UT斯達康奔流RollingStream為黨建平臺保駕護航
2008/01/07
黨的十七大制定了“以改革創(chuàng)新精神全面推進黨的建設(shè)新的偉大工程”的重大工作部署,并提出了一系列新觀點、新論斷和新要求。這既給黨的建設(shè)注入巨大活力,也使黨建平臺和現(xiàn)有的黨員教育平臺面臨許多新課題、新考驗�。
由于在黨員遠程教育平臺實現(xiàn)黨員教育仍是新生事物,處于起步時期���,很多深層次的問題都需要在實踐中進一步思考和解決。在不斷推廣站點建設(shè)的同時��,既能滿足平臺深入農(nóng)村滿足基層黨員組織的互動需求����,又能有效的實現(xiàn)平臺內(nèi)容的安全審核,實現(xiàn)平臺管理有序���,內(nèi)容有效上傳下發(fā)����,教學安全有效,是當前黨員遠程教育平臺建設(shè)的最為迫切的挑戰(zhàn)�����。安徽黨建網(wǎng)通過引入UT斯達康IPTV技術(shù)�,在安全管理上,走出穩(wěn)健����、獨特之路。
安全審核需過“三關(guān)”
安徽省組織部和安徽省農(nóng)村黨員干部遠程教育工作領(lǐng)導小組在黨建工作中�����,不僅把安徽黨建系統(tǒng)——“先鋒在線”����,打造成當前全國普及最廣、運行最好的農(nóng)村黨員干部現(xiàn)代遠程教育網(wǎng)絡(luò)�,還使它成為一個具備安全播控的播出平臺。
對監(jiān)管部門而言��,“先鋒在線”可以安全地滿足對黨建和農(nóng)業(yè)信息化內(nèi)容引入和內(nèi)容審核的各項要求�����。可控的網(wǎng)絡(luò)互動模式可以有效地凈化網(wǎng)絡(luò)環(huán)境��,能夠擔當起文明辦網(wǎng)的重任����。專門的內(nèi)容監(jiān)管平臺,對傳播的節(jié)目內(nèi)容進行審查監(jiān)控。
在原始內(nèi)容平臺�,全部內(nèi)容受到首次審核;在處理和審核平臺��,直播內(nèi)容受到二次審核���。
在黨員遠程教育內(nèi)容管理平臺,所有非直播內(nèi)容受到二次審核���;
在機頂盒終端和安全賬號�,全部內(nèi)容在面向最終用戶時候�,再受到了第三次審核。
只有全部通過了三次審核的媒體內(nèi)容才能展現(xiàn)在農(nóng)民和黨員用戶面前�����;赨T斯達康RollingStream技術(shù)的“先鋒在線”播出平臺是具備三重監(jiān)管機制的安全無憂的黨員遠程教育平臺��。
一整套多維的安全體系架構(gòu)
“先鋒在線”平臺創(chuàng)新的滿足了未來黨員遠程教育平臺所需的網(wǎng)絡(luò)安全要求��、業(yè)務(wù)接入安全要求���、內(nèi)容安全要求��、內(nèi)容監(jiān)控安全和安全審核要求�����。該平臺具備了一整套多維的安全體系架構(gòu)����,包含了黨建平臺的終端設(shè)備����、黨員遠程教育基礎(chǔ)網(wǎng)絡(luò)的IP網(wǎng)絡(luò)設(shè)備、黨建播出平臺的媒體服務(wù)器和相關(guān)的管理控制設(shè)備�、符合內(nèi)容監(jiān)管部門要求的內(nèi)容安全播控平臺、與黨員遠程教育網(wǎng)絡(luò)對接的其他設(shè)備如專注于農(nóng)村信息化內(nèi)容的農(nóng)校�、各地區(qū)的網(wǎng)校以及其他內(nèi)容教育平臺等。
