UT斯達(dá)康奔流RollingStream為黨建平臺(tái)保駕護(hù)航
2008/01/07
黨的十七大制定了“以改革創(chuàng)新精神全面推進(jìn)黨的建設(shè)新的偉大工程”的重大工作部署���,并提出了一系列新觀點(diǎn)���、新論斷和新要求。這既給黨的建設(shè)注入巨大活力���,也使黨建平臺(tái)和現(xiàn)有的黨員教育平臺(tái)面臨許多新課題�、新考驗(yàn)�����。
由于在黨員遠(yuǎn)程教育平臺(tái)實(shí)現(xiàn)黨員教育仍是新生事物�,處于起步時(shí)期,很多深層次的問題都需要在實(shí)踐中進(jìn)一步思考和解決���。在不斷推廣站點(diǎn)建設(shè)的同時(shí)����,既能滿足平臺(tái)深入農(nóng)村滿足基層黨員組織的互動(dòng)需求�����,又能有效的實(shí)現(xiàn)平臺(tái)內(nèi)容的安全審核,實(shí)現(xiàn)平臺(tái)管理有序�����,內(nèi)容有效上傳下發(fā)��,教學(xué)安全有效�,是當(dāng)前黨員遠(yuǎn)程教育平臺(tái)建設(shè)的最為迫切的挑戰(zhàn)。安徽黨建網(wǎng)通過引入U(xiǎn)T斯達(dá)康IPTV技術(shù)���,在安全管理上�,走出穩(wěn)健���、獨(dú)特之路��。
安全審核需過“三關(guān)”
安徽省組織部和安徽省農(nóng)村黨員干部遠(yuǎn)程教育工作領(lǐng)導(dǎo)小組在黨建工作中����,不僅把安徽黨建系統(tǒng)——“先鋒在線”����,打造成當(dāng)前全國(guó)普及最廣、運(yùn)行最好的農(nóng)村黨員干部現(xiàn)代遠(yuǎn)程教育網(wǎng)絡(luò),還使它成為一個(gè)具備安全播控的播出平臺(tái)����。
對(duì)監(jiān)管部門而言,“先鋒在線”可以安全地滿足對(duì)黨建和農(nóng)業(yè)信息化內(nèi)容引入和內(nèi)容審核的各項(xiàng)要求������?煽氐木W(wǎng)絡(luò)互動(dòng)模式可以有效地凈化網(wǎng)絡(luò)環(huán)境��,能夠擔(dān)當(dāng)起文明辦網(wǎng)的重任����。專門的內(nèi)容監(jiān)管平臺(tái),對(duì)傳播的節(jié)目?jī)?nèi)容進(jìn)行審查監(jiān)控。
在原始內(nèi)容平臺(tái)�,全部?jī)?nèi)容受到首次審核;在處理和審核平臺(tái)�����,直播內(nèi)容受到二次審核�。
在黨員遠(yuǎn)程教育內(nèi)容管理平臺(tái),所有非直播內(nèi)容受到二次審核�����;
在機(jī)頂盒終端和安全賬號(hào),全部?jī)?nèi)容在面向最終用戶時(shí)候�,再受到了第三次審核。
只有全部通過了三次審核的媒體內(nèi)容才能展現(xiàn)在農(nóng)民和黨員用戶面前�����;赨T斯達(dá)康RollingStream技術(shù)的“先鋒在線”播出平臺(tái)是具備三重監(jiān)管機(jī)制的安全無(wú)憂的黨員遠(yuǎn)程教育平臺(tái)���。
一整套多維的安全體系架構(gòu)
“先鋒在線”平臺(tái)創(chuàng)新的滿足了未來(lái)黨員遠(yuǎn)程教育平臺(tái)所需的網(wǎng)絡(luò)安全要求、業(yè)務(wù)接入安全要求���、內(nèi)容安全要求����、內(nèi)容監(jiān)控安全和安全審核要求�。該平臺(tái)具備了一整套多維的安全體系架構(gòu),包含了黨建平臺(tái)的終端設(shè)備��、黨員遠(yuǎn)程教育基礎(chǔ)網(wǎng)絡(luò)的IP網(wǎng)絡(luò)設(shè)備��、黨建播出平臺(tái)的媒體服務(wù)器和相關(guān)的管理控制設(shè)備����、符合內(nèi)容監(jiān)管部門要求的內(nèi)容安全播控平臺(tái)��、與黨員遠(yuǎn)程教育網(wǎng)絡(luò)對(duì)接的其他設(shè)備如專注于農(nóng)村信息化內(nèi)容的農(nóng)校��、各地區(qū)的網(wǎng)校以及其他內(nèi)容教育平臺(tái)等���。
