雙向有線網(wǎng)絡安全域劃分及防護建議

◆閆 政

雙向有線網(wǎng)絡安全域劃分及防護建議

◆閆 政

(太原有線電視網(wǎng)絡有限公司 山西 030024)

本文主要分成三個部分。第一部分，介紹了雙向有線網(wǎng)絡、安全域及其劃分的相關概念；第二部分，闡述了我國雙向有線網(wǎng)絡所面臨的問題；第三部分，重點介紹了雙向有線網(wǎng)絡安全域的劃分，并分別提出了具體的防護建議。

雙向有線網(wǎng)絡；安全域劃分；網(wǎng)絡安全防護；安全域互訪

1 基本概念闡述

1.1雙向有線網(wǎng)絡

城域網(wǎng)，由廣播網(wǎng)絡和數(shù)據(jù)主干網(wǎng)絡組成，廣播網(wǎng)絡一般為星形或環(huán)形結構。數(shù)據(jù)主干網(wǎng)絡，承擔著大量的數(shù)據(jù)處理任務，因此設計成網(wǎng)狀結構。接入網(wǎng)和用戶端，根據(jù)接入方式的不同，可以分為同軸電纜接入和五類線接入。

1.2安全域劃分

安全域的定義，就是指具有一致的安全需求、共享一致的安全策略、擁有一致的訪問的網(wǎng)絡或子網(wǎng)。安全域的存在，能夠便于網(wǎng)絡安全防護的規(guī)劃和執(zhí)行，減少工作量，提高設備效率。

而安全域的劃分，是建立網(wǎng)絡防御系統(tǒng)的基礎工作。隨著廣電業(yè)務的發(fā)展，其計算機網(wǎng)絡日趨復雜化，如果不進行有層次的安全域劃分，很難建立全面、縱深的防御體系。

通常情況下，對安全域的劃分，主要依據(jù)以下三個方面[1]。

（1）依據(jù)業(yè)務系統(tǒng)。將不同的業(yè)務系統(tǒng)，劃分為不同的安全域。安全需求類似等業(yè)務系統(tǒng)，歸入同一安全域，避免由于安全域劃分過于細致而導致的重復投資。此種方法能夠利用現(xiàn)有的網(wǎng)絡結構，實際操作起來十分方便。

（2）依據(jù)防護等級。按照網(wǎng)絡資產(chǎn)的重要程度，從高到低設置不同的優(yōu)先級，其享受的防護等級，隨著優(yōu)先級的提高而提升。同一等級的網(wǎng)絡資產(chǎn)處在同一個安全域。享受同樣的防護策略。如此一來，防護系統(tǒng)的建立，就具有了針對性，突出重點，防止重復投資。這種方法適合新建的網(wǎng)絡系統(tǒng)，對于已有的網(wǎng)絡結構來說，實際操作過程中調整的幅度太大。

（3）依據(jù)系統(tǒng)行為。全面評估業(yè)務系統(tǒng)的系統(tǒng)行為，以及其所面臨的外部威脅，將類似的系統(tǒng)設為同一安全域。此種方法兼顧了降低實際操作難度與保障防御縱深度，是目前較為主流的安全域劃分方法。

2 雙向有線網(wǎng)絡面臨的主要安全問題

2.1黑客攻擊與病毒入侵

傳統(tǒng)電視網(wǎng)絡是單向傳輸，而且與外界存在著物理隔離。然而雙向有線網(wǎng)絡卻不同，由于其雙向傳輸?shù)奶匦?，互?lián)網(wǎng)中的黑客攻擊或者病毒，能夠經(jīng)由客戶終端逆流而上，攻擊前端服務器，造成用戶信息被泄露、影音資源被盜取，甚至服務器癱瘓，致使有線電視公司蒙受經(jīng)濟上與名譽上的巨大損失。有時，不法分子利用系統(tǒng)內(nèi)與外網(wǎng)連接的節(jié)點，推送非法內(nèi)容，造成播放事故[2]。

由表6可知，A型TPS排水式瀝青混合料低溫彎曲強度達7.159MPa，大于B型TPS排水式瀝青混合料低溫彎曲強度6.813MP，兩種混合料均具有優(yōu)良的低溫性能。

2.2播放內(nèi)容難以控制

由于有線網(wǎng)絡的雙向性，每一個用戶終端，都能發(fā)布影音資料，再加上手機、平板電腦便利性，導致節(jié)目源的隨意性和多樣性，播放內(nèi)容難以管制，非法插播便能趁虛而入。

2.3設備問題

我國的有線電視設備，大部分都是從國外進口，雖然從性能和穩(wěn)定性能得到保障，但缺乏相應的運維條件，對進口設備的不熟悉，再加上備份數(shù)量的不足，無法建立完善的防護體系，一旦遭受網(wǎng)絡攻擊，便無法在短時間內(nèi)恢復運行。

2.4網(wǎng)絡基本構架存在安全隱患

目前的雙向有線網(wǎng)絡構架，還存在著不少安全隱患。比如：各信息系統(tǒng)之間關系混雜，難以進行管理；內(nèi)部局域網(wǎng)未劃分子網(wǎng)絡，訪問缺乏管制；信息系統(tǒng)防護措施簡陋，有時甚至僅依賴防火墻，通信通道缺乏加密措施等等。

3 雙向有線網(wǎng)絡安全域劃分及防護建議

對于雙向有線網(wǎng)絡，我們使用前文所述的第一種方法，即依據(jù)業(yè)務系統(tǒng)來劃分安全域，并提出相應的防護建議[3]。

3.1業(yè)務生產(chǎn)區(qū)

業(yè)務生產(chǎn)機也叫內(nèi)部系統(tǒng)區(qū)，由直播系統(tǒng)、接入系統(tǒng)、boss系統(tǒng)等組成，它的重要性不言而喻，需要配套與之對等的保護等級。按照業(yè)務性質，可以分為基本業(yè)務，增值業(yè)務。業(yè)務生產(chǎn)區(qū)，經(jīng)過統(tǒng)一的接口，進入城域網(wǎng)。如圖1所示。

圖1 業(yè)務生產(chǎn)區(qū)

對于直播服務區(qū)，需要對其內(nèi)容進行控制，同時，對信息通道進行防護。由于其不與城域網(wǎng)直連，與其他區(qū)域也只有信息傳遞，因此，需要將其與其他系統(tǒng)隔離。視頻點播區(qū)，與用戶的終端設備相連，需要在入口處設置web防火墻，并布置相應的終端管控核安全設備。信息服務區(qū)，通常訪問量很大，需要布置相關設備分擔流量，同時，受到用戶的惡意攻擊的頻率也很高，因此，需要高標準的安全設備。終端控制區(qū)，其主要功能是為用戶提供系統(tǒng)服務，需要加強數(shù)據(jù)備份，設置防火墻和入侵防御系統(tǒng)。增值業(yè)務區(qū)，其信息來源廣、信息形式龐雜，而且，與其他業(yè)務系統(tǒng)有交集。因此，需要以信息來源為依據(jù)，采取不同的安全措施。

3.2內(nèi)部互聯(lián)區(qū)

機構的內(nèi)部網(wǎng)絡，就是內(nèi)部互連區(qū)，其結構如圖2所示，包括了信息管理區(qū)域內(nèi)部公共區(qū)。

圖2 內(nèi)部互聯(lián)區(qū)

在城域網(wǎng)與內(nèi)部互連區(qū)的接口處，應設立防火墻和入侵防御系統(tǒng)，以抵御外部攻擊。同時，針對內(nèi)部人員，進行上網(wǎng)行為約束。我們可以按照地域或者層級，對內(nèi)部互聯(lián)區(qū)劃分子網(wǎng)，分層管理與防護，既能避免擁堵，又能方便隔離。

3.3內(nèi)部公共區(qū)

企業(yè)內(nèi)部人員的辦公區(qū)域，即內(nèi)部公共區(qū)。大部分企業(yè)，其辦公區(qū)域多集中在一兩棟大樓里，部門種類和人員密集，網(wǎng)絡交流頻繁。出于這個原因，內(nèi)部公共區(qū)很容易受到網(wǎng)絡攻擊。需要以部門為單位，劃分為不同的網(wǎng)段，設置防火墻和入侵防御系統(tǒng)。對于涉及商業(yè)機密和企業(yè)重要信息的部門，進行集中管制，運營和維護時，禁止使用公共通道，必須使用專用的安全通道。

3.4信息管理區(qū)

通常情況下，企業(yè)會設置一個區(qū)域，對其內(nèi)部各種信息進行集中處理，這個區(qū)域就是信息管理區(qū)。我們一般將其分成幾個部分進行分別管理。其中，BOSS系統(tǒng)是重中之重，它涉及個人的隱私信息和企業(yè)的核心業(yè)務，需要為其單獨設立一個安全域，使用專用通道，對出入其中的所有通信進行加密處理。

3.5安全管理區(qū)

建立完善的網(wǎng)絡防護機制，需要設立安全管理區(qū)，為系統(tǒng)內(nèi)所有的主機和設備提供安全管理服務。比如，審計運維事件、進行風險分析、危險報警等，其結構如圖3所示。在重要接口處設置防火墻，設立運維堡壘機等等。

3.6用戶區(qū)

終端用戶的接入?yún)^(qū)域，就是業(yè)務用戶區(qū)。為每一個終端設備設置獨立的標識，以此為依據(jù)進行ip地址驗證和身份驗證，限制接入規(guī)則，對不同類型的終端用戶，進行訪問控制。

3.7小結

在保證基本通信需求的基礎上，盡可能強化防護手段?？紤]到安全域之間互訪的風險，應該遵循以下原則：保障高防護等級的系統(tǒng)具有操作的控制權。意思就是說，低防護等級的系統(tǒng)在訪問高防護等級的系統(tǒng)時，只允許讀取，不允許寫入。如此一來，在低防護等級的系統(tǒng)受到黑客攻擊和感染病毒時，能夠有效地與高防護等級的系統(tǒng)隔離開來，防止擴散。

圖3 安全管理區(qū)

在安全域的內(nèi)部，還能夠進一步分成多個子安全域，控制子安全域之間的互訪，進行一定程度的隔離。對系統(tǒng)內(nèi)各部件，進行及時的補丁更新。在所有重要的互聯(lián)邊界，都應該設立防火墻和入侵防御系統(tǒng)。除了抵御來自外部的威脅，內(nèi)部人員的管理也相當重要，加強對員工的網(wǎng)絡安全意識與技能的培訓，避免因為疏忽或操作不規(guī)范而產(chǎn)生的安全問題。

4 結語

如今，有線網(wǎng)絡已基本雙向化，業(yè)務的擴展和用戶的劇增，帶來巨大收益的同時，也帶來了更大的安全威脅。而安全域的劃分，是進行網(wǎng)絡安全防護的第一步，是保障防護效果、降低防護成本的重要條件。

[1]許德仲，牛妍華，朱佩江.雙向有線網(wǎng)絡安全域劃分及防護建議[J].廣播電視信息，2014.

[2]黃小虎.有線數(shù)字電視網(wǎng)絡安全技術研究[J].科學技術與應用，2015.

[3]成星.有線數(shù)字電視網(wǎng)絡安全規(guī)劃淺談[J].廣播電視信息，2017.