“先鋒在線”黨建平臺的多維安全體系不僅能夠保障黨員遠程教育業(yè)務(wù)中最終用戶�、管理者、教學者、內(nèi)容制作編輯者�、監(jiān)管者和組織部的內(nèi)容安全、網(wǎng)絡(luò)接入安全�、業(yè)務(wù)訪問安全和設(shè)備運行安全,而且還能夠提供保護整個網(wǎng)絡(luò)運行免受攻擊���、篡改���、盜取,及其他危害網(wǎng)絡(luò)和國家安全的非法活動的強大安全能力���。
黨建平臺的安全體系分析
“先鋒在線”平臺在建設(shè)的開始就考慮到日益增長的安全威脅和安全控制需求�,主要集中在以下幾個方面:
一�����、內(nèi)容及信息的安全:
黨建內(nèi)容:包括直播內(nèi)容�����、VOD內(nèi)容���、為時移電視業(yè)務(wù)而錄制的黨建內(nèi)容,這些內(nèi)容可能被發(fā)送到用戶的途中被篡改、插入�����、截斷��。到最終用戶側(cè)����,這些內(nèi)容可能被未經(jīng)許可非法錄制,或超越權(quán)限任意使用�����。
業(yè)務(wù)數(shù)據(jù):包括運營信息�����、日志信息�����、配置信息�����、計費信息、報表信息�, 這些信息可能被非法登錄用戶或置入的后門軟件所盜取、篡改或刪除�。
用戶數(shù)據(jù):認證信息、用戶資料�����、業(yè)務(wù)訪問記錄�����,這些信息可能通信過程中被截獲���,或入侵到主機后���,被盜取并被非法使用。
網(wǎng)絡(luò)設(shè)備:包括用戶接入和IP路由設(shè)備���,這些設(shè)備可能受到本地合法用戶或其它非法用戶的攻擊和入侵。
黨建平臺資源:黨建平臺和網(wǎng)絡(luò)使用的各類服務(wù)器(如媒體服務(wù)器�、資源管理服務(wù)器、EPG服務(wù)器����、AAA服務(wù)器�、DRM服務(wù)器等)���,這些服務(wù)設(shè)備被暴露于IP網(wǎng)絡(luò)�����,面臨各種可能攻擊和入侵�。
黨建平臺傳輸網(wǎng)絡(luò)設(shè)備(核心網(wǎng)路由器�����、CDN服務(wù)器…):這些服務(wù)被暴露于IP網(wǎng)絡(luò)�����,面臨各種可能攻擊和入侵�。
黨建平臺用戶資產(chǎn):用戶終端(設(shè)備、軟件)���、用戶認證信息�����、計費信息��、以及其它涉及用戶隱私權(quán)信息面臨各種可能攻擊和入侵��。
二��、安全威脅
在確定黨建平臺安全保護對象的基礎(chǔ)上�����,我們需要識別正常業(yè)務(wù)開展存在什么樣的安全威脅�����。黨建平臺業(yè)務(wù)的安全威脅可以從內(nèi)容����、業(yè)務(wù)、網(wǎng)絡(luò)����、用戶與社會工程等方面來分析。
針對黨建業(yè)務(wù)數(shù)字內(nèi)容的安全威脅可能包括非授權(quán)的觀看和使用��;非授權(quán)的拷貝�����;截獲:通過非法監(jiān)聽業(yè)務(wù)網(wǎng)絡(luò)獲得數(shù)字內(nèi)容��;丟失或者損壞:破壞數(shù)字內(nèi)容完整性的行為��,包括非法刪除�、插入、修改等行為��。
針對黨建業(yè)務(wù)開展可能面臨的安全問題包括:未經(jīng)授權(quán)的業(yè)務(wù)訪問�����;假冒黨建業(yè)務(wù)內(nèi)容提供者的行為�����;針對黨建平臺使用的各類服務(wù)器(AAA認證服務(wù)器�����、媒體服務(wù)器等等)的惡意攻擊��,例如利用服務(wù)器應用軟件或者通信協(xié)議的安全漏洞的攻擊�����,拒絕服務(wù)攻擊等等;針對業(yè)務(wù)敏感信息的盜竊��、篡改行為:這一類行為通常通過惡意程序在竊取敏感的業(yè)務(wù)信息(例如計費信息等等)��,黨建平臺自身的安全漏洞以及黨建業(yè)務(wù)系統(tǒng)的關(guān)鍵流程的安全漏洞�。
