Download
1 / 29
290 likes | 442 Views
广电网络边界信息交换与安全隔离. 北京师慧视联信息科技有限公司. 讲解提纲. 全台业务网的构成及网络安全综述 互联遇到的问题及风险分析 传统的解决方案及其缺点 我们的解决方案是什么 媒资卫士的关键技术摘要 媒资卫士在广电网络中的应用实例 媒资卫士与其他产品的优势比较. 新闻制作网. 广告制作网. 综合制作 网. 媒资网. 收录网. 录音网. 播出网. 综合信息网. 全台业务网的构成. 广电网络安全包括:. 硬件安全 软件安全 数据 安全 管理安全. 业务网安全风险的分布. 总结: 由此可见,网络边界的安全防范是阻断威胁的重点!!!.
E N D
广电网络边界信息交换与安全隔离 北京师慧视联信息科技有限公司 www.bjshihui.com
讲解提纲 • 全台业务网的构成及网络安全综述 • 互联遇到的问题及风险分析 • 传统的解决方案及其缺点 • 我们的解决方案是什么 • 媒资卫士的关键技术摘要 • 媒资卫士在广电网络中的应用实例 • 媒资卫士与其他产品的优势比较 www.bjshihui.com
新闻制作网 广告制作网 综合制作网 媒资网 收录网 录音网 播出网 综合信息网 全台业务网的构成 www.bjshihui.com
广电网络安全包括: • 硬件安全 • 软件安全 • 数据安全 • 管理安全 www.bjshihui.com
业务网安全风险的分布 总结: 由此可见,网络边界的安全防范是阻断威胁的重点!!! www.bjshihui.com 硬件和管理是“常态” 软件和数据是“动态” 动态交换引入“风险” 风险的入口是“边界”
简单互联遇到的安全问题 数据、病毒、攻击 网络A 网络B 网络之间简单互联,在数据交换的同时 必然导致病毒、攻击在网络间相互传播 www.bjshihui.com
防火墙 A网络 传统的解决方案是什么 网络杀毒 网络杀毒 B网络 网络间通过防火墙隔离 网络内部安装杀毒软件 www.bjshihui.com
传统方案存在的缺点 • 防火墙: 1. 逻辑隔离存在网络通道,自身瘫痪后攻击行为可长驱直入; 2. 防火墙不能抵抗最新的未设置策略的攻击; 3.因为采用了通用传输协议,对于协议漏洞造成的安全问题无法解决; 4. 防火墙最大的问题是不能检测来自文件内部的危险。 www.bjshihui.com
传统方案存在的缺点 www.bjshihui.com 杀毒软件: 1. 病毒库升级落后于新病毒的产生,容易漏杀; 2.杀毒软件自身的缺陷,容易导致误杀 ; 3.黑名单方式,查杀速度慢。
我们的解决方案是什么 • MRG9000媒资卫士,是专为解决广电网络边界的安全隔离和数据导入问题而开发的。它克服杀毒软件和防火墙的缺点,真正有效地保护内网的安全。 • 核心思想:交换与隔离!交换就是网络间进行有用的数据传输;隔离是指在进行数据传输的过程中,屏蔽病毒和攻击等有害信息。 • 核心目标:安全、完整、高效! www.bjshihui.com
媒资卫士的关键技术摘要 • 物理隔离与专有协议 • 自定制系统与白名单 • 文件深度检测 www.bjshihui.com
物理隔离与专有协议 内网与外网没有物理连接,依靠隔离开关摆动传输数据 A点到B点的通讯,是靠C点的大缓存及高速电子开关的反复摆动实现的。当B和C连通时数据从B传递到C;当C和A连通时,数据再从C传递到A,间接实现了数据从B端到A端的传输。 在A到C再到B的环节上,TCP/IP协议被阻断,内部采用自有协议更安全! www.bjshihui.com
自定制系统与白名单方式 www.bjshihui.com 一个保护别人安全的产品首先要保证自身的安全! 系统采用定制的Linux操作系统,及特殊的内存管理方式,使传统的病毒和攻击无法在其上运行。 白名单是设置能通过的用户,符合条件的的用户才能通过。 类似于人大代表进会场。 因为广电常用文件格式数量很少,所以适合采用白名单方式!
文件深度检测 www.bjshihui.com 根据白名单对文件类型做深度检查,除了尾缀识别外,还要做特征码分析、语义分析和逻辑结构分析等深度解析,彻底避免假冒文件通过; 当传输文件中被注入恶意代码时,媒资卫士能够准确识别其结构的变化并加以阻断和告警; 有些类似产品只停留在简单的尾缀识别,对假冒文件或来自文件内部的病毒威胁是检测不出的!
