王雷 徐教強

【摘要】 為了提升OTT TV的信息安全防護與應(yīng)急處理能力，根據(jù)OTT業(yè)務(wù)網(wǎng)絡(luò)特點對EPG的主動防篡改機制進行了設(shè)計，并提出了信息安全事件的應(yīng)急處理思路與策略建議，最后在實際維護工作中對上述策略的有效性進行了實踐，希望能為OTT TV運營與維護單位在安全建設(shè)中提供有益的參考。

【關(guān)鍵詞】 OTT TV EPG防篡改 應(yīng)急處理

Research and Practices of EPG Tamper Resistance and Emergency System in OTT TV

Wang Lei， Xu Jiaoqiang （China Telecom Corporation Limited Jiangsu Branch ，Nanjing 210017， China）

Abstract： In order to improve the information security and emergency management of OTT TV， an active tamper resistance mechanism of EPG based on characteristics of OTT network and emergency management method and Strategies under the information security incidents are proposed. Finally， those mechanism and Strategy are proved to be effective in maintenance work ， which hopes to provide useful reference for the OTT TV construction and maintenance.

Key words： OTT TV， EPG tamper resistance， emergency system

一、引言

OTT TV（以下簡稱OTT）是“Over The Top TV”的縮寫，是指基于開放互聯(lián)網(wǎng)的視頻服務(wù)，終端可以是電視機、電腦、機頂盒、PAD、智能手機等等。據(jù)統(tǒng)計，僅2013年中國OTT盒子的出貨量就有800-1000萬，在龐大規(guī)模用戶的背后是日益嚴(yán)峻的安全形勢。

OTT直接承載于公共寬帶互聯(lián)網(wǎng)之上，面臨著來自黑客攻擊產(chǎn)生的安全風(fēng)險，其中信息安全威脅是其中影響最惡劣的安全風(fēng)險。

14年8月，某市廣電數(shù)字電視機頂盒遭黑客入侵，篡改了展示內(nèi)容并以反動宣傳內(nèi)容替代，影響群眾正常收看電視，造成嚴(yán)重不良影響。在此背景下，保障OTT內(nèi)容安全、播放安全是OTT業(yè)務(wù)長期健康發(fā)展的重要保證。

二、EPG防篡改機制研究

2.1 技術(shù)方案

EPG 是Electronic Program Guide的英文縮寫，即電子節(jié)目菜單。EPG系統(tǒng)因為其直面用戶的特性處于OTT信息安全防護戰(zhàn)線中至關(guān)重要的位置。針對內(nèi)容防護的EPG內(nèi)容防篡改機制是信息安全防護工作中的治本之法。EPG系統(tǒng)采用web服務(wù)器架構(gòu)建設(shè)，不同于通常的web服務(wù)器，其特殊性在于EPG服務(wù)器集群數(shù)量較大、模板文件（jsp/html/css/圖片等）量巨大、模板更新頻率較高。研究EPG的篡改發(fā)現(xiàn)和阻止策略需要充分考慮這些因素。

目前篡改防范和處置的技術(shù)方案主要有三類：文件比對、目錄同步、IO訪問控制：

（1）文件比對：對可信源文件計算校驗值并存儲，并對目標(biāo)文件定時計算校驗值。這種方案的安全性最高，但在防護過程中的不斷地校驗值計算、存儲和比對將造成巨大的資源消耗。

（2）目錄同步：可信源目錄和目標(biāo)目錄之間采用操作系統(tǒng)rsync技術(shù)進行監(jiān)控和同步，一方面源目錄的修改會即刻同步到目標(biāo)目錄，另一方面目標(biāo)目錄修改后會立刻被探測到并為源目錄內(nèi)容重新覆蓋。

（3）I/O訪問控制：該方案用系統(tǒng)驅(qū)動對監(jiān)控目標(biāo)目錄實施進程訪問控制，通過規(guī)則設(shè)定只有可信進程（也就是實施EPG模板更新的進程）能夠?qū)δ繕?biāo)目錄實施寫操作，其它進程的寫操作被直接阻止。

其中第一種、第二種方案均屬于事后恢復(fù)型方案，此類方案不能完全阻止篡改發(fā)生，同時需要不斷同步比對，除消耗系統(tǒng)資源外，也增加了一定的存儲，適用于網(wǎng)頁更新不頻繁，靜態(tài)頁面等為主的場景。對于EPG業(yè)務(wù)百萬級數(shù)量小文件、動態(tài)頁面更新頻繁的特性，此類方案并不適用。第三種方案屬于事前預(yù)防型的方案，資源消耗小，事前防篡改力度高。

