梁玉婷

(太原有線電視網(wǎng)絡(luò)有限公司，山西 太原 030024)

?

三網(wǎng)融合背景下廣電網(wǎng)絡(luò)信息安全現(xiàn)狀及防護(hù)措施

梁玉婷

(太原有線電視網(wǎng)絡(luò)有限公司，山西 太原 030024)

摘要：簡述了廣電網(wǎng)絡(luò)在三網(wǎng)融合背景下所面臨的威脅，并從系統(tǒng)安全、網(wǎng)絡(luò)安全、終端安全和管理安全等多方面提出整改措施。

關(guān)鍵詞：網(wǎng)絡(luò)信息安全；三網(wǎng)融合；整改措施

三網(wǎng)融合是指電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)三大網(wǎng)絡(luò)通過技術(shù)改造，使得業(yè)務(wù)范圍趨于一致，能為用戶提供語音、數(shù)據(jù)和廣播電視等多種服務(wù)。

廣電網(wǎng)絡(luò)多年來一直承擔(dān)著輿論宣傳和主流文化傳播的責(zé)任，具有較高的社會(huì)影響力，隨著新媒體業(yè)務(wù)的逐步豐富上線，從之前業(yè)務(wù)單一、結(jié)構(gòu)封閉的單向直播網(wǎng)絡(luò)過渡成為服務(wù)多樣、系統(tǒng)互聯(lián)復(fù)雜、網(wǎng)絡(luò)接口開放的雙向網(wǎng)絡(luò)，網(wǎng)絡(luò)和系統(tǒng)越來越多地采納與互聯(lián)網(wǎng)類似的技術(shù)，因此，新技術(shù)在廣電網(wǎng)絡(luò)中的應(yīng)用使得廣電網(wǎng)絡(luò)將面臨內(nèi)容篡改、流量攻擊、系統(tǒng)入侵等新的信息安全威脅，網(wǎng)絡(luò)信息安全建設(shè)將越來越重要。

1廣電網(wǎng)絡(luò)面臨的威脅

隨著三網(wǎng)融合的不斷推進(jìn)，廣電業(yè)務(wù)逐漸多樣化，廣電網(wǎng)絡(luò)也越來越開放，廣電網(wǎng)絡(luò)面臨新的信息安全威脅。常見的威脅主要表現(xiàn)在：

· 敏感信息篡改

政治敏感信息、黃賭毒信息通過廣電網(wǎng)絡(luò)擴(kuò)散，對(duì)社會(huì)造成惡劣影響。

· 廣告頁面被黑客篡改

非授權(quán)廣告會(huì)侵害廣電本身的經(jīng)濟(jì)利益。

· 視頻內(nèi)容被黑客篡改

非法/非授權(quán)視頻會(huì)造成嚴(yán)重社會(huì)影響和經(jīng)濟(jì)損失。

2廣電網(wǎng)絡(luò)信息安全建設(shè)原則

在三網(wǎng)融合的大背景下，廣電網(wǎng)絡(luò)發(fā)生了翻天覆地的變化。全面實(shí)現(xiàn)廣播電視數(shù)字化，有線電視網(wǎng)絡(luò)全面完成數(shù)字整體轉(zhuǎn)換，有線網(wǎng)絡(luò)基本完成雙向化；基本實(shí)現(xiàn)廣電終端標(biāo)準(zhǔn)化智能化，以TVOS為支撐，推動(dòng)廣電終端融合發(fā)展，形成廣電有線無線衛(wèi)星和互聯(lián)網(wǎng)融合的“廣電+”生態(tài)，配合總前端各種應(yīng)用平臺(tái)逐步形成“終端+應(yīng)用+互聯(lián)網(wǎng)資源”的增值業(yè)務(wù)形態(tài)，可為用戶提供基本廣播電視業(yè)務(wù)、互動(dòng)業(yè)務(wù)、互聯(lián)網(wǎng)接入業(yè)務(wù)等多種業(yè)務(wù)。因此，廣電網(wǎng)絡(luò)信息安全建設(shè)將越來越復(fù)雜，傳統(tǒng)的網(wǎng)絡(luò)防御手段已無法滿足新形勢(shì)下廣電網(wǎng)絡(luò)的發(fā)展需求。

廣電網(wǎng)絡(luò)信息安全建設(shè)要滿足相關(guān)行業(yè)標(biāo)準(zhǔn)，立足于有線網(wǎng)絡(luò)現(xiàn)狀，承載直播業(yè)務(wù)、互動(dòng)業(yè)務(wù)和互聯(lián)網(wǎng)寬帶業(yè)務(wù)等，綜合分析安全威脅風(fēng)險(xiǎn)等級(jí)后，以“安全的內(nèi)容、安全的系統(tǒng)、安全的網(wǎng)絡(luò)、安全的終端、安全的管理”為核心目標(biāo)，以內(nèi)容安全為主線，以安全保障業(yè)務(wù)融合為主題，進(jìn)行各個(gè)業(yè)務(wù)分區(qū)的安全防護(hù)能力建設(shè)，采用不同的安全防范措施來保障信息系統(tǒng)在網(wǎng)絡(luò)上的安全要求，構(gòu)建安全防護(hù)體系。

