HFC网络的链路安全管理
发布时间:2006-10-14 4:15:15   收集提供:gaoqian
武汉诚源科技有限公司 张学斌


  要建设安全的、可管理的多功能有线电视网络,应该建立“以防为主,监防结合”的网络安全管理观念,将预防、监测、隔离和恢复等环节有机结合起来,形成一个完整、有效的解决方案:

  ● 利用“有线电视HFC网络传输链路检测”技术,对网络各环节状态(如线路的通/断、信号电平等)进行实时监测,发现问题及时报告;

  ● 利用“有线电视HFC网络传输链路管理”技术,及时控制网络出现问题的环节,如一旦发现非法侵入特征,自动关断相关的传输设备,控制事态的发展,相关人员迅速达到现场,进一步解决问题;

  ● 利用计算机“自适应”技术解决管理系统的可靠性和策略性问题;

  ● 利用GIS技术在电子地图上实时显示故障点及其相关信息。

效果:

  ● 便利地将多项有效的网络安全措施贯穿到网络的建设和改造过程中:

  ● 简便经济的预防措施,有效防范问题;

  ● 分布式计算机系统24小时监测网络,及时发现问题;

  ● 智能化管理,将事故消除在萌芽状态------隔离并控制问题的影响;

  ● 可集中控制的计算机寻址管理系统,可及时恢复网络的正常运营。

与其它方案相比,具有如下特点:

  ● 不针对具体的安全问题,具有普遍和长期意义;

  ● 不依赖于其它网络,具有完整性和独立性;

  ● 技术成熟可靠,可管理到门栋甚至用户终端—-追踪非法信号源;

  ● 建设成本低廉,经济有效,符合“帕拉托”效益法则;

 ● 规范了有线网络结构,为网络的长期、稳定发展打下了坚实的基础;

  ● 基于有线网络物理和链路层的管理策略,对数字业务不产生影响;

  ● 已有多项专利,与之相关技术的产品已长期、大规模投入管理运行;

  ● 立足于多功能网络的管理,将客户欠费、私拉盗接和上行噪声等问题与网络安全一并考虑,无需重复建设。

1、HFC物理网络的脆弱环节---安全管理漏洞

  在“法轮功”分子利用有线电视网络进行非法插播之前,有线电视HFC网络安全管理问题一直没有受到应有的重视。事实上,网络安全管理所涉及到的内容非常广泛,其中有物理空间上的访问控制、门禁管理,信息系统中的身份验证、日志管理,以及网络本身在遭遇被蓄意破坏和侵入时的检测与处理等。这里仅以防范“法轮功”非法插播为例,着重分析有线电视HFC网络物理层的安全管理问题。

  目前,广电HFC网络的安全管理漏洞主要存在于其由同轴电缆及相关传输设备组成的传输系统及传统的树型分支分配用户分配网络(如图所示)。对这一网络部分的非法信号插播、信号私拉盗接以及其它破坏活动或故障所引发的后果将会直接影响到每一个网络终端用户。

● 针对广电HFC网络的主要侵入手段有:

● 在电缆上开口后馈入非法信号;

● 通过设备输入/输出端口馈入非法信号;

● 通过设备空闲端口馈入非法信号;

● 破坏传输设备后,插入非法信号;

● 自用户分配网空闲端口或用户端口馈入非法信号;

● 从传输或供电设备的外壳耦合非法信号。

下图为有线电视网络典型应用示意图



  可以看出,HFC网络的脆弱性主要是在电缆网部分,电缆网的脆弱性主要是由其空闲的端口、方便的接头、容易开启的设备盖和无法隔离的设备壳(信号地)等引起的,而这些问题主要来自于“工程施工的简便”和“对网络变化信息的无能为力”,以至于管理者无法知道网络从设计、施工、维护到非法接入的网络变化,也就无从谈起“网络安全”管理。

2、HFC网络安全管理的原则与方法

  针对上述问题,我们认为目前HFC网络安全管理的基本目标是:及时发现并有效防范利用有线电视HFC网络进行非法广播(如在HFC网络传输链路上插入电视、广播或其它数据信号),以达到宣传或赢利的目的的行为;及时发现并有效防范对有线电视HFC网络的破坏性行为,如在光电接口、电缆干线、电缆支线和电缆入户线的私拉乱接、盗接等,并在上述基础上,控制事故的影响范围,及时恢复网络服务。

  有线电视信息消费已成为人们日常生活的基本需求,电视广播信息对社会发展和人们生活安定有重大影响,预防其灾害的发生与防火、防洪等同样重要,“防患于未然”也同样是HFC网络安全的首要原则,这一论点可从我们的社会生活中得到印证:与有线宽带网有可比性的是高速公路网,常识告诉我们,高速公路上极少有逃费行为,究其原因,是由于高速公路全封闭,除合法入口外,车辆无法上路。也就是说,如果有线电视网络在建设中充分考虑安全问题,不法分子也就不能轻易侵入网络,只能强行破坏网络或设备,如剪断电缆或打开设备外壳等,而针对这些情况的检测手段就极其便利。因此,我们认为HFC网络安全管理应采取“以防为主”的策略。

  在网络具备基本的安全性能的前提下,不法分子可采取破坏性行为强行侵入网络,但任何侵入行为都有一个过程,如断开电缆、电缆开口、撬开设备箱,打开设备盖等。一旦这些行为发生,系统应该检测并甄别出来。一旦系统检测到非法入侵行为后,就应该按预定策略,将事故点进行隔离,控制事故的影响范围。

  对于一个网络运营管理者而言,检测和隔离事故并不是安全管理的目的,而恢复网络的正常运行、保障客户的合法利益才是最终目的。因此,有线电视HFC网络安全管理的原则是预防、检测、隔离和恢复。要做好网络系统的安全性管理工作,首先应做好预防工作,尽量消除网络运行中不安全的因素。在网络安全万一受到威胁,或一旦网络被侵入或遭受破坏时,网络综合管理系统中则应有适当的实时监测功能、快速隔离功能和恢复功能,使危害或损失降低到最小。

3、实现HFC网络安全管理的方法

  确定了有线电视HFC网络安全管理的目标和原则,就必须采用相应的技术手段。目前,防范“法轮功”分子利用有线网络进行非法插播的有效方法是:

● 改造现有的电缆连接头,保证在设备不开盖的情况下,难以侵入网络。

● 采用“外置式网管代理器”改造干线放大器,使其在物理、链路和业务等层面具备基本的安全防范功能。网管代理器与放大器一同安装在风雨箱内,风雨箱内置防盗检测和报警器

● 采用防盗型接头和风雨箱保护干线上的过流分支分配器,并将其“空闲端口”用跳线或寻址技术收敛起来。

● 为延长放大器加装防盗、开盖检测等安全功能,并将其“空闲端口”用跳线或寻址技术收敛起来。

● 结合网络的多功能建设,改造由分支分配器组成的不可管理的客户接入网络。

在上述基础上,利用有线电视HFC网络传输链路检测技术,对网络各环节的状态(如线路的通/断、信号电平等特征)进行实时监测,发现问题及时报告;利用有线电视HFC网络传输链路管理技术,对网络出现问题的环节进行及时控制,例如一旦发现网络有非法信号插入特征,计算机立即关断相关的传输设备,控制事态的发展,相关人员迅速达到现场,进一步解决问题。

  值得指出的是,由于我国有线电视HFC网络十分庞大,不仅不同地区网络的结构、性能和管理方式存在差异,同一地区网络的不同线路环境也千差万别,只有利用计算机“自适应”技术,才能有效解决管理系统的可靠性和策略性问题。


摘自 中国有线电视导航
 
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50