綜上考慮，對于百萬級OTT業(yè)務(wù)，選用I/O訪問控制方式來實現(xiàn)EPG防篡改功能更加具備可行性，也能達到更為準(zhǔn)確高效的防護效果。

2.2 功能邏輯

基于I/O訪問控制技術(shù)的EPG防篡改機制利用操作系統(tǒng)的文件系統(tǒng)接口，在網(wǎng)頁文件被修改調(diào)用文件系統(tǒng)接口時，進行合法性檢查，對于非法操作進行告警和拒絕，對于合法的操作繼續(xù)原有的文件操作。此功能可細化為邏輯流程：

（1）文件操作進入操作狀態(tài)。

（2）操作狀態(tài)首先判斷要操作的文件是否在安全配置中，判定在安全配置中的條件主要包括是否在安全配置的指定目錄下、是否是安全配置的指定文件類型、是否是安全配置的指定文件等。

（3）根據(jù)安全配置中設(shè)置的規(guī)則判斷，此進程是否被允許對此文件做此操作，若允許，則繼續(xù)文件操作，不做任何處理。

（4）若不允許操作，則記錄日志，并拒絕文件操作，同時發(fā)告警，通知操作狀態(tài)同時攜帶告警描述信息。

2.3 實現(xiàn)架構(gòu)

基于EPG服務(wù)集群特點，EPG防篡改機制設(shè)計用層級管理模式實現(xiàn)，從功能職責(zé)和部署上劃分為管理和策略服務(wù)器、防篡改客戶端Agent。

防篡改客戶端Agent用于檢測及監(jiān)控EPG服務(wù)器文件更新的變化，部署于EPG服務(wù)器，進行頁面篡改事件感知預(yù)警和阻止。 實現(xiàn)特性主要有：

（1）基于操作系統(tǒng)文件驅(qū)動，對頁面篡改行為進行實時感知預(yù)警。

（2）在篡改事件時，阻止篡改并發(fā)起告警。

管理和策略服務(wù)器單獨部署，負責(zé)將操作指令傳達給監(jiān)控和同步，同時負責(zé)實時接收和保存來自監(jiān)控和同步的各種日志信息。實現(xiàn)特性主要有：

（1）基于業(yè)務(wù)進行感知預(yù)警目錄和策略的配置管理。

（2）對來自Agent的篡改告警進行統(tǒng)一處理。

（3）可與業(yè)務(wù)系統(tǒng)對接，觸發(fā)業(yè)務(wù)對篡改的處理。

三、應(yīng)急處理機制研究

信息安全事件的發(fā)生極易導(dǎo)致嚴(yán)重的影響，針對信息安全事件的應(yīng)急處置機制則就是安全防護工作的最后一道防線?；诖?，本文提出信息安全事件應(yīng)急處置的快速處置、暫時性修復(fù)、事后追溯三階段處置模型。節(jié)目內(nèi)容篡改等安全事件發(fā)生并被覺察到后，首先在快速處置階段向主要受眾切斷播放源以消除影響，再使用預(yù)先準(zhǔn)備好的默認內(nèi)容進行播放業(yè)務(wù)的恢復(fù)（待數(shù)據(jù)恢復(fù)后切換為正常播放），最后進行溯源分析確定入侵源并實施對應(yīng)的安全加固方案。

3.1 快速處置機制

發(fā)現(xiàn)內(nèi)容篡改等影響惡劣的入侵事件后，經(jīng)過事件影響面定位后需要快速處置，迅速切斷內(nèi)容源，避免造成更大范圍的影響。

用戶展示的最終效果涉及到節(jié)目源編碼器、EPG、CDN節(jié)點提供的展示服務(wù)，對于節(jié)目源被替換造成的影響可通過關(guān)停編碼器進行處置，對于EPG展示內(nèi)容被篡改可通過關(guān)閉EPG服務(wù)器上WEB進程進行處置，對于CDN上媒體內(nèi)容被篡改可通過刪除媒體文件乃至關(guān)閉CDN服務(wù)等方式進行處置，實際應(yīng)急處置中，可考慮將涉及到各環(huán)節(jié)的信息安全處置方案細化為各類應(yīng)急處置模式。

根據(jù)安全事件影響范圍、影響設(shè)備、影響業(yè)務(wù)對應(yīng)急處置模式進行合理的組合配置，可形成全面高效的應(yīng)急處置方案，有效針對各類安全突發(fā)事件進行處理，其核心邏輯為：