針對黨建業(yè)務(wù)傳輸網(wǎng)絡(luò)的安全威脅可包括:突發(fā)事件(自然災害、電力問題�、人為破壞等)造成的網(wǎng)絡(luò)設(shè)備/傳輸線路故障;針對網(wǎng)絡(luò)設(shè)備或隱形資產(chǎn)(帶寬)的惡意攻擊�����;針對內(nèi)容交付系統(tǒng)節(jié)點的惡意攻擊��;傳統(tǒng)的內(nèi)容下發(fā)(組播)技術(shù)中亟待解決的安全隱患:基本組播協(xié)議中并沒有安全方面的考慮���,例如沒有對組播源的認證機制��、動態(tài)組播樹成員的加入和退出控制機制等等���。
針對用戶的安全威脅可包括:用戶終端自身的安全漏洞:操作系統(tǒng)、服務(wù)、端口�����;網(wǎng)絡(luò)惡意代碼/病毒對終端設(shè)備的危害�����;用戶信息被盜����。褐饕副I竊用戶帳戶信息的行為����,其一般多是采用木馬類程序來遠程盜取用戶信息;用戶接收設(shè)備由于受到來自網(wǎng)絡(luò)的惡意攻擊或者大量的垃圾流量而造成失效�;未經(jīng)授權(quán)的終端設(shè)備連接到黨建平臺網(wǎng)絡(luò)等。
針對IP網(wǎng)絡(luò)的安全威脅:IP網(wǎng)絡(luò)主要存在拒絕服務(wù)�����、偵聽�、偽裝、修改數(shù)據(jù)�、非授權(quán)接入、事后否認等六類主要的安全威脅等�。常見的安全攻擊行為有IP欺騙�����、重放攻擊�����、反射攻擊����、中間人攻擊�����、拒絕服務(wù)攻擊、分片攻擊、網(wǎng)絡(luò)偵聽�����、應用層攻擊等。
另外還存在黨建平臺建設(shè)工程中的安全威脅�,主要是用戶賬號和口令隨意放置在被他人可獲取的位置;數(shù)據(jù)介質(zhì)未經(jīng)加密����,隨意擺放隨意者方官�����。黨建平臺是通過寬帶IP網(wǎng)絡(luò)為用戶提供可交互的視聽節(jié)目為主的業(yè)務(wù)����,由于其本身擔負的重要責任���,因此其安全保證和業(yè)務(wù)控制顯得至關(guān)重要。
“先鋒在線”具備多重安全保證機制
“先鋒在線”的安全架構(gòu)依照安全威脅分析�����,提供了多重安全層以及相應的安全機制����。概括來說,“先鋒在線”提供了以下三方面的安全機制:內(nèi)容安全��、業(yè)務(wù)安全�、和接入安全。
一����、用戶接入安全
終端設(shè)備首先需要保證其操作系統(tǒng)���、應用系統(tǒng)的安全,防止由于其自身的安全漏洞對黨建業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)帶來的沖擊����。終端設(shè)備可通過相應的認證協(xié)議對黨建業(yè)務(wù)系統(tǒng)進行反向認證,確保黨建業(yè)務(wù)系統(tǒng)的身份及合法性�,確保杜絕第三方惡意偽造黨建業(yè)務(wù)站點。
在黨建平臺業(yè)務(wù)層面上�����,要求業(yè)務(wù)系統(tǒng)能識別用戶身份���,區(qū)分合法用戶與非法用戶�����。與合法用戶的通信標準的安全協(xié)議�,對于非法用戶需要記錄其通信鏈接信息�����,可用于日后審計,并拒絕提供相應的服務(wù)����,并采用保護機制防止DOS/DDOS攻擊,確保黨建平臺不受到第三方惡意攻擊�,影響平臺的正常運行,為重大事件或政策的學習提供安全保障��。
