网络信息安全保障体系建设
通信行业网络安全防护体系建设方案
通信行业网络安全防护体系建设方案第一章网络安全概述 (3)1.1 网络安全重要性 (3)1.2 网络安全发展趋势 (3)第二章网络安全防护体系架构 (4)2.1 防护体系设计原则 (4)2.2 防护体系层次结构 (4)2.3 防护体系关键技术与组件 (5)第三章网络安全风险评估 (5)3.1 风险评估流程 (5)3.1.1 风险识别 (5)3.1.2 风险分析 (6)3.1.3 风险评估 (6)3.1.4 风险应对 (6)3.1.5 风险监测与预警 (6)3.2 风险评估方法 (6)3.2.1 定性评估方法 (6)3.2.2 定量评估方法 (6)3.2.3 综合评估方法 (6)3.3 风险评估指标体系 (6)3.3.1 基础设施安全指标 (6)3.3.2 数据安全指标 (6)3.3.3 应用安全指标 (6)3.3.4 人员安全意识指标 (7)3.3.5 管理安全指标 (7)3.3.6 法律法规合规性指标 (7)第四章访问控制与认证 (7)4.1 访问控制策略 (7)4.1.1 策略制定原则 (7)4.1.2 访问控制策略内容 (7)4.2 认证机制设计 (8)4.2.1 认证机制类型 (8)4.2.2 认证机制设计要点 (8)4.3 访问控制与认证实施 (8)4.3.1 用户身份验证 (8)4.3.2 权限管理 (8)4.3.3 访问控制列表和规则 (8)4.3.4 审计与监控 (9)第五章数据安全与加密 (9)5.1 数据安全策略 (9)5.2 数据加密技术 (9)5.3 数据安全防护措施 (10)第六章网络安全监测与预警 (10)6.1 监测预警系统设计 (10)6.1.1 设计原则 (10)6.1.2 系统架构 (10)6.2 安全事件处理流程 (11)6.2.1 事件发觉与报告 (11)6.2.2 事件评估 (11)6.2.3 事件处理 (11)6.2.4 事件总结 (11)6.3 预警信息发布与应急响应 (11)6.3.1 预警信息发布 (11)6.3.2 应急响应 (11)第七章安全防护技术应用 (12)7.1 防火墙技术 (12)7.1.1 技术概述 (12)7.1.2 技术分类 (12)7.1.3 应用策略 (12)7.2 入侵检测与防御系统 (12)7.2.1 技术概述 (12)7.2.2 技术分类 (12)7.2.3 应用策略 (13)7.3 安全漏洞防护技术 (13)7.3.1 技术概述 (13)7.3.2 技术分类 (13)7.3.3 应用策略 (13)第八章网络安全管理制度 (13)8.1 安全管理组织架构 (13)8.1.1 组织架构设置 (13)8.1.2 职责划分 (14)8.2 安全管理制度制定 (14)8.2.1 制定原则 (14)8.2.2 制定内容 (15)8.3 安全培训与考核 (15)8.3.1 培训内容 (15)8.3.2 培训形式 (15)8.3.3 考核标准 (15)第九章网络安全应急响应 (16)9.1 应急响应预案 (16)9.1.1 概述 (16)9.1.2 预案编制 (16)9.1.3 预案内容 (16)9.2 应急响应流程 (17)9.2.1 预警与监测 (17)9.2.2 应急响应启动 (17)9.2.3 应急处置 (17)9.2.4 恢复与总结 (17)9.3 应急响应资源保障 (17)9.3.1 人力资源保障 (17)9.3.2 物力资源保障 (17)9.3.3 技术资源保障 (18)第十章网络安全防护体系评估与优化 (18)10.1 防护体系评估方法 (18)10.1.1 定性评估方法 (18)10.1.2 定量评估方法 (18)10.1.3 综合评估方法 (19)10.2 防护体系优化策略 (19)10.2.1 技术优化 (19)10.2.2 管理优化 (19)10.2.3 人员优化 (19)10.3 防护体系持续改进 (19)第一章网络安全概述1.1 网络安全重要性在当今信息化社会,通信行业作为国家战略性、基础性和先导性产业,承担着保障国家信息安全和推动经济社会发展的重要任务。
网信技术体系建设项目实施方案
网信技术体系建设项目实施方案一、项目背景近年来,随着互联网技术的迅猛发展,我国网信工作已成为国家治理体系的重要组成部分。
为了加强我国网信技术体系的建设,提升信息安全保障能力,保障互联网信息的安全和稳定,需要制定网信技术体系建设项目实施方案,全面推进网信技术体系建设。
二、项目目标1.建设一个完整的网信技术体系,包括各个层面的技术设施和保障机制。
