论文部分内容阅读
【摘 要】:随着三网融合的不断推进,特别是广电网络宽带投入市场以来,取得了巨大的进步,然而,广电宽带网络安全业日益受到了供应商的关注。本文重点探讨了广电宽带网络中存在的一些安全隐患,并提出了相应的广电宽带网络安全策略,以供参考。
【关键词】:广播电视;宽带网络;传输;安全
中图分类号:TN912.11
1.广电宽带网络的安全隐患
1.1广电宽带以太网的先天性缺陷
以太网以广播的方式进行数据传递,交换机会将数据包从一个端口向其他所有的端口发送,这种传送方式极易造成网络堵塞现象,当数据频繁交换时,就会明显降低网络的使用效率,一旦有人恶意向网络中发送大量的数据,就可能会导致整个网络处于瘫痪状态――网络风暴;且向端口广播的数据是明文,数据容易被伪装的机器捕获,易造成泄密、攻击。广电宽带网络采用的就是广播式的以太网,最底层的楼层接入交换机采用的是8口或者是16口的交换接,最低层与上层是在同一个广播域之中,汇聚层的交换机一般采用Cisco2950,上联采用Trunk通道模式。所有汇聚层全部接入核心交换机然后再由路由器接入到外部网络。在这种广播式的数据模式下,一旦数据过大就会造成网络瘫痪,并且用户之间极易受病毒的感染。
就现在来说,其网络结构还无法有效的防范ARP病毒的攻击。这种病毒会修改终端的网关MAC地址,造成用户无法登入网络。有时候ARP可能只是一些小程序,所以一般的杀毒软件都比较难防范,并且在开放式的以太网中,要有效防止这类病毒,也是很困难的。
1.2机房服务器管理中存在的安全隐患
广电宽带机房存放着各类管理宽带数据业务的服务器,主要包括网站服务器、视频服务器、DHCP服务器、宽带计费认证服务器、网管服务器及工作人员工作站。以上这些服务器和工作站都是运行在同一个子网段中,在运行过程中,网络出口没有使用硬件防火墙工具,其中視频服务器和网站服务器因为直接面向外网,所以经常受到内界或外界网络的攻击,出现问题的频率很高。并且在视频过程中,也往往容易因数据过大而造成死机现象。
1.3其他关于网络安全的因素
1.3.1机房工作站规划问题
当前一个突出的问题就是工作人员的工作站和服务器都是划分为一个网段,由于机房值班人员比较多,所以工作站的操作具有很大的不确定性,所以受到病毒攻击的可能性很大,从而也会干扰到其他服务器的运行,所以隔离这些工作站也是必须要处理的问题。
1.3.2人员管理的漏洞
由于广电机房目前的办公特殊性,进出使用工作站,服务器的人员比较多,所以难免会出现问题,如操作失误,访问带毒网站或携带病毒磁盘感染电脑,没有及时监控网络的异常情况等。建立一套切实可行的机房人员管理制度势在必行。
1.3.3网络建设文档不够规范
没有形成规范的网络资料,当网络出现问题的时候排查困难,从而不能有效地处理发生的问题,不能有效掌握网络的建设运行情况,给网络规划带来不便,间接影响网络的安全性。
1.3.4宽带机房的硬件配备没有到位
建设标准的数据机房能够提高设备的稳定性,延长设备的使用寿命,定期维护设备,这些都要形成有效的制度切实执行。
2.广电宽带网络安全策略分析
2.1防火墙在广电宽带网络安全中的应用
2.1.1互联网接口部分的防火墙应用
广电宽带中的数据共享性很强,有很强的开放性,因此,就要设置防火墙,将网内外隔开来。因为这个防火墙是用于互联网接口部分,所以就要特别注意防火墙的稳定性、吞吐量、丢包率、延迟性和连接数,还要注意防火墙要具有强大的NAT地址转换功能,它能有效的缓解目前广电网中IP地址不足的问题。
2.1.2宽带接入网部分的防火墙应用
目前广电宽带主要是一些小用户和少数集团用户,如果是在以太网最低层与汇聚层开放的状态下,很容易因数据传递到所有终端而造成数据泄密,并且如有有人恶意攻击,就很容易造成区域网络破坏,因此,就需要在宽带接入网部分增加防火墙,把用户分割开来,形成独立的安全小区域。
2.2网络管理安全策略
在以太网结构下,网络极易受到病毒的攻击,正对这个问题,我们可以制定服务器定期维护计划,定期升级安全补丁和升级病毒库,及时对服务器安全配置进行修改,定期进行网络端口排查,一旦发现无用的端口,就要立即删除。经常检查网络访问日志,备份服务器中的一些重要的数据。加强网内外用户的访问监管,降低攻击事件。并定期进行网络攻击事件的汇总,做成一份专门的解决方案材料,一旦再次出现类似事件时,就可以缩短排除时间,提高工作效率,同时也有利于病毒库的升级。隔离机房工作站和服务器群,把工作站和服务器群分网段划分,在公用终端设置还原功能,尽最大可能防止病毒的感染、传播。