在用戶接入網(wǎng)絡(luò)中進行訪問控制和授權(quán)��,防止非法用戶使用網(wǎng)絡(luò)資源��。同時���,在認證授權(quán)過程中,用戶信息的機密性保護也是必須的�。要求用戶的權(quán)限分配的流程是安全可靠的。推薦在用戶認證過程中�,使用雙向認證機制(例如,基于PKI的認證)以保護用戶不受偽裝業(yè)務(wù)提供者的攻擊����。對于已經(jīng)認證通過的用戶設(shè)備,業(yè)務(wù)系統(tǒng)可發(fā)現(xiàn)認其安全能力���,在流程和通信中使用與其匹配的安全措施�����,保證黨建業(yè)務(wù)訪問的安全���。
二��、黨建平臺內(nèi)容的接入控制與認證
在黨建平臺上需要建立內(nèi)容和內(nèi)容管理編輯者的審核機制���,保證內(nèi)容管理編輯者和黨建平臺之間是可信任的�����!跋蠕h在線”黨建平臺提供了多種技術(shù)手段(業(yè)務(wù)提供源的認證等)保證黨建內(nèi)容編輯管理者的真實性�,防止內(nèi)容管理編輯者對黨建平臺的濫用。
“先鋒在線”提供了內(nèi)容訪問安全機制��,保證了內(nèi)容只被授權(quán)的使用者在規(guī)定期限內(nèi)以規(guī)定的方式使用���,并能夠?qū)崿F(xiàn)防止黨建內(nèi)容被任意分發(fā)����。
通過內(nèi)容加密機制,“先鋒在線”平臺實現(xiàn)了對內(nèi)容進行訪問限制����。平臺內(nèi)容只有在客戶端被判斷為合法使用時,才能被臨時解密使用����。這種安全機制極大的保證了終端用戶看到的黨建平臺內(nèi)容的合法和真實,徹底杜絕了偽造內(nèi)容被接收可能�����。另外�����,“先鋒在線”還提供加密機制能夠防止解密后的內(nèi)容被任意復制或修改����。
“先鋒在線”平臺還提供了防止內(nèi)容被任意使用的機制����,即用戶終端通過可靠途徑獲取內(nèi)容的使用方式(如使用次數(shù)和使用時間),并被強制執(zhí)行��。
“先鋒在線”還提供了端到端的業(yè)務(wù)訪問安全機制。通過網(wǎng)絡(luò)組播安全保護��,黨建平臺傳輸網(wǎng)絡(luò)使用的IP組播協(xié)議應具備一定能夠的安全保護功能:例如��,組播源的認證���、對組成員控制等���。
保證在發(fā)生緊急情況的時候,保持業(yè)務(wù)的有效性: 如啟動應急DOS防攻擊和業(yè)務(wù)模塊備用倒換功能��。
“先鋒在線”還提供終端設(shè)備和黨建平臺服務(wù)器之間的通信安全�����,從而支持通信的可用性���、完整性��、可鑒別性����、機密性�、和不可抵賴性��。
“先鋒在線”提供視頻廣播監(jiān)控功能�����,利用設(shè)置相應的監(jiān)控點���,對視頻內(nèi)容進行實時監(jiān)控。如果有非法內(nèi)容應可能進行內(nèi)容切斷�����。
“先鋒在線”提供對黨建平臺在終端設(shè)備上的頁面安全�,能夠?qū)h建頁面生成服務(wù)器中的相關(guān)數(shù)據(jù)進行實時監(jiān)控,如果有非法入侵���,或非法修改頁面�,系統(tǒng)能夠立即告警和阻止����。
“先鋒在線”提供業(yè)務(wù)溯源機制��,夠紀錄用戶使用業(yè)務(wù)的操作信息�����,在出現(xiàn)故障或者有審查需求時,能夠根據(jù)時間�����,用戶����,特定操作來查詢定位問題。提供實時的統(tǒng)計查詢����,對平臺內(nèi)容進行的操作,包括發(fā)布���,修改�,刪除等等行為都需要有記錄����,并且可以按時間,操作方式��,操作人員來查詢。
