CN111355687B - 广电融合业务系统 - Google Patents
广电融合业务系统 Download PDFInfo
- Publication number
- CN111355687B CN111355687B CN201811570846.3A CN201811570846A CN111355687B CN 111355687 B CN111355687 B CN 111355687B CN 201811570846 A CN201811570846 A CN 201811570846A CN 111355687 B CN111355687 B CN 111355687B
- Authority
- CN
- China
- Prior art keywords
- service
- module
- unit
- source
- external
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims abstract description 29
- 238000012360 testing method Methods 0.000 claims abstract description 21
- 238000012545 processing Methods 0.000 claims abstract description 14
- 238000012544 monitoring process Methods 0.000 claims abstract description 4
- 238000000034 method Methods 0.000 claims description 23
- 230000002452 interceptive effect Effects 0.000 claims description 20
- 230000005540 biological transmission Effects 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 15
- 238000002955 isolation Methods 0.000 claims description 7
- 230000002265 prevention Effects 0.000 claims description 5
- 238000005070 sampling Methods 0.000 claims description 5
- 238000005206 flow analysis Methods 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 43
- 238000012423 maintenance Methods 0.000 description 9
- 230000002159 abnormal effect Effects 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 6
- 238000011161 development Methods 0.000 description 5
- 230000018109 developmental process Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000012552 review Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000036541 health Effects 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000000586 desensitisation Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 108020001568 subdomains Proteins 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000011100 viral filtration Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/21—Server components or server architectures
- H04N21/218—Source of audio or video content, e.g. local disk arrays
- H04N21/2187—Live feed
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25866—Management of end-user data