“先鋒在線”黨建平臺(tái)的多維安全體系不僅能夠保障黨員遠(yuǎn)程教育業(yè)務(wù)中最終用戶、管理者���、教學(xué)者、內(nèi)容制作編輯者�����、監(jiān)管者和組織部的內(nèi)容安全���、網(wǎng)絡(luò)接入安全����、業(yè)務(wù)訪問安全和設(shè)備運(yùn)行安全�,而且還能夠提供保護(hù)整個(gè)網(wǎng)絡(luò)運(yùn)行免受攻擊、篡改��、盜取,及其他危害網(wǎng)絡(luò)和國(guó)家安全的非法活動(dòng)的強(qiáng)大安全能力��。
黨建平臺(tái)的安全體系分析
“先鋒在線”平臺(tái)在建設(shè)的開始就考慮到日益增長(zhǎng)的安全威脅和安全控制需求���,主要集中在以下幾個(gè)方面:
一����、內(nèi)容及信息的安全:
黨建內(nèi)容:包括直播內(nèi)容�����、VOD內(nèi)容�、為時(shí)移電視業(yè)務(wù)而錄制的黨建內(nèi)容,這些內(nèi)容可能被發(fā)送到用戶的途中被篡改����、插入、截?cái)�。到最終用戶側(cè),這些內(nèi)容可能被未經(jīng)許可非法錄制���,或超越權(quán)限任意使用����。
業(yè)務(wù)數(shù)據(jù):包括運(yùn)營(yíng)信息、日志信息��、配置信息��、計(jì)費(fèi)信息��、報(bào)表信息����, 這些信息可能被非法登錄用戶或置入的后門軟件所盜取、篡改或刪除�����。
用戶數(shù)據(jù):認(rèn)證信息����、用戶資料���、業(yè)務(wù)訪問記錄��,這些信息可能通信過程中被截獲�����,或入侵到主機(jī)后����,被盜取并被非法使用。
網(wǎng)絡(luò)設(shè)備:包括用戶接入和IP路由設(shè)備�����,這些設(shè)備可能受到本地合法用戶或其它非法用戶的攻擊和入侵���。
黨建平臺(tái)資源:黨建平臺(tái)和網(wǎng)絡(luò)使用的各類服務(wù)器(如媒體服務(wù)器���、資源管理服務(wù)器、EPG服務(wù)器��、AAA服務(wù)器����、DRM服務(wù)器等),這些服務(wù)設(shè)備被暴露于IP網(wǎng)絡(luò)�����,面臨各種可能攻擊和入侵��。
黨建平臺(tái)傳輸網(wǎng)絡(luò)設(shè)備(核心網(wǎng)路由器、CDN服務(wù)器…):這些服務(wù)被暴露于IP網(wǎng)絡(luò)�����,面臨各種可能攻擊和入侵����。
黨建平臺(tái)用戶資產(chǎn):用戶終端(設(shè)備、軟件)�����、用戶認(rèn)證信息�、計(jì)費(fèi)信息、以及其它涉及用戶隱私權(quán)信息面臨各種可能攻擊和入侵���。
二����、安全威脅
在確定黨建平臺(tái)安全保護(hù)對(duì)象的基礎(chǔ)上��,我們需要識(shí)別正常業(yè)務(wù)開展存在什么樣的安全威脅����。黨建平臺(tái)業(yè)務(wù)的安全威脅可以從內(nèi)容、業(yè)務(wù)�、網(wǎng)絡(luò)、用戶與社會(huì)工程等方面來(lái)分析��。
針對(duì)黨建業(yè)務(wù)數(shù)字內(nèi)容的安全威脅可能包括非授權(quán)的觀看和使用�;非授權(quán)的拷貝;截獲:通過非法監(jiān)聽業(yè)務(wù)網(wǎng)絡(luò)獲得數(shù)字內(nèi)容���;丟失或者損壞:破壞數(shù)字內(nèi)容完整性的行為�,包括非法刪除�����、插入��、修改等行為��。