2.提升我国网信技术保障能力,确保信息安全和稳定。
3.建立健全网信技术体系的管理和运维机制,实现长期可持续发展。
三、项目内容1.网信技术设施的建设a.网络接入设备的升级和扩容,确保网络连接畅通稳定。
b.建设强大的网络安全设备,实现对网络流量的监控和防御。
c.构建分布式存储系统,提高信息存储和检索的效率。
d.建设互联网应用平台,提供各类应用服务。
2.信息安全保障机制的建立a.制定网信安全相关的法律法规,明确各方责任和义务。
b.建立信息安全管理体系,包括安全策略制定、安全漏洞扫描等。
c.加强网络舆情监测和分析,及时发现并应对网络安全事件。
d.加强对人工智能、大数据等新技术的研究和应用,提升信息安全防护能力。
3.网信技术体系的管理和运维机制a.制定相关管理规范和运维流程,确保网信技术设施的正常运行。
b.建立完善的技术人员培训和考核体系,提高技术团队的能力水平。
c.建立监测和预警机制,及时发现和解决网信技术设施的故障和问题。
d.定期进行系统更新和升级,保障网信技术体系的持续改进。
四、项目实施步骤1.项目启动阶段a.明确项目目标和范围,制定项目计划和时间表。
b.成立项目组织和管理机构,明确各方责任和权限。
2.技术设施建设阶段a.进行技术设备采购、安装和调试。
b.建设研发环境和测试环境,进行相关系统和功能的开发。
c.进行技术设施的集成和联调,确保设施之间的顺畅协作。
3.信息安全保障机制建立阶段a.制定相关法律法规和管理规范。
b.建立信息安全管理体系,包括制定安全策略和漏洞扫描等。
网络和信息安全保障措施方案
网络和信息安全保障措施方案一、背景介绍在当今社会,网络与信息技术的快速发展已经深刻改变了人们的生活方式和工作方式。
然而,随之而来的网络安全问题也开始日益突出,给个人、企业和国家带来了巨大的威胁。
为了确保网络与信息的安全,各方必须采取一系列的保障措施。
二、用户教育与意识培养在网络安全保障中,用户教育与意识培养是至关重要的一环。
用户应该接受网络安全教育,了解网络安全的基本知识和技巧,掌握合理使用网络的方法。
各级教育机构和相关部门应制定相关课程,提供网络安全意识培训,普及网络安全知识,增强用户的防范意识。
三、加强网络监管与维护为了保证网络的安全,建立健全的网络监管和维护体系是必不可少的。
政府和互联网企业应加强合作,共同打击网络犯罪和违法行为。
建立网络审查机制,加强对网络信息的监控与过滤,及时发现并处理存在安全隐患的信息。
四、加强网络防护技术研发与应用网络防护技术的研发与应用是网络和信息安全的核心。
各种先进的防护技术应得到充分研发和应用,以提高网络的安全性和防范潜在威胁。
包括但不限于:防火墙技术、入侵检测系统、数据加密技术等。
五、提升网络基础设施的安全性能网络基础设施的安全性能直接关系到整个网络和信息安全。
各级政府和互联网服务提供商应投入资金和人力资源,对网络基础设施进行全面的安全性能评估和改进。
加强硬件和软件产品的安全性测试和验证,及时修复漏洞,提高网络基础设施的整体安全性。
六、建立网络安全事件响应机制在网络安全保障中,建立健全的网络安全事件响应机制是非常重要的。
各级政府和相关部门应制定完善的网络安全事件应对预案,建立专业的网络安全应急队伍。
一旦发生网络安全事件,能够迅速响应、处置和恢复,最大限度地减少对网络和信息的损失。
七、加强国际合作与信息交流网络安全是一个全球性的挑战,需要各国共同努力。
各国政府和国际组织应加强合作,共享网络安全信息,加强技术交流与研讨。
建立网络安全联盟,共同应对全球范围内的网络安全威胁,维护网络和信息的安全稳定。
网络安全信息安全等保三级建设方案
等级保护是法律法 规的要求,企业需 要按照等级保护的 要求进行安全建设 ,否则可能面临法 律风险。
PART TWO
网络安全等级保护三级 标准要求
安全管理要求
01
安全管理制度:建立健全安全管 理制度,明确安全管理职责和权 限
03
安全审计:定期进行安全审计, 检查安全措施的实施情况和效果
05
安全监测:建立安全监测机制, 及时发现和应对安全威胁
评估方法:通 过模拟攻击、 漏洞扫描等方 式,评估系统 安全性
03
评估结果:系 统安全性得到 显著提升,降 低了被攻击的 风险
04
建议:定期进 行安全检查和 漏洞修复,确 保系统安全稳 定运行
合规性提升效果评估
网络安全等级保护三级要求:对信息系统进行安全保护,确保其安全可靠运行பைடு நூலகம்
合规性提升效果评估方法:通过检查、测试、评估等方式,对信息系统的安全性进行评估