- H04N21/25875—Management of end-user data involving end-user authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/41—Structure of client; Structure of client peripherals
- H04N21/418—External card to be used in combination with the client device, e.g. for conditional access
- H04N21/4181—External card to be used in combination with the client device, e.g. for conditional access for conditional access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/44—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/47—End-user applications
- H04N21/478—Supplemental services, e.g. displaying phone caller identification, shopping application
- H04N21/4788—Supplemental services, e.g. displaying phone caller identification, shopping application communicating with other users, e.g. chatting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/61—Network physical structure; Signal processing
- H04N21/6106—Network physical structure; Signal processing specially adapted to the downstream path of the transmission network
- H04N21/6118—Network physical structure; Signal processing specially adapted to the downstream path of the transmission network involving cable transmission, e.g. using a cable modem
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Computer Graphics (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本发明公开了一种广电融合业务系统,包括:外部接入控制单元,与因特网连接,用于接收和处理第三方应用提供商的业务,并为广电融合业务系统提供安全防护;外部业务单元,与外部接入控制单元通信连接,用于提供web应用的安全服务;内部业务单元,与外部业务单元通信连接,用于提供视频业务的安全服务和直播业务的安全服务;测试应用单元,与安全管理单元通信连接,用于新业务的开发、测试,获得业务源,并业务源发送给安全管理单元;安全管理单元,用于对各单元进行安全监控,并接收测试单元发送的业务源,并将业务源发送给外部业务单元或内部业务单元;资源库,用于保存外部业务单元和内部业务单元的业务源。本发明系统结构清晰,且安全性高。
Description
技术领域
本发明涉及广电网络技术领域,尤其涉及一种广电融合业务系统。
背景技术
有线电视网络的大规模双向化为广电业务的创新发展提供了良好的基础,随着信息技术的高速发展和互联网思维的全面深入,广电业务也呈现出个性化、智慧化、互联网化的趋势,各类新兴业务形态层出不穷。由于条块分割的历史呈现出明显的地域特征,从业务形态上看,主要包括直播、点播、时移、回看、上网等基本业务,从应用类型上看,包括教育、培训、医疗、健康、购物、游戏、社区服务等多种表现形式。各类基本业务的实现方式也有所不同,直播业务主要包括传统的数字电视方式和IP组播的方式,点播业务主要有传统VOD(Video on Demand,视频点播)和OTT(OverThe Top,指通过互联网向用户提供各种应用服务)等实现方式。随着业务的发展逐渐形成多个烟囱式的业务系统,系统结构较为复杂,同时由于系统结构复杂系统的安全性较低,不能保证系统的正常运行。
发明内容
本发明实施例提供一种广电融合业务系统,用以解决现有技术中存在的系统结构复杂的问题。
第一方面,本发明实施例提供一种广电融合业务系统,包括:
外部接入控制单元,与因特网连接,用于接收和处理第三方应用提供商的业务,并为广电融合业务系统提供安全防护;
外部业务单元,与所述外部接入控制单元通信连接,用于提供web应用的安全服务;
内部业务单元,与所述外部业务单元通信连接,用于提供视频业务的安全服务和直播业务的安全服务;
