中科网威广电行业网络安全解决方案

广播电视单位作为党和政府的核心宣传阵地之一，在国家广电总局提出“数字化、网络化”的明确要求下，广播电视制播技术及信息技术得到飞速发展，各地电视台数字化、网络化以及互联互通的全台网一体化网络系统建设已经成为广电业务系统的发展趋势。由此带来广电网络系统中异构平台不断增多，业务应用的复杂程度不断加深，应用故障以及滋生隐患的网络威胁也随之增多，对系统持续安全运行的依赖程度越来越大。

一、广电网络安全需求

伴随着广播电视台的业务系统网络化技术的飞速发展，各台先后建设并完善了数字化、网络化、智能化、集约化的广电业务系统。当前信息技术系统建设中，计算机病毒和网络安全问题已经成为了工作人员正常工作的重大威胁，同时实现了全台网络的互联互通，包括各台的业务边界得以广泛的延展，如网络电视平台、IPTV平台、台与台交互系统平台、远程接入及交互平台等业务形态，在这种情况下，如果某一个系统遭到主动或被动攻击、有意识或无意识攻击（如媒资、播出、收录等业务），攻击者很有可能利用这点迅速占领整个业务系统。这将导致非常严重的安全事故问题。因此广播电视台业务系统将面临以下的网络安全问题：

1、网外用户访问内部网络资源 

内部网络的资源访问都是通过内网IP地址判断的，网外用户由于防火墙拦截及网络隔离，没有允许的IP地址，所以无法访问公司总部内网资源。

2、建立安全的接入系统

网络电视系统平台与传统业务平台、台内业务远程办公、远程音视频业务系统交互、办公网与生产网的交互安全技术保障工作。

3、建立一套基于远程高安全、高效的接入认证及传输系统平台，以实现交互。

随着台内业务的扩展，台内已经存在和其他单位的数据共享的需求，例如移动办公，远程生产业务，远程审片业务。其他相关单位连通，如兄弟台，地市领导机关，宣传部，广电总局，网络公司等其他相关部门，此时必将建立一个远程接入，远程生产，节目交换平台，这些新建设的业务系统又必将与台内已有业务网络实现联动。在这种情况下，台内封闭的业务网络逐渐变成了开放的网络，新的业务系统又面临着巨大的安全威胁，新建的业务网络的介入难以避免会带来各种网络攻击，病毒，黑客入侵。

4、建立一套安全的认证系统及数据传输系统。

台内生产业务系统各子网之间的数据安全传输、身份认证及传输的音视频文件、文稿及图片的合法性问题。

5、建立一套统一集中的，基于广播电视台IT设备及专业设备的自动化监控管理 系统，以便实时监管业务系统各节点的运行状态，建立一套智能化的管理技术保障。

广播电视台业务系统中的采集收录站点、非编站点、交换机、服务器、各类音视频设备及台内所有IT设备及网络布署难、角色差异、终端数量大、维护人员少、管理要求复杂等问题。

6、建立一套面向全台网的网络安全技术体系及管理机制，如人员、设备、网络、应用、服务及信号的安全技术及监控管理体系。

台内病毒、木马（传播方式有：台内邮件、外来音视频文件、用户导入文件等）可能威胁到台内整个网络业务系统，造成信息泄漏、数据被破坏、文件丢失、网络拥塞、机器死机等多种严重后果，时刻威胁着台内业务的稳定运行问题。

要想构建一个立体的安全防护体系，必须要考虑多层次的防护包括：

1.下一代防火墙：包括入侵防御系统（IPS），网关防病毒，服务器防护，应用程序过滤及带宽控制，网页及URL过滤等功能。

2.USB病毒隔离器：通过控制USB移动存储介质数据传输时实现病毒查杀隔离，能有效地防止USB移动存储上的文件携带病毒对于内网PC带来的威胁。

3.病毒隔离网关：采用多种传输途径，以实现电视台业务生产内网、非编网、播出网、互联网、媒资网等全媒体内容交互、共享、双向互动、多向性应用为目的，阻止或隔离一切非授权、不安全终端接入，主动消除各种已知和未知安全威胁。阻止不符合安全策略的终端。

4.中科网警IT运维监控系统：在核心机房部署整体的机房动力和环境监控。通过核心机房的IT运维管理平台，可以对核心机房、分机房，所有的网络设备、服务器、机房动力环境等全面监控，有异常进行微信，短信，邮件等方式预警。