记录
定期进行人员安全
4
检查,确保人员遵
守安全规定
建立人员安全事件 5 处理机制,及时处
理安全问题
定期对人员进行安 6 全考核,确保人员
具备安全能力
应急响应预案实施步骤
01
建立应急响应组织,明确各 成员的职责和分工
制定应急响应流程,包括报
02 告、响应、调查、处理和恢
复等环节
03
定期进行应急响应演练,提 高应急响应能力和效率
《网络安全等级保护 安全设计技术要求》: 提供了等级保护安全 设计的技术指南和参 考标准
等级保护的重要性和必要性
网络安全等级保护 是国家网络安全战 略的重要组成部分, 旨在保障关键信息 基础设施的安全。
等级保护是针对不 同级别的信息系统 实施差异化的安全 防护措施,确保信 息系统的安全性。
构建企业网络信息安全体系
工 程 技 术 Cm u e D S f wr n p l c t o s o p t r C o t a e a d A p ia in 2 1 年 第 6期 00
构建企业网络信息安全体系
陈 丹
( 广东司法警官职业学院 ,广州 50 2 1 50)
Co t uc i n o nsr to fEnt r ieNe wo k nf r a i n Se urt y tm e prs t r I o m tt eP leV c t n l olg , a g h u 5 5 0C i ) G a g o gJ si oi o ai a C l eGu n z o 1 2 ,hn c c o e 0 a
sc r n g me t r m f e set”x lis d ti o e o srcin e trrs ifr t n sft rq i me t n eui ma a e n f y t o i ap cse pan eal ft c nt t nep e nomai ae v h u o i o y eur ns d e a
摘 要 :随 着病毒 、黑客 、 恶意攻 击等 手段 的层 出不 穷,企 业的信 息 安全 也遭 受前 所 未有 的威胁 ,如果 构建 企业 网络 信 息 安全 系统 已经成 为 企业 生存 及发展 首要 考 虑到 问题 。本文从 “ 物理 安 全 、系统 安全 、网络 安全 、应 用安全 及 管理安 全 ” 五个 方 面详 细 阐述 了构 建企 业信 息安 全的要 求及 实现 方案 。 关键 词 :信 息安全 ;黑客 ;屏 蔽 ; 日志 ;入侵 中图分类 号 :T 330 文 献标 识码 :A P9. 8 文 章编 号 :10 — 59 ( 0 0 0— 04 0 07 99 2 1 ) 6 06— 2
网络与信息安全系统保障要求措施
下一代防火墙运行核心交换机上层提供了监视所有网络上流过的数据包,发现能够正确识别攻击在进行的攻击特征。
攻击的识别是实时的,用户可定义报警和一旦攻击被检测到的响应。此处,我们有如下保护措施:
全部事件监控策略,监视报告所有安全事件。
网络与信息安全保障措施
信息安全
责任人
联系
电子
网络与信息安全保障措施
一、 网络安全保障措施
为了全面确保珂尔信息技术IDC机房网络安全,在本公司IDC机房网络平台解决方案设计中,主要将基于以下设计原则:
A、安全性
在本方案的设计中,我们将从网络、系统、应用、运行管理、系统冗余等角度综合分析,采用先进的安全技术,如下一代防火墙、加密技术、VPN、IPS等,为机房业务系统提供系统、完整的安全体系。确保系统安全运行。
G、系统集成性
在IDC建设时期对硬件选型主要包括国一线厂商明星产品(如华为、华三、深信服、绿盟等)。我们将为客户提供完整的应用集成服务,使客户将更多的资源集中在业务的开拓
1、硬件设施保障措施:
IDC机房服务器及设备符合互联网通信网络的各项技术接口指标和终端通信的技术标准和通信方式等,不会影响公网的安全。本公司IDC机房提供放置信息服务器及基础设备,包括:空调、照明、湿度、不间断电源、发电机、防静电地板等。我公司IDC机房分别接入CHINANET、CHINAUnicom、CMNET三条高速光纤。整个系统的应用模式决定了系统将面向大量的用户和面对大量的并发访问,系统要求为高可靠性的关键性应用系统,要求系统避免任何可能的停机和数据的破坏与丢失。系统采用最新的应用服务器技术实现负载均衡和避免单点故障。
网络安全综合防控体系建设方案
网络安全综合防控体系建设方案xx局在市局党组的正确领导和大力支持下,高度重视网络与信息安全工作,确立了“网络与信息安全无小事”的思想理念,专门召开会议部署此项工作,全局迅速行动,开展了严格细致的拉网式自查,保障了各项工作的顺利开展。
