三网融合模式下网络安全防护技术分析

丁禄祺

摘要：在三网融合背景下，电信网、计算机网和有线电视网实现了物理合一，不仅可以为用户提供多样化和高质量的网络服务，还对网络安全防护管理提出了更高的要求。特别是在出现黑客攻击、病毒侵扰等安全问题后，加强三网融合模式下的网络安全防护技术研究显得十分有必要。本文首先概述了三网融合，然后对三网融合模式下的网络安全风险进行细致分析，最后从外部通道、内部系统、公共区域三方面入手，提出创建加密隧道、多层身份认证、设置防火墙、漏洞自动检测维护等安全防护技术，以供参考。

关键词：三网融合；网络安全；防护技术

DOI：10.12433/zgkjtz.20233035

随着信息技术不断发展，网络已经覆盖了人们工作和生活的方方面面。将广播电视网、电信网和互联网有效融合起来，增进内容、业务深度融合，可为人们提供更高质量的网络化服务。然而受网络开放性、业务多样化等因素影响，各种网络安全问题频频发生，这就无法保证网络服务的质量和促进三网融合的深入发展。因此，应加强三网融合模式下的网络安全研究与分析，并围绕较常出现的网络安全问题，采用积极有效的措施进行防控和解决，从而在保证网络运行安全的同时，推动三网融合事业更进一步发展。

一、三网融合概述

三网融合又叫三网合一，是电信网络、有线电视网络和计算机网络相互渗透和互相兼容，逐步整合成为全世界统一的信息通信网络，互联网是其核心部分。简单来说，实现有线电视、电信和计算机通信三者之间的融合，使之形成健全高效的通信网络，有效满足当今社会发展的实际需求。三网融合打破了以往单一网络在内容输送、宽带领域等方面之中的垄断局面，并通过互相进入和业务内容整合实现协同发展。

二、网络安全风险分析

（一）网络协议风险

互联网通信较常使用的通讯协议是TCP/IP，传输层协议为TCP，网络层协议为IP，这些协议直接定义了电子设备如何接入到网络系统中和数据如何在它们之间传输的标准。网络层的IP协议会通过预定过程实现对信息的有效交换，实际操作中将复杂成分进行分解，因此，传输过程容易出现端到端信息交换无法监控的情况。这时网络黑客可能会对其随时发动攻击，网络系统瘫痪事故发生概率也会升高，比如，攻击者利用IP地址欺骗、借助入口工具入侵网络等。在三网深度融合以后，网络协议安全风险也会进一步升高，尤其是在对电信网、广电网等进行IP化推广以后，网络协议如何安全地接入也会引起社会大众广泛的关注与讨论。

（二）跨网病毒风险

在三网融合之前，无论是广电网络，还是电信网络，都具有较强的封闭性和监管力度，遭遇黑客攻击、木马程序等安全问题的概率较低。在三网融合后，广电网络、电信网络等在业务运营方面变得更加开放，这些网络原本封闭的状态被逐渐打破，但面临的网络安全威胁也会越来越多。尤其是在不同网络之间进行业务交叉和数据交换方面，一旦整个过程有一个网络或者业务遭受外部攻击，就会对整个网络系统安全稳定运行造成较大的影响，因此，需要从三网融合角度入手积极探寻保障网络安全的有效防护措施。

（三）网络监控风险

三网融合以后，信息系统遭受网络风险的概率会急剧升高，对网络流量和异常行为监控监测的难度也升级。尤其是在将音视频数据接入到网络系统中以后，不仅无法有效控制网络流量，而且容易发生拒绝服务攻击问题。针对异常情况，要依托互联网对大量数据信息进行整理分析，网络异常行为判断也就变得愈发困难，甚至会出现无法判断的情况，无法满足人们多样化的网络使用需求。

（四）终端安全风险

在三网融合深入推进的背景下，终端也会得到快速的发展，并逐渐形成三屏合一。这时终端接入的方式会变得更加丰富多样，比如，蓝牙接入、无线接入、WIFI接入等。移动终端正在逐渐成为个人信息处理中心，实际作业在受到电力供应、接入频率、自身防御等因素影响以后，终端安全问题的发生概率也会升高，并且这些安全问题会变得更加复杂。

（五）隐私安全风险

三网融合可以支持人们直接利用互联网、电信网等途径对个人信息进行便捷高效的交互，比如，使用网上银行、传送电子病历等。虽然三网融合为人们获取和传递信息提供了便利，但是也增大了个人信息在网络上易被获取的风险。因此，三网融合下要对个人隐私安全风险防范引起高度重视，并保证通过网络传递信息的渠道、方式安全，从而实现对个人隐私的有效保护。

