淺議發射臺網絡安全

摘要互聯網技術在廣播電視里廣泛應用，在帶來方便的同時，由于網絡開放性和自由性，也為廣播電臺的安全埋下了隱患。本文針對廣播電臺的網絡安全進行分析和論述，并提出了看法和要求。

關鍵詞網絡安全 保密 防護 入侵檢測

中圖分類號:TN915文獻標識碼:A

0 引言

隨著信息化進程的深入和互聯網的快速發展，網絡化已經成為當今信息化的發展大趨勢，信息資源也得到最大程度的共享。國家廣播電視總局各直屬臺，遍布全國各地，近幾年各臺站信息化建設正在快速發展，從內網到外網已經形成了一定規模，網絡已經成為工作中不可或缺的部分。在享受信息化給我們帶來方便的同時也面臨著網絡安全問題的挑戰。如果不很好地解決這個問題，必將影響正常的工作，甚至影響安全傳輸發射工作。作者就廣播電臺網絡安全保護機制和計算機網絡安全等諸多的網絡安全問題，談談自己的看法和應該采取哪些防范措施。

1 計算機網絡安全的定義

網絡安全指計算機網絡系統的軟件、硬件系統受到保護，不會因為偶然的或者惡意的原因而受到破壞、更改或泄漏。系統能夠連續可靠地正常運行，網絡服務不被中斷。

網絡安全的內容包括了系統安全和信息安全兩個部分。系統安全主要指網絡設備的硬件、操作系統和應用軟件的安全;信息安全主要指各種信息的存儲、傳輸的安全，具體體現在數據的完整性、保密性及不可抵賴性。

現在網絡安全大致包括四個方面:(1)網絡實體安全:如計算機機房的物理條件、物理環境及設施的安全標準;計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等。(2)軟件安全:如保護網絡系統不被非法侵入，系統軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等。(3)數據安全:保護數據不被非法存取，確保其完整性、一致性、機密性等。(4)安全管理:運行時突發事件的安全處理等，包括采取計算機安全技術，建立安全管理制度，開展安全審計，進行風險分析等。

從特征上看，網絡安全包括五個要素:(1)完整性:只有得到允許的人才能夠修改數據，并能判別數據是否已被篡改。(2)機密性:確保內容不暴露給未授權的實體。(3)可控性:可以控制授權范圍內的信息流向以及行為方式。(4)可用性:得到授權的實體在需要時可訪問數據，即攻擊者不能占用所有資源阻礙授權者的工作。(5)可審查性:對出現的網絡安全問題提供調查的依據和手段。

2 發射臺網絡安全現狀

2.1 計算機病毒危害突出

計算機病毒是一種人為編制的程序，能在計算機系統運行的過程中自身精確地拷貝或有修改地拷貝到其他程序體內，給計算機系統帶來某種故障或使其完全癱瘓，它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。

隨著互聯網的發展，計算機病毒的種類急劇增加，擴散速度大大加快，受感染的范圍也越來越廣。全世界已發現的計算機病毒的種類有上萬種，并且正以平均每月300~500的速度瘋狂增長。

在發射臺外網計算機維護過程中，我們曾經發現大部分外網計算機，普遍存在被病毒感染的情況。調查發現大部分計算機是通過移動存儲設備、電子郵件、下載文件、瀏覽網頁等方式被感染。有些計算機被感染后，對發射臺站中其它的計算機發起攻擊，使網絡信息服務無法開展，甚至于丟失了許多數據，造成服務器癱瘓、網絡癱瘓，給臺站正常工作帶來了極大的影響。

2.2 發射臺系統安全威脅

經過對某發射臺網絡現狀分析。發現該臺目前常見的網絡安全隱患主要包括:網絡級攻擊:竊聽報文、IP地址欺騙、源路由攻擊、端口掃描、拒絕服務攻擊;應用層攻擊:有多種形式，包括探測應用軟件的漏洞、“特洛伊木馬”等;系統級攻擊:針對應用系統。

2.3 物理環境的安全

從物理上講，計算機網絡安全包括通信線路的安全，物理設備的安全，機房的安全等。物理層的安全主要體現在通信線路的可靠性(線路備份、網管軟件、傳輸介質)，軟硬件設備安全性(替換設備、拆卸設備、增加設備)，設備的備份，防災害能力、防干擾能力，設備的運行環境(溫度、濕度、煙塵)，不間斷電源保障，等等。

發射臺計算機房都有專人負責管理。定期檢查機房內主、備線路是否正常;檢查機房內各服務器運行程序是否正常，并定期重啟服務器;檢查機房內電源供應是否正常，并定期對機房內UPS進行放電操作，以防電池老化;定期開啟機房備用設備，檢查其是否正常運行;定期清潔機房衛生，并查看機房溫度、溫度情況等。對戶外鋪設的光纜、電纜、網線、電話線等，設計時都應加絕緣防水套管，以保護它安全;對干擾嚴重的發射機房應使用帶屏蔽的網線，重要的網絡使用光纖，并且對發射機房內的所有電子設備做接地保護。與此同時，還應派專人定期檢查戶外線路安全，發現隱患及時處理。通過以上一系統措施保證網絡物理上安全，就能有效避免計算機網絡因為物理原因造成的癱瘓。