圖1　網(wǎng)絡(luò)安全功能架構(gòu)圖

3廣電網(wǎng)絡(luò)信息安全防護(hù)措施

3.1安全的內(nèi)容

采用輸出頭端白名單對(duì)比EPG保護(hù)、輸入內(nèi)容控制及防篡改，從技術(shù)層面加強(qiáng)“節(jié)目防篡改、防插播”的播出內(nèi)容保護(hù)力度。

3.2安全的系統(tǒng)，保障業(yè)務(wù)發(fā)展

根據(jù)業(yè)務(wù)系統(tǒng)重要性、應(yīng)用范圍、安全保護(hù)需求、安全事件影響程度等綜合因素，確定不同保護(hù)等級(jí)的系統(tǒng)防護(hù)基線，完成DVB直播系統(tǒng)、互動(dòng)業(yè)務(wù)系統(tǒng)、BOSS系統(tǒng)、寬帶業(yè)務(wù)系統(tǒng)等系統(tǒng)的安全整改加固，實(shí)現(xiàn)系統(tǒng)從傳統(tǒng)被動(dòng)安全防護(hù)到主動(dòng)安全風(fēng)險(xiǎn)管控的有機(jī)融合。

完成數(shù)據(jù)保護(hù)系統(tǒng)建設(shè)、主機(jī)保護(hù)系統(tǒng)建設(shè)、數(shù)字身份管理系統(tǒng)建設(shè)，建立覆蓋全網(wǎng)綜合網(wǎng)絡(luò)管理系統(tǒng)，形成統(tǒng)一安全策略和審計(jì)管理功能。

3.3安全的網(wǎng)絡(luò)，保障三網(wǎng)融合

隨著廣電網(wǎng)絡(luò)和新媒體業(yè)務(wù)的不斷發(fā)展，存在著網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、邊界不清等問題，以安全為核心重構(gòu)廣電網(wǎng)絡(luò)，通過安全域劃分和邊界整合，確定不同網(wǎng)絡(luò)區(qū)域安全保護(hù)等級(jí)，完善不同網(wǎng)絡(luò)區(qū)域間安全隔離和跨界訪問控制，形成清晰、簡潔、穩(wěn)定的中心的組網(wǎng)架構(gòu)，部署防火墻和入侵檢測(cè)系統(tǒng)等，實(shí)現(xiàn)邊界隔離和防護(hù)，更好的解決復(fù)雜系統(tǒng)的安全問題[1]。

1) 內(nèi)部子網(wǎng)的隔離及訪問控制的實(shí)現(xiàn)：通過劃分VLAN的方式實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)不同安全域之間的物理隔離。將網(wǎng)絡(luò)劃分為多個(gè)VLAN可以限制網(wǎng)絡(luò)廣播，防止廣播風(fēng)暴波及整個(gè)網(wǎng)絡(luò)；可以增強(qiáng)網(wǎng)絡(luò)安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，降低泄露機(jī)密信息的可能性，不同VLAN的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信。

VLAN的劃分可根據(jù)不同原則，一般有三種劃分方式：基于端口，基于MAC地址，基于路由。

2) 內(nèi)外網(wǎng)隔離及訪問控制的實(shí)現(xiàn)：防火墻能極大地提高內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。在內(nèi)外網(wǎng)邊界設(shè)置防火墻，在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，內(nèi)外網(wǎng)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制，最終實(shí)現(xiàn)內(nèi)外網(wǎng)隔離及訪問控制，保證內(nèi)網(wǎng)服務(wù)器的安全。

3) 操作系統(tǒng)及應(yīng)用系統(tǒng)的安全防范：a) 操作系統(tǒng)的安全防范：對(duì)操作系統(tǒng)進(jìn)行必要的安全配置，關(guān)閉一些不常用卻存在安全隱患的應(yīng)用；使用數(shù)據(jù)加密，根據(jù)數(shù)據(jù)的重要性，對(duì)關(guān)鍵文件選擇合理的加密級(jí)別以滿足用戶需求；對(duì)數(shù)據(jù)進(jìn)行定期備份；加強(qiáng)密碼口令的使用；及時(shí)給系統(tǒng)打補(bǔ)丁。b) 應(yīng)用系統(tǒng)安全防范：設(shè)立專門的網(wǎng)絡(luò)管理員，登錄設(shè)備時(shí)需要通過用戶名、密碼的安全認(rèn)證，并定期更換密碼，以防止他人隨意進(jìn)入網(wǎng)絡(luò)，并在此基礎(chǔ)上，加強(qiáng)口令長度和復(fù)雜度，嚴(yán)格控制登陸者的操作權(quán)限；網(wǎng)絡(luò)管理員、系統(tǒng)管理員不能共用登錄名、密碼；連續(xù)多次登錄錯(cuò)誤，將鎖定該用戶，確保雙重安全認(rèn)證；在管理區(qū)建立統(tǒng)一運(yùn)維堡壘機(jī)，對(duì)業(yè)務(wù)環(huán)境下的用戶運(yùn)維操作進(jìn)行控制和審計(jì)，在實(shí)現(xiàn)對(duì)自然人身份以及資源、資源賬號(hào)的集中管理的同時(shí)，對(duì)授權(quán)人員的運(yùn)維操作進(jìn)行記錄、分析、展現(xiàn)，以幫助內(nèi)控工作事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤回放，加強(qiáng)內(nèi)部業(yè)務(wù)操作行為監(jiān)管、避免核心資產(chǎn)(服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等)損失、保障業(yè)務(wù)系統(tǒng)的正常運(yùn)營；關(guān)閉不必要的協(xié)議及端口號(hào)；定期進(jìn)行漏洞掃描并及時(shí)升級(jí)。