針對(duì)黨建業(yè)務(wù)開展可能面臨的安全問題包括:未經(jīng)授權(quán)的業(yè)務(wù)訪問��;假冒黨建業(yè)務(wù)內(nèi)容提供者的行為�����;針對(duì)黨建平臺(tái)使用的各類服務(wù)器(AAA認(rèn)證服務(wù)器、媒體服務(wù)器等等)的惡意攻擊���,例如利用服務(wù)器應(yīng)用軟件或者通信協(xié)議的安全漏洞的攻擊���,拒絕服務(wù)攻擊等等;針對(duì)業(yè)務(wù)敏感信息的盜竊�、篡改行為:這一類行為通常通過惡意程序在竊取敏感的業(yè)務(wù)信息(例如計(jì)費(fèi)信息等等),黨建平臺(tái)自身的安全漏洞以及黨建業(yè)務(wù)系統(tǒng)的關(guān)鍵流程的安全漏洞���。
針對(duì)黨建業(yè)務(wù)傳輸網(wǎng)絡(luò)的安全威脅可包括:突發(fā)事件(自然災(zāi)害����、電力問題���、人為破壞等)造成的網(wǎng)絡(luò)設(shè)備/傳輸線路故障�;針對(duì)網(wǎng)絡(luò)設(shè)備或隱形資產(chǎn)(帶寬)的惡意攻擊�����;針對(duì)內(nèi)容交付系統(tǒng)節(jié)點(diǎn)的惡意攻擊�����;傳統(tǒng)的內(nèi)容下發(fā)(組播)技術(shù)中亟待解決的安全隱患:基本組播協(xié)議中并沒有安全方面的考慮���,例如沒有對(duì)組播源的認(rèn)證機(jī)制����、動(dòng)態(tài)組播樹成員的加入和退出控制機(jī)制等等��。
針對(duì)用戶的安全威脅可包括:用戶終端自身的安全漏洞:操作系統(tǒng)���、服務(wù)����、端口���;網(wǎng)絡(luò)惡意代碼/病毒對(duì)終端設(shè)備的危害��;用戶信息被盜���。褐饕副I竊用戶帳戶信息的行為,其一般多是采用木馬類程序來(lái)遠(yuǎn)程盜取用戶信息�����;用戶接收設(shè)備由于受到來(lái)自網(wǎng)絡(luò)的惡意攻擊或者大量的垃圾流量而造成失效;未經(jīng)授權(quán)的終端設(shè)備連接到黨建平臺(tái)網(wǎng)絡(luò)等�。
針對(duì)IP網(wǎng)絡(luò)的安全威脅:IP網(wǎng)絡(luò)主要存在拒絕服務(wù)、偵聽���、偽裝�、修改數(shù)據(jù)����、非授權(quán)接入、事后否認(rèn)等六類主要的安全威脅等����。常見的安全攻擊行為有IP欺騙、重放攻擊����、反射攻擊、中間人攻擊���、拒絕服務(wù)攻擊��、分片攻擊���、網(wǎng)絡(luò)偵聽��、應(yīng)用層攻擊等��。
另外還存在黨建平臺(tái)建設(shè)工程中的安全威脅,主要是用戶賬號(hào)和口令隨意放置在被他人可獲取的位置����;數(shù)據(jù)介質(zhì)未經(jīng)加密,隨意擺放隨意者方官��。黨建平臺(tái)是通過寬帶IP網(wǎng)絡(luò)為用戶提供可交互的視聽節(jié)目為主的業(yè)務(wù)����,由于其本身?yè)?dān)負(fù)的重要責(zé)任,因此其安全保證和業(yè)務(wù)控制顯得至關(guān)重要����。
“先鋒在線”具備多重安全保證機(jī)制
“先鋒在線”的安全架構(gòu)依照安全威脅分析,提供了多重安全層以及相應(yīng)的安全機(jī)制����。概括來(lái)說,“先鋒在線”提供了以下三方面的安全機(jī)制:內(nèi)容安全����、業(yè)務(wù)安全���、和接入安全。
一���、用戶接入安全
