前言:尋找寫作靈感?中文期刊網用心挑選的物理隔離和解析技術在廣播電視臺運用,希望能為您的閱讀和創作帶來靈感,歡迎大家閱讀并分享。
摘要:隨著網絡技術的發展,網絡安全環境日趨復雜,已經成為各國共同關注的問題。本文介紹了淄博市廣播電視臺核心網絡(制作、播出、新媒體)邊界防護的技術要求及特點。
1引言
互聯網和信息化浪潮正在顛覆性地改變著人們的生活和生產方式,網絡空間成為獨立于陸地、海洋、航空、航天之外的第五維空間。在傳統媒體與新興媒體加速融合的新形勢下,廣電行業已進入一個新的歷史變革時期,廣電業務系統架構也正在由傳統的豎井式向云平臺轉變。媒體融合也導致業務形態發生了較大的變化,由過去相對獨立、分散的網絡變成為深度融合關聯、相互依賴的整體。由此帶來的結果是廣電網絡系統中異構平臺不斷增多,業務應用的復雜程度不斷加深,各種應用故障以及滋生隱患的網絡威脅也隨之增多,對系統持續安全運行的需求程度也越來越大。同時,網絡安全形勢越發嚴峻,安全威脅多樣化、攻擊手段隱蔽化的特征日益明顯,危害范圍和程度不斷加劇。在這種情況下,如果某一個系統(如播出、制作、新媒體等業務網)遭到主動或被動攻擊、有意識或無意識攻擊,攻擊者很有可能利用這點迅速占領整個業務系統,從而導致非常嚴重的安全事故。
2傳統邊界防護設備存在的問題
傳統的網絡邊界安全防護是以防火墻等安全網關為代表,通過縱深部署、協同防御起到保障網絡安全隔離的作用。防火墻作為一種核心的訪問控制手段,在網絡邊界防護中起到了不可替代的作用,但以防火墻為核心的防御體系,用于廣電核心網絡的邊界隔離防護,已經不能完全滿足日益增長的安全防御需求。首先,防火墻的安全決策模塊直接連接的是不可信網絡,防火墻的漏洞可能導致安全決策模塊完整性失效,進而保證不了安全策略實施的完整性。其次,防火墻屬于邏輯隔離方式,其存在內網與外網之間的物理連接。若防火墻安全策略被破壞,該物理連接就成為攻擊內網的直接途徑。所以,淄博市廣播電視臺在進行了充分的市場考察和設備調研后,采用了更適合廣電業務,同時也是高級別的安全隔離方案,即結合白名單以及深度解析技術的物理安全隔離方案。該物理隔離方案能避免防火墻等邏輯隔離方案的脆弱性和安全策略不容易維護性等缺點。同時,結合白名單以及數據深度解析技術,可在保障數據安全性的同時大幅提高數據檢測和文件傳輸速度,使其更適合廣播電視網絡的數據交換和安全隔離需求。物理隔離技術也能夠讓淄博市廣播電視臺的業務網絡徹底杜絕來自外部的網絡攻擊行為。
3物理隔離技術原理
物理隔離,就是要將網絡的“物理層”斷開。數據通過“擺渡”方式在內外網之間傳遞。這樣就在物理層面上隔離阻斷潛在攻擊的連接,其中包括一系列的阻斷特征。整個數據傳遞過程中,內外網之間沒有TCP/IP連接,沒有包轉發,只有文件數據“擺渡”,而且加上對存儲介質只有讀和寫兩個命令,因此在整個“擺渡”的操作中,無法通過強制手段發起攻擊、無法入侵、無法破壞。同時,在設備內部通過類似“開關”的結構(圖1中的A點、B點無法直接導通),把標準的網絡協議徹底斷開,剝離數據的協議,只保留最原始的數據,實現對TCP/IP隧道攻擊的完全防御,把數據安全地擺渡到目的地端后,再封裝上TCP/IP協議,最終在各個廣電業務網絡之間建立出一個安全、可靠、快速的通信鏈路。具體來說,物理安全隔離模塊,由三個單元組成:一是外網處理單元;二是內網處理單元;三是中間數據交換部件,即隔離與交換開關(數據緩存池)。當數據需要由外向內傳遞時(圖1中由B點到A點),外網處理單元基于應用代理服務的模式終止常規網絡協議,解析應用數據,剝離無用數據后,對數據進行安全處理。