三、网络安全防护技术分析

（一）外部通道

外部通道是帮助用户借助互联网连接电信、广电并处理相关业务的一种方式。这一权限通常是归合作第三方机构所有，但这时允许第三方合作机构进入到电信和广电网络中，风险性势必会增加。为保证网络安全性，可以采用增设安全防护网的方式，在为外部用户提供安全保障的同时，还能为信息数据传输创造安全的环境。具体措施包括：

1.建立统一认证机制

传统认证机制是用户在使用网络时，对用户名、密码等进行登录认证的过程，虽然可以取得较好的安全保障效果，但是这种方式较为简单，在面对强烈攻击时也会出现账号及密码被窃取的情况。在三网融合背景下，要取得更好的安全防护效果，就需要在原本认证机制基础上，对统一认证机制进行建立。考虑到互联网认证通常都有公钥证书提供支持，因此，在电信网认证上可以预置密钥为基础的对称密码挑战应答，然后将两者有效结合起来进行认证，这样在进行数据信息交换时，电信网络可以通过预置密钥进行认证，互联网阶段进行电信网运营商认证。另外，还可以采用IC卡认证的方式，代替互联网通讯认证，在降低网络安全风险的同时，用户数据交流的便捷程度也会得到提升。

2.防火墙技术

在外部通道加设防火墙技术，可以对网络之间的访问进行有效控制，避免外部网络用户采用非法手段进入内部网络，对存在的网络资源进行访问窃取。同时，有了防火墙技术的支持，外部通道也能对网络向外传输的重要信息进行拦截与保护。

3.网络安全扫描技术

这项技术可以对网络进行全面系统的扫描，并实现对网络安全配置及运行服务情况的深化了解，针对出现的安全隐患及漏洞能根据扫描结果进行自动风险等级评估，并科学指导网络管理员采取有效措施进行控制与解决。另外，还可以将该项技术与防火墙、入侵检测系统等结合起来，最大限度地保障外部通道安全性，网络安全防范水平也能得到相应的提升。

（二）内部系统

内部系统是三网融合数据核心区域，若系统运行遭遇网络安全问题，不仅会对信息高效安全传递带来不利的影响，还会对电信、广电相关业务融合构成极大的威胁。对此，要采取有效措施保障内部系统运行安全稳定。具体内容包括：

1.服务器区

当前广电、电信网络服务器安装的软件非常多，并且这些软件复杂程度也较高，若服务器发生故障损坏问题，势必会对内部系统运行造成较大的影响。因此，可以对服务器实施立体式的安全防护。常见措施包括：在服务器的出口设置防火墙，并注意在防火墙上设置各种过滤措施，在完成符合要求请求的筛选以后，被发送到服务器进行处理。同时，在服务器入口还可以建构入侵检测系统，在实现对系统漏洞自动监测维护的同时，还可以对发现的安全问题进行及时上报。另外，对于一些文件服务器，还可以加设防病毒网关，以保证各类软件正常运行。

2.VoD区

该区域存在组件较多，常见的有视频服务器、信号服务器等，若这些组件遭遇网络攻击，就无法为用户提供网络资源访问服务。这就要对日常防护工作引起高度重视，并借助入侵检测技术查看是否有漏洞情况出现，避免非法用户通过这些漏洞对机顶盒、信令通道等进行攻击和控制。

3.BOSS服务器

BOSS服务器是广电综合业务营运的有力支撑系统，并且在业务整合升级中可以起到降低运营成分和提高经济效益的作用。但是在该平台与第三方系统进行数据交互时，极容易受到网络开放性、业务集成等因素影响，导致出现遭遇外部攻击的情况。需要采用设置防火墙的措施，实现对BOSS平台和第三方系统数据交互的有效隔离，在防范非法人员入侵攻击的同时，对网络运行安全性进行有效保障。

4.EPG

该项服务器是VoD的门户系统，可以为用户提供点播、广告等服务。EPG服务器具有web页面的特征，因此，要防范篡改危险的发生，可以在系统前端加设网页防篡改设备、IPS防护等，避免敏感信息泄露，最大程度地保障网站运行安全。