終端設(shè)備首先需要保證其操作系統(tǒng)�、應(yīng)用系統(tǒng)的安全���,防止由于其自身的安全漏洞對(duì)黨建業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)帶來(lái)的沖擊�。終端設(shè)備可通過相應(yīng)的認(rèn)證協(xié)議對(duì)黨建業(yè)務(wù)系統(tǒng)進(jìn)行反向認(rèn)證�����,確保黨建業(yè)務(wù)系統(tǒng)的身份及合法性�����,確保杜絕第三方惡意偽造黨建業(yè)務(wù)站點(diǎn)����。
在黨建平臺(tái)業(yè)務(wù)層面上,要求業(yè)務(wù)系統(tǒng)能識(shí)別用戶身份��,區(qū)分合法用戶與非法用戶���。與合法用戶的通信標(biāo)準(zhǔn)的安全協(xié)議����,對(duì)于非法用戶需要記錄其通信鏈接信息,可用于日后審計(jì)��,并拒絕提供相應(yīng)的服務(wù),并采用保護(hù)機(jī)制防止DOS/DDOS攻擊,確保黨建平臺(tái)不受到第三方惡意攻擊�����,影響平臺(tái)的正常運(yùn)行�����,為重大事件或政策的學(xué)習(xí)提供安全保障����。
在用戶接入網(wǎng)絡(luò)中進(jìn)行訪問控制和授權(quán),防止非法用戶使用網(wǎng)絡(luò)資源����。同時(shí),在認(rèn)證授權(quán)過程中�,用戶信息的機(jī)密性保護(hù)也是必須的����。要求用戶的權(quán)限分配的流程是安全可靠的���。推薦在用戶認(rèn)證過程中�����,使用雙向認(rèn)證機(jī)制(例如�,基于PKI的認(rèn)證)以保護(hù)用戶不受偽裝業(yè)務(wù)提供者的攻擊���。對(duì)于已經(jīng)認(rèn)證通過的用戶設(shè)備���,業(yè)務(wù)系統(tǒng)可發(fā)現(xiàn)認(rèn)其安全能力,在流程和通信中使用與其匹配的安全措施�,保證黨建業(yè)務(wù)訪問的安全。
二���、黨建平臺(tái)內(nèi)容的接入控制與認(rèn)證
在黨建平臺(tái)上需要建立內(nèi)容和內(nèi)容管理編輯者的審核機(jī)制�,保證內(nèi)容管理編輯者和黨建平臺(tái)之間是可信任的�����!跋蠕h在線”黨建平臺(tái)提供了多種技術(shù)手段(業(yè)務(wù)提供源的認(rèn)證等)保證黨建內(nèi)容編輯管理者的真實(shí)性����,防止內(nèi)容管理編輯者對(duì)黨建平臺(tái)的濫用。
“先鋒在線”提供了內(nèi)容訪問安全機(jī)制�,保證了內(nèi)容只被授權(quán)的使用者在規(guī)定期限內(nèi)以規(guī)定的方式使用,并能夠?qū)崿F(xiàn)防止黨建內(nèi)容被任意分發(fā)��。
通過內(nèi)容加密機(jī)制�,“先鋒在線”平臺(tái)實(shí)現(xiàn)了對(duì)內(nèi)容進(jìn)行訪問限制。平臺(tái)內(nèi)容只有在客戶端被判斷為合法使用時(shí)�,才能被臨時(shí)解密使用����。這種安全機(jī)制極大的保證了終端用戶看到的黨建平臺(tái)內(nèi)容的合法和真實(shí),徹底杜絕了偽造內(nèi)容被接收可能���。另外��,“先鋒在線”還提供加密機(jī)制能夠防止解密后的內(nèi)容被任意復(fù)制或修改�。
“先鋒在線”平臺(tái)還提供了防止內(nèi)容被任意使用的機(jī)制���,即用戶終端通過可靠途徑獲取內(nèi)容的使用方式(如使用次數(shù)和使用時(shí)間)�����,并被強(qiáng)制執(zhí)行����。
“先鋒在線”還提供了端到端的業(yè)務(wù)訪問安全機(jī)制。通過網(wǎng)絡(luò)組播安全保護(hù)��,黨建平臺(tái)傳輸網(wǎng)絡(luò)使用的IP組播協(xié)議應(yīng)具備一定能夠的安全保護(hù)功能:例如���,組播源的認(rèn)證��、對(duì)組成員控制等�。