测试应用单元,与安全管理单元通信连接,用于新业务的开发,以及所述新业务的测试,获得业务源,并将所述业务源发送给所述安全管理单元;
安全管理单元,用于对各单元进行安全监控,并接收所述测试应用单元发送的业务源,并将所述业务源发送给所述外部业务单元或内部业务单元;
资源库,用于保存所述外部业务单元和所述内部业务单元的业务源。
可选的,所述外部接入单元包括:源安全识别模块、流程引导模块和异常处置模块;
所述源安全识别模块,用于对接收到的业务源进行安全识别,获得合法业务源或非法业务源,并将所述合法业务源发送到流程引导模块,将所述非法业务源发送到所述异常处置模块;
所述流程引导模块,用于接收源安全识别模块发送的合法业务源,并将所述合法业务源发送到外部业务单元以存储到外部资源库,或者将所述合法业务源发送到内部业务单元以存储到核心内容资源库;
所述异常处置模块,用于接收源安全识别模块发送的非法业务源,对所述非法业务源进行流量分析并存储到异常流量取样池。
可选的,所述源安全识别模块,在用于对接收到的业务源进行安全识别,获得合法业务源或非法业务源时,具体包括:采用业务源IP、业务源注册信息和口令结合的三重认证方式对接收到的业务源进行安全识别,获得合法业务源或非法业务源。
可选的,所述外部业务单元包括资源管理模块、门户服务模块和用户自服务模块;
所述资源管理模块,用于接收所述外部接入控制单元发送的合法业务源,并对接收到的所述合法业务源中的视频资源进行存储和审查;
所述门户服务模块,用于向用户提供web应用服务;
所述用户自服务模块,用于向用户提供广电融合业务订购和服务质量选择。
可选的,所述内部业务单元包括业务发布模块、业务运营模块、视频编辑模块、互动服务模块、直播服务模块和视频管理模块;
所述业务发布模块,用于将视频类业务发布在视频播放终端;
所述业务运营模块,用于根据用户需求调整业务上线和业务下线,以进行运营工作;
所述视频编辑模块,用于对视频资源进行编辑以形成可运营的节目;
所述互动服务模块,用于提供互动类业务的服务;
所述直播服务模块,用于提供直播类业务的服务;
所述视频管理模块,用于对所述核心内容资源库的维护和管理,以及对来自所述外部业务单元的视频资源进行分类处理。
可选的,所述源安全识别模块还用于接收用户请求,并判断用户的合法性,并将合法用户的用户请求发送给所述流程引导模块;
所述流程引导模块,还用于接收所述源安全识别模块发送的所述用户请求,并判断所述用户请求的业务类型,根据业务类型将所述用户请求发送给外部业务单元以调用外部资源库,或者根据业务类型将所述用户请求发送给内部业务单元以调用核心内容资源库。
可选的,所述外部接入控制单元还包括出口防火墙、防分布式拒绝服务DDoS设备、安全设备以及边界防火墙;
所述出口防火墙设置在外部接入控制单元的出口路由器的出口;
所述防分布式拒绝服务DDoS设备与所述出口路由器通信连接,用于抵御来自网络层、传输层和应用层的分布式拒绝服务攻击;
所述安全设备,与外部接入控制单元中的各模块一一对应通信连接,用于进行访问控制和数据加密处理;
所述边界防火墙与所述安全设备一一对应通信连接。。
可选的,所述门户服务模块采用三层交换机作为服务器汇接交换机;所述门户服务模块的核心交换机内设置有板卡防火墙,用以实现各模块间的安全隔离。
可选的,所述互动服务模块采用三层交换机与各模块连接,所述交换机内设置有板卡防火墙用于实现各模块间的隔离和访问控制。
可选的,所述互动服务模块还包括有网络审计装置,所述网络审计装置用于对用户的操作行为及数据库访问情况进行审计和分析。
可选的,所述直播服务模块包括省直播模块、市直播模块;
所述省直播模块包括信源接收子模块、复用加扰子模块和传输分发子模块;所述信源接收子模块、复用加扰子模块和传输分发子模块之间通信连接,且各子模块采用1:1主备方式进行部署;
所述市直播子模块包括信源接收子模块、复用加扰子模块和传输分发子模块;所述信源接收子模块、复用加扰子模块、CA条件接收子模块、EPG电子节目菜单子模块和广告子模块;其中,所述信源接收子模块、复用加扰子模块和传输分发子模块之间通信连接,且各子模块采用1:1主备方式进行部署;所述CA条件接收子模块与所述复用加扰子模块通信连接,所述CA条件接收子模块与所述复用加扰子模块间的交换机上配置有ACL访问控制列表策略。
可选的,所述安全管理单元的入口设置有防火墙,用于对通信内容进行加密;
所述安全管理单元的出口设置有防火墙,用于隔离连接各单元核心交换机。
可选的,所述安全管理单元还包括与各模块一一对应的安全管理模块;所述安全管理模块包括运维堡垒机和漏洞扫描装置;
所述运维堡垒机,用于对其他模块的各设备的带外管理口进行汇聚连接,同时用于对登录运维堡垒机的管理员进行身份认证;
所述漏洞扫描装置,用于进行系统漏扫、Web漏扫和数据库漏扫。
本发明实施例中通过将外部接入控制单元、外部业务单元、内部业务单元、安全单元、测试应用单元和资源库通信连接来构成广电融合业务系统,简化的系统的设计,使得系统的结构更加简单,通过设置安全管理单元来对各单元进行安全监控,提高了系统的安全性,保证了系统能够正常运行。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明第一实施例广电融合业务系统的结构框图;
