【摘要】專用網(wǎng)絡(luò)安全系統(tǒng)適用于外部信息導(dǎo)入和廣電網(wǎng)絡(luò)的互聯(lián)，克服了傳統(tǒng)安全設(shè)備的缺點(diǎn)，可以有效保護(hù)廣播電視的信息網(wǎng)絡(luò)安全。

【關(guān)鍵詞】網(wǎng)絡(luò)安全;廣電互聯(lián);雙重隔離;深度分析;白名單

1. 設(shè)計(jì)背景

廣播電視臺(tái)因?yàn)闃I(yè)務(wù)的需要建立了多個(gè)網(wǎng)絡(luò)，如制作網(wǎng)、媒資網(wǎng)、播出網(wǎng)、辦公網(wǎng)、新媒體網(wǎng)等。這些網(wǎng)絡(luò)之間需要大量和頻繁的數(shù)據(jù)交換，這樣勢(shì)必需要各個(gè)網(wǎng)絡(luò)之間互聯(lián)互通進(jìn)行數(shù)據(jù)交換，如果進(jìn)行簡(jiǎn)單的互聯(lián)難以滿足網(wǎng)絡(luò)安全的需要，通常的做法是部署防火墻和殺毒軟件。傳統(tǒng)的網(wǎng)絡(luò)安全解決方案如圖1所示，本方案中殺毒軟件是數(shù)據(jù)內(nèi)容安全的檢測(cè)工具，防火墻是網(wǎng)際間安全的隔離設(shè)備。

傳統(tǒng)安全解決方案具有某些不能克服的缺點(diǎn)，殺毒軟件永遠(yuǎn)存在漏殺的可能，因?yàn)椴《編?kù)的升級(jí)總是落后于病毒的產(chǎn)生。防火墻采用通用的網(wǎng)絡(luò)傳輸協(xié)議，對(duì)屬于協(xié)議漏洞產(chǎn)生的安全問(wèn)題沒(méi)有解決辦法，由于不支持對(duì)文件數(shù)據(jù)的深度檢測(cè)，對(duì)文件中的夾帶問(wèn)題沒(méi)有辦法，從而對(duì)攜帶型病毒無(wú)能為力，容易造成攜帶型病毒的傳播。

2. 專用網(wǎng)絡(luò)安全系統(tǒng)概述

為適應(yīng)廣播電視行業(yè)數(shù)字化網(wǎng)絡(luò)化對(duì)網(wǎng)絡(luò)安全的要求，針對(duì)傳統(tǒng)安全解決方案存在的問(wèn)題和廣播電視行業(yè)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用特點(diǎn)，我們專門設(shè)計(jì)了專用網(wǎng)絡(luò)安全系統(tǒng)。該系統(tǒng)適用于外部信息導(dǎo)入和廣電網(wǎng)絡(luò)的互聯(lián) ，克服了傳統(tǒng)安全設(shè)備的缺點(diǎn)，可以有效的保護(hù)廣播電視信息網(wǎng)絡(luò)安全。

專用網(wǎng)絡(luò)安全系統(tǒng)是具有物理隔離加協(xié)議隔離的雙重隔離措施、數(shù)據(jù)深度分析、文件傳輸控制等功能為一體的網(wǎng)絡(luò)安全系統(tǒng)，它支持廣電行業(yè)常用的視音頻格式和文本格式文件，對(duì)其進(jìn)行深度分析，保證文件的安全性?？朔藲⒍拒浖⒎阑饓Φ劝踩a(chǎn)品的缺點(diǎn)，是適用于廣播電視行業(yè)的新一代網(wǎng)絡(luò)安全解決方案。