3 廣播發射臺計算機網絡安全技術

計算機網絡安全從技術上來說，主要由防病毒、防火墻、入侵檢測等多個安全組件組成，一個單獨的組件無法確保網絡信息的安全性。早期的網絡防護技術的出發點是首先劃分出明確的網絡邊界，然后通過在網絡邊界處對流經的信息利用各種控制方法進行檢查，只有符合規定的信息才可以通過網絡邊界，從而達到阻止對網絡攻擊、入侵的目的。就目前發射臺站運用的網絡安全技術主要有:防火墻技術、防病毒技術、入侵檢測技術、策略管理等。

3.1 防火墻

防火墻是網絡的訪問控制設備，它可以幫助保護機構的內部網絡不受外界攻擊。就其本質，防火墻是邊界安全設備，它意味著它們存在于內部網絡與外部網絡的邊界。經過合理設置的防火墻已經成為了一種必需的安全設備。不過，防火墻不會阻止攻擊者使用一個允許的連接進行攻擊。防火墻還不能保護機構不受內部用戶的攻擊，因為內部用戶已經處于內部網絡中了。

發射臺應通過防火墻各種設置保證網絡的安全。防火墻配置路由模式，技術網作為TRUST區，辦公網作為UNTRUST區。防火墻配置IP地址和技術網/辦公網核心交換機相連。通過靜態路由實現網絡連通。增加包過濾規則，對匹配通訊服務器之間的網絡流量允許通過，其余流量禁止通過，同時利用訪問控制類別過濾特定端口，如關閉135、139端口，將自己的“共享文件夾”公開到網絡上的的隱患去除，只供特定的人有瀏覽目錄內的文件;通過防火墻對專線廣域網進行攻擊過濾;通過技術網防火墻，限制只有發射臺特定的通訊服務器可以和技術網特定服務器進行數據交換，并保障發射臺站辦公網無法看到技術網。

3.2 防病毒技術

隨著計算機技術的不斷發展，計算機病毒變得越來越復雜和高級，對計算機信息系統構成極大的威脅。在病毒防范中普遍使用的防病毒軟件，防病毒軟件是良好的安全計劃的必要組成部分。如果實施和配置合理，就可以減少機構遭受惡意程序攻擊的機會。不過防病毒軟件只能保護機構不愛惡意程序(而且不是全部)的破壞。它不能保護機構免受使用合法程序對系統進行訪問的入侵者進行的惡意破壞。防病毒軟件也不能保護機構免受另一類合法用戶的破壞，這類用戶試圖對不應該訪問的文件進行訪問。

發射臺建立局域網的防病毒服務器，在服務器上部署了諾頓殺毒軟件企業版，在臺內其它計算機上也部署了諾頓殺毒軟件，并且每周對服務器上的殺毒軟件進行病毒庫的更新，有效地預防了病毒威脅。不僅如此，發射臺還應及時更新局域網內的服務器及客戶端的系統補丁，杜絕了因為系統漏洞而造成的安全隱患。

3.3 入侵檢測技術

入侵檢測系統(Intrusion Detection System簡稱IDS)可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為，是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

發射臺應通過設置入侵檢測等專用安全設備，主動預防可能出現的攻擊。

3.4 策略管理

策略和過程是優秀的安全程序的重要組成部分，管理跨計算機系統的策略也同樣重要。有了策略管理系統，機構就可以掌握那些沒有遵從策略的系統。不過，策略管理可能沒有考慮系統中的薄弱點或程序軟件中的錯誤配置。這些有可能導致入侵。計算機上的策略管理也不能保證用戶不寫下他們的密碼或將密碼提供給未經授權的個人。

針對發射臺的實際情況，對發射臺核心交換機部署了以下策略:

(1)密碼安全。對所有網絡設備設置登陸密碼。(2)用戶級別劃分。對登錄用戶進行認證，不同級別的用戶有不同的配置權限，提供兩種用戶認證方式:本地認證和RADIUS認證。(3)遠程登陸限制。按照IP地址范圍限制可以Telnet登錄到交換機的網段，只允許機關局域網中的網段登陸到機關的網絡設備，臺站之間用戶必須要登陸到機關中心路由器上，才可以登陸其他的網絡設備。(4)建立虛擬局域網。通過VLAN的劃分隔離廣播;設置基于用戶定義的策略，建立訪問控制列表，控制用戶和業務之間互訪。

為了使發射臺網絡級安全(指支撐系統運行的物理設備的安全問題)及數據級安全(指涉及到系統存貯的檔案數據的安全問題，包括操作系統、數據庫管理系統、檔案數據存貯、數據備份、數據格式的轉換以及各類電子文件的保管和異地存貯策略等)一定要從上面四個方面著手。

4 結束語

由于互聯網絡的開放性和通信協議的安全缺陷，以及在網絡環境中數據信息存儲和對其訪問與處理的分布性特點，網上傳輸的數據信息很容易泄露和被破壞，網絡受到的安全攻擊非常嚴重，因此建立有效的網絡安全防范體系就更為迫切。實際上，保障網絡安全不但需要參考網絡安全的各項標準以形成合理的評估準則，更重要的是必須明確網絡安全的框架體系、安全防范的層次結構和系統設計的基本原則，分析網絡系統的各個不安全環節，找到安全漏洞，做到有的放矢。

參考文獻

[1]朱理森，張守連.計算機網絡應用技術[M].北京:專利文獻出版社，2001.

[2]郭啟全.網絡信息安全學科建設與發展[J].中國人民公安大學學報.