图2为本发明第二实施例中广电融合业务系统对业务的处理流程的流程图;
图3为本发明第二实施例中广电融合业务系统接收用户请求时的处理流程图;
图4为本发明第三实施例中广电融合业务系统的部署方式示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明第一实施例提供一种广电融合业务系统,如图1所示,包括:外部接入控制单元,与因特网连接,用于接收和处理第三方应用商提供的业务,并为广电融合业务系统提供安全防护;外部业务单元,与所述外部接入控制单元通信连接,用于提供web应用的安全服务;内部业务单元,与所述外部业务单元通信连接,用于提供视频业务的安全服务和直播业务的安全服务;测试应用单元,与安全管理单元通信连接,用于新业务的开发,以及所述新业务的测试,获得业务源,并所述业务源发送给所述安全管理单元;安全管理单元,用于对各单元进行安全监控,并接收所述测试单元发送的业务源,并将所述业务源发送给所述外部业务单元或内部业务单元;资源库,用于保存所述外部业务单元和所述内部业务单元的业务源。
本实施例中业务源从业务形态上看,主要包括直播、点播、时移、回看、上网等基本业务,从应用类型上看,包括教育、培训、医疗、健康、购物、游戏、社区服务等多种表现形式。本发明包括了以下业务实现方式:数字电视业务:提供高标清直播业务。由信源接收系统、复用系统、传输分发系统、CA系统、EPG系统和广告系统组成。数字电视系统是安播保障的重点业务系统,基本上按独立的内网系统建设。
互动业务:提供点播、时移、回看等双向互动视频业务的系统。各地的系统在协议实现方式上会有所不同,但从功能模块上通常由核心内容模块、服务模块、业务发布模块和业务运营模块组成。
宽带业务单元:有线网络运营商提供宽带上网业务的相关支撑单元,包括DNS模块、认证模块、内容镜像等。
Web服务:提供多种类型的Web服务的单元,由数据库、门户群、电视网站服务器等系统组成。该单元是有线网络运营商进行精细化内容创新的重要业务系统,为用户提供多种多样的互联网式业务体验。
本发明实施例中,本发明实施例中通过将外部接入控制单元、外部业务单元、内部业务单元、安全单元、测试应用单元和资源库通信连接来构成广电融合业务系统,简化的系统的设计,使得系统的结构更加简单,避免了烟囱式业务系统带来的繁复的安全防护工作,保障广电融合业务的安全运行;同时测试应用单元为新业务开发上线提供了按需配置和测试。通过设置安全管理单元来对各单元进行安全监控,提高了系统的安全性,保证了系统能够正常运行。
本发明第二实施例提供一种广电融合业务系统,包括:外部接入控制单元、外部接入单元、内部业务单元、测试应用单元、安全管理单元和资源库;
其中,所述外部接入单元包括:源安全识别模块、流程引导模块和异常处置模块;所述源安全识别模块,用于对接收到的业务源进行安全识别,获得合法业务源或非法业务源,并将所述合法业务源发送到流程引导模块,将所述非法业务源发送到所述异常处置模块;所述流程引导模块,用于接收源安全识别模块发送的合法业务源,并将所述合法业务源发送到外部业务单元以存储到外部资源库,或者将所述合法业务源发送到内部业务单元以存储到核心内容资源库;所述异常处置模块,用于接收源安全识别模块发送的非法业务源,对所述非法业务源进行流量分析后存储到异常流量取样池。其中,在用于对接收到的业务源进行安全识别,获得合法业务源或非法业务源时,具体包括:采用业务源IP、业务源注册信息和口令结合的三重认证方式对接收到的业务源进行安全识别,获得合法业务源或非法业务源。
本是实施例中,所述源安全识别模块还用于接收用户请求,并判断用户的合法性,并将合法用户的用户请求发送给所述流程引导模块;所述流程引导模块,还用于接收所述源安全识别模块发送的所述用户请求,并判断所述用户请求的业务类型,根据业务类型将所述用户请求发送给外部业务单元以调用外部资源库,或者根据业务类型将所述用户请求发送给内部业务单元以调用核心内容资源库。
所述外部业务单元包括资源管理模块、门户服务模块和用户自服务模块;所述资源管理模块,用于接收所述外部接入控制单元发送的合法业务源,并对接收到的所述合法业务源中的视频资源进行存储和审查;所述门户服务模块,用于向用户提供web应用服务;所述用户自服务模块,用于向用户提供广电融合业务订购和服务质量选择。
所述内部业务单元包括业务发布模块、业务运营模块、视频编辑模块、互动服务模块、直播服务模块和视频管理模块;所述业务发布模块,用于将视频类业务发布在视频播放终端;所述业务运营模块,用于根据用户需求调整业务上线和业务下线,以进行运营工作;所述视频编辑模块,用于对视频资源进行编辑以形成可运营的节目;所述互动服务模块,用于提供互动类业务的服务;所述直播服务模块,用于提供直播类业务的服务;所述视频管理模块,用于对所述核心内容资源库的维护和管理,以及对来自所述外部业务单元的视频资源进行分类处理。