主要做法是:一、计算机涉密信息管理情况我局加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。
对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。
对涉密计算机(含笔记本电脑)实行了内、外网物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照局计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机和网络安全情况一是网络安全方面。
我局严格计算机内、外网分离制度,全局仅有几个科室因工作需要保留外网,其余计算机职能上内网,对于能够上外网的计算机实行专人专管和上网登记制度,并且坚决杜绝计算机磁介质内网外混用的做法,明确了网络安全责任,强化了网络安全工作。
二是日常管理方面切实抓好外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。
重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、邮件系统、资源库管理、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我局每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现过雷击事故。
网络信息安全建设体系研究
软 件 导 刊
So t a e Gu d fw r i e
VO . lNO. 11 5 Ma v 201 2
网 络 信 息 安 全 建 设 体 系 研 究
尹 文 婷
( 夏 电 力 公 司 固原 供 电局 电 网 调 度 控 制 中 心 , 夏 固原 7 6 0 ) 宁 宁 5 0 0
1 我 国 网络 信 息 安 全 现 状
近 日, 国 国 内最 大 的 程 序 员 网 站 批 露 , 国 有 6 0 我 我 0 多 万 网络 用 户 的 信 息 被 黑 客 公 开 ,O 1 上 半 年 受 到 病 21 年
毒攻击的用户 达到 21 . 7亿 , 占网 民 总 人 数 的 4 . , 4 7 曾 被盗过密码 的 网民达 12 . 1亿 。除 此 之 外 , 近 8 的 网 有 民在 网 上 被 欺诈 , 民在 进 行 购 物 等 涉 及 到 付 费 的 情 况 时 网
买 了这 样 的 软 件 , 很 容 易 被 木 马 等 恶 性 病 毒 袭 击 。另 就
外 , 民不 能 及 时 更新 有 效 的杀 毒 软 件 和 反 病 毒 软 件 。 网
1 2 网 络 安 全 意 识 不 强 .
对 网 民进 行 宣 传 教 育 , 难 以 分 辨 网 络 真 实 性 时 , 在 不 要 将 自己 的 个 人 信 息透 露 给他 人 , 不 要 随意 将 自己 的个 也 人 信 息 遗 留 在 网 页 。网 民在 网上 购 物 时 , 要 轻 信 中 奖 和 不
人 侵 其 他 用 户 界 面 , 取 其 相 关 信 息 。不 法 份 子 制 造 带 病 盗 毒 的 邮件 , 这种 邮件 用 户 一 旦 打 开 查 看 , 毒 就 会 人 侵 用 病 户 个 人 电 脑 , 而 达 到窃 取 的 目的 。 目前 市 面 上 出现 了 木 从
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件3 网络信息安全保障体系建设方案
目录
网络信息安全保障体系建设方案 (1)
1、建立完善安全管理体系 (1)
1.1成立安全保障机构 (1)
2、可靠性保证 (2)
2.1操作系统的安全 (3)
2.2系统架构的安全 (3)
2.3设备安全 (4)
2.4网络安全 (4)
2.5物理安全 (5)
2.6网络设备安全加固 (5)
2.7网络安全边界保护 (6)
2.8拒绝服务攻击防范 (6)
2.9信源安全/组播路由安全 (7)
网络信息安全保障体系建设方案
1、建立完善安全管理体系
1.1成立安全保障机构
山东联通以及莱芜联通均成立以总经理为首的安全管理委员会,以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组,负责全省网络信息安全的总体管理工作.