專用網(wǎng)絡(luò)安全系統(tǒng)物理隔離加協(xié)議隔離的雙重隔離技術(shù)阻斷了隧道威脅，可以徹底隔離通過(guò)通用網(wǎng)絡(luò)協(xié)議的攻擊行為和病毒的傳播。數(shù)據(jù)深度分析技術(shù)隔絕了數(shù)據(jù)文件夾帶的發(fā)生，從而避免了文件夾帶型病毒的傳播，保證了網(wǎng)絡(luò)的數(shù)據(jù)安全和運(yùn)行安全。同時(shí)優(yōu)化了數(shù)據(jù)分析模塊，在保證安全的前提下使數(shù)據(jù)傳輸速度更快。

3. 專用網(wǎng)絡(luò)安全系統(tǒng)核心技術(shù)防護(hù)體系

內(nèi)外網(wǎng)絡(luò)交換的數(shù)據(jù)信息越原始，外部對(duì)內(nèi)部網(wǎng)絡(luò)攻擊的可能性越低。因?yàn)閿?shù)據(jù)越原始，數(shù)據(jù)隱藏的安全威脅越少。從TCP/IP底層開(kāi)始，IP地址可以被偽造和欺騙，這源于IP協(xié)議的漏洞。在IP層以上類似SYN Flood、Doublful-TCP等傳輸層攻擊依然存在。如果安全機(jī)制將TCP連接在外部中斷，讓TCP連接不能到達(dá)內(nèi)部網(wǎng)絡(luò)，從而基于傳輸層的攻擊就可以被避免。但在傳輸層上面，還有如HTTP緩沖溢出等針對(duì)應(yīng)用層的攻擊存在。

這類應(yīng)用層攻擊在應(yīng)用協(xié)議頭中隱藏攻擊代碼用以攻擊內(nèi)部網(wǎng)絡(luò)。應(yīng)用代理安全機(jī)制可以將應(yīng)用協(xié)議頭去掉，從而能夠有效抵御應(yīng)用層的攻擊。

但即便不將應(yīng)用協(xié)議頭傳輸?shù)絻?nèi)網(wǎng)，應(yīng)用數(shù)據(jù)中依然可能含有惡意代碼，例如基于文件內(nèi)容的病毒、基于WORD格式的宏病毒等。將有格式的數(shù)據(jù)文件進(jìn)一步原始化，對(duì)數(shù)據(jù)文件進(jìn)行深度分析，在內(nèi)外網(wǎng)絡(luò)之間只交換這種數(shù)據(jù)，則以上安全問(wèn)題就都解決了。專用網(wǎng)絡(luò)安全系統(tǒng)防護(hù)體系見(jiàn)圖2。

由圖2可見(jiàn)，專用網(wǎng)絡(luò)安全系統(tǒng)的安全防御體系涵蓋了從數(shù)據(jù)接口層到應(yīng)用層的所有網(wǎng)絡(luò)協(xié)議棧。原始應(yīng)用數(shù)據(jù)通過(guò)硬件隔離開(kāi)關(guān)進(jìn)行安全處理，擺脫了TCP/IP協(xié)議實(shí)現(xiàn)雙向數(shù)據(jù)交換。

專用網(wǎng)絡(luò)安全系統(tǒng)作為新一代的安全產(chǎn)品，其核心技術(shù)由兩大部分組成：雙重隔離技術(shù)和數(shù)據(jù)深度分析技術(shù)。

3.1 雙重隔離技術(shù)：物理隔離加協(xié)議隔離

專用網(wǎng)絡(luò)安全系統(tǒng)核心由三個(gè)功能單元構(gòu)成：一個(gè)外網(wǎng)單元、一個(gè)中間臨時(shí)數(shù)據(jù)交換單元和一個(gè)內(nèi)網(wǎng)單元。當(dāng)數(shù)據(jù)需要從外網(wǎng)向內(nèi)網(wǎng)傳送時(shí)，外網(wǎng)單元分析應(yīng)用數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行安全處理并送到中間數(shù)據(jù)交換單元。安全處理后的數(shù)據(jù)被中間數(shù)據(jù)交換單元用專用封裝格式重新封裝后擺渡到內(nèi)網(wǎng)單元。內(nèi)網(wǎng)處理單元將應(yīng)用數(shù)據(jù)解封裝并重新進(jìn)行通用協(xié)議的封裝，傳輸?shù)侥康牡亍．?dāng)數(shù)據(jù)由內(nèi)網(wǎng)向外網(wǎng)傳送時(shí)，也遵從相似的信息處理傳送過(guò)程。