本实施例在具体实施过程中,当系统接收到第三方业务对业务的处理流程如下,结合图2,首先由源安全识别模块进行安全识别,识别的方法是采用业务源IP、业务源注册信息和口令结合的三重认证方式,如果识别为合法业务源,则交由资源管理模块进行进一步处理;否则,交由异常处理模块判断是否进行后续分析,如果需要分析,则保存到异常流量取样池进行后续分析处理;否则,丢弃。资源管理模块接收到视频内容后经过处理,保存到外部资源库,供后续业务调用。
本实施例中,当系统接收到用户请求时,对用户请求的处理流程为如下,结合图3,首先由源安全识别模块进行安全识别,如果是合法用户,则交由流程引导模块判断请求业务类型;否则,交由异常处理模块判断是否进行后续分析,如果需要分析,则保存到异常流量取样池进行后续分析处理;否则,丢弃。流程引导模块通过判断请求业务类型是web业务、互动视频业务还是直播视频业务,根据请求类型将用户请求重定向到相应的门户服务模块、互动服务模块或直播服务模块。根据请求调用外部资源库或核心内容资源库的内容进行服务。
本发明第三实施例提供一种广电融合业务系统,外部接入控制单元、外部接入单元、内部业务单元、测试应用单元、安全管理单元和资源库。本实施例中,系统在部署时具体包括如下,结合图4,
外部接入控制单元还包括出口防火墙、防DDoS分布式拒绝服务设备安全设备以及边界防火墙;出口防火墙设置在外部接入控制单元的出口路由器的出口,集成入侵防御与检测、病毒过滤等功能,防止恶意代码渗入,阻断黑客入侵,并采用主备方式保障防火墙的高可用性。防DDoS设备与所述出口路由器通信连接,用于抵御来自网络层、传输层和应用层的分布式拒绝服务攻击,采用旁路工作模式,当发生DDoS攻击时,清洗设备流量牵引导入到设备进行处理,设备自身通过L2VLAN或PBR等方式将干净流量回注到业务系统中。在第三方接入域边界部署具备访问控制和数据加密功能的安全设备,连接外部接入域的防火墙,提高网络基础平台与各外连单位的可靠性与安全性。同时部署防火墙提供IPSec VPN的接入。
外部业务单元为用户提供Web服务和宽带上网业务,具体的,外部业务单元的门户服务模块采用三层交换机作为服务器汇接交换机;所述门户服务模块的核心交换机内设置有板卡防火墙,用以实现各模块间的安全隔离。所有设备采用冗余部署。根据服务器的重要程度划分不同的安全子域,实现安全隔离和受限访问。同时,外部业务单元还部署有Web应用防火墙,对Web站点目录提供全方位的保护。部署网络、主机和数据库审计设备,定期对网络、主机和数据库的日志生成报表并分析,提早发现异常的网络流量、主机性能及数据库的异常访问及管理员的异常操作行为,按照规定留存相关的网络日志不少于六个月,便于排除事故原因及溯源,保证审计安全。
内部业务单元是有线电视业务安全等级最高的单元,直播服务模块主要采用与外网隔离的方式实现高安全保障,互动业务域需进行全面的边界防范,保障视频业务安全。互动服务模块采用三层交换机与各模块连接,所述交换机内设置有板卡防火墙用于实现各模块间的隔离和访问控制。所述互动服务模块还包括有网络审计装置,所述网络审计装置用于对用户的操作行为及数据库访问情况进行审计和分析。
本实施例中,直播服务模块包括省直播模块、市直播模块;
其中,所述省直播模块包括信源接收子模块、复用加扰子模块和传输分发子模块;所述信源接收子模块、复用加扰子模块和传输分发子模块之间通信连接,且各子模块采用1:1主备方式进行部署;本实施例中信源接收子模块、复用加扰子模块和传输分发子模块,是独立封闭的业务模块,系统间采用基于TS流格式的ASI或光纤的单向传输体系。省直播模块面临的威胁是设备、链路故障引起的业务中断,因此各系统采用1:1主备方式部署,网管主备路物理隔离,不同子模块完全物理隔离。同时直播灾备系统域实现异地备份,保障直播业务的高等级安全保护。
所述市直播模块包括信源接收子模块、复用加扰子模块和传输分发子模块;条件接收(Conditional Access,CA)子模块、电子节目菜单(Electronic Program Guide,EPG)子模块和广告子模块;其中,所述信源接收子模块、复用加扰子模块和传输分发子模块之间通信连接,且各子模块采用1:1主备方式进行部署;所述CA条件接收子模块与所述复用加扰子模块通信连接,所述CA条件接收子模块与所述复用加扰子模块间的交换机上配置访问控制列表(Access Control List,ACL)策略。
安全管理单元为所有单元提供统一的运维通道,主要负责安全管理和运维,包括:运维堡垒机、补丁管理服务器、杀毒软件管理服务器、漏洞扫描等集中管理设备。主要防护手段如下:
在安全管理单元的入口设置有VPN防火墙,用于对通信内容进行加密,出口设置有防火墙,用于隔离连接各单元核心交换机,形成专用运维管理通道,各系统内部部署审计采集器,负责传递审计信息。本区域部署的边界防火墙设备对进出该区域的请求进行访问控制,安全管理区域具备最高管理权限,所以需要对进出本区域的流量进行严格的控制。
部署运维堡垒机,用于对其他模块的各设备的带外管理口进行汇聚连接,同时用于对登录运维堡垒机的管理员进行身份认证,并严格限定管理员的对目标资产的操作权限,安全管理区域内的堡垒机需实现主备模式部署。
所述漏洞扫装置,用于进行系统漏扫、Web漏扫和数据库漏扫。Web漏扫主要面向对DMZ服务器区域的web服务器漏洞进行发现和扫描,系统漏扫和数据库漏扫主要针对内部服务器区的重要应用和数据库进行安全检查与风险评估。