山东联通以及莱芜联通两个层面都建立了完善的内部安全保障
工作制度和互联网网络信息安全应急预案,通过管理考核机制,严格执行网络信息安全技术标准,接受管理部门的监督检查。
同时针对三网融合对网络信息安全的特殊要求,已将IPTV等宽带增值业务的安
全保障工作纳入到统一的制度、考核及应急预案当中。
内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系,域名信息登记管理制度IP地址溯源和上网日志留存等.并将根据国家规范要求,对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善.
2、可靠性保证
IPTV是电信级业务,对承载网可靠性有很高的要求。
可靠性分为设备级别的可靠性和网络级别的可靠性。
(1)设备级可靠性
核心设备需要99.999%的高可靠性,对关键网络节点,需要采用双机冗余备份。
此外还需要支持不间断电源系统(含电池、油机系统)以保证核心设备24小时无间断运行。
(2)网络级可靠性
关键节点采用冗余备份和双链路备份以提供高可靠性。
网络可靠性包括以下几方面:
➢接入层:接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。
➢汇聚层:在OSI第三层上使用双机VRRP备份保护机制,使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测,然后
通过使用快速路由协议收敛来完成链路快速切换。
➢核心层:在P设备(Core设备和CR设备)上建立全连接LDP over TE。
TE的数量在200以下.
➢组播业务保护:主要基于IS—IS协议对组播业务采取快速收敛保护,对组播分发进行冗余保护和负载分担.
2。
1操作系统的安全
在操作系统级别上,其安全需求主要表现在防止非法用户入侵、防病毒、防止数据丢失等。
➢防止非法用户入侵:系统设置防火墙,将所有需要保护的主机设置在防火墙内部,物理上防止恶意用户发起的非法攻击和
侵入.为业务管理人员建立起身份识别的机制,不同级别的业
务管理人员,拥有不同级别的对象和数据访问权限.
➢防病毒:部署防病毒软件,及时更新系统补丁。
➢数据安全:建立数据安全传输体系,系统具备完善的日志功能,登记所有对系统的访问记录。
建立安全的数据备份策略,
有效地保障系统数据的安全性。
2.2系统架构的安全
IPTV运营管理平台具备双机热备份功能,业务处理机、EPG服务器、接口机都支持主备功能。
存储系统能够支持磁盘RAID模式,利用RAID5技术防止硬盘出现故障时数据的安全.
支持HA(High Availability)模式,实现系统的热备份,在主用系统故障时能够自动切换到备用系统,可提供流媒体服务器多种单元的冗余备份。
支持用户通过手工备份功能。
并且备份数据可保存到外部设备中.同时,设备可通过分布式部署,保证系统的安全。
EPG服务器、VDN
调度单元、网管均支持分布式处理。
2.3设备安全
核心系统(服务器硬件、系统软件、应用软件)能在常温下每周
7×24小时连续不间断工作,稳定性高,故障率低,系统可用率大于99.9%。
具备油机不间断供电系统,以保证设备运行不受市电中断的影响。
服务器平均无故障时间(MTBF)大于5,000小时,小型机平均无故障时间(MTBF)大于10,000小时,所有主机硬件三年内故障修复
时间不超过30个小时。
2.4网络安全
IPTV业务承载网络直接与internet等网络互联,作为IP网络
也面临各种网络安全风险,包括网络设备入侵、拒绝服务攻击、路由欺骗、QOS服务破坏以及对网络管理、控制协议进行网络攻击等,故IPTV承载网络的安全建设实现方式应包括物理安全、网络设备的安
全加固、网络边界安全访问控制等内容.
