陳韜

摘 要 “甘南廣電新媒體”是全國少數(shù)民族地區(qū)地級廣電單位為數(shù)不多自行開發(fā)建設(shè)、自行維護(hù)并且穩(wěn)定運(yùn)行超過2年以上的新媒體平臺，甘南州屬于全國藏區(qū)反分裂斗爭的最前沿，新媒體網(wǎng)絡(luò)信息安全尤為重要，在建設(shè)資金不足的情況下，通過運(yùn)用高性能防火墻對網(wǎng)絡(luò)系統(tǒng)劃分為基本的外網(wǎng)非安全區(qū)、DMZ隔離區(qū)、內(nèi)網(wǎng)安全區(qū)的方式，達(dá)到了網(wǎng)絡(luò)安全防護(hù)要求，滿足日常使用，可供地方民族臺或者地級市臺參考。

關(guān)鍵詞 民族地區(qū)；廣電新媒體；網(wǎng)絡(luò)安全體系

中圖分類號 G2 文獻(xiàn)標(biāo)識碼 A 文章編號 2096-0360（2017）08-0028-02

2014年11月，甘南廣播電視臺率先在甘肅乃至整個安多藏區(qū)開通了首家集網(wǎng)站、手機(jī)App、微信、微博于一體的全媒體平臺，通過互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)的傳輸實(shí)現(xiàn)了甘南臺廣播電視節(jié)目的網(wǎng)絡(luò)點(diǎn)播和直播，廣受全州各族群眾和好評。該平臺依托后臺強(qiáng)大的媒資采集、編碼、存儲、管理和發(fā)布等模塊，把傳統(tǒng)的電視、廣播的內(nèi)容，同步發(fā)布到WEB和手機(jī)客戶端，實(shí)現(xiàn)媒體內(nèi)容的全屏幕覆蓋。甘南廣電新媒體平臺是甘南廣電在互聯(lián)網(wǎng)上的服務(wù)窗口，承擔(dān)著對州內(nèi)群眾宣傳黨和國家的政策和聲音，對州外群眾宣傳甘南生態(tài)、旅游、文化建設(shè)成就的重要任務(wù)，在我臺新媒體平臺建設(shè)當(dāng)中，網(wǎng)絡(luò)信息安全防護(hù)更是重中之中的工作，網(wǎng)絡(luò)信息安全事關(guān)國家主權(quán)穩(wěn)定、經(jīng)濟(jì)健康發(fā)展，更是我臺新媒體平臺穩(wěn)定運(yùn)行的基礎(chǔ)，由于甘南州地處安多藏區(qū)，是反分裂斗爭的最前線，一旦新媒體平臺受到黑客攻擊、劫持發(fā)生嚴(yán)重的網(wǎng)絡(luò)安全事故，將對甘南州的對外形象以及全州的維穩(wěn)工作產(chǎn)生極其惡劣的影響和嚴(yán)重的后果。

1 甘南廣電新媒體平臺網(wǎng)絡(luò)安全威脅來源

甘南廣電新媒體平臺面臨的網(wǎng)絡(luò)威脅來源分內(nèi)網(wǎng)和外網(wǎng)，最主要是外網(wǎng)的攻擊。一般來說內(nèi)網(wǎng)威脅主要是局域網(wǎng)內(nèi)工作站電腦由于使用人員缺乏網(wǎng)絡(luò)安全意識、操作不當(dāng)感染了木馬、病毒等惡意程序或被黑客所劫持，從而繞開防火墻對所其連接的服務(wù)器、后臺管理系統(tǒng)、數(shù)據(jù)庫進(jìn)行進(jìn)行攻擊破壞，或者由于從業(yè)人員人為因素故意進(jìn)行破壞。

