甘南廣播電視臺新媒體平臺網絡安全防護建設概況

陳韜

摘 要 “甘南廣電新媒體”是全國少數民族地區地級廣電單位為數不多自行開發建設、自行維護并且穩定運行超過2年以上的新媒體平臺，甘南州屬于全國藏區反分裂斗爭的最前沿，新媒體網絡信息安全尤為重要，在建設資金不足的情況下，通過運用高性能防火墻對網絡系統劃分為基本的外網非安全區、DMZ隔離區、內網安全區的方式，達到了網絡安全防護要求，滿足日常使用，可供地方民族臺或者地級市臺參考。

關鍵詞 民族地區；廣電新媒體；網絡安全體系

中圖分類號 G2 文獻標識碼 A 文章編號 2096-0360（2017）08-0028-02

2014年11月，甘南廣播電視臺率先在甘肅乃至整個安多藏區開通了首家集網站、手機App、微信、微博于一體的全媒體平臺，通過互聯網和移動互聯網的傳輸實現了甘南臺廣播電視節目的網絡點播和直播，廣受全州各族群眾和好評。該平臺依托后臺強大的媒資采集、編碼、存儲、管理和發布等模塊，把傳統的電視、廣播的內容，同步發布到WEB和手機客戶端，實現媒體內容的全屏幕覆蓋。甘南廣電新媒體平臺是甘南廣電在互聯網上的服務窗口，承擔著對州內群眾宣傳黨和國家的政策和聲音，對州外群眾宣傳甘南生態、旅游、文化建設成就的重要任務，在我臺新媒體平臺建設當中，網絡信息安全防護更是重中之中的工作，網絡信息安全事關國家主權穩定、經濟健康發展，更是我臺新媒體平臺穩定運行的基礎，由于甘南州地處安多藏區，是反分裂斗爭的最前線，一旦新媒體平臺受到黑客攻擊、劫持發生嚴重的網絡安全事故，將對甘南州的對外形象以及全州的維穩工作產生極其惡劣的影響和嚴重的后果。

1 甘南廣電新媒體平臺網絡安全威脅來源

甘南廣電新媒體平臺面臨的網絡威脅來源分內網和外網，最主要是外網的攻擊。一般來說內網威脅主要是局域網內工作站電腦由于使用人員缺乏網絡安全意識、操作不當感染了木馬、病毒等惡意程序或被黑客所劫持，從而繞開防火墻對所其連接的服務器、后臺管理系統、數據庫進行進行攻擊破壞，或者由于從業人員人為因素故意進行破壞。

外網攻擊主要分網絡層攻擊和應用層攻擊。常見的網絡層攻擊有DOS（拒絕服務）、DDOS（分布式拒絕服務）等，網絡層的攻擊其根本就是利用TCP協議的缺陷通過竊聽、篡改、IP欺騙、偽造方式來占用和消耗大量的網絡，造成主機的拒絕服務、網絡資源無法訪問、系統癱瘓崩潰，其中DDOS攻擊（分布式拒絕服務攻擊）更是有很強的破壞力，也是我們在網絡層中重點防范的攻擊類型。常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood等；應用層（WEB）攻擊常見的有：跨站腳本攻擊、注入攻擊、緩沖區溢出攻擊、Cookie假冒、認證逃避、表單繞過、非法輸入、強制訪問、隱藏變量篡改、應用層DDOS拒絕服務攻擊等等，其原理都是利用網頁、服務器的漏洞插入惡意的HTML代碼或者寫入惡意的SQL代碼，從而竊取用戶瀏覽會話中諸如用戶名和口令等敏感信息或者非法獲得操作后臺的數據庫的權限，導致敏感信息泄露、網頁掛木馬、數據庫內容和結構遭到破壞。除了以上兩類外還有一種綜合性的APT攻擊（高級持續性威脅），是利用先進的攻擊手段長期對特定目標發起持續性的網絡攻擊，破壞力極強，造成的危害極大，通常是針對高價值目標，比如政府、商業、企業等部門。

