微信咨詢

電話咨詢

4006-288-838

13927455457

在線客服
廣電行業解決方案,電視臺網絡安全方案,廣電病毒隔離方案,電視臺USB隔離方案
廣電行業安全解決方案

中科網威官網 - 首頁 - 行業解決方案

中科網威廣電行業網絡安全解決方案

廣播電視單位作為黨和政府的核心宣傳陣地之一,在國家廣電總局提出“數字化、網絡化”的明確要求下,廣播電視制播技術及信息技術得到飛速發展,各地電視臺數字化、網絡化以及互聯互通的全臺網一體化網絡系統建設已經成為廣電業務系統的發展趨勢。由此帶來廣電網絡系統中異構平臺不斷增多,業務應用的復雜程度不斷加深,應用故障以及滋生隱患的網絡威脅也隨之增多,對系統持續安全運行的依賴程度越來越大。


一、廣電網絡安全需求

伴隨著廣播電視臺的業務系統網絡化技術的飛速發展,各臺先后建設并完善了數字化、網絡化、智能化、集約化的廣電業務系統。當前信息技術系統建設中,計算機病毒和網絡安全問題已經成為了工作人員正常工作的重大威脅,同時實現了全臺網絡的互聯互通,包括各臺的業務邊界得以廣泛的延展,如網絡電視平臺、IPTV平臺、臺與臺交互系統平臺、遠程接入及交互平臺等業務形態,在這種情況下,如果某一個系統遭到主動或被動攻擊、有意識或無意識攻擊(如媒資、播出、收錄等業務),攻擊者很有可能利用這點迅速占領整個業務系統。這將導致非常嚴重的安全事故問題。因此廣播電視臺業務系統將面臨以下的網絡安全問題:

1、網外用戶訪問內部網絡資源 

內部網絡的資源訪問都是通過內網IP地址判斷的,網外用戶由于防火墻攔截及網絡隔離,沒有允許的IP地址,所以無法訪問公司總部內網資源。

2、建立安全的接入系統

網絡電視系統平臺與傳統業務平臺、臺內業務遠程辦公、遠程音視頻業務系統交互、辦公網與生產網的交互安全技術保障工作。

3、建立一套基于遠程高安全、高效的接入認證及傳輸系統平臺,以實現交互。

隨著臺內業務的擴展,臺內已經存在和其他單位的數據共享的需求,例如移動辦公,遠程生產業務,遠程審片業務。其他相關單位連通,如兄弟臺,地市領導機關,宣傳部,廣電總局,網絡公司等其他相關部門,此時必將建立一個遠程接入,遠程生產,節目交換平臺,這些新建設的業務系統又必將與臺內已有業務網絡實現聯動。在這種情況下,臺內封閉的業務網絡逐漸變成了開放的網絡,新的業務系統又面臨著巨大的安全威脅,新建的業務網絡的介入難以避免會帶來各種網絡攻擊,病毒,黑客入侵。

4、建立一套安全的認證系統及數據傳輸系統。

臺內生產業務系統各子網之間的數據安全傳輸、身份認證及傳輸的音視頻文件、文稿及圖片的合法性問題。

5、建立一套統一集中的,基于廣播電視臺IT設備及專業設備的自動化監控管理 系統,以便實時監管業務系統各節點的運行狀態,建立一套智能化的管理技術保障。

廣播電視臺業務系統中的采集收錄站點、非編站點、交換機、服務器、各類音視頻設備及臺內所有IT設備及網絡布署難、角色差異、終端數量大、維護人員少、管理要求復雜等問題。

6、建立一套面向全臺網的網絡安全技術體系及管理機制,如人員、設備、網絡、應用、服務及信號的安全技術及監控管理體系。

臺內病毒、木馬(傳播方式有:臺內郵件、外來音視頻文件、用戶導入文件等)可能威脅到臺內整個網絡業務系統,造成信息泄漏、數據被破壞、文件丟失、網絡擁塞、機器死機等多種嚴重后果,時刻威脅著臺內業務的穩定運行問題。


要想構建一個立體的安全防護體系,必須要考慮多層次的防護包括:

1.下一代防火墻:包括入侵防御系統(IPS),網關防病毒,服務器防護,應用程序過濾及帶寬控制,網頁及URL過濾等功能。

2.USB病毒隔離器:通過控制USB移動存儲介質數據傳輸時實現病毒查殺隔離,能有效地防止USB移動存儲上的文件攜帶病毒對于內網PC帶來的威脅。

3.病毒隔離網關:采用多種傳輸途徑,以實現電視臺業務生產內網、非編網、播出網、互聯網、媒資網等全媒體內容交互、共享、雙向互動、多向性應用為目的,阻止或隔離一切非授權、不安全終端接入,主動消除各種已知和未知安全威脅。阻止不符合安全策略的終端。

4.中科網警IT運維監控系統:在核心機房部署整體的機房動力和環境監控。通過核心機房的IT運維管理平臺,可以對核心機房、分機房,所有的網絡設備、服務器、機房動力環境等全面監控,有異常進行微信,短信,郵件等方式預警。