外網(wǎng)攻擊主要分網(wǎng)絡(luò)層攻擊和應(yīng)用層攻擊。常見的網(wǎng)絡(luò)層攻擊有DOS（拒絕服務(wù)）、DDOS（分布式拒絕服務(wù)）等，網(wǎng)絡(luò)層的攻擊其根本就是利用TCP協(xié)議的缺陷通過竊聽、篡改、IP欺騙、偽造方式來占用和消耗大量的網(wǎng)絡(luò)，造成主機(jī)的拒絕服務(wù)、網(wǎng)絡(luò)資源無法訪問、系統(tǒng)癱瘓崩潰，其中DDOS攻擊（分布式拒絕服務(wù)攻擊）更是有很強(qiáng)的破壞力，也是我們在網(wǎng)絡(luò)層中重點(diǎn)防范的攻擊類型。常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood等；應(yīng)用層（WEB）攻擊常見的有：跨站腳本攻擊、注入攻擊、緩沖區(qū)溢出攻擊、Cookie假冒、認(rèn)證逃避、表單繞過、非法輸入、強(qiáng)制訪問、隱藏變量篡改、應(yīng)用層DDOS拒絕服務(wù)攻擊等等，其原理都是利用網(wǎng)頁、服務(wù)器的漏洞插入惡意的HTML代碼或者寫入惡意的SQL代碼，從而竊取用戶瀏覽會話中諸如用戶名和口令等敏感信息或者非法獲得操作后臺的數(shù)據(jù)庫的權(quán)限，導(dǎo)致敏感信息泄露、網(wǎng)頁掛木馬、數(shù)據(jù)庫內(nèi)容和結(jié)構(gòu)遭到破壞。除了以上兩類外還有一種綜合性的APT攻擊（高級持續(xù)性威脅），是利用先進(jìn)的攻擊手段長期對特定目標(biāo)發(fā)起持續(xù)性的網(wǎng)絡(luò)攻擊，破壞力極強(qiáng)，造成的危害極大，通常是針對高價值目標(biāo)，比如政府、商業(yè)、企業(yè)等部門。

甘南廣電新媒體平臺運(yùn)行兩年多以來，在網(wǎng)絡(luò)攻擊方面我們遇到最多的，也是重點(diǎn)防范的也就是DDOS、XSS跨站攻擊、SQL注入、APT攻擊和爬蟲這幾種類型的攻擊。

2 甘南廣電新媒體平臺防護(hù)措施

新媒體平臺的網(wǎng)絡(luò)安全是一項動態(tài)的系統(tǒng)工程。從技術(shù)上來說，一個網(wǎng)站所應(yīng)采用的相應(yīng)安全技術(shù)主要包括：防病毒、防火墻、入侵檢測、漏洞掃描與檢測、網(wǎng)站實(shí)時監(jiān)控與恢復(fù)、安全事件緊急響應(yīng)體系等。甘南廣電新媒體平臺網(wǎng)絡(luò)信息安全防護(hù)分內(nèi)網(wǎng)、外網(wǎng)兩個方面來建設(shè)實(shí)施。按照《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求》，在總體安全防護(hù)設(shè)計中以高性能UTM防火墻為核心，把整個系統(tǒng)劃分為3個區(qū)，外部非安全區(qū)，內(nèi)部安全區(qū)和DMZ區(qū)設(shè)置不同的權(quán)限和訪問規(guī)則，具有高效率、高可靠性、高安全性、高性能的特點(diǎn)，很好的解決內(nèi)外網(wǎng)絡(luò)信息安全防護(hù)問題。

