电视台全台网的安全建设
开篇:润墨网以专业的文秘视角,为您筛选了一篇电视台全台网的安全建设范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
为了提高节目制作效率、实现资源共享和降低成本、实现全台信息化建设,国内电视台逐步开始在现有的节目生产网络、综合信息管理网络和办公网络的基础上,开始规划和建设互联互通的全台网,以期实现电视台全面走向“网络化”、“无带化”和“信息化”。然而,系统间的互联病毒、系统漏洞、数据库漏洞、违规操作也给全台网带来了安全隐患。那么,如何提高全台网的安全呢?
提高网络结构的安全性
首先,提高业务子网自身的安全性。提高业务子网的常见安全措施有:重点保护各种应用服务器,特别是要保证数据库服务的服务器的绝对安全,不允许用户直接访问,限制访问服务器的用户范围和访问方式;对关键数据和软件系统进行备份,并可实现快速安全的恢复;可以采用安全性好的数据库服务器,一般来说,基于Unix内核的操作系统对病毒的抵抗能力比Windows操作系统更好;系统中的工作站上,不允许通过软盘、光盘或移动硬盘等进行文件的拷贝,如有需要,可以在子网中指定的、安装了杀毒软件的管理服务器上将文件拷贝到共享目录中。
其次,提高主干网络的安全性。通过与交换平台的连接,各子系统避免了相互之间的直接访问,也就减少了各子系统的对外接口,从而达到了提高网络的安全性的目的。业务系统互相之间可以独立运行,单个系统出现故障不能影响其他系统的正常运行。主干网的核心交换机、用户认证和授权服务器等是整个网络运行的关键设备,一旦它们不能正常工作,主干平台就会失败。因此要对核心交换机和认证服务器进行热备份。为了进一步提高主干网的安全性,要在各子网上对用户信息进行备份,以避免主干网络崩溃造成各子网瘫痪。
再次,提高全台网对外接口的安全性。为了方便,有些人经常在办公网上处理部分业务,这给病毒和非法入侵提供了便利。我们可以通过以下手段来提高这条通道的安全性:办公网的用户只能通过Web服务器和流媒体服务器访问生产网络,而不能直接访问生产网络中的数据库和文件系统;内外网设置防火墙,建立访问控制系统;使用网络安全检测软件发现系统漏洞;网络反病毒,采用预防病毒、检测病毒和杀毒三重手段防治病毒。另外,对于各个子网,一般不允许其直接访问互联网。如果确实有访问的需要,必须通过各子网内部的服务器进行访问,该服务器上必须部署防火墙和杀毒软件。
提高业务应用的安全性
全台网系统间的应用访问比较频繁,为保证各个系统应用的安全,保证单点故障不影响全局,防止操作不当导致节目丢失和播出事故,我们可以采取以下措施:
交换平台上重要的服务,如用户认证服务,必须支持集群方式,以避免某个服务失败影响整个系统的正常运转。对于文件迁移服务,要能支持分布式运作。分布式运作有较好的可扩展性。另外,可以保证在任何一台服务器失败的情况下,不改动网络结构就能保证其他服务器继续执行任务。
账户的设定管理、权限管理以及权限使用规则是用户安全的关键。因此需要从统一用户管理和用户安全策略两方面来考虑用户安全问题。通过统一用户管理来确定合法用户的帐号、密码和允许访问区域;通过用户安全策略设置来确定合法用户对应用程序、素材和节目等资源的访问和操作权限。
各子系统以及交换平台上的各种应用程序和服务程序,在开发时就要对程序进行容错设计,以保证在意外情况下程序不错报死机,或在出现错误任务时,系统有再次尝试的功能,如果任务确实无法正常执行,则该任务不能堵塞后面其它任务的执行。
提高应用数据的安全性
在电视台中,重要的应用数据包括以下几类:用户信息和密码信息、财务信息和重要文件、节目生产信息和节目文件等。因其产生和使用的方式不同,应该采取对应的安全保护措施。
