摘要:随着网络技术的发展,网络安全环境日趋复杂,已经成为各国共同关注的问题。本文介绍了淄博市广播电视台核心网络(制作、播出、新媒体)边界防护的技术要求及特点。
关键词:物理隔离;数据深度解析;黑白名单;边界防护;防火墙
1引言
互联网和信息化浪潮正在颠覆性地改变着人们的生活和生产方式,网络空间成为独立于陆地、海洋、航空、航天之外的第五维空间。在传统媒体与新兴媒体加速融合的新形势下,广电行业已进入一个新的历史变革时期,广电业务系统架构也正在由传统的竖井式向云平台转变。媒体融合也导致业务形态发生了较大的变化,由过去相对独立、分散的网络变成为深度融合关联、相互依赖的整体。由此带来的结果是广电网络系统中异构平台不断增多,业务应用的复杂程度不断加深,各种应用故障以及滋生隐患的网络威胁也随之增多,对系统持续安全运行的需求程度也越来越大。同时,网络安全形势越发严峻,安全威胁多样化、攻击手段隐蔽化的特征日益明显,危害范围和程度不断加剧。在这种情况下,如果某一个系统(如播出、制作、新媒体等业务网)遭到主动或被动攻击、有意识或无意识攻击,攻击者很有可能利用这点迅速占领整个业务系统,从而导致非常严重的安全事故。
2传统边界防护设备存在的问题
传统的网络边界安全防护是以防火墙等安全网关为代表,通过纵深部署、协同防御起到保障网络安全隔离的作用。防火墙作为一种核心的访问控制手段,在网络边界防护中起到了不可替代的作用,但以防火墙为核心的防御体系,用于广电核心网络的边界隔离防护,已经不能完全满足日益增长的安全防御需求。首先,防火墙的安全决策模块直接连接的是不可信网络,防火墙的漏洞可能导致安全决策模块完整性失效,进而保证不了安全策略实施的完整性。其次,防火墙属于逻辑隔离方式,其存在内网与外网之间的物理连接。若防火墙安全策略被破坏,该物理连接就成为攻击内网的直接途径。所以,淄博市广播电视台在进行了充分的市场考察和设备调研后,采用了更适合广电业务,同时也是高级别的安全隔离方案,即结合白名单以及深度解析技术的物理安全隔离方案。该物理隔离方案能避免防火墙等逻辑隔离方案的脆弱性和安全策略不容易维护性等缺点。同时,结合白名单以及数据深度解析技术,可在保障数据安全性的同时大幅提高数据检测和文件传输速度,使其更适合广播电视网络的数据交换和安全隔离需求。物理隔离技术也能够让淄博市广播电视台的业务网络彻底杜绝来自外部的网络攻击行为。
3物理隔离技术原理
物理隔离,就是要将网络的“物理层”断开。数据通过“摆渡”方式在内外网之间传递。这样就在物理层面上隔离阻断潜在攻击的连接,其中包括一系列的阻断特征。整个数据传递过程中,内外网之间没有TCP/IP连接,没有包转发,只有文件数据“摆渡”,而且加上对存储介质只有读和写两个命令,因此在整个“摆渡”的操作中,无法通过强制手段发起攻击、无法入侵、无法破坏。同时,在设备内部通过类似“开关”的结构(图1中的A点、B点无法直接导通),把标准的网络协议彻底断开,剥离数据的协议,只保留最原始的数据,实现对TCP/IP隧道攻击的完全防御,把数据安全地摆渡到目的地端后,再封装上TCP/IP协议,最终在各个广电业务网络之间建立出一个安全、可靠、快速的通信链路。具体来说,物理安全隔离模块,由三个单元组成:一是外网处理单元;二是内网处理单元;三是中间数据交换部件,即隔离与交换开关(数据缓存池)。当数据需要由外向内传递时(图1中由B点到A点),外网处理单元基于应用服务的模式终止常规网络协议,解析应用数据,剥离无用数据后,对数据进行安全处理。安全处理后的数据被隔离开关以私有化的专用封装格式封装后,摆渡到隔离与交换控制单元(图1中C点位置),之后切断隔离与交换控制单元和外网处理单元(图1中B点、C点)之间的连接。然后,内网处理单元连接隔离与交换控制单元(图1中A点、C点),并获取相关数据文件。由内网处理单元“还原”真正数据后,再采用应用客户端的方式将应用数据封装为TCP/IP格式,路由到目的地。同理,若数据需要从内向外传递时,也遵从相似的过程,只是内网处理单元启用了应用服务,而外网处理单元启用了应用客户端。
4白名单数据深度解析技术
白名单,通常是相对于黑名单而言的。黑名单是指不允许的数据或行为,因此白名单是指允许的数据或行为。通过白名单自动校验技术,可实现指定文件数据自动化传输,同时通过数据仲裁逻辑,阻止了白名单以外所有数据的传输行为,提高网络通道的管理能力和传输效率。相比杀毒软件基于病毒特征库的检测方式而言,白名单数据深度解析方式,是通过对目标文件采用全文解析方式,实现快速对传输数据的安全检测,防范病毒传播。两者在原理和处理方式上存在着较大差异。
4.1杀毒软件的工作原理
一般而言,病毒程序通常需要“寄生”于文件当中,当此文件被执行时,病毒程序随之运行,进而完成它的黑暗使命,同时将自身复制到更多的文件中,即俗称的感染其他文件。因为操作系统往往将可视的网络文件视同为本地文件而运行,因此会导致病毒在网络中迅速传播。通常杀毒软件都有一个不断更新的病毒特征库。当发现新病毒后,研发人员把该病毒的特征计入病毒库后,杀毒软件通过文件扫描,才能在某个文件中发现具备该特征、被此病毒感染的文件。杀毒软件则根据对该病毒的既定处理规则,对该病毒进行清除、隔离等处理。由此可见,杀毒软件通常属于后验性防御措施,即必须事先了解病毒类型,才能进行查杀,这种模式也被称为黑名单方式。
