廣播電視臺網(wǎng)絡(luò)安全技術(shù)的應(yīng)用

廣西廣播電視臺：黃海 唐健 許德邕

在媒體深度融合的背景下，廣播電視臺的發(fā)展已不再局限于傳統(tǒng)的廣播和電視平臺，而是朝著平臺化、生態(tài)化、人本化和社會化的方向發(fā)展。這種轉(zhuǎn)型要求廣播電視臺充分利用互聯(lián)網(wǎng)和新技術(shù)，實現(xiàn)與用戶的互動及參與，同時也帶來了一系列的網(wǎng)絡(luò)安全風(fēng)險和挑戰(zhàn)。廣播電視臺應(yīng)積極應(yīng)對網(wǎng)絡(luò)安全風(fēng)險，完善網(wǎng)絡(luò)安全架構(gòu)，保護用戶隱私，并加強安全意識和技能培訓(xùn)。

1.廣播電視臺網(wǎng)絡(luò)安全問題概述

在融媒體時代，廣播電視臺常常面臨網(wǎng)絡(luò)安全問題，其中非法攻擊是最常見的。這些非法攻擊方式多種多樣，包括但不限于黑客入侵、DDoS攻擊、數(shù)據(jù)篡改等。廣播電視臺必須高度重視網(wǎng)絡(luò)安全，采取適當(dāng)?shù)拇胧﹣肀Ｗo自己的系統(tǒng)和數(shù)據(jù)。例如用于搜索引擎的工具——爬蟲技術(shù)，被一些人惡意濫用用于攻擊。他們利用大量未經(jīng)授權(quán)的爬蟲對廣播電視臺網(wǎng)站進行訪問，導(dǎo)致系統(tǒng)資源耗盡，減緩系統(tǒng)運行速度，影響用戶正常訪問的體驗。有時，非法爬蟲還會大量抓取廣播電視臺的原創(chuàng)內(nèi)容，對其融媒體運營能力造成影響。除此之外，網(wǎng)絡(luò)端可能也會存在軟件升級滯后、監(jiān)管不完善以及操作不規(guī)范等問題，這些問題不僅會影響融媒體網(wǎng)絡(luò)資源的互通共享、宣傳推廣以及內(nèi)容整合等進程，同時也對網(wǎng)絡(luò)安全構(gòu)成一定的威脅和風(fēng)險。有時候在建設(shè)融媒體矩陣時還會存在賬號管理的問題，如果在人員離職或手機號注銷的情況下，賬號仍然與舊的手機信息綁定，就可能失去對媒體掌控權(quán)。這樣的情況下，無法及時撤銷或限制前員工對賬號的訪問權(quán)限，可能會引發(fā)數(shù)據(jù)泄露、篡改或其他惡意行為，給廣播電視臺帶來嚴重的安全危害。另外，如果未能及時更新手機信息，例如更換手機號碼而沒有相應(yīng)地更新賬號綁定的手機信息，也可能存在安全隱患。未經(jīng)授權(quán)的人員可能獲取到老手機號，從而利用它們訪問賬號并執(zhí)行未經(jīng)授權(quán)的操作，進一步加劇安全風(fēng)險。