“先鋒在線”還提供了強大的安全審計功能和機制����。黨建平臺的安全審計機制用來驗證和測試現(xiàn)有的安全要求在實際的黨建傳輸網(wǎng)絡(luò)上呈現(xiàn)的一致性。黨建平臺需要在接入控制安全�、內(nèi)容安全和業(yè)務(wù)安全等方面提供可審計的手段。
三��、“先鋒在線”的內(nèi)容播控安全機制
內(nèi)容播控安全是為了保障播出不間斷���、內(nèi)容質(zhì)量符合規(guī)范要求����、內(nèi)容到用戶的播出不被干擾�����、播出的內(nèi)容符合黨建平臺對內(nèi)容的監(jiān)管要求��。
黨建平臺是面對大量用戶提供服務(wù)���,為保障播控安全����,除了廣電系統(tǒng)在技術(shù)上保證播出的實時節(jié)目的安全和服務(wù)質(zhì)量外,“先鋒在線”播出平臺中還部署相應的播出主觀監(jiān)控設(shè)備��,在出現(xiàn)問題時及時告警�。播出內(nèi)容的主觀審查系統(tǒng)主要負責審查節(jié)目到黨建平臺的輸入不間斷���、內(nèi)容質(zhì)量負責要求��、內(nèi)容本身符合國家監(jiān)管要求等�。
主管審查系統(tǒng)除了直播節(jié)目在播出時應當有延時功能外�,還具備對播出的內(nèi)容進行控制,必要時中斷節(jié)目播出����,切換片源、插播墊片等操作的能力����。
為保障黨建平臺的頭端到用戶的播出通道不中斷和不被干擾,IP網(wǎng)絡(luò)層設(shè)備應有相應的安全措施�,尤其是廣播頻道在黨建網(wǎng)絡(luò)中組播安全控制。
內(nèi)容播控系統(tǒng)還負責VOD內(nèi)容的節(jié)目審查�,內(nèi)容質(zhì)量監(jiān)測,播出安全等���。
利用RollingStream的技術(shù)����,“先鋒在線”的內(nèi)容播控能夠?qū)崿F(xiàn)以下特性:
1、防止未經(jīng)過許可����、不合法信號、或攻擊信號進入黨建平臺的服務(wù)器
該特性要求對進入黨建平臺媒體服務(wù)器之前的實時頻道信號能夠進行可視監(jiān)控��,并能夠在必要時對頻道的信息進行播出關(guān)閉�����、切換片源��、插播墊片等操作�����。
為減少暴露攻擊路徑����,“先鋒在線”的內(nèi)容監(jiān)控平臺盡量靠近視頻編碼器。
具體執(zhí)行實時監(jiān)控點的部署目前提供了:視音頻信號進入內(nèi)容集成和運營商之前的監(jiān)控����;視音頻信號進入內(nèi)容交付網(wǎng)絡(luò)之前的監(jiān)控����;視音頻信號交付給最終用戶之前的監(jiān)控����。
2�、支持VOD內(nèi)容引入的人工審核
“先鋒在線”黨建平臺的內(nèi)容在引入到系統(tǒng)之前必須經(jīng)過人工審核流程,確保引入的節(jié)目符合國家���、地方的法律法規(guī)等多方面要求���。目前提供了對SP/CP上載的節(jié)目及數(shù)據(jù)有初審,質(zhì)審和終審等機制。內(nèi)容審核系統(tǒng)提供了為送審者提供節(jié)目數(shù)據(jù)輸入和節(jié)目源上載界面��;為審核者提供題材�、版權(quán)、質(zhì)量����、定級等核定界面;審核節(jié)目播放界面����,能隨時查看節(jié)目審核狀態(tài)��;在完成審核過程之后才能進行節(jié)目發(fā)布��。
四��、“先鋒在線”提供的安全機制關(guān)鍵技術(shù)
1���、數(shù)字版權(quán)管理(DRM)技術(shù)