真正有效的安全隔离 www.bjshihui.com 媒资卫士通过文件深度检测,彻底阻断来自文件内部的威胁; 媒资卫士通过物理隔离和专有协议,彻底阻断来自文件外部的威胁; 文件内部和文件外部的威胁全部被阻断,进而实现真正安全有效的网络隔离。
产品功能介绍 • 文件交换及FTP功能: • 白名单设置及深度检测: 支持广电常用的文件格式:视音频文件格式、图片格式、动画模板、字幕等,用户可以根据需要设置白名单的种类,并通过深度检测彻底隔离威胁和伪装! • 隐形插入协议透传:广电网络的很多业务,不是简单的文件拷贝,可能涉及到很多数据同步和协议透传问题,本设备可以隐形插入到原来的网络内部,不改变原来的使用习惯!!! www.bjshihui.com
产品功能介绍 www.bjshihui.com 上传和下载可分别限定文件类型:可以保护重要数据不被泄密。 文件断点续传功能及任务优先级设置:断点续在传输大文件时能保证传输效率。优先级设置可以保证在紧急情况下新闻类文件可优先通过。 跨网段传输及传输状态声音报警提示:支持数据跨网段传输,内网、外网可分别设置多达10个不同网段的IP地址,支持文件传输状态声音报警提示,客户可为传输状态自定义对应的声音:任务结束、任务成功、任务失败。
产品主要功能 www.bjshihui.com 文件夹传输及目录传输 支持松下P2卡文件格式及常用非编格式 日志审计及报表管理 自动上传,自动识别本地文件夹更新
MRG9000媒资卫士 著作权登记证书 www.bjshihui.com
媒资卫士在广电网络中的应用(一) 制作网、播出网或存储网络的外来数据安全导入 www.bjshihui.com
媒资卫士在广电网络中的应用(二) 各个局域网之间的安全隔离和数据交换 www.bjshihui.com
实例:某台5个大局域网间网络互联结构图 www.bjshihui.com
新闻网 综合制作网 媒资网 播出网 直播生活 媒资卫士在此台局域网间部署结构图 MRG MRG MRG MRG MRG MRG9000 MRG9000 MRG9000 MRG9000 MRG9000 MRG MRG9000U 服务器 服务器 新闻上传 外部数据 www.bjshihui.com
媒资卫士应用实景照片 承德电视台机房 广西来宾电视台机房 www.bjshihui.com
媒资卫士应用实景照片 淄博电视台机房 徐州电视台机房 www.bjshihui.com 特别感谢兰州电视台使用媒资卫士!!!
媒资卫士与防火墙相比较的技术优势 • 设计的理念不同:一个是在“安全”的前提下经可能的“通”,一个是在“通”的情况下尽可能“安全”。 • 隔离方式不同:一个是物理隔离,一个是逻辑隔离,前者更安全。 • 传输协议不同:一个是专有协议,一个是标准TCP/IP 协议,前者抗风险能力更强。 • 检测范围不同:一个是深度检测,一个对文件内部的威胁不检测,前者检测的更深入。 • 通用设备与专用设备:一个是广电定制设备,一个是通用设备。媒资卫士开发了很多防火墙不具备的实用功能。 www.bjshihui.com
媒资卫士与网闸相比较的技术优势 • 白名单的检测深度不同:一个是深度检测,一个对文件内部的威胁不检测,前者检测的更深入。 • 数据迁移缓存的介质不同:一个是用大缓存,一个是用硬盘,前者可靠性比后者强。 • 对大文件传输的支持不同:一个对大文件没限制,一个有限制。 • 通用设备与专用设备:一个是广电专用设备一个是电信通用设备。 www.bjshihui.com
特别提示 • 关于用防火墙和网闸“变脸”的安全网关 防火墙不是物理隔离, 防火墙和网闸都通用设备且不能做文件深度检测。 • 用两台标准计算机搭建的所谓“门户网关” 单纯靠一个应用软件导入,中间既无隔离,又使用 通用TCP\IP协议 ,其隔离性与安全性可想而知! • 深度检测的测试方法 白名单文件伪装法和带病毒文件检测法 www.bjshihui.com
我们的目标 • 为广电网络建设添砖加瓦 • 为全台互联互通保驾护航 安全源于防范! 安全重于泰山! www.bjshihui.com