保證在發(fā)生緊急情況的時(shí)候�,保持業(yè)務(wù)的有效性: 如啟動(dòng)應(yīng)急DOS防攻擊和業(yè)務(wù)模塊備用倒換功能。
“先鋒在線”還提供終端設(shè)備和黨建平臺(tái)服務(wù)器之間的通信安全��,從而支持通信的可用性����、完整性、可鑒別性��、機(jī)密性、和不可抵賴性�����。
“先鋒在線”提供視頻廣播監(jiān)控功能����,利用設(shè)置相應(yīng)的監(jiān)控點(diǎn),對(duì)視頻內(nèi)容進(jìn)行實(shí)時(shí)監(jiān)控���。如果有非法內(nèi)容應(yīng)可能進(jìn)行內(nèi)容切斷����。
“先鋒在線”提供對(duì)黨建平臺(tái)在終端設(shè)備上的頁(yè)面安全�,能夠?qū)h建頁(yè)面生成服務(wù)器中的相關(guān)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控,如果有非法入侵�,或非法修改頁(yè)面����,系統(tǒng)能夠立即告警和阻止。
“先鋒在線”提供業(yè)務(wù)溯源機(jī)制����,夠紀(jì)錄用戶使用業(yè)務(wù)的操作信息,在出現(xiàn)故障或者有審查需求時(shí),能夠根據(jù)時(shí)間�����,用戶���,特定操作來(lái)查詢定位問題�。提供實(shí)時(shí)的統(tǒng)計(jì)查詢�,對(duì)平臺(tái)內(nèi)容進(jìn)行的操作,包括發(fā)布�����,修改�,刪除等等行為都需要有記錄,并且可以按時(shí)間��,操作方式�,操作人員來(lái)查詢。
“先鋒在線”還提供了強(qiáng)大的安全審計(jì)功能和機(jī)制����。黨建平臺(tái)的安全審計(jì)機(jī)制用來(lái)驗(yàn)證和測(cè)試現(xiàn)有的安全要求在實(shí)際的黨建傳輸網(wǎng)絡(luò)上呈現(xiàn)的一致性。黨建平臺(tái)需要在接入控制安全�����、內(nèi)容安全和業(yè)務(wù)安全等方面提供可審計(jì)的手段。
三���、“先鋒在線”的內(nèi)容播控安全機(jī)制
內(nèi)容播控安全是為了保障播出不間斷��、內(nèi)容質(zhì)量符合規(guī)范要求�����、內(nèi)容到用戶的播出不被干擾�、播出的內(nèi)容符合黨建平臺(tái)對(duì)內(nèi)容的監(jiān)管要求��。
黨建平臺(tái)是面對(duì)大量用戶提供服務(wù)�,為保障播控安全,除了廣電系統(tǒng)在技術(shù)上保證播出的實(shí)時(shí)節(jié)目的安全和服務(wù)質(zhì)量外���,“先鋒在線”播出平臺(tái)中還部署相應(yīng)的播出主觀監(jiān)控設(shè)備���,在出現(xiàn)問題時(shí)及時(shí)告警����。播出內(nèi)容的主觀審查系統(tǒng)主要負(fù)責(zé)審查節(jié)目到黨建平臺(tái)的輸入不間斷、內(nèi)容質(zhì)量負(fù)責(zé)要求、內(nèi)容本身符合國(guó)家監(jiān)管要求等�����。
主管審查系統(tǒng)除了直播節(jié)目在播出時(shí)應(yīng)當(dāng)有延時(shí)功能外��,還具備對(duì)播出的內(nèi)容進(jìn)行控制�,必要時(shí)中斷節(jié)目播出,切換片源��、插播墊片等操作的能力����。
為保障黨建平臺(tái)的頭端到用戶的播出通道不中斷和不被干擾,IP網(wǎng)絡(luò)層設(shè)備應(yīng)有相應(yīng)的安全措施�,尤其是廣播頻道在黨建網(wǎng)絡(luò)中組播安全控制。