只有認證通過的用戶能夠被授權(quán)使用數(shù)字內(nèi)容。相應的授權(quán)內(nèi)容可以包括:接收設(shè)備(一臺還是一組)����、使用該數(shù)字內(nèi)容的時間段、可以使用的次數(shù)�����、輸出格式等等��。未經(jīng)授權(quán)的用戶不能接收媒體流����,即便收到了也不能解碼使用該數(shù)字內(nèi)容。
提供數(shù)字內(nèi)容的完整性和機密性����。黨建系統(tǒng)應能夠保證在黨建平臺網(wǎng)絡(luò)中存儲�、傳輸?shù)臄?shù)字內(nèi)容的完整性和機密性����。支持版權(quán)保護,能夠保護在黨建業(yè)務(wù)網(wǎng)絡(luò)中傳輸/存貯數(shù)字內(nèi)容的版權(quán)不受非法編輯和操作����。
黨建平臺服務(wù)器端的DRM 構(gòu)件加密需要發(fā)布的媒體內(nèi)容��,并記錄相關(guān)的加密信息��。產(chǎn)生和記錄密鑰�,并為內(nèi)容加密構(gòu)件提供分配密鑰的服務(wù)。服務(wù)器端的DRM
構(gòu)件檢驗用戶的訪問權(quán)限���,并以安全的方式向授權(quán)用戶提供加密內(nèi)容的解密信息��。黨建平臺的用戶終端的DRM 構(gòu)件利用收到解密信息解密加密內(nèi)容��,并將明文送往解碼組件����。
對于不能使用DRM進行保護的內(nèi)容,“先鋒在線”提供對應的安全機制確保內(nèi)容在存儲��、傳輸和配置的過程中的完整性�����、機密性和可用性���。
“先鋒在線”的DRM技術(shù)具備追蹤/不可否認性����,應能夠利用技術(shù)手段(例如數(shù)字水����。┳匪莘欠ㄊ褂脭(shù)字內(nèi)容的行為、用戶終端設(shè)備和使用者�����。
2����、內(nèi)容分發(fā)策略技術(shù)
在傳輸分發(fā)黨建平臺內(nèi)容之前,“先鋒在線”平臺需要對接收內(nèi)容的存儲設(shè)備進行驗證�,如果驗證通過����,則進行內(nèi)容分發(fā)����;如果驗證未通過,則不會傳輸該內(nèi)容��。
3���、設(shè)備驗證機制
“先鋒在線”內(nèi)的每臺服務(wù)器設(shè)備���,都具有設(shè)備驗證機制���。每臺設(shè)備在與系統(tǒng)內(nèi)的其它設(shè)備通信之前�,都需要在ESM服務(wù)器進行注冊且需要定期驗證����,只有在ESM服務(wù)器成功注冊并驗證通過的設(shè)備,才能進行正常的業(yè)務(wù)通信����。有效防止非法設(shè)備的插播等惡意攻擊�。
4�����、OSD內(nèi)容指紋技術(shù)
“先鋒在線”具備OSD內(nèi)容指紋技術(shù)���,主要是在用戶播放節(jié)目時��,將終端用戶設(shè)備的唯一識別信息以O(shè)SD(Over Screen
Display)半透明及周期性方式顯示在屏幕上���,一旦用戶將內(nèi)容進行非法復制,則識別信息將出現(xiàn)在復制的內(nèi)容里���,從而可以追蹤到節(jié)目非法復制的源頭��。
5�����、OS安全技術(shù)
“先鋒在線”平臺采用Linux和Solaris二種OS操作系統(tǒng)�,除了在網(wǎng)絡(luò)層使用防火墻和ACL關(guān)掉不必要的網(wǎng)絡(luò)端口以外��,還會關(guān)掉系統(tǒng)自身不必要的進程和業(yè)務(wù)端口,而且還將定期更新系統(tǒng)補丁和病毒庫��,防止Hacker利用操作系統(tǒng)的漏洞對操作系統(tǒng)自身進行DOS等攻擊行為���。
6�、終端認證技術(shù)