二、中科網威廣電安全解決方案

針對電視臺的網絡建設需求,提出以下解決方案: 

1499313875804005.png

通過使用ANSYEC網絡安全產品方案說明:

1、下一代防火墻

a)針在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等;

b)當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時提供報警。

c)主動防御已知和未知攻擊,實時阻斷各種黑客攻擊,如防SQL注入、XSS攻擊、網站掃描、WEB SHELL、會話劫持攻擊等。

d)提供全面的 DOS/DDOS 防護機制,支持 SYN Cookie,SYN 代理服務。防御各種網絡攻擊如IP畸形包攻擊、IP假冒、TCP劫持入侵、SYN flood、 Smurf、Ping of Death、Teardrop、Land、Ping flood、UDP Flood 等。

e)針對HTTP、FTP、SMTP、POP3、IMAP等協議進行病毒查殺。


2、USB病毒隔離器

a) 控制USB移動存儲介質數據傳輸時實現病毒查殺隔離,有效地防止USB移動存儲  上的文件攜帶病毒對于內網PC帶來的威脅。

b) 隔離不可信網絡與內部網絡,過濾USB移動存儲上的素材文件從而進行病毒防范,它通過網絡接口與內部網絡PC連接,產品內置文件過濾功能,將常見的素材文件列為白名單格式,USB移動存儲上所有的文件都將經過白名單掃描檢測后才能進行操作拷貝下載。

c) 通過網絡能訪問隔離盒的PC主機都可以通過標準的FTP客戶端或者WEB瀏覽器來訪問USB隔離盒上插入的移動存儲的內容(也可以采用單機方式直接訪問)。


3、病毒隔離網關

a)白名單既采用“除非明確允許,否則就禁止”的方式,無需升級病毒庫,以文件為單位對傳輸內容進行格式分析和過濾, 防止病毒的傳輸,支持不同網段文件傳輸,支持UNC共享、FTP、HTTP等多種格式文件傳輸建立一套安全的認證系統及數據傳輸系統。

b) 在文件的傳輸過程中物理上隔離網絡中的各個網段,能實現對源、目的IP地址、通信端口的全面控制,從而保護內網不受其他網絡的攻擊。

c) 通過網絡行為管理限制用戶在網絡內的行為,身份認證功能;日志記錄查詢功能;MD5校驗功能;內網網絡拓撲隱蔽。

d) 靈活的傳輸策略支持千兆與萬兆網絡;高傳輸率,支持網段之間的單向、雙向通信;支持雙機熱備。

e) 高效的數據轉發過濾,ANYSEC病毒隔離網關獨有的轉發技術,擁有接近內核的路由轉發速度,支持千兆與萬兆網絡,高傳輸率,大大降低通信的延遲,支持網段之間的單向、雙向通信。


4、中科網警IT運維管理系統

a)對主流網絡廠家的網絡設備進行監控,包括ping存活探測,cpu、內存、存儲器空間、接口流量等運行狀態。對網絡設備業務性能提供深入支持。

b)對主流服務器廠商的服務器(支持IPMI協議)的硬件狀態進行監控,包括服務器內部環境溫度、主板溫度、CPU溫度、CPU風扇轉速、電源狀態、電源電壓、CPU電壓、CMOS電池容量等。并且可實現遠程開關機等管理功能。

c)對Windows、Linux、AIX、HP-UX等操作系統的服務器的ping存活、系統資源(cpu、內存和磁盤空間)、接口流量、進程等進行監控。

d)對Oracle、Mysql、SqlServer等主流數據庫進行表空間利用率、數據文件的每秒I/O操作、已連接的用戶數等眾多參數進行監控。

e)對機房溫濕度、漏水、煙霧等環境參數,以及市電和UPS等動力狀況進行監控(需要額外的附加探頭支持)。

f)支持微信,手機短信、電子郵件、彈出窗口等多種報警方式,支持多級閥值設定。

g)能夠對系統的服務水平降低到預先規定的最小值進行檢測和報警。


三、 實現應用效果

1、滿足電視臺內網數據交互:通過統一的安全網關,實現同一內容同時向制作、播出、媒資等多個子業務板塊間數據跨板塊、跨平臺交互。

2、滿足異地數據共享、遠程交互:基于互聯網資料互動傳輸,通過遠程數據多目標分發、交互,將媒體內容的數據共享到本組織以外的任何一個有IP網絡支持的地點,實現內容遠程分發控制,有效保證媒體內容(新聞素材)的時效性。

3、滿足“三網融合”業務需求:隨著“三網融合”的逐步深入,ANYSEC病毒隔離網關媒體安全傳輸解決方案可以與廣播電視網、互聯網、電信網實現媒體內容的“無縫融合”,使同一內容自動后臺轉碼,在不同終端、不同平臺采用不同碼率、不同分辨率、不同編碼格式同步發布成為現實。


海南飞鱼是什么项目