甘南廣電新媒體平臺運行兩年多以來，在網絡攻擊方面我們遇到最多的，也是重點防范的也就是DDOS、XSS跨站攻擊、SQL注入、APT攻擊和爬蟲這幾種類型的攻擊。

2 甘南廣電新媒體平臺防護措施

新媒體平臺的網絡安全是一項動態的系統工程。從技術上來說，一個網站所應采用的相應安全技術主要包括：防病毒、防火墻、入侵檢測、漏洞掃描與檢測、網站實時監控與恢復、安全事件緊急響應體系等。甘南廣電新媒體平臺網絡信息安全防護分內網、外網兩個方面來建設實施。按照《廣播電視相關信息系統安全等級保護基本要求》，在總體安全防護設計中以高性能UTM防火墻為核心，把整個系統劃分為3個區，外部非安全區，內部安全區和DMZ區設置不同的權限和訪問規則，具有高效率、高可靠性、高安全性、高性能的特點，很好的解決內外網絡信息安全防護問題。

內部安全區主要是由連接后臺服務器的發布審核工作站和音視頻非編工作站、圖文工作站、文稿編輯系統等構成。為了方便個人辦公電腦在互聯網上搜集素材、編輯圖文信息，又避免后臺服務器直接和互聯網相連，辦公互聯網和網站出口網絡我們分別采用兩條專線，部署了一臺雙網卡中轉存儲服務器，分別與網站專線和辦公網連接，辦公網前端已部署防火墻和行為管理器，在中轉存儲服務器按照內容空間化出文稿、圖片、視頻空間并做了磁盤映射，分別映射到連接后臺的發布、審核工作站電腦和個人辦公電腦，中轉存儲服務器與網站后臺服務器直接部署隔離網關，避免病毒、木馬對服務器的攻擊，這樣就可以通過個人電腦方便的通過互聯網進行圖片搜集、文稿編輯、視頻加工，然后存入中轉服務器，由各工作站統一進行殺毒、審核、上傳、發布，同時審核發布工作站配備了USB隔離網關，避免通過U盤來傳素材時發生病毒感染。DMZ區由CMS服務器、WEB服務器、手機客戶端服務器、流媒體服務器、媒資磁盤陣列構成，是為解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，有效保護了外網對內網服務器的訪問安全。外部網絡由帶IDS的下一代UTM防火墻和web防火墻構成，主要用于隔離和審查任何需要進入內網服務器的數據訪問和信息，其中UTM防火墻用抵御網絡層的攻擊，web防火墻專門用于從應用層方面對服務器組提供保護。

3 結束語

由于甘南藏族自治州屬于邊遠少數民族貧困地區，建設“新媒體網絡平臺”資金十分有限，在網絡安全體系建設中，我們按照網絡安全等級保護標準，建成了最基本的“三區”安全體系，系統穩定可靠，安全性能方面達到了建設需求，截至目前沒有發生過一起網絡安全事故，可以給民族地區地級新媒體平臺網絡安全防護建設提供一定的參考，但是隨著今后的發展和針對我們實際使用中發現的問題，還需要進一步加強網絡安全防護體系建設，需要建設網絡審計系統、日志審計系統、網絡安全實時監測告警系統，獨立的硬件IDS系統，購置專門的抗DDOS設備解決網絡層DDOS攻擊高的問題，同時為了避免單點故障的發生還需要購置高性能防火墻，增加吞吐量，按口字型網絡部署，實現雙機熱備。新媒體平臺的安全防護體系不能依靠單一技術體系來保障，管理是網絡安全的重要組成部分，尤其是內部網絡管理。因此為了切實保障新媒體平臺的安全運行，還需要建設完善的安全管理體系，依靠嚴格的安全管理、安全檢查制度來實現。

參考文獻

[1]國家廣播電影電視局總局科技司.GD/J 037-2011 廣播電視相關信息系統安全等級保護定級指南[S].2011.