對于終端用戶設(shè)備在訪問黨建業(yè)務(wù)之前���,都需要進行設(shè)備認證��;只有驗證通過才能獲取到IP地址�����,然后再進行終端設(shè)備的的系統(tǒng)接入認證�。當這些認證都通過以后���,系統(tǒng)才會允許用戶設(shè)備訪問其它黨建業(yè)務(wù)����。
7���、VLAN劃分
“先鋒在線”黨建平臺網(wǎng)絡(luò)在內(nèi)部通過劃分不同的VLAN,對不同的子網(wǎng)進行隔離,達到減少廣播包對不同網(wǎng)段造成的影響����,并對不同的VLAN采用不同的安全策略,以提高網(wǎng)絡(luò)和平臺服務(wù)器的安全性及性能�。
8、防火墻保護
利用防火墻技術(shù)對黨建平臺服務(wù)器進行嚴格保護�,除了禁止Hacker對系統(tǒng)進行非法主動連接以外,還根據(jù)黨建平臺Protocol-Chart設(shè)置嚴格的TCP/UDP端口及IP網(wǎng)段限制����,只有防火墻明確打開的IP網(wǎng)段及TCP/UDP端口,才能對系統(tǒng)進行訪問�,否則一律丟棄。
9����、IDS/IPS入侵檢測/防護系統(tǒng)
IDS/IPS入侵檢測/防護系統(tǒng)用于對“先鋒在線”平臺進行入侵檢測及防護功能,并將與防火墻產(chǎn)生聯(lián)動操作����,當IDS/IPS檢測到Hacker攻擊行為時,除了立刻阻止該攻擊行為以外�����,還會即時通知防火墻改變安全控制策略,達到預警及徹底攔截攻擊行為的目的�。
10、ACL端口限制
“先鋒在線”除了采用防火墻和IDS/IPS系統(tǒng)進行保護外���,還將采用ACL對系統(tǒng)業(yè)務(wù)的端口進行限制���。
在城域網(wǎng)的路由器/交換機上設(shè)置ACL時,將關(guān)閉所有系統(tǒng)不會應用到的TCP/UDP端口號�����,而只開放系統(tǒng)內(nèi)業(yè)務(wù)訪問必須開放的端口號及IP網(wǎng)段����,從而將Hacker的攻擊行為拒之門外。
11�����、組播PIM Boundary協(xié)議
“先鋒在線”網(wǎng)絡(luò)的組播數(shù)據(jù)需要做組播路由限制��,因此需要利用組播的PIM Boundary功能來確保一個區(qū)域的組播數(shù)據(jù)不會滲透到另一區(qū)域��,進而對組播區(qū)域進行隔離���。
12�、SSM組播源控制協(xié)議
對于黨建平臺來說���,除了平臺自身具有禁止非法組播源的接入以外�,還將利用網(wǎng)絡(luò)層組播SSM(Source Specified
Multicast)技術(shù)來限制組播源����,只有SSM明確指定的組播源,用戶設(shè)備和服務(wù)器才能加入IGMP組播組并接收到組播數(shù)據(jù)�����。對于SSM沒有明確指定的組播源�,服務(wù)器和用戶設(shè)備都無法識別,從而限制了互聯(lián)網(wǎng)上非法組播源接入到黨建平臺的系統(tǒng)網(wǎng)絡(luò)中��。
13���、遠程連接與管理
對于管理員需要進行遠程連接及管理時�,都會使用SSH加密方式進行遠程連接�,確保管理員信息在網(wǎng)上以加密的方式進行傳輸。
結(jié)束語
引入UT斯達康IPTV技術(shù)打造的“先鋒在線”播控平臺是目前最安全���、應用最廣泛�����、業(yè)務(wù)形式最豐富��、管理最方便���、監(jiān)管能力最強的新一代黨建平臺��。所采用的的安全機制和關(guān)鍵技術(shù)��,為黨建平臺安全運行實現(xiàn)了保駕護航���。
中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)
相關(guān)鏈接: