縣級融媒體中心機房的網絡安全防護措施

李繼芳

（秦安縣融媒體中心，甘肅 秦安 741609）

1 內外網隔離及互聯網互動管理

1.1 應用層安全防護

融媒體防火墻通常應用DPI識別方式，其主要優點在于傳統設備只能應用IP地址以及五元組來控制粗粒程度，但融媒體防火墻能夠管理加密數據流；同時對應用所造成的行為進行智能化管控，提高管理的效率，徹底突破了傳統設備端口管理問題。在我國目前為止，融媒體防火墻能識別800多種應用，網絡行為動作甚至可以高達上千種，能與多種認證系統進行流程交流，如AD、LDAP、Radius等系統，能自動識別出IP地址、AC地址以及用戶信息，構建完整的用戶結構，在滿足互聯網控制標準的同時，豐富了內網應用，如制作、調度、審核等內容。并且融媒體防火墻主要是以智能化方式為主，采用精準識別方式，優化各種軟件、系統，提高互聯網安全性。在良好的管控環境下，能快速更新用戶的設備與系統，確保網絡的穩定性與安全性。除此之外，以協議識別為基礎，構建了二層到七層訪問控制方案，為用戶提供界面清晰明了的窗口，并且用戶在這個窗口能對多種設備進行合理管控，大大降低了切換設備操作時間，提高了工作效率。

1.2 Web應用安全防護

融媒體防火墻當中含有多樣化網絡安全技術，如Web安全防護、漏洞防護等，有高達幾百條Web應用給特征庫安全造成嚴重影響，出現上萬條漏洞以及木馬插件等，能夠全方位保護各種應用層不受到黑客攻擊，確保Web應用的安全性與穩定性。同時帶攜帶文件過濾功能、ActiveX過濾功能等安全防護方式，進一步保護應用當中的數據安全，來確定該數據報文真實性與準確性。

1.3 應用帶寬管理

融媒體是指將一切的媒介和有關的要素進行融合，其中包括媒介的功能、傳播手段等，而融媒體防火墻作為新時代科技創新的最新成果，起到引導學科發展的重擔，提高網絡安全的作用。融媒體防火墻當中設計了多種管理應用，如自定義對象、應用對象設置、專業流量管控等，來滿足不同客戶對應用管理的要求，進一步實現客戶對網絡的管理。同時能針對不同業務部門，設置特殊的流量管控，其中包含8個控制策略，用戶能自我選擇適合的應用，確保優先級設定。

1.4 IPS入侵防護

融媒體防火墻主要是由上萬種流量異常特征庫組成，如果按照高、中、低三種級別來劃分，可以劃分出不同種類的漏洞攻擊，提高融媒體防火墻的安全性和穩定性。而特征庫主要是以網絡流量為基礎，去實行可執行文件的注入、嘗試獲取用戶特權的攻擊、非法掃描，來獲取管理員特權，對其進行信息數據偷取、注入可疑關鍵字，導致數據信息機密被泄露，造成其被潛在的Web攻擊，或者由于客戶端使用可疑端口通信，導致受到ICMP告警，同時被注入病毒木馬程序，對信息進行遠程操控，導致大量敏感信息被泄露。

1.5 AV病毒防護

融媒體防火墻內設置病毒庫，數量可容量高達100000中且支持是安全、高校病毒庫優化和更新。同時還使用了流引擎病毒查殺技術，對SMTP、IMAP等網絡對協議進行精準控制，全面查殺病毒。

1.6 狀態檢測防火墻

融媒體防火墻應用主要分為透明橋模式、路由模式、NAT模式三種工作模式；支持狀態檢測防火墻，它是由IP/MAC、PORT、IP/IP段/IP組、時間控制等方面構成；支持多路線寬帶疊加，可合理使用多個Internet流量接入，提高網絡通道的通暢度和流暢度；支持文件類型、域名、關鍵詞等內容過濾；支持多線路對策略路由，智能選擇效率更高的線路接入Internet，避免出現網絡卡頓、延遲、中斷等問題；支持VLAN劃分和靜態路由。