2。
5物理安全
包括IPTV承载网络通信线路、物理设备的安全及机房的安全。
网络物理层的安全主要体现在通信线路的可靠性,软硬件设备安全性,设备的备份和容灾能力,不间断电源保障等。
2.6网络设备安全加固
作为IP承载网,首先必须加强对网络设备的安全配置,即对网
络设备的安全加固,主要包括口令管理、服务管理、交互式访问控制
等措施。
口令的安全管理,所有网络设备的口令需要满足一定的复杂性要求;对设备口令在本地的存储,应采用系统支持的强加密方式;在口
令的配置策略上,所有网络设备口令不得相同,口令必须定时更新等;在口令的安全管理上,为了适应网络设备的规模化要求,必须实施相
应的用户授权及集中认证单点登录等机制,不得存在测试账户、口令
现象。
服务管理,在网络设备的网络服务配置方面,必须遵循最小化服务原则,关闭网络设备不需要的所有服务,避免网络服务或网络协议
自身存在的安全漏洞增加网络的安全风险。
对于必须开启的网络服务,必须通过访问控制列表等手段限制远程主机地址.在边缘路由器应当
关闭某些会引起网络安全风险的协议或服务,如ARP代理、CISCO的CDP协议等。
控制交互式访问,网络设备的交互式访问包括本地的控制台访问及远程的VTY终端访问等.网络设备的交互式访问安全措施包括:加
强本地控制台的物理安全性,限制远程VTY终端的IP地址;控制banner信息,不得泄露任何相关信息;远程登录必须通过加密方式,禁止反向telnet等。
2。
7网络安全边界保护
网络安全边界保护的主要手段是通过防火墙或路由器对不同网
络系统之间实施相应的安全访问控制策略,在保证业务正常访问的前提下从网络层面保证网络系统的安全性.
IPTV承载网络边界保护措施主要包括以下两点:
通过路由过滤或ACL的方式隐藏IPTV承载网路由设备及网管等系统的IP地址,减少来自Internet或其它不可信网络的安全风险。
在IPTV承载网络边缘路由器与其它不可信网络出口过滤所有的不需要的网络管理、控制协议,包括HSRP、SNMP等.
2.8拒绝服务攻击防范
拒绝服务攻击对IPTV承载网络的主要影响有:占用IPTV承载网网络带宽,造成网络性能的下降;消耗网络设备或服务器系统资源,导致网络设备或系统无法正常提供服务等。
建议IPTV承载网络采取以下措施实现拒绝服务攻击的防范:实
现网络的源IP地址过滤,在IPTV承载网接入路由器对其进行源IP地址的检查.关闭网络设备及业务系统可能被利用进行拒绝服务攻击的
网络服务端口及其它网络功能,如echo、chargen服务,网络设备的子网直接广播功能等。
通过建立网络安全管理系统平台实现对拒绝服务攻击的分析、预警功能,从全局的角度实现对拒绝服务攻击的监测,做到早发现、早隔离.
下图给出了IPTV承载网安全建设实现方式图。
2。
9信源安全/组播路由安全
尽管组播技术具备开展新业务的许多优势,并且协议日趋完善,但开展组播业务还面临着组播用户认证、组播源安全和组播流量扩散安全性的问题.
组播源管理:在组播流进入骨干网络前,组播业务控制设备应负责区分合法和非法媒体服务器,可以在RP上对组播源的合法性进行
检查,如果发现来自未经授权的组播源的注册报文,可以拒绝接收发送过来的单播注册报文,因此下游用户就可以避免接收到非法的组播节目.为防止非法用户将组播源接入到组播网络中,可以在边缘设备上配置组播源组过滤策略,只有属于合法范围的组播源的数据才进行处理。
这样既可以对组播报文的组地址进行过滤,也可以对组播报文的源组地址进行过滤.
组播流量扩散安全性:在标准的组播中,接收者可以加入任意的组播组,也就是说,组播树的分枝是不可控的,信源不了解组播树的范围与方向,安全性较低。
为了实现对一些重要信息的保护,需要控制其扩散范围,静态组播树方案就是为了满足此需求而提出的。
静态
组播树将组播树事先配置,控制组播树的范围与方向,不接收其他动
态的组播成员的加入,这样能使组播信源的报文在规定的范围内扩散.在网络中,组播节目可能只需要一定直径范围内的用户接收,可以在
路由器上对转发的组播报文的TTL数进行检查,只对大于所配置的TTL阈值的组播报文进行转发,因此可以限制组播报文扩散到未经授
权的范围.
组播用户的管理:原有标准的组播协议没有考虑用户管理的问题,但从目前组播应用的情况来看,在很多的组播业务运营中,组播用户的管理仍未得到很好的解决.在IPTV业务中,直播业务作为十分重要的业务,对用户进行控制管理是必不可少的。
对组播用户的管理就是对经过授权的组播用户控制其对组播业务的接入,控制用户哪些组播
频道可以观看,哪些频道不可以观看.通过在DSLAM/LAN交换机用户
侧对组播组进行控制,防止恶意用户的非法组播流攻击网络。