安全處理后的數據被隔離開關以私有化的專用封裝格式封裝后,擺渡到隔離與交換控制單元(圖1中C點位置),之后切斷隔離與交換控制單元和外網處理單元(圖1中B點、C點)之間的連接。然后,內網處理單元連接隔離與交換控制單元(圖1中A點、C點),并獲取相關數據文件。由內網處理單元“還原”真正數據后,再采用應用代理客戶端的方式將應用數據封裝為TCP/IP格式,路由到目的地。同理,若數據需要從內向外傳遞時,也遵從相似的過程,只是內網處理單元啟用了應用代理服務,而外網處理單元啟用了應用代理客戶端。
4白名單數據深度解析技術
白名單,通常是相對于黑名單而言的。黑名單是指不允許的數據或行為,因此白名單是指允許的數據或行為。通過白名單自動校驗技術,可實現指定文件數據自動化傳輸,同時通過數據仲裁邏輯,阻止了白名單以外所有數據的傳輸行為,提高網絡通道的管理能力和傳輸效率。相比殺毒軟件基于病毒特征庫的檢測方式而言,白名單數據深度解析方式,是通過對目標文件采用全文解析方式,實現快速對傳輸數據的安全檢測,防范病毒傳播。兩者在原理和處理方式上存在著較大差異。
4.1殺毒軟件的工作原理
一般而言,病毒程序通常需要“寄生”于文件當中,當此文件被執行時,病毒程序隨之運行,進而完成它的黑暗使命,同時將自身復制到更多的文件中,即俗稱的感染其他文件。因為操作系統往往將可視的網絡文件視同為本地文件而運行,因此會導致病毒在網絡中迅速傳播。通常殺毒軟件都有一個不斷更新的病毒特征庫。當發現新病毒后,研發人員把該病毒的特征計入病毒庫后,殺毒軟件通過文件掃描,才能在某個文件中發現具備該特征、被此病毒感染的文件。殺毒軟件則根據對該病毒的既定處理規則,對該病毒進行清除、隔離等處理。由此可見,殺毒軟件通常屬于后驗性防御措施,即必須事先了解病毒類型,才能進行查殺,這種模式也被稱為黑名單方式。
4.2關于文件格式
本文所論述的“文件格式”是指多用途互聯網郵件擴展類型MIME(MultipurposeInternetMailExtensions),表示提前設定某種擴展名的文件用一種指定應用程序來打開的方式類型,當該擴展名文件被訪問的時候,瀏覽器會自動使用與該擴展名對應的程序來打開。由MIME的定義可知,它是針對可以被計算機程序打開的數據文件所規定的格式規范。因此,通過辨識計算機文件的MIME類型,即可區分它是哪種數據文件。根據MIME的規范,每一種數據文件都定義了獨特的結構類型,其中包括文件特征碼、邏輯關系、數據結構、語法語義等。通過對這些結構特點的逐一檢驗,就能判斷出“文件格式”類型的真偽及文件是否攜帶“多余”或“錯誤”信息。
4.3數據文件深度解析的邏輯
文件深度解析,就是將給定的文件,按著MIME的定義,對其結構進行全文掃描,通過全文掃描細致分析(校驗各種特征碼、檢測邏輯關系、分析數據結構、判讀語法及語義規范等),判斷其是否為符合規范的數據文件類型。淄博市廣播電視臺根據實際業務需要,將常用的幾十種數據文件(各種視頻音頻文件、文字圖像文件、動畫模型文件等)的MIME全部特征,存儲于數據分析模塊中,并實現了通過數據分析模塊的調用,隨時取得數據仲裁(是否允許傳輸)結果。數據文件深度解析流程,如圖2所示。數據文件深度解析,主要包括兩個方面:文件類型的真偽(合法性)判讀及文件是否有夾帶(安全性判斷)。在文件被傳輸到內網文件服務器之前,數據分析模塊對文件數據進行格式分析、比對,只有數據格式與擴展名一致并且該擴展名被允許傳輸(即白名單方式),檢測文件未被注入可疑信息,同時滿足以上條件才將該文件數據傳輸到文件服務器。