內(nèi)容播控系統(tǒng)還負(fù)責(zé)VOD內(nèi)容的節(jié)目審查�,內(nèi)容質(zhì)量監(jiān)測(cè),播出安全等���。
利用RollingStream的技術(shù)�����,“先鋒在線”的內(nèi)容播控能夠?qū)崿F(xiàn)以下特性:
1���、防止未經(jīng)過許可��、不合法信號(hào)��、或攻擊信號(hào)進(jìn)入黨建平臺(tái)的服務(wù)器
該特性要求對(duì)進(jìn)入黨建平臺(tái)媒體服務(wù)器之前的實(shí)時(shí)頻道信號(hào)能夠進(jìn)行可視監(jiān)控����,并能夠在必要時(shí)對(duì)頻道的信息進(jìn)行播出關(guān)閉�����、切換片源�����、插播墊片等操作�。
為減少暴露攻擊路徑,“先鋒在線”的內(nèi)容監(jiān)控平臺(tái)盡量靠近視頻編碼器�。
具體執(zhí)行實(shí)時(shí)監(jiān)控點(diǎn)的部署目前提供了:視音頻信號(hào)進(jìn)入內(nèi)容集成和運(yùn)營(yíng)商之前的監(jiān)控;視音頻信號(hào)進(jìn)入內(nèi)容交付網(wǎng)絡(luò)之前的監(jiān)控���;視音頻信號(hào)交付給最終用戶之前的監(jiān)控����。
2�����、支持VOD內(nèi)容引入的人工審核
“先鋒在線”黨建平臺(tái)的內(nèi)容在引入到系統(tǒng)之前必須經(jīng)過人工審核流程�,確保引入的節(jié)目符合國(guó)家、地方的法律法規(guī)等多方面要求����。目前提供了對(duì)SP/CP上載的節(jié)目及數(shù)據(jù)有初審,質(zhì)審和終審等機(jī)制。內(nèi)容審核系統(tǒng)提供了為送審者提供節(jié)目數(shù)據(jù)輸入和節(jié)目源上載界面�;為審核者提供題材、版權(quán)���、質(zhì)量�����、定級(jí)等核定界面�;審核節(jié)目播放界面�,能隨時(shí)查看節(jié)目審核狀態(tài);在完成審核過程之后才能進(jìn)行節(jié)目發(fā)布�����。
四、“先鋒在線”提供的安全機(jī)制關(guān)鍵技術(shù)
1���、數(shù)字版權(quán)管理(DRM)技術(shù)
只有認(rèn)證通過的用戶能夠被授權(quán)使用數(shù)字內(nèi)容�。相應(yīng)的授權(quán)內(nèi)容可以包括:接收設(shè)備(一臺(tái)還是一組)�����、使用該數(shù)字內(nèi)容的時(shí)間段����、可以使用的次數(shù)、輸出格式等等����。未經(jīng)授權(quán)的用戶不能接收媒體流,即便收到了也不能解碼使用該數(shù)字內(nèi)容�����。
提供數(shù)字內(nèi)容的完整性和機(jī)密性���。黨建系統(tǒng)應(yīng)能夠保證在黨建平臺(tái)網(wǎng)絡(luò)中存儲(chǔ)�����、傳輸?shù)臄?shù)字內(nèi)容的完整性和機(jī)密性����。支持版權(quán)保護(hù)����,能夠保護(hù)在黨建業(yè)務(wù)網(wǎng)絡(luò)中傳輸/存貯數(shù)字內(nèi)容的版權(quán)不受非法編輯和操作。
黨建平臺(tái)服務(wù)器端的DRM 構(gòu)件加密需要發(fā)布的媒體內(nèi)容���,并記錄相關(guān)的加密信息�����。產(chǎn)生和記錄密鑰�,并為內(nèi)容加密構(gòu)件提供分配密鑰的服務(wù)����。服務(wù)器端的DRM
構(gòu)件檢驗(yàn)用戶的訪問權(quán)限,并以安全的方式向授權(quán)用戶提供加密內(nèi)容的解密信息�����。黨建平臺(tái)的用戶終端的DRM 構(gòu)件利用收到解密信息解密加密內(nèi)容�,并將明文送往解碼組件�����。