具体的,还建立有安全管理平台,用于对所有系统集中进行风险分析、预警管理和应急响应。被监管设备的性能数据能够被安全管理平台正常采集,日志数据能上送到安全管理平台,通过管理区域交换机与网内需要监控的安全设备、网络设备及应用服务器进行对接。
测试应用单元部署开发和测试阶段服务器,服务器上不允许存放源代码,该单元服务器不允许访问其他区域,仅供开发人员临时使用,本区域需在边界部署设备,对脱敏数据进行传输和同步,脱敏数据的同步与传输需要在测试区域单元内的脱敏和数据导入工具实现,通过网闸或防火墙对同步数据的传输端口开启访问控制,仅允许必要的数据同步。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (9)
1.一种广电融合业务系统,其特征在于,包括:
外部接入控制单元,与因特网连接,用于接收和处理第三方应用商提供的业务,并为广电融合业务系统提供安全防护;
外部业务单元,与所述外部接入控制单元通信连接,用于提供web应用的安全服务;
内部业务单元,与所述外部业务单元通信连接,用于提供视频业务的安全服务和直播业务的安全服务;
测试应用单元,与安全管理单元通信连接,用于新业务的开发,以及所述新业务的测试,获得业务源,并将所述业务源发送给所述安全管理单元;
安全管理单元,用于对各单元进行安全监控,并接收所述测试应用单元发送的业务源,并将所述业务源发送给所述外部业务单元或内部业务单元;
资源库,用于保存所述外部业务单元和所述内部业务单元的业务源;
所述外部接入单元包括:源安全识别模块、流程引导模块和异常处置模块;
所述源安全识别模块,用于对接收到的业务源进行安全识别,获得合法业务源或非法业务源,并将所述合法业务源发送到流程引导模块,将所述非法业务源发送到所述异常处置模块;
所述流程引导模块,用于接收源安全识别模块发送的合法业务源,并将所述合法业务源发送到外部业务单元以存储到外部资源库,或者将所述合法业务源发送到内部业务单元以存储到核心内容资源库;
所述异常处置模块,用于接收源安全识别模块发送的非法业务源,对所述非法业务源进行流量分析并存储到异常流量取样池。
2.如权利要求1所述的广电融合业务系统,其特征在于,所述源安全识别模块,在用于对接收到的业务源进行安全识别,获得合法业务源或非法业务源时,具体包括:采用业务源IP、业务源注册信息和口令结合的三重认证方式对接收到的业务源进行安全识别,获得合法业务源或非法业务源。
3.如权利要求1所述的广电融合业务系统,其特征在于,所述外部业务单元包括资源管理模块、门户服务模块和用户自服务模块;
所述资源管理模块,用于接收所述外部接入控制单元发送的合法业务源,并对接收到的所述合法业务源中的视频资源进行存储和审查;
所述门户服务模块,用于向用户提供web应用服务;
所述用户自服务模块,用于向用户提供广电融合业务订购和服务质量选择。
4.如权利要求1所述的广电融合业务系统,其特征在于,所述内部业务单元包括业务发布模块、业务运营模块、视频编辑模块、互动服务模块、直播服务模块和视频管理模块;
所述业务发布模块,用于将视频类业务发布在视频播放终端;
所述业务运营模块,用于根据用户需求调整业务上线和业务下线,以进行运营工作;
所述视频编辑模块,用于对视频资源进行编辑以形成可运营的节目;
所述互动服务模块,用于提供互动类业务的服务;
所述直播服务模块,用于提供直播类业务的服务;
所述视频管理模块,用于对所述核心内容资源库的维护和管理,以及对来自所述外部业务单元的视频资源进行分类处理。
5.如权利要求1所述的广电融合业务系统,其特征在于,所述源安全识别模块还用于接收用户请求,并判断用户的合法性,并将合法用户的用户请求发送给所述流程引导模块;
所述流程引导模块,还用于接收所述源安全识别模块发送的所述用户请求,并判断所述用户请求的业务类型,根据业务类型将所述用户请求发送给外部业务单元以调用外部资源库,或者根据业务类型将所述用户请求发送给内部业务单元以调用核心内容资源库。
6.如权利要求1所述的广电融合业务系统,其特征在于,所述外部接入控制单元还包括出口防火墙、防分布式拒绝服务DDoS设备、安全设备以及边界防火墙;
所述出口防火墙设置在外部接入控制单元的出口路由器的出口;
所述防分布式拒绝服务DDoS设备与所述出口路由器通信连接,用于抵御来自网络层、传输层和应用层的分布式拒绝服务攻击;
所述安全设备,与外部接入控制单元中的各模块一一对应通信连接,用于进行访问控制和数据加密处理;
所述边界防火墙与所述安全设备一一对应通信连接。
7.如权利要求3所述的广电融合业务系统,其特征在于,所述门户服务模块采用三层交换机作为服务器汇接交换机;所述门户服务模块的核心交换机内设置有板卡防火墙,用以实现各模块间的安全隔离。
8.如权利要求4所述的广电融合业务系统,其特征在于,所述互动服务模块采用三层交换机与各模块连接,所述交换机内设置有板卡防火墙用于实现各模块间的隔离和访问控制。