同時,可執行文件(EXE、DLL等)被列入缺省禁傳列表,直接被隔離設備拒絕傳輸,從根本上阻斷了文件攜帶型病毒的傳播途徑,保證了內網的安全。白名單數據深度解析技術,就是結合白名單方式的數據文件深度解析,即通過擴展名與文件格式解析矩陣來判斷該文件是否屬于白名單文件。每個擴展名對應一個MIME類型,隔離設備首先根據文件的擴展名找到對應的MIME類型;然后,對該文件進行全文解析,解析結果與該MIME類型進行對比;如果該文件的解析結果符合MIME類型的所有特征,該文件被認為是白名單文件,才會被允許傳輸;反之,如果該文件的解析結果不符合MIME類型的任何一個特征,該文件會被拒絕傳輸。由此可見,對計算機病毒而言,這種隔離方式屬于主動防御方式,可以杜絕病毒程序在計算機網絡中的傳播。
5網絡安全等級保護系統
淄博市廣播電視臺的網絡安全等級保護系統采用立體、縱深的安全保障防御體系,如圖3所示。整個淄博市廣播電視臺安全等級保護體系不僅涉及融媒體中心、電視產業中心、廣播產業中心、報社、新媒體網站等生產業務系統,也包括整個廣電大廈的日常辦公上網。整個網絡安全保護系統采用互聯網—融媒體—各單位業務系統—廣播、電視播出系統的四級縱深防御體系,形成邊界控制與內部防護相結合的縱深安全保障,從機房安全、網絡安全、數據安全、應用安全、主機安全、系統集成安全、管理安全等全方位確保系統整體和部分的安全。傳統的廣播、電視播出系統達到廣播電視相關信息系統安全等級的三級等級保護標準;臺內的其他業務制播、整備、業務支撐等生產系統以及網站等信息發布系統達到廣播電視相關信息系統安全等級的二級等級保護標準。
6網絡邊界安全隔離設備部署方案
在相關專業生產系統邊界部署網絡邊界安全隔離設備,實現相關系統內、外的安全隔離和文件的安全擺渡,是保證播出、制作等各個專業網絡系統安全穩定運行的關鍵環節和安全保障。具體網絡拓撲圖,如圖4所示。辦公網和制作網之間、融媒體平臺和制作網之間、制作網和播出網之間均需要業務訪問及數據交換,故分別部署了具有物理隔離和深度解析功能的安全隔離設備。在本隔離方案中,該安全隔離設備實現了如下功能。
(1)實現了記者辦公網、制作網、新媒體網和播出部之間的數據互聯互通。通過安全隔離設備的正確部署,隔離外網與這些網絡的直連關系,使得核心網絡不存在與外網連接的物理通道和邏輯通道,有效阻斷來自外部的病毒、木馬、蠕蟲及網絡攻擊的威脅,保證各個獨立網域的安全運行,保障內部網絡的安全。
(2)阻斷TCP/IP會話:通過專用協議封裝,完成文件交換。交換過程中將所有的TCP/IP協議封裝剝離,任何基于TCP/IP協議格式的網絡攻擊都被有效屏蔽。
(3)文件交換:安全隔離設備提供高速的交換功能。其能將位于兩端服務器的文件按照指定的映射關系,快速同步到對端文件服務器。
(4)基于文件屬性的深度檢測:安全隔離設備提供了各類文件的數字指紋提取功能,并基于該數字指紋,對傳輸中的文件類型進行深度控制,最終達到只有給定格式的文件才能通過安全隔離設備傳輸。而當傳輸文件中被注入惡意代碼時,能夠被安全隔離設備準確識別并加以阻斷、告警。
(5)訪問控制:能夠對數據傳輸源、目的等屬性進行有效控制,最終只允許特定的主機向特定的主機完成應用數據傳輸。
(6)拓撲隱蔽功能:網絡中任何主機的IP地址分段信息、開放的服務信息都被安全隔離設備有效屏蔽。
作者:張營軍 劉曉亮 單位:淄博市廣播電視臺
