H3C:广电网络安全加固浅谈

日期: 2015-03-04 来源:TechTarget中国

在我国, 广播电视是党和政府的“喉舌”,是联系政府和人民的桥梁和纽带,是社会主义精神文明建设的重要阵地,肩负着社会舆论宣传的重要责任,安全播出是广电的生命线。

随着技术的不断发展,广电从最早的无线广播、闭路电视发展到单向HFC模拟信号传输,随着数字化技术的引入,再从单向数字电视发展到今天的双向互动业务,显示终端已经从单一电视发展到电视、PC、PAD、手机等多种终端。广电在给人们群众带来更丰富的业务体验的同时,对安全播出的要求也在不断提高。

在过去广电采用模拟信号传播时,不法分子非法攻击和破坏广播电视传输系统采用的攻击方式以破坏电视传输设施,非法插播,干扰广电信号为主,主要为物理层攻击破坏。随着广电数字化、双向化的改造,不法分子的攻击手段更加的多样化,L2~L7层的攻击逐步增多,老革命遇到新问题,广播电视安全播出已经开始从重点防范非法攻击破坏(不能断)提升到防止播出内容篡改,保障设备安全运行(不能乱)的高度,广播电视安全播出管理的重要性日益凸显。

数字化改造后的广电业务系统众多,广电的安全建设往往是随着业务系统的上线,针对关键业务系统独立的进行安全防护,呈现烟囱式布局,而随着业务系统关联度不断增强,攻击方式的多样化,广电网络的结构更加复杂,单个系统的安全问题极易扩散到其他系统,系统化的安全防护日益困难。广电原有单一关键点的安全控制已经不能满足要求,广电安全需要系统化的规划建设。从广电内网安全广电城域网网安全均需要系统的考虑。

广电内网系统化的安全建设要分四步走:

一、安全域划分:将广电各个业务系统及流程进行梳理,将具有相同或相近的安全属性(价值、威胁和风险)的业务系统划分成一个安全域,每个安全域具有一致的安全等级和策略,简化整个网络结构,便于设计后续的安全防护体系。

二、网络核心整合,FW安全控制到边界:通过高性能防火墙、模块化插卡+虚拟化技术,使得每个区域都有独立的FW分布式部署,实现安全到边界,未来,在服务器侧云虚拟化之后,现有的高性能防火墙通过简单的配置调整就可以满足新的要求。

三、提升防御层次:对于关键区域如互联网接入区域、以及部分关键服务器区域的L4-L7层的深度安全防护,同时配套安全日志审计系统,对安全信息进行记录,便于日后溯源。

四、加强用户终端接入控制:长期以来,对于网络安全问题,我们通常认为安全问题主要源于外面因素,于是寄希望于在互联网接入处,把病毒和攻击挡在门外,就可安全无忧,殊不知,有许多重大的网络安全问题正是由于内部人员引起,由于广电员工安全意识薄弱,PC终端经常出现未打补丁、未安装防病毒、弱口令、安装非法软件、违反广电系统安全策略等事件;不同子系统的终端混用现象严重,容易发生非法访问和信息泄漏。广电外部人员随意接入网络,也存在非法访问、泄露、篡改、病毒传播的风险,所以针对广电用户和外部用户接入,需要实现差异化的安全控制策略,并实现端点的健康检查和自动补丁升级。生产业务终端和OA业务终端做端点准入系统再接入服务器,通过不同的Domain域来进行用户划分并设置差异化的访问控制策略。

在广电内网安全加固以外,也不能忽视城域网安全,广电接入网需要为高清机顶盒提供VoD、OTT视频服务,使得广电业务平台整体处于一张大的承载网络中,终端黑客通过PC接入后使用端口扫描工具即可发现,若接入网络不做相应的安全策略控制及防护措施,很容易被攻破,从而造成严重的网络安全事故。

一般黑客常用攻击手段,通过端口扫描工具扫描出在网设备、服务器的IP及其开放的端口(常用TCP80、23等),通过各种方式尝试获取设备、服务器的控制权限,获取到权限后通过设备作为跳板攻击广电内网、窃取机密数据,对广电视频服务器进行攻击。

所以终端控制与业务分离是广电城域网安全加固的重要手段。

一、用户接入终端控制:广电城域网增加BRAS设备,将机顶盒MAC地址、IP地址等信息进行绑定,只有合法机顶盒用户才能访问,杜绝非法攻击源接入广电网络。

二、视频业务分离:将VOD视频业务彻底从城域网中剥离出来,组建独立的VOD视频承载网,点播信令通过安全设备进行过滤,提升整网安全水平。

目前,杭州华三通信已拥有覆盖网络层安全、应用层安全以及安全管理三个层面近百余款产品,具备2〜7层全业务安全防护能力。经过多年的耕耘,H3C安全取得了骄人成绩,销售额和出货量均稳据安全市场第一集团。H3C拥有国内专业的攻防团队,同时与微软、CVE、Commtouch等国际安全组织和知名厂商保持长期深度合作,确保安全产品持续的应用层防护能力。

杭州华三通信作为国内网络安全厂商的领先者,通过技术和产品的协作,将网络中的计算资源、网络资源、安全资源以及存储资源联动起来,并通过多层次的安全策略和流程控制,实现用户网络的局部安全、全局安全以及智能安全,实现网络与安全融合的高可用架构。安全加固从过去的糖葫芦式的串接方式提升至与网络设备进行有机融合,安全随需而动。

安全加固是系统性工程,凭借多件扎根广电,对广电业务深刻理解的H3C愿与广电客户一起打造安全的广电业务运营平台。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 全方位使用场景 H3C推智能无线路由套装

    2016年1月11日,华三于北京举办了新品媒体沟通会,正式推出H3C BF智能无线路由套装。这款消费类无线新品由H3C Magic B1无线路由器和H3C Magic F1无线中继器组成,此套装于1月12日在天猫H3C旗舰店首销,售价338元。

  • H3C发布UIS 重新“定义”IT

    近日,H3C(杭州华三通信)发布了融合基础架构UIS(Unified Infrastructure System)。这款产品被用户昵称为“有意思”。

  • 金融灾备展开新IT“云图”

    全球新IT基础架构领导者杭州华三通信深度参与了农信银资金清算中心两地三中心的建设工作,帮助农信银展开了一张全新的IT蓝图,也为更多金融企业的两地三中心、数据中心建设提供了重要经验。

  • 上网行为管理利器 华三新一代ACG强势来袭

    华三新一代上网行为管理设备ACG应用了主流技术和多项企业专利技术,涵盖多种控制功能,是有效管理企业网络应用、权限、安全以及员工上网行为的利器。