广电网络边界信息交换与安全隔离
DESCRIPTION
广电网络边界信息交换与安全隔离. 北京师慧视联信息科技有限公司. 讲解提纲. 全台业务网的构成及网络安全综述 互联遇到的问题及风险分析 传统的解决方案及其缺点 我们的解决方案是什么 媒资卫士的关键技术摘要 媒资卫士在广电网络中的应用实例 媒资卫士与其他产品的优势比较. 新闻制作网. 广告制作网. 综合制作 网. 媒资网. 收录网. 录音网. 播出网. 综合信息网. 全台业务网的构成. 广电网络安全包括:. 硬件安全 软件安全 数据 安全 管理安全. 业务网安全风险的分布. 总结: 由此可见,网络边界的安全防范是阻断威胁的重点!!!. - PowerPoint PPT PresentationTRANSCRIPT
广电网络边界信息交换与安全隔离
北京师慧视联信息科技有限公司
www.bjshihui.com 1
讲解提纲
全台业务网的构成及网络安全综述 互联遇到的问题及风险分析 传统的解决方案及其缺点 我们的解决方案是什么 媒资卫士的关键技术摘要 媒资卫士在广电网络中的应用实例 媒资卫士与其他产品的优势比较
www.bjshihui.com 2
全台业务网的构成
www.bjshihui.com 3
广电网络安全包括:
硬件安全
软件安全
数据安全
管理安全
www.bjshihui.com 4
业务网安全风险的分布
硬件和管理是“常态” 软件和数据是“动态” 动态交换引入“风险” 风险的入口是“边界”
5www.bjshihui.com
总结: 由此可见,网络边界的安全防范是阻断威胁的重点!!!
简单互联遇到的安全问题
数据、病毒、攻击网络 A 网络 B
网络之间简单互联,在数据交换的同时必然导致病毒、攻击在网络间相互传播
www.bjshihui.com 6
传统的解决方案是什么
A 网络
防火墙 网络杀毒网络杀毒
网络间通过防火墙隔离网络内部安装杀毒软件
www.bjshihui.com 7
传统方案存在的缺点 防火墙:
1. 逻辑隔离存在网络通道,自身瘫痪后攻击行为可长驱直入;
2. 防火墙不能抵抗最新的未设置策略的攻击;
3. 因为采用了通用传输协议,对于协议漏洞造成的安全问题无法解决;
4. 防火墙 最大的问题是不能检测来自文件内部的危险。
www.bjshihui.com 8
传统方案存在的缺点
9www.bjshihui.com
杀毒软件:
1. 病毒库升级落后于新病毒的产生,容易漏杀;
2. 杀毒软件自身的缺陷,容易导致误杀 ; 3. 黑名单方式,查杀速度慢。
我们的解决方案是什么
MRG9000 媒资卫士,是专为解决广电网络边界的安全隔离和数据导入问题而开发的。它克服杀毒软件和防火墙的缺点,真正有效地保护内网的安全。
核心思想:交换与隔离!交换就是网络间进行有用的数据传输;隔离是指在进行数据传输的过程中,屏蔽病毒和攻击等有害信息。
核心目标:安全、完整、高效!
www.bjshihui.com 10
媒资卫士的关键技术摘要
物理隔离与专有协议
自定制系统与白名单
文件深度检测
www.bjshihui.com 11
物理隔离与专有协议
A 点到 B 点的通讯,是靠 C 点的大缓存及高速电子开关的反复摆动实现的。当 B 和 C 连通时数据从 B 传递到 C ; 当 C 和 A 连通时,数据再从 C 传递到 A ,间接实现了数据从 B 端到 A 端的传输。在 A 到 C 再到 B 的环节上, TCP/IP 协议被阻断,内部采用自有协议更安全!
内网与外网没有物理连接,依靠隔离开关摆动传输数据
www.bjshihui.com 12
自定制系统与白名单方式 一个保护别人安全的产品首先要保证自身的安全!
系统采用定制的 Linux 操作系统,及特殊的内存管理方式,使传统的病毒和攻击无法在其上运行。
白名单是设置能通过的用户,符合条件的的用户才能通过。 类似于人大代表进会场。
因为广电常用文件格式数量很少,所以适合采用白名单方式!
13www.bjshihui.com
文件深度检测 根据白名单对文件类型做深度检查,除了
尾缀识别外,还要做特征码分析、语义分析和逻辑结构分析等深度解析,彻底避免假冒文件通过;
当传输文件中被注入恶意代码时,媒资卫士能够准确识别其结构的变化并加以阻断和告警;
有些类似产品只停留在简单的尾缀识别,对假冒文件或来自文件内部的病毒威胁是检测不出的!
14www.bjshihui.com
真正有效的安全隔离 媒资卫士通过文件深度检测,彻底阻断来
自文件内部的威胁; 媒资卫士通过物理隔离和专有协议,彻底
阻断来自文件外部的威胁; 文件内部和文件外部的威胁全部被阻断,
进而实现真正安全有效的网络隔离。
15www.bjshihui.com
产品功能介绍
文件交换及 FTP 功能: 白名单设置及深度检测: 支持广电常用的文件格式:视音频文件格式、图片格式、动画模板、字幕等,用户可以根据需要设置白名单的种类,并通过深度检测彻底隔离威胁和伪装!
隐形插入协议透传:广电网络的很多业务,不是简单的文件拷贝,可能涉及到很多数据同步和协议透传问题,本设备可以隐形插入到原来的网络内部,不改变原来的使用习惯!!!
www.bjshihui.com 16
产品功能介绍
上传和下载可分别限定文件类型:可以保护重要数据不被泄密。
文件断点续传功能及任务优先级设置:断点续在传输大文件时能保证传输效率。优先级设置可以保证在紧急情况下新闻类文件可优先通过。
跨网段传输及传输状态声音报警提示:支持数据跨网段传输,内网、外网可分别设置多达 10 个不同网段的 IP 地址,支持文件传输状态声音报警提示,客户可为传输状态自定义对应的声音:任务结束、任务成功、任务失败。
17www.bjshihui.com
产品主要功能
文件夹传输及目录传输
支持松下 P2卡文件格式及常用非编格式
日志审计及报表管理
自动上传 , 自动识别本地文件夹更新18www.bjshihui.com
MRG9000 媒资卫士19www.bjshihui.com
著作权登记证书
媒资卫士在广电网络中的应用(一)
www.bjshihui.com 20
制作网、播出网或存储网络的外来数据安全导入
媒资卫士在广电网络中的应用(二)
www.bjshihui.com 21
各个局域网之间的安全隔离和数据交换
22www.bjshihui.com
实例 : 某台 5 个大局域网间网络互联结构图
媒资卫士在此台局域网间部署结构图
www.bjshihui.com 23
服务
器 服务器
媒资卫士应用实景照片
24www.bjshihui.com
承德电视台机房 广西来宾电视台机房
媒资卫士应用实景照片
特别感谢兰州电视台使用媒资卫士 !!!25www.bjshihui.com
徐州电视台机房 淄博电视台机房
媒资卫士与防火墙相比较 的技术优势
设计的理念不同:一个是在“安全”的前提下经可能的“通”,一个是在“通”的情况下尽可能“安全”。
隔离方式不同:一个是物理隔离,一个是逻辑隔离,前者更安全。
传输协议不同:一个是专有协议,一个是标准 TCP/IP 协议,前者抗风险能力更强。
检测范围不同:一个是深度检测,一个对文件内部的威胁不检测,前者检测的更深入。
通用设备与专用设备:一个是广电定制设备,一个是通用设备。媒资卫士开发了很多防火墙不 具备的实用功能。
www.bjshihui.com 26
媒资卫士与网闸相比较的技术优势
白名单的检测深度不同:一个是深度检测,一个对文件内部的威胁不检测,前者检测的更深入。
数据迁移缓存的介质不同:一个是用大缓存,一个是用硬盘,前者可靠性比后者强。
对大文件传输的支持不同:一个对大文件没限制,一个有限制。
通用设备与专用设备:一个是广电专用设备一个是电信通用设备。
www.bjshihui.com 27
关于用防火墙 和网闸“变脸”的安全网关防火墙不是物理隔离,防火墙 和网闸都通用设备且不能做文件深度检测。
用两台标准计算机搭建的所谓“门户网关”
单纯靠一个应用软件导入,中间既无隔离,又使用通用 TCP\IP 协议 ,其隔离性与安全性可想而知!
深度检测的测试方法白名单文件伪装法和带病毒文件检测法
特别提示
www.bjshihui.com 28
为广电网络建设添砖加瓦
为全台互联互通保驾护航
我们的目标
安全源于防范!安全重于泰山!
www.bjshihui.com 29