4) 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)：對(duì)于業(yè)務(wù)系統(tǒng)非法外聯(lián)和非法接入的情況，部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，針對(duì)網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)提供安全審計(jì)、監(jiān)視、攻擊識(shí)別和反攻擊等功能，監(jiān)控系統(tǒng)中是否出現(xiàn)違反安全策略的行為或入侵行為。

3.4安全的終端，保障播放可管可控

基于可信機(jī)頂盒終端，建立覆蓋全網(wǎng)的機(jī)頂盒安全及行為監(jiān)測(cè)系統(tǒng)，實(shí)時(shí)發(fā)現(xiàn)各種違規(guī)及非法行為，并盡快進(jìn)行應(yīng)急處置。

針對(duì)機(jī)頂盒功能和威脅分析，確定如下安全目標(biāo)：

1) 防范攻擊人員利用機(jī)頂盒搭建非法視頻服務(wù)系統(tǒng)；

2) 完善機(jī)頂盒配置管理,對(duì)弱口令、不安全的服務(wù)運(yùn)行及開放端口進(jìn)行管理；

3) 防范攻擊人員非法修改機(jī)頂盒系統(tǒng)，做出具體類似“非法接收未付費(fèi)頻道”、“免廣告”或“接收外來信源信號(hào)”等功能的機(jī)頂盒版本。

3.5安全的管理

為提高廣電網(wǎng)絡(luò)對(duì)核心業(yè)務(wù)的安全保障能力，建立信息安全綜合管理平臺(tái)，實(shí)現(xiàn)7*24小時(shí)安全審計(jì)與監(jiān)控功能，在管理區(qū)設(shè)置日志審計(jì)平臺(tái)，能夠?qū)W(wǎng)絡(luò)系統(tǒng)、安全設(shè)備、重要應(yīng)用實(shí)施統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計(jì)、協(xié)同防護(hù)，能夠及時(shí)發(fā)現(xiàn)系統(tǒng)異常和用戶非法行為并立即采取應(yīng)對(duì)措施，充分發(fā)揮網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的整體作用，提高網(wǎng)絡(luò)安全防護(hù)的等級(jí)和水平。

另外，加強(qiáng)安全信息與事件管理、安全合規(guī)性管理、弱點(diǎn)管理等技術(shù)手段，完善包括組織管理、規(guī)章制度、安全流程等方面[2]。

4總結(jié)

三網(wǎng)融合，帶給廣電網(wǎng)絡(luò)前所未有的新的信息安全威脅，使得廣電網(wǎng)絡(luò)在信息安全技術(shù)和政策措施方面必須隨之進(jìn)行調(diào)整，為適應(yīng)新形勢(shì)的要求，進(jìn)一步確保廣電網(wǎng)絡(luò)作為國家基礎(chǔ)網(wǎng)絡(luò)設(shè)施的可靠性和安全性，廣電網(wǎng)絡(luò)必須在法律法規(guī)、信息安全機(jī)制建設(shè)及新技術(shù)研發(fā)等各個(gè)方面進(jìn)行深刻的變革。

參考文獻(xiàn)

[1]涂聰，劉晨鳴.三網(wǎng)融合背景下我國廣電網(wǎng)絡(luò)信息安全政策及技術(shù)措施思考[J].廣播與電視技術(shù)，2014，41(11)：39-40.

[2]李國賢.三網(wǎng)融合下廣電網(wǎng)絡(luò)的發(fā)展思考[J].信息安全與技術(shù)，2011(11)：86-87.

Thoughts on Present Security Situation and Technical Measures of Broadcasting Network under the Background of Three Network Convergence

Liang Yuting

(TaiyuanCableTelevisionNetworkCompanyLimited,TaiyuanShanxi030024,China)

Abstract:This paper analyzes the security threats to broadcast network under the background of triple play. It puts forward suggestions for broadcast network reform from four aspects of system security, network security, terminal security and management security.

Key words:security of network information, network convergence, technical measures

收稿日期：2016-03-10

作者簡介：梁玉婷(1990- )，女，山西人，工程師，碩士研究生，主要研究方向：有線電視技術(shù)。

文章編號(hào)：1674- 4578(2016)03- 0069- 02

中圖分類號(hào)：TN915.08

文獻(xiàn)標(biāo)識(shí)碼：A