◎中國電信股份有限公司衡陽分公司 李利軍

湖南省衡南縣教師進修學(xué)校 李麗榮

ITV業(yè)務(wù)網(wǎng)絡(luò)安全的思考

◎中國電信股份有限公司衡陽分公司 李利軍

湖南省衡南縣教師進修學(xué)校 李麗榮

ITV作為各大運營商的營銷品牌，集網(wǎng)絡(luò)和電視媒體特點于一身，近幾年的發(fā)展非常迅速，隨著ITV網(wǎng)絡(luò)的快速發(fā)展，ITV網(wǎng)絡(luò)的安全形勢愈來愈嚴重，也愈來愈重要，除了ITV業(yè)務(wù)自身運行的網(wǎng)絡(luò)安全壓力外，還經(jīng)常出現(xiàn)ITV網(wǎng)絡(luò)受到攻擊或者病毒入侵等問題。因此，如何保障ITV業(yè)務(wù)網(wǎng)絡(luò)安全，防范網(wǎng)絡(luò)攻擊對 ITV業(yè)務(wù)開展造成的影響，保障 ITV業(yè)務(wù)的可持續(xù)發(fā)展，成為電信運營商目前迫切需要解決的關(guān)鍵問題。首先介紹ITV業(yè)務(wù)網(wǎng)絡(luò)承載現(xiàn)狀，然后重點從網(wǎng)絡(luò)結(jié)構(gòu)、安全策略角度對如何提升ITV網(wǎng)絡(luò)安全防護能力進行詳細闡述。

ITV；網(wǎng)絡(luò)安全；部署方案；安全策略

背景

隨著ITV業(yè)務(wù)的高速發(fā)展，網(wǎng)絡(luò)規(guī)模的不斷擴大，對ITV網(wǎng)絡(luò)安全的要求也就越來越高，若網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)規(guī)劃不合理，網(wǎng)絡(luò)策略部署不細化、不精確，應(yīng)用系統(tǒng)的安全性考慮不充分等，網(wǎng)絡(luò)就很容易受到攻擊，造成網(wǎng)絡(luò)不穩(wěn)定、服務(wù)質(zhì)量差，因此，考慮ITV網(wǎng)絡(luò)的安全性，提升網(wǎng)絡(luò)的穩(wěn)定性就顯得尤為重要。在三網(wǎng)融合迅速推進的今天，為了確保ITV業(yè)務(wù)順利發(fā)展，不因ITV網(wǎng)絡(luò)的安全性問題而受到影響，對于電信運營商來說，制訂嚴格的ITV業(yè)務(wù)網(wǎng)絡(luò)安全性部署方案，具有非常重要的意義。

ITV網(wǎng)絡(luò)現(xiàn)狀

ITV系統(tǒng)主要由內(nèi)容運營系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)、業(yè)務(wù)網(wǎng)絡(luò)、承載網(wǎng)和家庭網(wǎng)絡(luò)五部分組成，全網(wǎng)結(jié)構(gòu)如圖1所示。

目前，中電信各省分公司運營商基本都是以省為單位進行ITV業(yè)務(wù)網(wǎng)絡(luò)的建設(shè)，建立以省為單位的內(nèi)容運營、業(yè)務(wù)支撐系統(tǒng)，包括用戶認證、業(yè)務(wù)及內(nèi)容管理、內(nèi)容庫等功能；在CDN網(wǎng)絡(luò)建設(shè)方面，通過省分平臺建立統(tǒng)一的省中心節(jié)點，各個地市再建立各自的區(qū)域中心，最后在靠近用戶端建立邊緣POP節(jié)點，其中，區(qū)域中心與POP點采用分布式部署，包含流媒體分發(fā)及服務(wù)等功能。而承載網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)主要完成從用戶端到區(qū)域中心的直播節(jié)目及到就近POP節(jié)點的點播業(yè)務(wù)的承載。

ITV網(wǎng)絡(luò)安全部署方案

目前，ITV業(yè)務(wù)的網(wǎng)絡(luò)架構(gòu)，從網(wǎng)絡(luò)安全角度出發(fā)，充分考慮了如何提升ITV網(wǎng)絡(luò)運行質(zhì)量，保障ITV業(yè)務(wù)的順利發(fā)展等因素。下面從網(wǎng)絡(luò)結(jié)構(gòu)的安全性、網(wǎng)絡(luò)層面的安全性規(guī)劃、應(yīng)用系統(tǒng)的安全性及日常的安全管理等幾個方面分析ITV網(wǎng)絡(luò)的安全問題。

圖1 ITV網(wǎng)絡(luò)架構(gòu)圖

1.網(wǎng)絡(luò)結(jié)構(gòu)的安全性

1）為了保障內(nèi)容運營及業(yè)務(wù)支撐系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)性安全，采用專網(wǎng)進行整體性部署，與其他網(wǎng)絡(luò)的對接使用專用的網(wǎng)絡(luò)安全防護設(shè)備進行保障，以防范網(wǎng)絡(luò)攻擊。

2）對于CDN網(wǎng)絡(luò)省中心與地市區(qū)域中心的跨城域網(wǎng)對接，建議采用專線互聯(lián)或者VPN方式承載，盡量避免在開放性的骨干網(wǎng)絡(luò)進行直接承載。

3）對于城域網(wǎng)內(nèi)的承載，ITV業(yè)務(wù)采用PSPV或者PSPUPV的接入方式，實現(xiàn)了ITV業(yè)務(wù)與其他業(yè)務(wù)的隔離。

4）家庭網(wǎng)絡(luò)要求配置智能ITV終端，具備訪問控制功能、身份認證功能和入侵防護功能等安全特性。

2.各層網(wǎng)絡(luò)的安全性規(guī)劃

1）在IP地址規(guī)劃方面，考慮到ITV平臺需要引入第三方內(nèi)容的需求，建議省中心統(tǒng)建節(jié)點采用公網(wǎng)IP地址，其他節(jié)點均可采用私網(wǎng)IP地址，為了便于網(wǎng)絡(luò)擴展，平臺使用的私網(wǎng)地址建議以B類地址為單位進行劃分，且必須全省統(tǒng)一規(guī)劃私網(wǎng)IP地址，按照ITV業(yè)務(wù)規(guī)模大小需求進行分配。

2）在部署可控組播時，每一級都要求嚴格匹配，過濾其他組播報文，只允許經(jīng)過驗證的組播源和組播用戶加入組播網(wǎng)絡(luò)。

3）充分做好策略部署，以保持ITV業(yè)務(wù)與其他業(yè)務(wù)的隔離。主要包括以下幾方面的工作：

（1）對內(nèi)容運營網(wǎng)絡(luò)的對接網(wǎng)絡(luò)需要設(shè)置策略路由，并盡量細化，只接收、發(fā)送允許的路由。同時設(shè)置五元組的白名單網(wǎng)絡(luò)訪問控制列表。

（2）在省中心ITV節(jié)點與承載網(wǎng)對接的路由接收策略方面，省中心節(jié)點只接收城域網(wǎng)內(nèi)規(guī)劃的ITV業(yè)務(wù)私網(wǎng)的IP地址段路由，不接收其他路由；承載網(wǎng)除正常接收的省中心公有地址路由外，在缺省情況下不接收ITV省中心節(jié)點廣播的私網(wǎng)路由及其他的公網(wǎng)路由。

（3）在省中心ITV節(jié)點與承載網(wǎng)對接的路由發(fā)送策略方面，省中心節(jié)點只廣播承載網(wǎng)廣播省中心使用的公網(wǎng)IP段路由，不廣播其他路由；承載網(wǎng)面向ITV省中心節(jié)點的路由廣播策略，原則上僅廣播本城域網(wǎng)掩碼為16位的ITV私網(wǎng)路由，不廣播其他路由。

（4）為了防止使用ITV私網(wǎng)地址作為源地址的網(wǎng)絡(luò)攻擊的發(fā)生，原則上在網(wǎng)絡(luò)的業(yè)務(wù)接入控制層設(shè)備的全局模式下，或者在面向?qū)拵Ы尤刖W(wǎng)的接口上使用白名單的方式限制ITV私網(wǎng)源地址的訪問方向，只允許ITV用戶訪問 ITV省中心平臺、ITV區(qū)域節(jié)點、ITV邊緣POP及終端設(shè)備管理平臺的地址。在業(yè)務(wù)接入控制層設(shè)備功能和性能的情況不具備時，則在城域網(wǎng)出口路由器下聯(lián)端口上采用ACL技術(shù)或者URPF技術(shù)（在設(shè)備具備相關(guān)能力的情況下），以限制ITV私網(wǎng)源地址的訪問方向，只允許ITV用戶訪問 ITV省中心平臺、ITV區(qū)域節(jié)點、ITV邊緣POP及終端設(shè)備管理平臺的地址。

（5）為防止公網(wǎng)用戶對ITV網(wǎng)絡(luò)內(nèi)的地址段進行攻擊或者入侵，對于ITV用戶側(cè)，原則上在網(wǎng)絡(luò)的業(yè)務(wù)接入控制層設(shè)備的全局模式下或者在面對寬帶接入網(wǎng)的接口上使用白名單的方式，以限制公網(wǎng)IP用戶對ITV私網(wǎng)用戶的訪問方向，只允許ITV省中心平臺、ITV區(qū)域節(jié)點、ITV邊緣POP及終端設(shè)備管理平臺的地址訪問ITV的用戶IP；對于IPV平臺側(cè)，則在平臺設(shè)備的入口方向做白名單的方式,以限制公網(wǎng)IP用戶對 ITV私網(wǎng)用戶的訪問方向，只允許ITV省中心平臺、ITV區(qū)域節(jié)點、ITV邊緣POP、終端設(shè)備管理平臺的地址、ITV用戶私網(wǎng)DE地址訪問ITV平臺。

（6）在做好QoS規(guī)劃的同時，保證ITV業(yè)務(wù)所需的網(wǎng)絡(luò)帶寬。

3.應(yīng)用系統(tǒng)的安全性

1）在認證安全方面，要保證只有合法的用戶機頂盒才能夠使用ITV網(wǎng)絡(luò)提供的業(yè)務(wù)，同時保護用戶上傳的身份認證信息不會被非法竊取或重置，可以根據(jù)需要選用安全性高的挑戰(zhàn)/響應(yīng)認證方式。

2）根據(jù)運營平臺各子系統(tǒng)的安全及業(yè)務(wù)訪問功能需求進行安全域的劃分與隔離，并對不同的安全域采取相應(yīng)的安全措施和防護手段，將區(qū)域的功能權(quán)限、互訪控制做到精確化，沒有互通需求的時候一定要進行限制；分等級對運營平臺進行安全的權(quán)限設(shè)置，要求遠程維護人員以安全的方式接入運營平臺。

3）對于信息傳輸?shù)陌踩裕梢圆捎脤ΨQ加密算法進行信息的加密傳輸，防止信息被非法竊聽或者修改。

4）在內(nèi)容的安全性管理方面，可以采用數(shù)字版權(quán)管理來防止數(shù)字節(jié)目內(nèi)容被非法復(fù)制。同時，對關(guān)鍵業(yè)務(wù)數(shù)據(jù)部署安全存儲備份系統(tǒng)。

4.日常安全性管理

1）定期對ITV運營平臺各子系統(tǒng)進行漏洞、病毒掃描，并根據(jù)掃描結(jié)果有針對性地進行系統(tǒng)安全加固，以保障系統(tǒng)健康。

2）集中記錄和分析系統(tǒng)運行日志，包括文件更新變動日志、操作員日志、機頂盒日志等，以便可以及時發(fā)現(xiàn)各種異常事件，進行相應(yīng)的安全處理。

3）做好網(wǎng)絡(luò)安全應(yīng)急預(yù)案及處理管理流程，對突發(fā)的網(wǎng)絡(luò)安全事件進行有效處理。

結(jié)束語

ITV業(yè)務(wù)及網(wǎng)絡(luò)技術(shù)的發(fā)展不是一蹴而就的，ITV承載網(wǎng)技術(shù)也必然在ITV業(yè)務(wù)的推動下，結(jié)合IP網(wǎng)絡(luò)技術(shù)的變革而不斷發(fā)展。隨著ITV業(yè)務(wù)的大規(guī)模發(fā)展，ITV用戶還將進一步快速增長，對網(wǎng)絡(luò)安全的要求也會越來越高，各個運營商也將不斷地制定各種辦法以滿足其需求，避免因網(wǎng)絡(luò)安全問題而影響業(yè)務(wù)發(fā)展，為ITV業(yè)務(wù)發(fā)展添磚加瓦。

[1]STEVENSW R.TCP/IP詳解卷1：協(xié)議[M].范建華，胥光輝，張濤，等，譯.北京：機械工業(yè)出版社，2000.

[2] 顧巧論.計算機網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2007.

[3] 許永明，謝質(zhì)文，歐陽春.IPTV一技術(shù)與應(yīng)用實踐[M].北京：電子工業(yè)出版社，2006.

[4] 高慶雍,馬芩.IPTV及關(guān)鍵技術(shù)[J].郵電設(shè)計技術(shù)，2007（8）：17-21.

[5]曼佐克.網(wǎng)絡(luò)安全評估[M].張建標，譯.北京：科學(xué)出版社.

[6] 解偉，郭曉強，全子一.IPTV中的視頻壓縮技術(shù)研究[J].電信科學(xué)，2006（3）：39-42.

[7] 王惠玲.現(xiàn)代電視網(wǎng)絡(luò)技術(shù)-有線電視實用技術(shù)與新技術(shù)[M].北京：人民郵電出版社，2005.

[8] 盧官明，宗昉.IPTV技術(shù)及應(yīng)用[M].北京:人民郵電出版社，2007.

[9] 中國電信集團公司.中國電信IP城域網(wǎng)優(yōu)化改造指導(dǎo)意見[Z].2006.

[10] 中國電信集團公司.中國電信 IPTV平臺技術(shù)體制V3[Z].2012.

[11] ISO/IEC 14496-3，Coding of moving pictures and audio[S].1998.

TN949

A

【本文獻信息】李利軍，李麗榮.ITV業(yè)務(wù)網(wǎng)絡(luò)安全的思考[J].電視技術(shù)，2014，38（20）.