2 設備接口導入導出防護

USB接口設備為工作帶來極大的便捷，確保工作運行的效率，隨著多種USB設備在融媒體中心逐漸應用，出現大量不同類型的USB設備，如讀卡器、U移動硬盤、手機等工具，因此，相關人員要提高USB接口病毒的重視程度，構建安全性能較高的USB病毒隔離設備，降低USB病毒給網絡安全造成危險的概率[1]。除此之外，通過USB病毒隔離設備能夠對病毒進行大范圍查殺，避免USB移動存儲設備攜帶病毒對內網造成損失。從這里不難看出USB隔離設備主要是應用于防止危險網絡、過濾USB移動設備病毒等，通過網絡接口與內部網絡兩者有效連接，給產品文件衍生出過濾性能。并且能夠通過重新選中素材文件，將文件格式以白名單的途徑檢測，同時USB移動存儲當中的所有文件都要經過白名單掃描檢測，最終才能進行下載[2]。

在信息化時代背景下，USB隔離設備對有效保護融媒體內容主要體現在以下幾個方面。第一，通常能夠使用Windows系統和蘋果系統的主機，并采用Web瀏覽器進行數據閱讀，能完全脫離主機來安裝驅動，其具有較高的安全性以及穩定性，能夠安全通過過濾網，提高內網的安全系數。第二，構建白名單結構，健全的視音頻素材文件特征庫，能對傳輸文件進行碎片化分析，避免文件當中攜帶危險病毒，給電腦內的資料造成損失，甚至給企業經濟效益以及聲譽造成巨大損失。第三，支持多種視音頻、圖片及文本格式文件，并可自定義添加和修改視音頻文件格式[3]。

3 內網各子網互聯防護

融媒體業務系統徹底打破了時間與空間的限制，實現了數據交換文件化。隨著融媒體網絡的文件傳輸頻率不斷加快，只有進行合理分配網絡帶寬、管理網絡權限，才能徹底解決融媒體網絡威脅。因此，企業要提要融媒體網絡的重要程度，構建擺渡網關和隔離網關，在最大程度上提高融媒體網絡的安全性和穩定性。而前者的出現是為了提高上傳文件的安全性；網絡隔離網關是為了避免在傳輸子網間文件時出現任何安全問題。以上兩個網關模式通常會采用自主研發來實施，要以企業需求為基礎，來不斷填充、不斷優化，最終讓整個程序架構和硬件設計技術滿足國家限定標準。為了避免計算機系統受到病毒入侵，研究人員設置了白名單程序[4]。白名單以除非明確允許，否則就禁止為核心，以文件為單位，對傳輸的素材內容進行深入分析，來發現病毒類型，最終控制病毒的入侵。它對于病毒庫不存在特殊要求，同時具備跨網段間文件傳輸功能，能支持UNC、HTTP等文件傳輸，并存在健全的認證系統及數據傳輸系統。在整個文件傳輸過程中，物理隔離網絡中的不同網段，保護內網不受到其他網絡的攻擊[5]。

4 網絡機房可視化監管

構建融媒體中心實現了媒體宣傳多樣化需求，各種新形勢宣傳手段都要配備新設備來支持，融媒體中心機房設備越來越豐富，設備運行情況也越來越多樣化，只有做好機房內設備監控，才能確保融媒體中心業務可正常工作。網絡運維管理系統是以硬件自主研發為基礎，以提高產品穩定性和可靠性為設計原則，使用了安全性、穩定性較高的LINUX操作系統，且實施了多層高性能架構設計，可同時管理上萬個設備，另一方面它還運行全中文Wed架構，全面支持IPMI、SNMP、WMI協議，提供了帶外服務、網絡監督、設備監管等功能。如IP網絡監控報警主系統可對用戶提供服務器、網絡設備、IP網絡中線路等環節進行監控，結合溫濕度傳感器對機房內溫濕度進行監控，可提前預知故障并采用手機短信、圖像、聲音等方面進行報警。而日志儲存服務子系統能通過Syslog協議來存儲和接受被監控的服務器、網絡設備等日常信息，并提供對儲存日志信息按設備名、程序模塊、日志等級等進行查詢和管理。同時可設置監控包含特定關鍵字的日志信息，實現手機短信、電子郵件等報警功能。也就是說網絡運維管理系統要實現可視化操作，對融媒體中心機房內的設備實現全方位監管。

5 結束語

綜上所述，隨著融媒體中心建設對網絡需求量不斷提高，網絡應用與網絡寬帶呈現幾何倍增的速度提高，應用層掌握了豐富的網絡寬帶資源，但同時成為網絡安全威脅的源頭。因此，要采取合理的方案，提高控制層網絡訪問安全系數，提高方案的合理性以及科學性，確保其能準確判斷應用的使用，幫助相關人員完全解決安全隱患，防止出現安全端口被盜用的情況。