對(duì)于不能使用DRM進(jìn)行保護(hù)的內(nèi)容��,“先鋒在線”提供對(duì)應(yīng)的安全機(jī)制確保內(nèi)容在存儲(chǔ)��、傳輸和配置的過程中的完整性���、機(jī)密性和可用性。
“先鋒在線”的DRM技術(shù)具備追蹤/不可否認(rèn)性���,應(yīng)能夠利用技術(shù)手段(例如數(shù)字水�����。┳匪莘欠ㄊ褂脭(shù)字內(nèi)容的行為��、用戶終端設(shè)備和使用者����。
2�����、內(nèi)容分發(fā)策略技術(shù)
在傳輸分發(fā)黨建平臺(tái)內(nèi)容之前,“先鋒在線”平臺(tái)需要對(duì)接收內(nèi)容的存儲(chǔ)設(shè)備進(jìn)行驗(yàn)證�����,如果驗(yàn)證通過�,則進(jìn)行內(nèi)容分發(fā);如果驗(yàn)證未通過�,則不會(huì)傳輸該內(nèi)容���。
3�����、設(shè)備驗(yàn)證機(jī)制
“先鋒在線”內(nèi)的每臺(tái)服務(wù)器設(shè)備���,都具有設(shè)備驗(yàn)證機(jī)制。每臺(tái)設(shè)備在與系統(tǒng)內(nèi)的其它設(shè)備通信之前�����,都需要在ESM服務(wù)器進(jìn)行注冊(cè)且需要定期驗(yàn)證���,只有在ESM服務(wù)器成功注冊(cè)并驗(yàn)證通過的設(shè)備���,才能進(jìn)行正常的業(yè)務(wù)通信�����。有效防止非法設(shè)備的插播等惡意攻擊�����。
4���、OSD內(nèi)容指紋技術(shù)
“先鋒在線”具備OSD內(nèi)容指紋技術(shù),主要是在用戶播放節(jié)目時(shí)���,將終端用戶設(shè)備的唯一識(shí)別信息以O(shè)SD(Over Screen
Display)半透明及周期性方式顯示在屏幕上�����,一旦用戶將內(nèi)容進(jìn)行非法復(fù)制��,則識(shí)別信息將出現(xiàn)在復(fù)制的內(nèi)容里�,從而可以追蹤到節(jié)目非法復(fù)制的源頭���。
5����、OS安全技術(shù)
“先鋒在線”平臺(tái)采用Linux和Solaris二種OS操作系統(tǒng),除了在網(wǎng)絡(luò)層使用防火墻和ACL關(guān)掉不必要的網(wǎng)絡(luò)端口以外���,還會(huì)關(guān)掉系統(tǒng)自身不必要的進(jìn)程和業(yè)務(wù)端口�����,而且還將定期更新系統(tǒng)補(bǔ)丁和病毒庫(kù)��,防止Hacker利用操作系統(tǒng)的漏洞對(duì)操作系統(tǒng)自身進(jìn)行DOS等攻擊行為。
6����、終端認(rèn)證技術(shù)
對(duì)于終端用戶設(shè)備在訪問黨建業(yè)務(wù)之前,都需要進(jìn)行設(shè)備認(rèn)證�;只有驗(yàn)證通過才能獲取到IP地址,然后再進(jìn)行終端設(shè)備的的系統(tǒng)接入認(rèn)證���。當(dāng)這些認(rèn)證都通過以后����,系統(tǒng)才會(huì)允許用戶設(shè)備訪問其它黨建業(yè)務(wù)。
7���、VLAN劃分
“先鋒在線”黨建平臺(tái)網(wǎng)絡(luò)在內(nèi)部通過劃分不同的VLAN�����,對(duì)不同的子網(wǎng)進(jìn)行隔離����,達(dá)到減少?gòu)V播包對(duì)不同網(wǎng)段造成的影響��,并對(duì)不同的VLAN采用不同的安全策略�����,以提高網(wǎng)絡(luò)和平臺(tái)服務(wù)器的安全性及性能�����。
8���、防火墻保護(hù)