2.網(wǎng)絡(luò)安全技術(shù)在廣播電視臺的應(yīng)用

2.1 身份認證和訪問控制

身份認證技術(shù)在網(wǎng)絡(luò)安全配置中起著至關(guān)重要的作用。在此之中，智能認證和口令認證是廣泛使用的兩種身份驗證方式。智能認證是利用智能卡實現(xiàn)的身份驗證方式，智能卡內(nèi)部存儲了用戶信息和加密算法等數(shù)據(jù)。在廣播電視臺的網(wǎng)絡(luò)系統(tǒng)中，可以將口令與用戶智能卡兩種認證方法進行有效結(jié)合。當(dāng)員工使用智能卡進入系統(tǒng)時還需要輸入一段口令，此時除了驗證口令的有效性，還會判定智能卡中存儲的身份信息是否有效，在身份有效的情況下，智能卡會將相關(guān)數(shù)據(jù)發(fā)送至認證服務(wù)器（AS）進行二次驗證。智能卡通過高度加密的安全性，有效保護用戶身份信息的安全性。口令認證是一種簡單而直接的身份驗證方法，它依靠用戶輸入的口令來進行認證過程。在廣播電視臺的網(wǎng)絡(luò)系統(tǒng)中，一次性口令被使用來將不確定因素和身份代碼轉(zhuǎn)化為密碼算法的輸入，從而實現(xiàn)身份驗證。每次登錄時，算法生成一個不相同的口令，用戶只需進行口令匹配。由于一次性口令每次均不相同，用戶無須記憶口令，這提高了安全性?？诹钫J證方式在網(wǎng)絡(luò)系統(tǒng)中具有高度安全性和難以破解的特點，通過智能認證和口令認證等身份認證方式，可以提高網(wǎng)絡(luò)系統(tǒng)的安全水平，保護重要文件信息的安全性。這些認證方法結(jié)合了加密算法和用戶身份驗證，確保只有合法用戶才能訪問系統(tǒng)，有效防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露。