4.2关于文件格式
本文所论述的“文件格式”是指多用途互联网邮件扩展类型MIME(MultipurposeInternetMailExtensions),表示提前设定某种扩展名的文件用一种指定应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用与该扩展名对应的程序来打开。由MIME的定义可知,它是针对可以被计算机程序打开的数据文件所规定的格式规范。因此,通过辨识计算机文件的MIME类型,即可区分它是哪种数据文件。根据MIME的规范,每一种数据文件都定义了独特的结构类型,其中包括文件特征码、逻辑关系、数据结构、语法语义等。通过对这些结构特点的逐一检验,就能判断出“文件格式”类型的真伪及文件是否携带“多余”或“错误”信息。
4.3数据文件深度解析的逻辑
文件深度解析,就是将给定的文件,按着MIME的定义,对其结构进行全文扫描,通过全文扫描细致分析(校验各种特征码、检测逻辑关系、分析数据结构、判读语法及语义规范等),判断其是否为符合规范的数据文件类型。淄博市广播电视台根据实际业务需要,将常用的几十种数据文件(各种视频音频文件、文字图像文件、动画模型文件等)的MIME全部特征,存储于数据分析模块中,并实现了通过数据分析模块的调用,随时取得数据仲裁(是否允许传输)结果。数据文件深度解析流程,如图2所示。数据文件深度解析,主要包括两个方面:文件类型的真伪(合法性)判读及文件是否有夹带(安全性判断)。在文件被传输到内网文件服务器之前,数据分析模块对文件数据进行格式分析、比对,只有数据格式与扩展名一致并且该扩展名被允许传输(即白名单方式),检测文件未被注入可疑信息,同时满足以上条件才将该文件数据传输到文件服务器。同时,可执行文件(EXE、DLL等)被列入缺省禁传列表,直接被隔离设备拒绝传输,从根本上阻断了文件携带型病毒的传播途径,保证了内网的安全。白名单数据深度解析技术,就是结合白名单方式的数据文件深度解析,即通过扩展名与文件格式解析矩阵来判断该文件是否属于白名单文件。每个扩展名对应一个MIME类型,隔离设备首先根据文件的扩展名找到对应的MIME类型;然后,对该文件进行全文解析,解析结果与该MIME类型进行对比;如果该文件的解析结果符合MIME类型的所有特征,该文件被认为是白名单文件,才会被允许传输;反之,如果该文件的解析结果不符合MIME类型的任何一个特征,该文件会被拒绝传输。由此可见,对计算机病毒而言,这种隔离方式属于主动防御方式,可以杜绝病毒程序在计算机网络中的传播。
5网络安全等级保护系统
淄博市广播电视台的网络安全等级保护系统采用立体、纵深的安全保障防御体系,如图3所示。整个淄博市广播电视台安全等级保护体系不仅涉及融媒体中心、电视产业中心、广播产业中心、报社、新媒体网站等生产业务系统,也包括整个广电大厦的日常办公上网。整个网络安全保护系统采用互联网—融媒体—各单位业务系统—广播、电视播出系统的四级纵深防御体系,形成边界控制与内部防护相结合的纵深安全保障,从机房安全、网络安全、数据安全、应用安全、主机安全、系统集成安全、管理安全等全方位确保系统整体和部分的安全。传统的广播、电视播出系统达到广播电视相关信息系统安全等级的三级等级保护标准;台内的其他业务制播、整备、业务支撑等生产系统以及网站等信息系统达到广播电视相关信息系统安全等级的二级等级保护标准。
6网络边界安全隔离设备部署方案
在相关专业生产系统边界部署网络边界安全隔离设备,实现相关系统内、外的安全隔离和文件的安全摆渡,是保证播出、制作等各个专业网络系统安全稳定运行的关键环节和安全保障。具体网络拓扑图,如图4所示。办公网和制作网之间、融媒体平台和制作网之间、制作网和播出网之间均需要业务访问及数据交换,故分别部署了具有物理隔离和深度解析功能的安全隔离设备。在本隔离方案中,该安全隔离设备实现了如下功能。
(1)实现了记者办公网、制作网、新媒体网和播出部之间的数据互联互通。通过安全隔离设备的正确部署,隔离外网与这些网络的直连关系,使得核心网络不存在与外网连接的物理通道和逻辑通道,有效阻断来自外部的病毒、木马、蠕虫及网络攻击的威胁,保证各个独立网域的安全运行,保障内部网络的安全。
(2)阻断TCP/IP会话:通过专用协议封装,完成文件交换。交换过程中将所有的TCP/IP协议封装剥离,任何基于TCP/IP协议格式的网络攻击都被有效屏蔽。
(3)文件交换:安全隔离设备提供高速的交换功能。其能将位于两端服务器的文件按照指定的映射关系,快速同步到对端文件服务器。
(4)基于文件属性的深度检测:安全隔离设备提供了各类文件的数字指纹提取功能,并基于该数字指纹,对传输中的文件类型进行深度控制,最终达到只有给定格式的文件才能通过安全隔离设备传输。而当传输文件中被注入恶意代码时,能够被安全隔离设备准确识别并加以阻断、告警。
(5)访问控制:能够对数据传输源、目的等属性进行有效控制,最终只允许特定的主机向特定的主机完成应用数据传输。
(6)拓扑隐蔽功能:网络中任何主机的IP地址分段信息、开放的服务信息都被安全隔离设备有效屏蔽。
作者:张营军 刘晓亮 单位:淄博市广播电视台