2.3进行人员管理整改
(1)在可能的情况下,禁止不是工作需要的上网操作,或者配备专门的上外网终端;
(2)规范机房人员的进出,禁止与机房工作无关的人员进出,建立监督措施,确保能够正常执行;
(3)对携带的移动磁盘要进行先杀毒后使用的措施,确保操作终端没有病毒感染;或者考虑引入移动磁盘接入访问认证系统,杜绝移动磁盘的随意使用;(
4)做好设备的操作日志,规范设备操作的流程,把失误发生的可能性降到最低程度,保证对设备的正确操作。
3.广电宽带网络安全问题的反思
笔者认为,从用户安全上网角度进行管理也是必要的一面,因为网络的破坏主要还是来源于用户,因此,提高用户安全上网意识尤为重要。对于用户安全上网教育主要应包括:(1)用户自身计算机安全管理,定期对自己的计算机进行维护,不登陆不安全的网站;(2)不恶意向网络中传输大量的数据,严谨进行恶意攻击、病毒传播;(3)一旦发现有人恶意攻击网络就应该及时向供应商反应,以帮助供应商及时解决问题。(4)对端口进行实时监测,发现异常端口,及时关闭,特别是认定为ARP攻击的端口。
对用户的完全上网教学形式主要有:(1)在用户申请账号时,给用户发一本安全上网小册子,给客户讲解安全上网的一些措施和危机应对策略;(2)开辟故障热线服务渠道,这样可以方便客户及时反映网络安全状况,一旦发现问题,供应商也能及时解决;(3)定期向用户发送一些安全上网小常识,以让用户能跟上安全上网的时代发展。
4.结束语
广电宽带网的安全管理是一个综合复杂的系统工程,网络的安全性是保障我们的宽带网高效稳定运行的前提条件,这就需要我们不断的研究新方法,探索新思路,需要广大技术人员的努力创新才能够不断地完善整个网络的安全,在规范网络的建设,建立切实可行的管理制度下,我相信我们能够建立一个安全的广电宽带网。
【参考文献】:
【1】张文斌.广电宽带网络安全探讨【J】.广播与电视技术.2009(03).
【2】任克勤,任克俭,吕探光.数字电视自动播出与网络安全【J】.内蒙古广播与电视技术.2009(02).
【3】云晓红,张艳萍.面向宽带网络的通用信息侦听模型【J】.牡丹江师范学院学报(自然科学版).2003(01).
【4】吴雪松,乔洪静.关于有线电视网络安全管理措施方面的探讨【J】.黑龙江科技信息.2011(24).
【关键词】:广播电视;宽带网络;传输;安全
中图分类号:TN912.11
1.广电宽带网络的安全隐患
1.1广电宽带以太网的先天性缺陷
以太网以广播的方式进行数据传递,交换机会将数据包从一个端口向其他所有的端口发送,这种传送方式极易造成网络堵塞现象,当数据频繁交换时,就会明显降低网络的使用效率,一旦有人恶意向网络中发送大量的数据,就可能会导致整个网络处于瘫痪状态――网络风暴;且向端口广播的数据是明文,数据容易被伪装的机器捕获,易造成泄密、攻击。广电宽带网络采用的就是广播式的以太网,最底层的楼层接入交换机采用的是8口或者是16口的交换接,最低层与上层是在同一个广播域之中,汇聚层的交换机一般采用Cisco2950,上联采用Trunk通道模式。所有汇聚层全部接入核心交换机然后再由路由器接入到外部网络。在这种广播式的数据模式下,一旦数据过大就会造成网络瘫痪,并且用户之间极易受病毒的感染。
就现在来说,其网络结构还无法有效的防范ARP病毒的攻击。这种病毒会修改终端的网关MAC地址,造成用户无法登入网络。有时候ARP可能只是一些小程序,所以一般的杀毒软件都比较难防范,并且在开放式的以太网中,要有效防止这类病毒,也是很困难的。
1.2机房服务器管理中存在的安全隐患
广电宽带机房存放着各类管理宽带数据业务的服务器,主要包括网站服务器、视频服务器、DHCP服务器、宽带计费认证服务器、网管服务器及工作人员工作站。以上这些服务器和工作站都是运行在同一个子网段中,在运行过程中,网络出口没有使用硬件防火墙工具,其中視频服务器和网站服务器因为直接面向外网,所以经常受到内界或外界网络的攻击,出现问题的频率很高。并且在视频过程中,也往往容易因数据过大而造成死机现象。
1.3其他关于网络安全的因素
1.3.1机房工作站规划问题
当前一个突出的问题就是工作人员的工作站和服务器都是划分为一个网段,由于机房值班人员比较多,所以工作站的操作具有很大的不确定性,所以受到病毒攻击的可能性很大,从而也会干扰到其他服务器的运行,所以隔离这些工作站也是必须要处理的问题。
1.3.2人员管理的漏洞
由于广电机房目前的办公特殊性,进出使用工作站,服务器的人员比较多,所以难免会出现问题,如操作失误,访问带毒网站或携带病毒磁盘感染电脑,没有及时监控网络的异常情况等。建立一套切实可行的机房人员管理制度势在必行。
1.3.3网络建设文档不够规范
没有形成规范的网络资料,当网络出现问题的时候排查困难,从而不能有效地处理发生的问题,不能有效掌握网络的建设运行情况,给网络规划带来不便,间接影响网络的安全性。
1.3.4宽带机房的硬件配备没有到位
建设标准的数据机房能够提高设备的稳定性,延长设备的使用寿命,定期维护设备,这些都要形成有效的制度切实执行。
2.广电宽带网络安全策略分析
2.1防火墙在广电宽带网络安全中的应用
2.1.1互联网接口部分的防火墙应用
广电宽带中的数据共享性很强,有很强的开放性,因此,就要设置防火墙,将网内外隔开来。因为这个防火墙是用于互联网接口部分,所以就要特别注意防火墙的稳定性、吞吐量、丢包率、延迟性和连接数,还要注意防火墙要具有强大的NAT地址转换功能,它能有效的缓解目前广电网中IP地址不足的问题。
2.1.2宽带接入网部分的防火墙应用
目前广电宽带主要是一些小用户和少数集团用户,如果是在以太网最低层与汇聚层开放的状态下,很容易因数据传递到所有终端而造成数据泄密,并且如有有人恶意攻击,就很容易造成区域网络破坏,因此,就需要在宽带接入网部分增加防火墙,把用户分割开来,形成独立的安全小区域。
2.2网络管理安全策略
在以太网结构下,网络极易受到病毒的攻击,正对这个问题,我们可以制定服务器定期维护计划,定期升级安全补丁和升级病毒库,及时对服务器安全配置进行修改,定期进行网络端口排查,一旦发现无用的端口,就要立即删除。经常检查网络访问日志,备份服务器中的一些重要的数据。加强网内外用户的访问监管,降低攻击事件。并定期进行网络攻击事件的汇总,做成一份专门的解决方案材料,一旦再次出现类似事件时,就可以缩短排除时间,提高工作效率,同时也有利于病毒库的升级。隔离机房工作站和服务器群,把工作站和服务器群分网段划分,在公用终端设置还原功能,尽最大可能防止病毒的感染、传播。
2.3进行人员管理整改
(1)在可能的情况下,禁止不是工作需要的上网操作,或者配备专门的上外网终端;
(2)规范机房人员的进出,禁止与机房工作无关的人员进出,建立监督措施,确保能够正常执行;
(3)对携带的移动磁盘要进行先杀毒后使用的措施,确保操作终端没有病毒感染;或者考虑引入移动磁盘接入访问认证系统,杜绝移动磁盘的随意使用;(
4)做好设备的操作日志,规范设备操作的流程,把失误发生的可能性降到最低程度,保证对设备的正确操作。
3.广电宽带网络安全问题的反思
笔者认为,从用户安全上网角度进行管理也是必要的一面,因为网络的破坏主要还是来源于用户,因此,提高用户安全上网意识尤为重要。对于用户安全上网教育主要应包括:(1)用户自身计算机安全管理,定期对自己的计算机进行维护,不登陆不安全的网站;(2)不恶意向网络中传输大量的数据,严谨进行恶意攻击、病毒传播;(3)一旦发现有人恶意攻击网络就应该及时向供应商反应,以帮助供应商及时解决问题。(4)对端口进行实时监测,发现异常端口,及时关闭,特别是认定为ARP攻击的端口。
对用户的完全上网教学形式主要有:(1)在用户申请账号时,给用户发一本安全上网小册子,给客户讲解安全上网的一些措施和危机应对策略;(2)开辟故障热线服务渠道,这样可以方便客户及时反映网络安全状况,一旦发现问题,供应商也能及时解决;(3)定期向用户发送一些安全上网小常识,以让用户能跟上安全上网的时代发展。
4.结束语
广电宽带网的安全管理是一个综合复杂的系统工程,网络的安全性是保障我们的宽带网高效稳定运行的前提条件,这就需要我们不断的研究新方法,探索新思路,需要广大技术人员的努力创新才能够不断地完善整个网络的安全,在规范网络的建设,建立切实可行的管理制度下,我相信我们能够建立一个安全的广电宽带网。
【参考文献】:
【1】张文斌.广电宽带网络安全探讨【J】.广播与电视技术.2009(03).
【2】任克勤,任克俭,吕探光.数字电视自动播出与网络安全【J】.内蒙古广播与电视技术.2009(02).
【3】云晓红,张艳萍.面向宽带网络的通用信息侦听模型【J】.牡丹江师范学院学报(自然科学版).2003(01).
【4】吴雪松,乔洪静.关于有线电视网络安全管理措施方面的探讨【J】.黑龙江科技信息.2011(24).