雙重隔離技術(shù)的思路來(lái)自于“不同時(shí)連接”和“專用封裝格式”，內(nèi)網(wǎng)和外網(wǎng)不同時(shí)連接，通過(guò)中間緩沖處理單元來(lái)“擺渡”業(yè)務(wù)數(shù)據(jù)，阻斷了攻擊的可能，內(nèi)部采用專用的通訊協(xié)議和專門的數(shù)據(jù)封裝格式進(jìn)行數(shù)據(jù)通訊，由于沒(méi)有通用的命令、通用的協(xié)議，沒(méi)有應(yīng)用連接，沒(méi)有包轉(zhuǎn)發(fā)，從而避免了攻擊、入侵和破壞。

3.2 數(shù)據(jù)文件深度分析技術(shù)

無(wú)論哪一種計(jì)算機(jī)文件都具有自己獨(dú)特的數(shù)據(jù)格式，專用網(wǎng)絡(luò)安全系統(tǒng)將廣播電視行業(yè)最常用的幾十種數(shù)據(jù)文件，進(jìn)行了全面細(xì)致的分析，包括文件特征碼、數(shù)據(jù)結(jié)構(gòu)、邏輯結(jié)構(gòu)、語(yǔ)法語(yǔ)義等，建立數(shù)據(jù)分析模塊，通過(guò)數(shù)據(jù)分析模塊可以隨時(shí)得到數(shù)據(jù)分析結(jié)果。

文件深度分析，主要分析兩個(gè)方面，一是文件類型的真?zhèn)渭拔募戏ㄐ缘姆治?二是文件安全性的分析，檢查文件是否夾帶其他內(nèi)容，文件結(jié)構(gòu)是否正確。數(shù)據(jù)文件被傳輸?shù)絻?nèi)網(wǎng)之前，系統(tǒng)的數(shù)據(jù)分析模塊會(huì)對(duì)文件進(jìn)行深度分析，首先檢測(cè)文件是否是允許傳輸?shù)奈募袷剑绻窃试S傳輸?shù)母袷絼t對(duì)該數(shù)據(jù)文件進(jìn)行包括全文掃描、文件特征碼、數(shù)據(jù)結(jié)構(gòu)、邏輯結(jié)構(gòu)及語(yǔ)法語(yǔ)義等的分析，同時(shí)檢測(cè)文件是否被注入可疑信息，當(dāng)檢測(cè)沒(méi)有問(wèn)題的文件才會(huì)被重新封裝并使用內(nèi)部專用協(xié)議傳輸?shù)絻?nèi)網(wǎng)，從而從根本上阻斷了文件攜帶病毒的傳播途徑，保證了廣播電視內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)的安全。

4. 結(jié)束語(yǔ)

專用網(wǎng)絡(luò)安全系統(tǒng)應(yīng)用在廣播電視內(nèi)部網(wǎng)絡(luò)的外來(lái)數(shù)據(jù)安全導(dǎo)入以及各個(gè)網(wǎng)絡(luò)之間的安全隔離和數(shù)據(jù)交換，避免網(wǎng)絡(luò)之間發(fā)生網(wǎng)絡(luò)攻擊和病毒傳播，為建立廣播電視網(wǎng)絡(luò)一體化及信息安全傳輸保駕護(hù)航。

作者簡(jiǎn)介：郭青偉（1970-），本科，學(xué)士，朝陽(yáng)廣播電視臺(tái)技術(shù)維護(hù)部主任，教授、研究員級(jí)高級(jí)工程師，主研廣播電視工程。