账户安全性。对于采用密码进行认证的系统,必须要求用户的密码不为空和低于密码安全级别。要求用户定期修改其密码,不允许使用管理员赋予的初始密码。可以采用双因素认证、智能卡、指纹、声音、视网膜或签字等认证方式增加密码的安全级别。
双因素认证。即利用一个我们熟悉的静态密码和一个难以被复制的硬件物品,组合在一起生成一个动态密码。比如某公司生产的密码计算器,通过一个128位的种子、当前时钟和特定算法,每分钟产生一个6位数。在认证服务器端,服务器拥有相同的种子、时钟和算法,可以产生相同的6位数。由于种子和算法的保密性,令牌上显示的数字具有不可预测性,因此,只有令牌的拥有者,才能正确地提交当前时间下的数字。系统通过静态密码与这个不可复制的令牌组合,确认登录者的身份。
节目信息安全性。节目生产信息一般保存在数据库中,因此保障数据库的安全性是保证节目生产信息的关键。对于重要的、实时变化的数据库,要求服务器进行双冗余配置,并采用高可用存储,或者采用“快照”方式,将数据及时从生产数据库同步到备用数据库。另外,还要根据业务繁忙程度,定时将数据库数据备份到本地或全台网系统的中心备份盘阵上,以备在数据文件出现问题时进行恢复。为了防范来自外界的恶意攻击和破坏,数据库服务器要关闭无关端口。
节目文件安全性。对于节目文件安全性的保障需要从存储和传输两个环节的安全性方面进行考虑。
电视台的节目文件一般都存储在性能和安全性比较好的存储体上。一般存储体本身已经具有一定的容错措施,比如双通道、双控制器、RAID5等。如果这些措施运行良好,对于系统来说一般是足够的。如果电视台对于节目文件的安全性要求更高,就要建立文件级的备份措施,即实现“双读双写”,一份数据在写入到主存储体时,也会写入到备用存储体上;在读取的时候如果不能从主存储体上读取,则自动切换到备用存储体。
媒体文件通过主干网络,从一个子系统传送到另外一个子系统时,由于人为修改或者传输过程中线路不稳定引起的传输错误等,可能会出现接收方接收到的文件与发送方所发送的不一致的情况。解决的办法是:在文件传输之前,必须对文件生成摘要。目前比较通用的摘要算法有MD5和SHA1算法。由于这两种算法的原理大致相同,这里以MD5为例进行说明。
MD5算法将整个文件当作一个大文本信息,通过其不可逆的字符串变换算法,产生了一个唯一的MD5信息摘要。如果在以后传播这个文件的过程中,无论文件的内容发生了任何形式的改变,只要对这个文件重新计算MD5时就会发现信息摘要不相同,由此可以确定得到是不相同的文件。
建立统一监控技术平台和安全管理制度
全台网系统庞大、系统繁多而且业务复杂,要全台网进行监控,建立一个统一的、集中的监控技术平台是十分必要的。
统一监控平台体现为一种集中的监控管理形式,它能够将众多的设备、应用和业务集中管理起来,能够对设备及应用系统的日志进行集中管理、分析,为系统的安全状态监控、故障快速定位、事件关联分析、系统分析报表等提供技术基础平台支持。监控的需求存在于三个层面:一是物理层。即对网络中的硬件,如核心交换机、数据库服务器、文件迁移服务器、磁盘容量等重要的物理设备的状态进行监控。二是应用层。即对运行在各子网和交换平台上的各种核心软件,如FTP服务、迁移服务等的运行状况进行监控。三是业务层。即对运行与各个子网之间的节目制作过程进行监控,及时了解节目制作的进度和状况。
为了远程监看交换平台以及各子系统内部的情况,交换平台以及各子系统必须按照标准的协议,向统一监控平台提交各子系统上述三个层面的状态信息。统一监控平台将这些信息进行整合和组织,显示在监控界面上。这样,技术人员就可以在办公室随时了解到网络、系统的运行状况,并在需要时进行远程修复或到现场处理。
(作者单位:赣州电视台)