2.2 數(shù)據(jù)加密和傳輸安全

廣播電視臺涉及多個網(wǎng)絡(luò)環(huán)境之間的業(yè)務(wù)訪問和數(shù)據(jù)交換。無論是在辦公網(wǎng)與制作網(wǎng)之間、融媒體平臺與制作網(wǎng)之間，還是制作網(wǎng)與播出網(wǎng)之間。為了確保不同網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸安全，可采取了一系列安全措施，常用措施包括了運用SSL/TLS協(xié)議、IPSec算法、設(shè)置具有物理隔離和深度解析功能的安全隔離設(shè)備等。SSL/TLS是一種常用的安全協(xié)議，用于在網(wǎng)絡(luò)通信中實現(xiàn)加密傳輸。它使用公鑰加密和對稱加密算法，確保數(shù)據(jù)在傳輸過程中的保密程度和完整程度并進行來源驗證。SSL/TLS協(xié)議用于在客戶端和服務(wù)器之間建立安全連接，同時通過數(shù)字證書驗證服務(wù)器的身份。這樣，在傳輸過程中，數(shù)據(jù)會被加密并在雙方進行解密，從而防止第三方竊聽和篡改數(shù)據(jù)。而IPSec是一組用于保護IP網(wǎng)絡(luò)通信的協(xié)議和算法集合。它提供了對整個IP數(shù)據(jù)包進行加密和認證的能力，確保數(shù)據(jù)在傳輸過程中的機密性、完整性和來源驗證。IPSec可以在網(wǎng)絡(luò)層對數(shù)據(jù)進行加密和解密，而不需要應(yīng)用層的特定支持。它可以用于虛擬專用網(wǎng)絡(luò)（VPN）或站點到站點的安全連接。物理隔離技術(shù)是一種通過斷開網(wǎng)絡(luò)的物理連接來實現(xiàn)安全隔離的方法。它通過在內(nèi)外網(wǎng)之間傳遞數(shù)據(jù)時使用擺渡方式，而不是依賴TCP/IP連接和包轉(zhuǎn)發(fā)。在這個過程中，數(shù)據(jù)被剝離協(xié)議，只保留最原始的格式，并通過專用封裝進行安全處理和傳遞。物理隔離技術(shù)還通過類似開關(guān)的結(jié)構(gòu)，在設(shè)備內(nèi)部完全斷開了標準的網(wǎng)絡(luò)協(xié)議，以徹底防御TCP/IP隧道攻擊。這樣，在整個數(shù)據(jù)傳遞過程中，通過物理層面的隔離和阻斷，能夠有效地防止?jié)撛诠舻逆溄樱瑥亩苊饬藦娭乒?、入侵或破壞。?dāng)數(shù)據(jù)安全地傳輸?shù)侥康牡睾?，安全隔離系統(tǒng)會利用物理隔離技術(shù)，將數(shù)據(jù)重新封裝為TCP/IP協(xié)議，從而建立起安全、可靠且高速的通信鏈路，確保數(shù)據(jù)的安全性和可靠性。為實現(xiàn)物理隔離技術(shù)，常見的做法是將系統(tǒng)劃分為外網(wǎng)處理單元、內(nèi)網(wǎng)處理單元和隔離與交換控制單元這三個主要組件，以滿足數(shù)據(jù)傳輸安全的需求。外網(wǎng)處理單元承擔(dān)著終止常規(guī)網(wǎng)絡(luò)協(xié)議的任務(wù)，負責(zé)解析應(yīng)用數(shù)據(jù)并進行安全處理，確保數(shù)據(jù)的完整性和安全性；隔離與交換控制單元用于存儲和傳遞數(shù)據(jù)；內(nèi)網(wǎng)處理單元連接隔離與交換控制單元，獲取數(shù)據(jù)并將其還原為真正的格式，并最終封裝為TCP/IP格式進行路由。物理隔離技術(shù)的應(yīng)用可以有效保護廣播電視臺的網(wǎng)絡(luò)安全，防止各類攻擊威脅的發(fā)生。白名單數(shù)據(jù)深度解析技術(shù)是一種通過對目標文件進行全文解析的方式，實現(xiàn)對傳輸數(shù)據(jù)的安全檢測和防范病毒傳播的方法。相較于依靠病毒特征庫進行檢測的方式，白名單數(shù)據(jù)深度解析方法采用了全文解析的方法，能夠快速且準確地評估文件的安全性。為了對病毒進行查殺，殺毒軟件通常需要預(yù)先了解病毒的類型，這樣的方式被稱為黑名單模式。而白名單數(shù)據(jù)深度解析技術(shù)則不同，該方式利用MIME定義的格式規(guī)范，對文件進行全文掃描和分析，檢測特征碼、邏輯關(guān)系以及數(shù)據(jù)結(jié)構(gòu)，并評估語法和語義規(guī)范，從而準確判斷文件是否符合規(guī)范的數(shù)據(jù)文件類型。具體來說，白名單數(shù)據(jù)深度解析技術(shù)首先通過識別計算機文件的MIME類型，來準確確定文件所屬的數(shù)據(jù)文件類型。然后，對給定文件進行全文解析，通過檢驗文件的各種特征，判斷其是否符合規(guī)范的數(shù)據(jù)文件類型。在將數(shù)據(jù)傳輸?shù)絻?nèi)網(wǎng)文件服務(wù)器之前，數(shù)據(jù)分析模塊會對文件進行格式分析和比對，以確保其數(shù)據(jù)格式與擴展名一致，并符合白名單的傳輸規(guī)則。同時，該模塊還會檢測文件是否包含可疑信息。只有符合上述條件的文件才能傳輸?shù)轿募?wù)器。此外，白名單數(shù)據(jù)深度解析技術(shù)采用了主動防御措施，比如將可執(zhí)行文件列入禁止傳輸?shù)牧斜?，從而徹底阻止病毒攜帶文件的傳播途徑，有效地保護內(nèi)網(wǎng)的安全性。

2.3 安全監(jiān)測和防護

安全監(jiān)測和防護是廣播電視臺網(wǎng)絡(luò)安全技術(shù)應(yīng)用中的重要環(huán)節(jié)。為了提高網(wǎng)絡(luò)安全，可以安裝入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS），實時監(jiān)測網(wǎng)絡(luò)流量并檢測潛在的入侵行為。IDS負責(zé)識別異?；顒雍凸粜袨?，并發(fā)出警報；而IPS則能主動阻止和響應(yīng)惡意行為，保護網(wǎng)絡(luò)安全。為了確保網(wǎng)絡(luò)通信的安全性和可靠性，可以通過升級軟件定義網(wǎng)絡(luò)（SDN）技術(shù)、導(dǎo)流技術(shù)和VxLAN技術(shù)來設(shè)置訪問控制規(guī)則，去控制虛擬私有云（VPC）與外部網(wǎng)絡(luò)、不同VPC之間以及不同虛擬機（VM）之間的訪問過程，通過這種方式，可以提供更高的網(wǎng)絡(luò)安全性和穩(wěn)定性。此外，可以在專享云平臺內(nèi)預(yù)先配置邏輯隔離部分，根據(jù)需求自定義云資源啟動虛擬網(wǎng)絡(luò)。廣播電視臺還可以根據(jù)虛擬私有云對虛擬網(wǎng)絡(luò)的個性化需求，在路由表配置、IP地址范圍選擇、子網(wǎng)創(chuàng)建、虛擬防火墻選擇以及虛擬負載均衡設(shè)備選擇等方面進行自定義設(shè)置。為了提升系統(tǒng)的安全性和功能靈活性，在實際應(yīng)用中，可以使用控制器作為核心，基于融媒體制播網(wǎng)絡(luò)的狀態(tài)和拓撲信息創(chuàng)建一個可組合的安全模塊庫。通過在FRESCO腳本中組合不同的模塊和數(shù)據(jù)庫，來增強安全執(zhí)行內(nèi)核、資源控制器、融媒體制播網(wǎng)絡(luò)應(yīng)用程序以及交換機之間的信息交互。這種方式能充分利用軟件定義網(wǎng)絡(luò)（SDN）在實時推送安全策略和監(jiān)控融媒體流量方面的優(yōu)勢。為確保系統(tǒng)的安全性，不同角色需要協(xié)作工作。融媒體制播網(wǎng)絡(luò)系統(tǒng)管理員、安全服務(wù)類應(yīng)用程序、OpenFlow應(yīng)用程序和第三方應(yīng)用程序必須緊密合作，共同制定SDN流規(guī)則。這些規(guī)則隨后由控制器下發(fā)至基礎(chǔ)設(shè)施層的融媒體制播網(wǎng)絡(luò)設(shè)備內(nèi)部。這樣，SDN交換機便可根據(jù)這些規(guī)則執(zhí)行數(shù)據(jù)包的轉(zhuǎn)發(fā)和處理，確保系統(tǒng)的安全性。另外，引入驗證工具和漏洞測量工具，還可以評估系統(tǒng)的可靠性并應(yīng)對DoS/DDoS攻擊。針對升級后的安全防護技術(shù)，可以將其看作是一個特殊虛擬機，它以網(wǎng)絡(luò)功能虛擬化（NFV）資源池和硬件資源池為核心，并負責(zé)控制流量的訪問。這樣的安全防護技術(shù)能夠提供更高的安全級別。

2.4 安全培訓(xùn)和意識提升

員工是網(wǎng)絡(luò)安全的最后一道屏障，他們的安全意識和行為對于保護廣播電視臺的網(wǎng)絡(luò)安全至關(guān)重要。通過定期開展網(wǎng)絡(luò)安全意識和知識的培訓(xùn)課程，向員工傳授網(wǎng)絡(luò)安全知識、風(fēng)險認知和應(yīng)對策略，這可以有效提升員工的安全意識和防范能力。這樣的培訓(xùn)應(yīng)該包括以下幾個方面：首先，向員工傳授基礎(chǔ)的網(wǎng)絡(luò)安全知識，包括常見的網(wǎng)絡(luò)攻擊方式（如釣魚郵件、惡意軟件等），以及如何識別和應(yīng)對這些攻擊手段。員工需要了解社交工程攻擊的特點和應(yīng)對策略，學(xué)會辨別可疑鏈接和附件，避免點擊惡意鏈接或下載可疑文件。其次，培訓(xùn)課程應(yīng)著重強調(diào)密碼管理和身份驗證的重要性。教育員工選擇強密碼的方法，并鼓勵他們定期更換密碼。此外，員工還需了解雙重認證和多因素身份驗證等高級身份驗證方法，以提高賬戶的安全性。另外，員工應(yīng)該了解數(shù)據(jù)隱私保護的重要性，包括合理處理和儲存敏感信息、遵守隱私政策等。他們需要明確內(nèi)部數(shù)據(jù)的保密性，并學(xué)會正確處理和共享敏感信息，確保數(shù)據(jù)不被泄漏或濫用。此外，培訓(xùn)課程還應(yīng)重點強調(diào)員工在日常工作和使用公司設(shè)備時的安全行為。教育員工遵循公司的網(wǎng)絡(luò)安全政策和程序，定期更新和維護操作系統(tǒng)和應(yīng)用程序，不隨意下載和安裝未經(jīng)授權(quán)的軟件以及定期備份重要數(shù)據(jù)等。

2.5 應(yīng)急響應(yīng)和災(zāi)難備份

廣播電視臺需要建立完善的應(yīng)急響應(yīng)和災(zāi)難備份機制，以應(yīng)對網(wǎng)絡(luò)安全事件和災(zāi)難情況。首先，應(yīng)該制定詳細的應(yīng)急響應(yīng)計劃，明確安全事件發(fā)生時的責(zé)任分工、處理流程和溝通渠道。該計劃應(yīng)包括各種可能的安全事件情景，例如黑客攻擊、數(shù)據(jù)泄露、系統(tǒng)故障等，同時提供相應(yīng)的應(yīng)對方法和措施。其次，還需部署網(wǎng)絡(luò)安全監(jiān)測與檢測系統(tǒng)，實時監(jiān)控網(wǎng)絡(luò)流量和行為，及時發(fā)現(xiàn)任何異?；顒踊驖撛诘娜肭中袨椤＿@些系統(tǒng)可以幫助迅速識別并應(yīng)對安全威脅。特別是應(yīng)該設(shè)立專門的安全事件響應(yīng)團隊，負責(zé)安全事件的處置和恢復(fù)工作。團隊成員應(yīng)具備網(wǎng)絡(luò)安全技術(shù)和應(yīng)急響應(yīng)經(jīng)驗，能夠快速、有效地應(yīng)對各類安全事件，并及時采取必要的措施來減輕損失。與此同時，還要定期對關(guān)鍵數(shù)據(jù)進行備份，并將備份數(shù)據(jù)存儲在安全可靠的地方，以防止數(shù)據(jù)丟失或遭受損壞。在發(fā)生災(zāi)難性事件時，可以及時恢復(fù)數(shù)據(jù)，確保業(yè)務(wù)能夠快速恢復(fù)正常運行。最后，還應(yīng)該制定一個災(zāi)難恢復(fù)計劃，針對不同類型的災(zāi)難情況（如火災(zāi)、水災(zāi)、系統(tǒng)故障等），制定相應(yīng)的應(yīng)對措施。該計劃應(yīng)包括緊急疏散和救援程序、設(shè)備備份和替代方案、應(yīng)急通信渠道等，以便在災(zāi)難發(fā)生時能夠快速、有序地進行恢復(fù)工作。

3.結(jié)束語

在網(wǎng)絡(luò)安全威脅和災(zāi)難事件頻發(fā)的時代，廣播電視臺必須意識到確保安全性和應(yīng)急響應(yīng)能力的重要性。通過在各個層面進行多角度的網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，提高網(wǎng)絡(luò)安全的應(yīng)急響應(yīng)能力，保障用戶信息安全，減少業(yè)務(wù)中斷的風(fēng)險。在充滿挑戰(zhàn)和不確定性的環(huán)境中，始終將安全置于首要位置，不斷提升安全防護水平，為用戶提供安全可靠的服務(wù)。