廣播電視專用網絡安全系統設計

【摘要】專用網絡安全系統適用于外部信息導入和廣電網絡的互聯，克服了傳統安全設備的缺點，可以有效保護廣播電視的信息網絡安全。

【關鍵詞】網絡安全;廣電互聯;雙重隔離;深度分析;白名單

1. 設計背景

廣播電視臺因為業務的需要建立了多個網絡，如制作網、媒資網、播出網、辦公網、新媒體網等。這些網絡之間需要大量和頻繁的數據交換，這樣勢必需要各個網絡之間互聯互通進行數據交換，如果進行簡單的互聯難以滿足網絡安全的需要，通常的做法是部署防火墻和殺毒軟件。傳統的網絡安全解決方案如圖1所示，本方案中殺毒軟件是數據內容安全的檢測工具，防火墻是網際間安全的隔離設備。

傳統安全解決方案具有某些不能克服的缺點，殺毒軟件永遠存在漏殺的可能，因為病毒庫的升級總是落后于病毒的產生。防火墻采用通用的網絡傳輸協議，對屬于協議漏洞產生的安全問題沒有解決辦法，由于不支持對文件數據的深度檢測，對文件中的夾帶問題沒有辦法，從而對攜帶型病毒無能為力，容易造成攜帶型病毒的傳播。

2. 專用網絡安全系統概述

為適應廣播電視行業數字化網絡化對網絡安全的要求，針對傳統安全解決方案存在的問題和廣播電視行業信息網絡系統應用特點，我們專門設計了專用網絡安全系統。該系統適用于外部信息導入和廣電網絡的互聯 ，克服了傳統安全設備的缺點，可以有效的保護廣播電視信息網絡安全。

專用網絡安全系統是具有物理隔離加協議隔離的雙重隔離措施、數據深度分析、文件傳輸控制等功能為一體的網絡安全系統，它支持廣電行業常用的視音頻格式和文本格式文件，對其進行深度分析，保證文件的安全性?？朔藲⒍拒浖?、防火墻等安全產品的缺點，是適用于廣播電視行業的新一代網絡安全解決方案。

專用網絡安全系統物理隔離加協議隔離的雙重隔離技術阻斷了隧道威脅，可以徹底隔離通過通用網絡協議的攻擊行為和病毒的傳播。數據深度分析技術隔絕了數據文件夾帶的發生，從而避免了文件夾帶型病毒的傳播，保證了網絡的數據安全和運行安全。同時優化了數據分析模塊，在保證安全的前提下使數據傳輸速度更快。

3. 專用網絡安全系統核心技術防護體系

內外網絡交換的數據信息越原始，外部對內部網絡攻擊的可能性越低。因為數據越原始，數據隱藏的安全威脅越少。從TCP/IP底層開始，IP地址可以被偽造和欺騙，這源于IP協議的漏洞。在IP層以上類似SYN Flood、Doublful-TCP等傳輸層攻擊依然存在。如果安全機制將TCP連接在外部中斷，讓TCP連接不能到達內部網絡，從而基于傳輸層的攻擊就可以被避免。但在傳輸層上面，還有如HTTP緩沖溢出等針對應用層的攻擊存在。

這類應用層攻擊在應用協議頭中隱藏攻擊代碼用以攻擊內部網絡。應用代理安全機制可以將應用協議頭去掉，從而能夠有效抵御應用層的攻擊。

但即便不將應用協議頭傳輸到內網，應用數據中依然可能含有惡意代碼，例如基于文件內容的病毒、基于WORD格式的宏病毒等。將有格式的數據文件進一步原始化，對數據文件進行深度分析，在內外網絡之間只交換這種數據，則以上安全問題就都解決了。專用網絡安全系統防護體系見圖2。

由圖2可見，專用網絡安全系統的安全防御體系涵蓋了從數據接口層到應用層的所有網絡協議棧。原始應用數據通過硬件隔離開關進行安全處理，擺脫了TCP/IP協議實現雙向數據交換。

專用網絡安全系統作為新一代的安全產品，其核心技術由兩大部分組成：雙重隔離技術和數據深度分析技術。

3.1 雙重隔離技術：物理隔離加協議隔離

專用網絡安全系統核心由三個功能單元構成：一個外網單元、一個中間臨時數據交換單元和一個內網單元。當數據需要從外網向內網傳送時，外網單元分析應用數據，對數據進行安全處理并送到中間數據交換單元。安全處理后的數據被中間數據交換單元用專用封裝格式重新封裝后擺渡到內網單元。內網處理單元將應用數據解封裝并重新進行通用協議的封裝，傳輸到目的地。當數據由內網向外網傳送時，也遵從相似的信息處理傳送過程。

雙重隔離技術的思路來自于“不同時連接”和“專用封裝格式”，內網和外網不同時連接，通過中間緩沖處理單元來“擺渡”業務數據，阻斷了攻擊的可能，內部采用專用的通訊協議和專門的數據封裝格式進行數據通訊，由于沒有通用的命令、通用的協議，沒有應用連接，沒有包轉發，從而避免了攻擊、入侵和破壞。

3.2 數據文件深度分析技術

無論哪一種計算機文件都具有自己獨特的數據格式，專用網絡安全系統將廣播電視行業最常用的幾十種數據文件，進行了全面細致的分析，包括文件特征碼、數據結構、邏輯結構、語法語義等，建立數據分析模塊，通過數據分析模塊可以隨時得到數據分析結果。

文件深度分析，主要分析兩個方面，一是文件類型的真偽及文件合法性的分析;二是文件安全性的分析，檢查文件是否夾帶其他內容，文件結構是否正確。數據文件被傳輸到內網之前，系統的數據分析模塊會對文件進行深度分析，首先檢測文件是否是允許傳輸的文件格式，如果是允許傳輸的格式則對該數據文件進行包括全文掃描、文件特征碼、數據結構、邏輯結構及語法語義等的分析，同時檢測文件是否被注入可疑信息，當檢測沒有問題的文件才會被重新封裝并使用內部專用協議傳輸到內網，從而從根本上阻斷了文件攜帶病毒的傳播途徑，保證了廣播電視內部業務網絡的安全。

4. 結束語

專用網絡安全系統應用在廣播電視內部網絡的外來數據安全導入以及各個網絡之間的安全隔離和數據交換，避免網絡之間發生網絡攻擊和病毒傳播，為建立廣播電視網絡一體化及信息安全傳輸保駕護航。

作者簡介：郭青偉（1970-），本科，學士，朝陽廣播電視臺技術維護部主任，教授、研究員級高級工程師，主研廣播電視工程。