內(nèi)部安全區(qū)主要是由連接后臺服務(wù)器的發(fā)布審核工作站和音視頻非編工作站、圖文工作站、文稿編輯系統(tǒng)等構(gòu)成。為了方便個人辦公電腦在互聯(lián)網(wǎng)上搜集素材、編輯圖文信息，又避免后臺服務(wù)器直接和互聯(lián)網(wǎng)相連，辦公互聯(lián)網(wǎng)和網(wǎng)站出口網(wǎng)絡(luò)我們分別采用兩條專線，部署了一臺雙網(wǎng)卡中轉(zhuǎn)存儲服務(wù)器，分別與網(wǎng)站專線和辦公網(wǎng)連接，辦公網(wǎng)前端已部署防火墻和行為管理器，在中轉(zhuǎn)存儲服務(wù)器按照內(nèi)容空間化出文稿、圖片、視頻空間并做了磁盤映射，分別映射到連接后臺的發(fā)布、審核工作站電腦和個人辦公電腦，中轉(zhuǎn)存儲服務(wù)器與網(wǎng)站后臺服務(wù)器直接部署隔離網(wǎng)關(guān)，避免病毒、木馬對服務(wù)器的攻擊，這樣就可以通過個人電腦方便的通過互聯(lián)網(wǎng)進(jìn)行圖片搜集、文稿編輯、視頻加工，然后存入中轉(zhuǎn)服務(wù)器，由各工作站統(tǒng)一進(jìn)行殺毒、審核、上傳、發(fā)布，同時審核發(fā)布工作站配備了USB隔離網(wǎng)關(guān)，避免通過U盤來傳素材時發(fā)生病毒感染。DMZ區(qū)由CMS服務(wù)器、WEB服務(wù)器、手機(jī)客戶端服務(wù)器、流媒體服務(wù)器、媒資磁盤陣列構(gòu)成，是為解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，有效保護(hù)了外網(wǎng)對內(nèi)網(wǎng)服務(wù)器的訪問安全。外部網(wǎng)絡(luò)由帶IDS的下一代UTM防火墻和web防火墻構(gòu)成，主要用于隔離和審查任何需要進(jìn)入內(nèi)網(wǎng)服務(wù)器的數(shù)據(jù)訪問和信息，其中UTM防火墻用抵御網(wǎng)絡(luò)層的攻擊，web防火墻專門用于從應(yīng)用層方面對服務(wù)器組提供保護(hù)。

3 結(jié)束語

由于甘南藏族自治州屬于邊遠(yuǎn)少數(shù)民族貧困地區(qū)，建設(shè)“新媒體網(wǎng)絡(luò)平臺”資金十分有限，在網(wǎng)絡(luò)安全體系建設(shè)中，我們按照網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)，建成了最基本的“三區(qū)”安全體系，系統(tǒng)穩(wěn)定可靠，安全性能方面達(dá)到了建設(shè)需求，截至目前沒有發(fā)生過一起網(wǎng)絡(luò)安全事故，可以給民族地區(qū)地級新媒體平臺網(wǎng)絡(luò)安全防護(hù)建設(shè)提供一定的參考，但是隨著今后的發(fā)展和針對我們實(shí)際使用中發(fā)現(xiàn)的問題，還需要進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)，需要建設(shè)網(wǎng)絡(luò)審計系統(tǒng)、日志審計系統(tǒng)、網(wǎng)絡(luò)安全實(shí)時監(jiān)測告警系統(tǒng)，獨(dú)立的硬件IDS系統(tǒng)，購置專門的抗DDOS設(shè)備解決網(wǎng)絡(luò)層DDOS攻擊高的問題，同時為了避免單點(diǎn)故障的發(fā)生還需要購置高性能防火墻，增加吞吐量，按口字型網(wǎng)絡(luò)部署，實(shí)現(xiàn)雙機(jī)熱備。新媒體平臺的安全防護(hù)體系不能依靠單一技術(shù)體系來保障，管理是網(wǎng)絡(luò)安全的重要組成部分，尤其是內(nèi)部網(wǎng)絡(luò)管理。因此為了切實(shí)保障新媒體平臺的安全運(yùn)行，還需要建設(shè)完善的安全管理體系，依靠嚴(yán)格的安全管理、安全檢查制度來實(shí)現(xiàn)。

參考文獻(xiàn)

[1]國家廣播電影電視局總局科技司.GD/J 037-2011 廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級指南[S].2011.