9.如权利要求4所述的广电融合业务系统,其特征在于,所述互动服务模块还包括有网络审计装置,所述网络审计装置用于对用户的操作行为及数据库访问情况进行审计和分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811570846.3A CN111355687B (zh) | 2018-12-21 | 2018-12-21 | 广电融合业务系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811570846.3A CN111355687B (zh) | 2018-12-21 | 2018-12-21 | 广电融合业务系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111355687A CN111355687A (zh) | 2020-06-30 |
| CN111355687B true CN111355687B (zh) | 2022-04-22 |
Family
ID=71195942
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811570846.3A Active CN111355687B (zh) | 2018-12-21 | 2018-12-21 | 广电融合业务系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111355687B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111857670B (zh) * | 2020-07-29 | 2023-08-15 | 中国工商银行股份有限公司 | 应用架构的确定方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104427398A (zh) * | 2013-08-30 | 2015-03-18 | 上海欧忆智能网络有限公司 | 一种智能电网交互电视播控平台 |
| EP2913978A1 (en) * | 2012-11-30 | 2015-09-02 | ZTE Corporation | Business scheduling method and apparatus and convergence device |
| CN105704505A (zh) * | 2016-02-03 | 2016-06-22 | 国家新闻出版广电总局广播科学研究院 | 一种在智能电视操作系统中支持全媒体播放的方法及智能电视终端 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103903101B (zh) * | 2014-04-14 | 2016-02-24 | 上海航天电子通讯设备研究所 | 一种通用航空多源信息监管平台及其方法 |
| CN104954864B (zh) * | 2015-06-19 | 2019-03-01 | 中国人民解放军信息工程大学 | 双向机顶盒入侵检测系统及其检测方法 |
| CN107800685A (zh) * | 2017-07-03 | 2018-03-13 | 南京骏腾信息技术有限公司 | 基于威胁情报的智能安全防御平台 |
-
2018
- 2018-12-21 CN CN201811570846.3A patent/CN111355687B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2913978A1 (en) * | 2012-11-30 | 2015-09-02 | ZTE Corporation | Business scheduling method and apparatus and convergence device |
| CN104427398A (zh) * | 2013-08-30 | 2015-03-18 | 上海欧忆智能网络有限公司 | 一种智能电网交互电视播控平台 |
| CN105704505A (zh) * | 2016-02-03 | 2016-06-22 | 国家新闻出版广电总局广播科学研究院 | 一种在智能电视操作系统中支持全媒体播放的方法及智能电视终端 |
Non-Patent Citations (5)
| Title |
|---|
| 《媒体融合云技术下的信息系统安全防护体系设计》;曾建中;《广播与电视技术》;20161115;论文1-5页 * |
| 《有线数字电视网络安全规划浅谈》;成星;《广播电视信息》;20170115;论文1-3页 * |
| 全媒体新闻中心构想;李;《电视技术》;20130617(第12期);全文 * |
| 电信运营商业务平台安全防护体系规划;李俊艳;《信息技术与信息化》;20170225;全文 * |
| 面向媒体融合的一种广播电视有线网络业务平台信息安全保障模型;梁晋春等;《广播电视信息》;20161115(第11期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111355687A (zh) | 2020-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Creery et al. | Industrial cybersecurity for power system and SCADA networks | |
| Ganame et al. | A global security architecture for intrusion detection on computer networks | |
| US9712543B2 (en) | System for remotely monitoring status information of devices connected to a network | |
| US11080392B2 (en) | Method for systematic collection and analysis of forensic data in a unified communications system deployed in a cloud environment | |
| CN106850690B (zh) | 一种蜜罐构造方法及系统 | |
| US20060190997A1 (en) | Method and system for transparent in-line protection of an electronic communications network | |
| US8245297B2 (en) | Computer security event management system | |
| CN106060003A (zh) | 一种网络边界单向隔离传输装置 | |
| Holmberg et al. | BACnet wide area network security threat assessment | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
| US9479539B2 (en) | Distributed network instrumentation system | |
| CN111355687B (zh) | 广电融合业务系统 | |
| Belmonte Martin et al. | Threat landscape and good practice guide for software defined networks/5g | |
| CN117061556B (zh) | 一种电力监控系统远程运维安全保护装置 | |
| DE102007024720B4 (de) | Vorrichtung und Verfahren zum Schutz eines medizinischen Geräts und eines von diesem Gerät behandelten Patienten vor gefährdenden Einflüssen aus einem Kommunikationsnetzwerk | |
| KR20100117338A (ko) | 네트워크 기반 단말인증 및 보안방법 | |
| CN114666419A (zh) | 一种数据传输方法、装置、终端设备和存储介质 | |
| KR100983549B1 (ko) | 클라이언트 ddos 방어 시스템 및 그 방법 | |
| Matusek et al. | Nivss: a nearly indestructible video surveillance system | |
| ALAHMAD et al. | SURVEY OF BROKEN AUTHENTICATION AND SESSION MANAGEMENT OF WEB APPLICATIONVULNERABILITY ATTACK | |
| Cai et al. | Data security framework for electric company mobile apps to prevent information leakage | |
| Gnatyuk et al. | Method of Forming the Functional Security Profile for the Sectoral Information and Telecommunication Systems. | |
| CN111585972A (zh) | 面向网闸的安全防护方法、装置及网络系统 | |
| Sato et al. | An Evaluation on Feasibility of a Communication Classifying System | |
| Bao et al. | Client-side Security Assessment and Security Protection Scheme for Smart TV Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |