時，有了防火墻技術的支持，外部通道也能對網絡向外傳輸的重要信息進行攔截與保護。

3.網絡安全掃描技術

這項技術可以對網絡進行全面系統的掃描，并實現對網絡安全配置及運行服務情況的深化了解，針對出現的安全隱患及漏洞能根據掃描結果進行自動風險等級評估，并科學指導網絡管理員采取有效措施進行控制與解決。另外，還可以將該項技術與防火墻、入侵檢測系統等結合起來，最大限度地保障外部通道安全性，網絡安全防范水平也能得到相應的提升。

（二）內部系統

內部系統是三網融合數據核心區域，若系統運行遭遇網絡安全問題，不僅會對信息高效安全傳遞帶來不利的影響，還會對電信、廣電相關業務融合構成極大的威脅。對此，要采取有效措施保障內部系統運行安全穩定。具體內容包括：

1.服務器區

當前廣電、電信網絡服務器安裝的軟件非常多，并且這些軟件復雜程度也較高，若服務器發生故障損壞問題，勢必會對內部系統運行造成較大的影響。因此，可以對服務器實施立體式的安全防護。常見措施包括：在服務器的出口設置防火墻，并注意在防火墻上設置各種過濾措施，在完成符合要求請求的篩選以后，被發送到服務器進行處理。同時，在服務器入口還可以建構入侵檢測系統，在實現對系統漏洞自動監測維護的同時，還可以對發現的安全問題進行及時上報。另外，對于一些文件服務器，還可以加設防病毒網關，以保證各類軟件正常運行。

2.VoD區

該區域存在組件較多，常見的有視頻服務器、信號服務器等，若這些組件遭遇網絡攻擊，就無法為用戶提供網絡資源訪問服務。這就要對日常防護工作引起高度重視，并借助入侵檢測技術查看是否有漏洞情況出現，避免非法用戶通過這些漏洞對機頂盒、信令通道等進行攻擊和控制。

3.BOSS服務器

BOSS服務器是廣電綜合業務營運的有力支撐系統，并且在業務整合升級中可以起到降低運營成分和提高經濟效益的作用。但是在該平臺與第三方系統進行數據交互時，極容易受到網絡開放性、業務集成等因素影響，導致出現遭遇外部攻擊的情況。需要采用設置防火墻的措施，實現對BOSS平臺和第三方系統數據交互的有效隔離，在防范非法人員入侵攻擊的同時，對網絡運行安全性進行有效保障。

4.EPG

該項服務器是VoD的門戶系統，可以為用戶提供點播、廣告等服務。EPG服務器具有web頁面的特征，因此，要防范篡改危險的發生，可以在系統前端加設網頁防篡改設備、IPS防護等，避免敏感信息泄露，最大程度地保障網站運行安全。

（三）公共區域

在三網融合模式下，對內部公共區域進行安全防護，除了創建一套用戶認證系統，保證所有接入網絡的人都需要完成身份多重認證，才能在系統外通過數據源賬號方式進入以外，還可以從應用層和管理層兩方面入手，在運維區域加設防火墻和布置UMA硬件設備，保證進入運維區的數據都會經過過濾篩查，所有運維操作也是經由統一入口進入，最終取得保障網絡安全和降低安全風險的效果。對于內部公共區域，網絡安全防護還可以采用以下技術：

1.網絡防毒技術

基于三網融合環境，以前的單機防病毒產品已經無法徹底清除網絡存在的病毒，需要引入針對服務器操作平臺和各種桌面操作系統的防病毒軟件，使之能夠對計算機郵件、附件等中存在的病毒進行有效檢測，針對網絡中可能被病毒攻擊的點，也能通過網絡防毒技術進行提前防護。同時，堅持與時俱進對多層次和全方位的防病毒系統配置進行更新升級，并加強系統運行監控管理，確保網絡不會遭受病毒的侵襲。

2.數據加密技術

該項技術主要由密碼分析和密碼編碼技術所構成，可以保證數據傳輸安全、完整。實際操作應用該項網絡安全防護技術，一般分為對稱加密技術和非對稱加密技術。前者加密和解密使用的密鑰是相等的，可以簡化加密處理過程，信息交換的雙方也不再對交換加密算法進行分析。后者則是加密和解密密鑰不相同，并且無法從一個密鑰推導出另一個密鑰，從而可以加大對信息的保護力度。

3.網閘和多重安全網關技術

網閘技術是網絡隔離技術，在三網融合背景下加強網絡安全防護工作，注重對網閘技術進行有效運用，可以實現對網絡攻擊的有效隔離，具體包括總線網閘技術、基于SCSI網閘技術、基于單向傳輸網閘技術等，其中基于SCSI網閘技術的準確性和可靠性最高。多重安全網關技術應用，可以對應用層入侵的IPS和可配置的DDoS入侵進行有效防護，實際操作主要根據特征識別對出現的網絡入侵情況進行確認，在防范常見病毒攻擊和網絡入侵方面能夠取得較好的效果。

（四）監控機制

伴隨著三網融合不斷加快，網絡電視、網絡電話等業務融合也會越來越多，并朝著多樣化、精細化等方向發展。因此，也要不斷優化創新網絡監控機制，通過對局域網內的終端和服務器上的硬件設備進行監視和控制，從而防范各種網絡安全問題發生。具體監控模式如下：

1.網關模式

網關模式，即將本機作為其他網絡終端的網關，常見的方式是NAT，將私有地址轉化為合法IP地址。這樣既能夠解決IP地址不足的問題，又能夠避免網絡外部攻擊的情況，針對網絡內部的終端也能實現隱藏與保護。實踐應用要注意NAT有靜態轉換、端口多路復用等方式，前者是將內部網絡私有IP地址轉換為公有IP地址，在對其進行固定處理后，就可以借助靜態轉換實現外部網絡對內部網絡的訪問限制。后者是采用端口地址轉換復用方式，對外出數據包的源端口進行端口轉換。

2.網橋模式

這種模式會將雙網卡設置成為透明橋，并對網絡數據的流向實施有效管理，在實際運用中可以適應三網融合模式下的復雜網絡環境，同時可以將多網段和多WLAN采用網橋模式，整個過程不需要對路由、交換機、終端配置等進行修改，無論是安裝工作還是維護工作，都十分簡單、方便。

3.旁路模式

采用旁路模式的網絡監控技術對三網融合下的網絡安全進行有效防護，可以借助App技術建立虛擬網關。通過在小型網絡上設置網關，可以對流出數據流及經過進行有效檢測與分析，以此實現對網絡安全風險的有效控制。盡管這種模式設置較為簡單，但是并不適合應用到多出口和WLAN環境中，因而目前使用比較少。

四、結語

綜上所述，隨著社會經濟和信息技術的不斷發展，人們在日常生活和工作中可以輕松享受到網絡帶來的便捷。但是隨著網絡開放性、交融性和復雜性不斷提高，三網融合面臨的安全風險也越來越大。這時可以從外部通道、內部系統、公共區域和整體監控角度入手，靈活應用防火墻、身份認證、數據加密、網絡安全掃描等技術，在減少病毒攻擊、非法入侵等問題發生的同時，切實保障網絡安全穩定。

參考文獻：

[1]沈洋.三網融合環境中的信息安全技術研究[D].大連海事大學，2020.

[2]劉志強.網絡安全防護與安全測試探討[J].網絡安全技術與應用，2022，（12）：19-21.

[3]黃書鴻.三網融合背景下廣電網絡安全防護探析[J].無線互聯科技，2022，19（07）：27-28.