二、中科网威广电安全解决方案

针对电视台的网络建设需求，提出以下解决方案： 

通过使用ANSYEC网络安全产品方案说明：

1、下一代防火墙

a)针在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；

b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时提供报警。

c)主动防御已知和未知攻击，实时阻断各种黑客攻击，如防SQL注入、XSS攻击、网站扫描、WEB SHELL、会话劫持攻击等。

d)提供全面的 DOS/DDOS 防护机制，支持 SYN Cookie，SYN 代理服务。防御各种网络攻击如IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、 Smurf、Ping of Death、Teardrop、Land、Ping flood、UDP Flood 等。

e)针对HTTP、FTP、SMTP、POP3、IMAP等协议进行病毒查杀。

2、USB病毒隔离器

a） 控制USB移动存储介质数据传输时实现病毒查杀隔离，有效地防止USB移动存储  上的文件携带病毒对于内网PC带来的威胁。

b） 隔离不可信网络与内部网络，过滤USB移动存储上的素材文件从而进行病毒防范，它通过网络接口与内部网络PC连接，产品内置文件过滤功能，将常见的素材文件列为白名单格式，USB移动存储上所有的文件都将经过白名单扫描检测后才能进行操作拷贝下载。

c） 通过网络能访问隔离盒的PC主机都可以通过标准的FTP客户端或者WEB浏览器来访问USB隔离盒上插入的移动存储的内容（也可以采用单机方式直接访问）。

3、病毒隔离网关

a）白名单既采用“除非明确允许，否则就禁止”的方式，无需升级病毒库，以文件为单位对传输内容进行格式分析和过滤, 防止病毒的传输，支持不同网段文件传输，支持UNC共享、FTP、HTTP等多种格式文件传输建立一套安全的认证系统及数据传输系统。

b） 在文件的传输过程中物理上隔离网络中的各个网段，能实现对源、目的IP地址、通信端口的全面控制，从而保护内网不受其他网络的攻击。

c） 通过网络行为管理限制用户在网络内的行为，身份认证功能；日志记录查询功能；MD5校验功能；内网网络拓扑隐蔽。

d） 灵活的传输策略支持千兆与万兆网络；高传输率，支持网段之间的单向、双向通信；支持双机热备。

e） 高效的数据转发过滤，ANYSEC病毒隔离网关独有的转发技术，拥有接近内核的路由转发速度，支持千兆与万兆网络，高传输率，大大降低通信的延迟，支持网段之间的单向、双向通信。

4、中科网警IT运维管理系统

a)对主流网络厂家的网络设备进行监控，包括ping存活探测，cpu、内存、存储器空间、接口流量等运行状态。对网络设备业务性能提供深入支持。

b)对主流服务器厂商的服务器（支持IPMI协议）的硬件状态进行监控，包括服务器内部环境温度、主板温度、CPU温度、CPU风扇转速、电源状态、电源电压、CPU电压、CMOS电池容量等。并且可实现远程开关机等管理功能。

c)对Windows、Linux、AIX、HP-UX等操作系统的服务器的ping存活、系统资源（cpu、内存和磁盘空间）、接口流量、进程等进行监控。

d)对Oracle、Mysql、SqlServer等主流数据库进行表空间利用率、数据文件的每秒I/O操作、已连接的用户数等众多参数进行监控。

e)对机房温湿度、漏水、烟雾等环境参数，以及市电和UPS等动力状况进行监控（需要额外的附加探头支持）。

f)支持微信，手机短信、电子邮件、弹出窗口等多种报警方式，支持多级阀值设定。

g)能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

三、 实现应用效果

1、满足电视台内网数据交互：通过统一的安全网关，实现同一内容同时向制作、播出、媒资等多个子业务板块间数据跨板块、跨平台交互。

2、满足异地数据共享、远程交互：基于互联网资料互动传输，通过远程数据多目标分发、交互，将媒体内容的数据共享到本组织以外的任何一个有IP网络支持的地点，实现内容远程分发控制，有效保证媒体内容(新闻素材)的时效性。

3、满足“三网融合”业务需求：随着“三网融合”的逐步深入，ANYSEC病毒隔离网关媒体安全传输解决方案可以与广播电视网、互联网、电信网实现媒体内容的“无缝融合”，使同一内容自动后台转码，在不同终端、不同平台采用不同码率、不同分辨率、不同编码格式同步发布成为现实。