1.應(yīng)急處置模型中設(shè)置若干種基礎(chǔ)處置模式，如數(shù)據(jù)更換、服務(wù)停止、系統(tǒng)停機等。

2.根據(jù)實際的網(wǎng)元處置方式、流程將基礎(chǔ)處置模式按順序組合成處置模式組。

3.將目標(biāo)設(shè)備按節(jié)點區(qū)域、網(wǎng)元、處置方式分成若干群組，并關(guān)聯(lián)上述處置模式。

4.發(fā)生入侵并確定實施應(yīng)急處置時，對目標(biāo)群組實施關(guān)聯(lián)的處置模式組。

3.2 業(yè)務(wù)修復(fù)方案

在OTT業(yè)務(wù)系統(tǒng)遭遇入侵并采取快速處置機制進行處理后，可按正常業(yè)務(wù)及內(nèi)容下發(fā)流程覆蓋被篡改的內(nèi)容或者文件以恢復(fù)業(yè)務(wù)。

但由于OTT業(yè)務(wù)具有受眾廣泛、影響擴散快的特點，對業(yè)務(wù)恢復(fù)的時間提出了更高的要求?；诖朔N要求，可將業(yè)務(wù)下發(fā)流程按上節(jié)應(yīng)急處置模式組的方式制定業(yè)務(wù)恢復(fù)模塊組，以實現(xiàn)業(yè)務(wù)的快速恢復(fù)，具體方式因具體OTT業(yè)務(wù)平臺業(yè)務(wù)下發(fā)方式的不同故不再贅述。

3.3 事后追溯

入侵事件的追溯技術(shù)可分為入侵痕跡分析以及計算機取證方式。前者通過日志的關(guān)聯(lián)性分析以及可疑文件入手對入侵行為進行溯源。后者依據(jù)計算機證據(jù)易失性原理從目標(biāo)設(shè)備獲取磁盤信息傳送到分析設(shè)備，用專業(yè)的計算機取證軟件分析目標(biāo)設(shè)備文件的讀寫狀況，OTT業(yè)務(wù)平臺入侵追溯可依據(jù)平臺的不同選擇對應(yīng)的方式。

四、江蘇電信信息安全防護實踐與總結(jié)展望

江蘇電信OTT業(yè)務(wù)自正式開放以來一直保持規(guī)模發(fā)展的態(tài)勢，也同樣面臨著嚴(yán)峻的網(wǎng)絡(luò)與信息安全挑戰(zhàn)，傳統(tǒng)的安全運維手段和體系已無法滿足日益嚴(yán)峻的互聯(lián)網(wǎng)安全防護的需求。

根據(jù)OTT業(yè)務(wù)網(wǎng)絡(luò)特點，江蘇電信OTT維護人員經(jīng)過持續(xù)多年的研究、探索和信息安全防護實踐工作，逐步建立起一套完整的EPG內(nèi)容防篡改防護思路與應(yīng)急處理機制。在江蘇電信OTT業(yè)務(wù)信息安全維護工作中，EPG內(nèi)容防篡改策略目前已逐步在落實開發(fā)為防篡改系統(tǒng)，而應(yīng)急處理機制也在逐步從人工操作向自動化、一鍵封裝化道路演進。這些策略的部署與演進對OTT業(yè)務(wù)安全穩(wěn)定運行在現(xiàn)在以至未來都將一直發(fā)揮重要作用。

EPG防篡改與應(yīng)急處理機制經(jīng)過實踐反映了策略的有效性，可以為OTT業(yè)務(wù)安全提供一定的指導(dǎo)及參考價值，OTT業(yè)務(wù)運營商可以根據(jù)平臺自身的特性如平臺與網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)量等的差異性采取不同的策略進行防護部署。隨著互聯(lián)網(wǎng)的高速發(fā)展，OTT業(yè)務(wù)面臨的安全形勢會愈加嚴(yán)峻，關(guān)于信息安全防護與應(yīng)急處置的策略研究仍要繼續(xù)加強。后續(xù)江蘇電信業(yè)務(wù)維護人員將繼續(xù)在EPG內(nèi)容防篡改以及應(yīng)急響應(yīng)處理策略上進行深入研究與實踐。

參 考 文 獻

[1]洪鈞.構(gòu)建可管可控的OTT平臺的探討[J].廣播電視信息，2014（269）：49～51 Hong Jun， Research on the Construction of Controllable OTT Platform[J].Broadcast Television Information，2014（269）：49～51

[2]黃亞超，謝衛(wèi)華.IPTV在信息安全的研究與展望[J].電視技術(shù)，2011，35（20）：53～55 Huang Yachao， Xie Weihua.Research and Prospect of IPTV in Information Security[J].Video Engineering，2011，35（20）：53～55