利用防火墻技術(shù)對(duì)黨建平臺(tái)服務(wù)器進(jìn)行嚴(yán)格保護(hù)��,除了禁止Hacker對(duì)系統(tǒng)進(jìn)行非法主動(dòng)連接以外����,還根據(jù)黨建平臺(tái)Protocol-Chart設(shè)置嚴(yán)格的TCP/UDP端口及IP網(wǎng)段限制,只有防火墻明確打開的IP網(wǎng)段及TCP/UDP端口�,才能對(duì)系統(tǒng)進(jìn)行訪問,否則一律丟棄�����。
9����、IDS/IPS入侵檢測(cè)/防護(hù)系統(tǒng)
IDS/IPS入侵檢測(cè)/防護(hù)系統(tǒng)用于對(duì)“先鋒在線”平臺(tái)進(jìn)行入侵檢測(cè)及防護(hù)功能,并將與防火墻產(chǎn)生聯(lián)動(dòng)操作���,當(dāng)IDS/IPS檢測(cè)到Hacker攻擊行為時(shí)���,除了立刻阻止該攻擊行為以外��,還會(huì)即時(shí)通知防火墻改變安全控制策略����,達(dá)到預(yù)警及徹底攔截攻擊行為的目的。
10�、ACL端口限制
“先鋒在線”除了采用防火墻和IDS/IPS系統(tǒng)進(jìn)行保護(hù)外��,還將采用ACL對(duì)系統(tǒng)業(yè)務(wù)的端口進(jìn)行限制���。
在城域網(wǎng)的路由器/交換機(jī)上設(shè)置ACL時(shí),將關(guān)閉所有系統(tǒng)不會(huì)應(yīng)用到的TCP/UDP端口號(hào)���,而只開放系統(tǒng)內(nèi)業(yè)務(wù)訪問必須開放的端口號(hào)及IP網(wǎng)段��,從而將Hacker的攻擊行為拒之門外�。
11��、組播PIM Boundary協(xié)議
“先鋒在線”網(wǎng)絡(luò)的組播數(shù)據(jù)需要做組播路由限制�����,因此需要利用組播的PIM Boundary功能來(lái)確保一個(gè)區(qū)域的組播數(shù)據(jù)不會(huì)滲透到另一區(qū)域��,進(jìn)而對(duì)組播區(qū)域進(jìn)行隔離����。
12、SSM組播源控制協(xié)議
對(duì)于黨建平臺(tái)來(lái)說����,除了平臺(tái)自身具有禁止非法組播源的接入以外�����,還將利用網(wǎng)絡(luò)層組播SSM(Source Specified
Multicast)技術(shù)來(lái)限制組播源�����,只有SSM明確指定的組播源���,用戶設(shè)備和服務(wù)器才能加入IGMP組播組并接收到組播數(shù)據(jù)。對(duì)于SSM沒有明確指定的組播源����,服務(wù)器和用戶設(shè)備都無(wú)法識(shí)別,從而限制了互聯(lián)網(wǎng)上非法組播源接入到黨建平臺(tái)的系統(tǒng)網(wǎng)絡(luò)中�。
13、遠(yuǎn)程連接與管理
對(duì)于管理員需要進(jìn)行遠(yuǎn)程連接及管理時(shí)��,都會(huì)使用SSH加密方式進(jìn)行遠(yuǎn)程連接�����,確保管理員信息在網(wǎng)上以加密的方式進(jìn)行傳輸����。
結(jié)束語(yǔ)
引入U(xiǎn)T斯達(dá)康IPTV技術(shù)打造的“先鋒在線”播控平臺(tái)是目前最安全、應(yīng)用最廣泛���、業(yè)務(wù)形式最豐富����、管理最方便����、監(jiān)管能力最強(qiáng)的新一代黨建平臺(tái)。所采用的的安全機(jī)制和關(guān)鍵技術(shù)���,為黨建平臺(tái)安全運(yùn)行實(shí)現(xiàn)了保駕護(hù)航�����。
中國(guó)信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)
相關(guān)鏈接: