摘 要：電視臺網絡化給電視臺節目制作、播出、存儲和媒體資產的充分利用帶來了極大的便捷，提高了工作效率，提升了節目質量，但隨著業務平臺的拓展和網絡技術的飛速發展，原有的安全保障體系已不能滿足要求。本文將根據縣級電視臺網絡安全的特點，分析影響縣級電視臺網絡安全的主要因素，提出實現全臺網安全建設的具體解決方案，為電視臺營造安全的網絡環境。

　　關鍵詞: 網絡安全,全臺網,安全體系,防病毒

　　引 言

　　近幾年來，國內各級電視臺都在逐步實現數字化，網絡化的改造，網絡化將傳統電視臺集成內容產業的優勢和技術手段的先進性融為一體，提高電視臺的綜合競爭能力。

　　縣級電視臺在得益于網絡加快業務運作的同時,其網絡化的安全性也遭到了不同程度的挑戰。現代網絡環境是建立在飛速發展的開放網絡環境中，開放的環境既為電視臺提供與外界進行交互的窗口，同時也使網絡面臨種種威脅、風險：病毒、黑客、系統漏洞、數據庫漏洞、違規不安全操作設置等行為所造成的損失都是不可估量，如何營造一個良好的、有序的、可靠的縣級電視臺全臺網安全建設是一個迫在眉睫的問題。下面就有關于縣級電視臺全臺網問題淺析本人的看法。

　　1縣級電視臺網絡安全的特點

　　縣級電視臺網絡不同于普通局域網，它具有以下幾個特點：

　　1.1.網絡負載能力大

　　電視臺網絡傳輸的基本上是基于MPEG-2或MPEG-4格式的視頻流，很多時效性強的新聞必須能在當天上傳下達，網絡數據流量相對較大，因此要求網絡有足夠的吞吐量，保證信息高質量、高效率地傳輸。

　　1.2.節目播出的安全要求高

　　廣播電視行業作為黨和國家的重要喉舌，播出安全受到各級領導和市民的高度重視。對于一個電視臺來說無論規模和覆蓋面的大小，系統安全性和播出安全性都是我們必須首要考慮的問題。

　　1.3.網絡穩定性強

　　電視臺不僅要把播出安全性放在首位，還要把整個系統的安全運營放在極重要的地位，包括系統的整體安全、播出安全、各個子系統的安全性。為保證電視節目“高質量、不間斷”的播出要求，必須保證網絡的穩定。

　　2縣級電視臺網絡安全威脅分析

　　縣級電視臺網絡安全威脅主要來自外部網絡和內部網絡。外部威脅是指網絡與外界互通引起的安全問題，有入侵、病毒、惡意代碼與攻擊等。內部威脅是指網絡的合法用戶在使用網絡資源的時候，發生的不合規的行為、誤操作、惡意破壞等行為

　　對網絡安全的威脅主要表現在：非授權訪問、冒充合法用戶破壞系統和數據的有效性和完整性、干擾系統正常運行、利用網絡傳播病毒、截獲、竊取、破譯以獲得重要機密信息等方面。

　　安全威脅主要利用以下途徑：系統存在的漏洞、系統安全體系的缺陷、工作人員安全意識、安全知識、安全技能匱乏，導致安全策略不能真正的得到很好的落實

　　3電視臺全臺網安全體系

　　根據對電視臺網絡安全威脅的分析，不同網絡面臨的安全風險不同.對安全防護的需求不同.在全臺網系統建設中要充分考慮以太網安全性。在網絡安全體系下可為全臺網系統提供端到端的安全保障機制，最大程度的保證網絡層面的安全。

　　網絡的安全是一個動態的概念。網絡的動態安全模型能夠提供給用戶更完整、更合理的安全機制，全網動態安全體系可由下面的公式概括：

　　網絡安全 = 風險分析 + 制定策略 + 防御系統+ 實時監測 + 實時響應 + 災難恢復

　　即：網絡的安全是一個“APPDRR”的動態安全模型。

　　上圖的安全模型為網絡建立了四道防線：安全保護是網絡的第一道防線，能夠阻止對網絡的入侵和危害;安全監測是網絡的第二道防線，可以及時發現入侵和破壞;實時響應是網絡的第三道防線，當攻擊發生時維持網絡“打不垮”;恢復是第四道防線，使網絡在遭受攻擊后能以最快的速度“起死回生”，最大程度上降低安全事件帶來的損失。

　　安全防范系統不是一個簡單、孤立的系統，它是由各個層次軟硬件及管理規范組成的聯動防范體系。

　　3.1. 對于全臺網內網安全，網絡不僅要采用傳統的邊界防火墻、IDS、防殺病毒系統等傳統的網絡邊界安全防護技術，而且要對來自網絡內部的安全威脅、來自移動設備的安全威脅進行防護;在用戶層上解決用戶的身份識別、驗證授權、服務授權的安全問題。

　　3.2.對于來自全臺網系統外部的訪問，包括通過專用網和Internet接入的遠程用戶，采用不同的安全服務等級和策略，既可以實現外部合法用戶對內部網絡的訪問，避免對內部網絡和Internet服務器的攻擊，也可以防范內部用戶對服務中心的未授權訪問、機密竊取和服務攻擊。

　　3.3. 針對攻擊的特點采用核心交換機集成的防火墻特性和IDS(入侵檢測系統)實現對攻擊的檢測和全面防御，降低攻擊者對網絡攻擊的可能性;此外，防火墻、IDS系統等能夠做到對攻擊日志、過濾日志、NAT日志等的分析審計

　　3.4.采用集中管理、策略服務管理，杜絕網絡漏洞。對全臺網系統內外網絡不同的機密等級安全層次，采用不同的安全措施，對于網絡提供用戶精細認證授權、防火墻防御和入侵檢測、策略服務集中管理。

　　4安全實現手段

　　電視臺網通常由多個業務板塊和子網構成，例如實現節目播出的播出網絡、實現節目生產的制作網絡、實現辦公及節目生產管理的辦公網絡、實現平臺及業務監控的監控網絡等。根據各板塊的業務特點，在網絡上劃分多個安全區域：

　　4.1以太網方面：

　　4.1.1在核心交換機上部署集成的防火墻、IDS、VPN業務模塊，來控制和檢測接入核心交換機的所有端口數據流量。相對于獨立的防火墻和IDS設備，具有更好的吞吐率、可管理性。減少傳輸的時延，更適合視音頻數據傳輸。

　　4.1.2與外網的連接，利用獨立的防火墻和防毒墻設備來實現訪問控制。

　　4.1.3通過合理劃分VLAN區域，形成虛擬局域網，通過訪問控制策略控制各個子系統之間的數據訪問。

　　4.2高安全區域安全設計

　　高安全區是獨立于生產網絡，它被置于生產網和辦公網相交的邊界位置.一方面將生產網與辦公網隔離以防止互聯網中黑客利用漏洞等攻擊手進入生產網絡，另一方面又完成數據的中轉，在安全策略的控制下進行內外網的數據交互。

　　高安全區域的詳細訪問控制機制如下圖。

　　辦公網絡是電視臺綜合信息管理的系統，它與互聯網連接，因此感染病毒或者受到攻擊的可能性較高。同時辦公網的區域范圍大，終端設備多，管理相對寬松。因此對生產網而言，辦公網是危險的、不信任的、不可控的。

　　由于生產網與辦公網之間存在大量的交互需求，基于生產網安全的考慮我們在全臺網系統中設置專門的高安全區域，如圖 2 高安全區連接參考圖所示，高安全區即起到隔離和緩沖的作用。架起辦公業務系統訪問全臺網制播網絡系統的橋梁，所有辦公網絡來的請求都訪問高安全區域的應用服務器。

　　來自辦公網絡的數據經過核心交換機的防火墻端口，經過核心交換機內置的入侵檢測監視，再通過訪問規則約束，經過防毒墻的檢測，然后進入高安全區域指定的服務器。高安全區域對應的站點得到請求以后，查詢核心數據庫，按原路反饋響應信息給辦公網站點。

　　5防病毒

　　隨著Internet和廣域網的廣泛應用，病毒傳播的速度越來越快，如何有效的病毒防護控制，自動實時升級病毒庫以確保整個網絡的安全，將是我們需要解決的另外一個問題。

　　采用集中管理，分級防范設計思想。針對電視臺生產網絡，應部署網絡版防病毒軟件和硬件防毒墻相結合的方案。

　　防病毒系統最重要的是兩個方面：

　　4.3.1病毒定義庫如何最快更新。在辦公網中設置專用的病毒庫更新服務器，通過防火墻連接到廠商病毒庫更新服務器，根據策略服務器自動更新病毒庫。然后此病毒更新服務器通過防火墻專用的端口，同步更新支撐平臺中的防病毒管理服務器，然后分發到各個子系統中的防病毒服務器和工作站。

　　4.3.2網絡防病毒系統的管理。生產網中的防病毒面臨眾多的站點，因此，需要采用集中和分布結合的管理模式來實現對防病毒系統的管理。

　　6小結

　　縣級電視臺實現全臺網安全建設有利于實現對新聞、播出等關鍵業務的重點保護和有效保護，增強安全保護的整體性、針對性和實效性，對于如何解決好網絡安全問題一個永遠說不完的話題，我們要清醒認識到任何網絡安全和數據保護的防范措施都是有一定的限度，一勞永逸的網絡安全體系是不存在的。網絡安全需要我們每一個人的參與。

　　參考文獻：

　　[1] 袁津生，昊硯農，計算機網絡安全基礎，北京：人民郵電出版社，2002

　　[2] 蔡立軍.計算機網絡安全技術.合肥：中國水利水電出版社，2002

　　[3]丁國祥. 安徽電視臺全臺網安全體系中若干關鍵技術的應用. 現代電視技術，2009, 4