（三）公共区域

在三网融合模式下，对内部公共区域进行安全防护，除了创建一套用户认证系统，保证所有接入网络的人都需要完成身份多重认证，才能在系统外通过数据源账号方式进入以外，还可以从应用层和管理层两方面入手，在运维区域加设防火墙和布置UMA硬件设备，保证进入运维区的数据都会经过过滤筛查，所有运维操作也是经由统一入口进入，最终取得保障网络安全和降低安全风险的效果。对于内部公共区域，网络安全防护还可以采用以下技术：

1.网络防毒技术

基于三网融合环境，以前的单机防病毒产品已经无法彻底清除网络存在的病毒，需要引入针对服务器操作平台和各种桌面操作系统的防病毒软件，使之能够对计算机邮件、附件等中存在的病毒进行有效检测，针对网络中可能被病毒攻击的点，也能通过网络防毒技术进行提前防护。同时，坚持与时俱进对多层次和全方位的防病毒系统配置进行更新升级，并加强系统运行监控管理，确保网络不会遭受病毒的侵袭。

2.数据加密技术

该项技术主要由密码分析和密码编码技术所构成，可以保证数据传输安全、完整。实际操作应用该项网络安全防护技术，一般分为对称加密技术和非对称加密技术。前者加密和解密使用的密钥是相等的，可以简化加密处理过程，信息交换的双方也不再对交换加密算法进行分析。后者则是加密和解密密钥不相同，并且无法从一个密钥推导出另一个密钥，从而可以加大对信息的保护力度。

3.网闸和多重安全网关技术

网闸技术是网络隔离技术，在三网融合背景下加强网络安全防护工作，注重对网闸技术进行有效运用，可以实现对网络攻击的有效隔离，具体包括总线网闸技术、基于SCSI网闸技术、基于单向传输网闸技术等，其中基于SCSI网闸技术的准确性和可靠性最高。多重安全网关技术应用，可以对应用层入侵的IPS和可配置的DDoS入侵进行有效防护，实际操作主要根据特征识别对出现的网络入侵情况进行确认，在防范常见病毒攻击和网络入侵方面能够取得较好的效果。

（四）监控机制

伴随着三网融合不断加快，网络电视、网络电话等业务融合也会越来越多，并朝着多样化、精细化等方向发展。因此，也要不断优化创新网络监控机制，通过对局域网内的终端和服务器上的硬件设备进行监视和控制，从而防范各种网络安全问题发生。具体监控模式如下：

1.网关模式

网关模式，即将本机作为其他网络终端的网关，常见的方式是NAT，将私有地址转化为合法IP地址。这样既能够解决IP地址不足的问题，又能够避免网络外部攻击的情况，针对网络内部的终端也能实现隐藏与保护。实践应用要注意NAT有静态转换、端口多路复用等方式，前者是将内部网络私有IP地址转换为公有IP地址，在对其进行固定处理后，就可以借助静态转换实现外部网络对内部网络的访问限制。后者是采用端口地址转换复用方式，对外出数据包的源端口进行端口转换。

2.网桥模式

这种模式会将双网卡设置成为透明桥，并对网络数据的流向实施有效管理，在实际运用中可以适应三网融合模式下的复杂网络环境，同时可以将多网段和多WLAN采用网桥模式，整个过程不需要对路由、交换机、终端配置等进行修改，无论是安装工作还是维护工作，都十分简单、方便。

3.旁路模式

采用旁路模式的网络监控技术对三网融合下的网络安全进行有效防护，可以借助App技术建立虚拟网关。通过在小型网络上设置网关，可以对流出数据流及经过进行有效检测与分析，以此实现对网络安全风险的有效控制。尽管这种模式设置较为简单，但是并不适合应用到多出口和WLAN环境中，因而目前使用比较少。

四、结语

综上所述，随着社会经济和信息技术的不断发展，人们在日常生活和工作中可以轻松享受到网络带来的便捷。但是随着网络开放性、交融性和复杂性不断提高，三网融合面临的安全风险也越来越大。这时可以从外部通道、内部系统、公共区域和整体监控角度入手，灵活应用防火墙、身份认证、数据加密、网络安全扫描等技术，在减少病毒攻击、非法入侵等问题发生的同时，切实保障网络安全稳定。

参考文献：

[1]沈洋.三网融合环境中的信息安全技术研究[D].大连海事大学，2020.

[2]刘志强.网络安全防护与安全测试探讨[J].网络安全技术与应用，2022，（12）：19-21.

[3]黄书鸿.三网融合背景下广电网络安全防护探析[J].无线互联科技，2022，19（07）：27-28.