2.2部署一套业务监控系统通过DPI技术[2]对网络流量进行深入协议分析,把控好网络流量对于业务区分以及业务所需要的网络流量的质量控制。并且,通过对业务流量统计数据进行深入挖掘,更深入地了解网络使用情况,如用户使用宽带的习惯、方式等。业务监控系统的部署对于业务流量的分配调动起到了及时的监视作用,有了一套业务监控系统可以为现有的网络环境提供优化改造意见,也可以为开辟新业务以及增值业务提供指导意见。所以,需要部署一套业务监看系统。
2.3部署一套互联网缓存系统
对于广电网络传输的视频、图片、音频等大数据量内容,保证用户使用的流畅度与所有业务的质量,使网络“不卡”业务“不顿”,特别是缓存系统中的调度子系统运用了负载均衡、热点内容搜索管理调度以及缓存记录搜索等技术,能够引导请求用户和已经缓存过的数据设备发生数据交换,增加已缓存数据设备使用率。另外,无限制的P2P、在线视频等新兴业务对当前带宽超负荷使用等威胁。所以,需要一个高速、优质的网络服务。做到网络的优质、高速需要部署一套互联网缓存系统,采用分析定向、自动缓存、精确调度和速度搜索等技术,将占用总出口带宽60%~80%的P2P流量、在线视频以及大文件下载流量本地化,进而达到节省出口带宽、降低网间结算费用、提高网络利用效率、降低网络运营成本,最终实现广电网优质高速,提升用户使用的流畅度以及所有业务的高质量开展。
2.4部署一套日志管理系统
在信息管理系统中,日志是指对计算机设备运行中重要活动或事件的完整记录和描述,它能够记录信息系统内发生的动作和行为,向外界展示信息系统运作的完整轨迹和本质。帮助网管实现日志统一管理,系统能够采集、过滤、归并、分析、存储、监控并上报成专业的防火墙会话日志,并支持发送告警和输出报表。形成完整的上报日志对系统内发生任何行为做到有迹可查、有迹可循、有事可报,这对于解决系统问题以及业务起到非常重要的作用。并且,以报表的形式可以做到问题的溯源以及备案,为后续问题的查证与追责提供重要依据。本次部署的日志管理系统可以针对网络出口处的防火墙和服务器防火墙进行统一的日志分析,以检测当前网络中的最新攻击类型。
2.5部署一套安全管理平台
随着广电信息化深入,网络规模逐渐扩大,所使用的网络及安全设备逐渐增多,如何更好更方便地对网络及安全设备进行管理,是每个使用者优先考虑的问题。然而,网络设备的管理又存在设备类型复杂、管理信息多样性等问题,如何更好地解决这些问题,网络管理就显得尤为重要。统一安全网管系统[3]要支持全系列安全设备和主流网络设备的网络拓扑管理、故障排查管理、网元管理、设备性能管理、集中策略配置管理、VPN管理等一系列功能。安全管理平台需要能够直观展现网络架构,帮助管理员快速定位网络故障,提升管理能力,提高工作效率,降低维护成本,为用户提供一个对全网设备高效管理的平台。
2.6在网络出口位置部署一套功能强大的防火墙
现网络出口位置的网络防火墙暂时能够满足当前用户数的安全需求,但随着用户数量的不断增加,现有的网络防火墙性能逐渐达不到需求,所以,需要考虑布置新型防火墙。布置新型防护墙的性能需求有强大的入侵防御功能、反病毒功能、强大的GTP保护功能、IDS联动等主要功能。(1)强大的入侵防御功能需求:传统的IPS策略[4]是通过分析现有系统的漏洞以及对已有攻击方式引发的攻击事件进行特征提取,进而制定防御规则。比如:防范有针对性的操作系统漏洞攻击、针对邮箱服务器漏洞攻击、文件服务器攻击、浏览器漏洞攻击等。对当下大多数的木马、蠕虫、间谍软件等能够进行很好的防御与检测。针对现有的防火墙功能缺陷需要IPS能够识别运行于非知名端口的常用数据流类型以及对于特定介质流量减少误报。(2)反病毒功能:反病毒功能指支持邮件传输协议SMTP、POP3,网页协议HTTP的传输数据扫描中做到病毒的删除操作或者向用户发送通过。但现防火墙对10种以上、多层压缩文件、对病毒进行加壳操作的压缩文件进行扫描时发现病毒能力较弱。所以,需要部署新防火墙具有对病毒具有脱壳操作能力,并且对文件类别具有智能识别功能。(3)强大的GTP保护功能[5]:部署在Gn、Gp和Gi接口进行GTP安全防范功能需要有支持R97GTP、R99GTP、GTP协议、报文分析控制能力以及按照规则对报文进行过滤的能力;在路由模式和透明模式两种工作模式下工作;能够解决GTP隧道的限制、能够检测GTP隧道信息、GTP隧道双机热备功能;支持分片缓存功能等。(4)IDS联动[6]是指IDS设备能自动侦听整个网络中是否存在恶意攻击、入侵或其他安全隐患行为,通过下发指令的方式通知统一安全网关,由统一安全网关对攻击报文进行丢弃或其他处理。运用IDS联动的方式来防范恶意攻击,是将恶意攻击分为入侵检测和攻击处理两个过程分量后进行处理,充分发挥各设备的优势,改善系统性能。通过和IDS设备联动,统一安全网关可以提供一种高可靠的主动防御模型和安全解决方案。用户优先配置好静态的安全性能配置信息,通过IDS设备可以动态发现安全隐患,通过统一安全网关设备修改安全策略,起到实时、动态的修改防御策略,保证整网的安全。要有灵活的联动接口协议,可以和很多IDS设备互通,方便支持各种IDS设备和统一安全网关联合工作。
3结语
为应对众多网络不安全因素,本文提出的解决方案包含外网出口、入侵检测和日志审计,同时提供了统一的安全管理中心各模块,可以有效解决当前视频网站面临的问题。在广电行业产业化改造的历史机遇面前,建立一个高起点、高技术含量、多功能、智能化并具有良好扩展性的综合信息平台至关重要。让安徽电视台视频网络信息高速、优质地通往千家万户,让广电网络能够高效传递信息,成为百姓获取信息咨询、丰富文化知识的良好载体,成为国家信息基础建设以及现代化信息服务的重要组成部分。
参考文献:
[1]于跃.基于安全路由联盟DD0S攻击防御机制[D].保定:河北大学,2018.
[2]李婷婷.DPI技术在广电IP化检测系统中的应用[J].广播与电视技术,2019(9):124-127.
[3]翟纲.基于SNMPv3的安全网管技术研究[D].成都:西南交通大学,2003.