李睿

摘 要 目前，隨著廣播電視數(shù)字化、網(wǎng)絡化的廣泛應用，廣播電視信息網(wǎng)絡安全工作的重要性日益彰顯。而以高級持續(xù)威脅為代表的新型網(wǎng)絡攻擊，給網(wǎng)絡異構、網(wǎng)絡訪問和安全防護需求多元化的廣電網(wǎng)絡帶來了嚴重威脅。面對這些挑戰(zhàn)，本文提出了一種基于大數(shù)據(jù)分析的廣電網(wǎng)絡多層次安全防護方案，創(chuàng)新利用細粒度的安全域劃分、多層次安全防護和安全相關日志大數(shù)據(jù)分析等技術，靈活支持各業(yè)務域細粒度的安全防護需求，將高價值資產(chǎn)部署于防護框架的內(nèi)核范圍中，并利用大數(shù)據(jù)分析技術，形成協(xié)作防御、融合檢測和聯(lián)動響應。

關鍵詞 廣電網(wǎng)絡；大數(shù)據(jù)分析；多層次安全防護；高級持續(xù)威脅

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2018）218-0139-02

近年來，網(wǎng)絡攻擊逐漸向針對性強、復雜度高的方向演化，高級持續(xù)威脅（APT，？Advanced？ Persistent？Threats）作為這類攻擊的代表，更是頻繁占據(jù)安全事件新聞的頭條，使得對APT類攻擊的檢測和防護成為網(wǎng)絡安全領域的研究熱點之一。

廣電網(wǎng)絡業(yè)務域眾多，軟、硬件系統(tǒng)復雜多樣，安全防護等級要求和訪問用戶群各不相同，是一個典型的異構復雜網(wǎng)絡。在該類型網(wǎng)絡中，已部署的傳統(tǒng)信息安全防護方案主要存在如下4個方面問題：1）難以與多樣化異構軟、硬件系統(tǒng)兼容；2）主要基于安全網(wǎng)關等網(wǎng)絡邊界設備進行安全域劃分，難以支持安全等級、業(yè)務類型和用戶訪問等多維度需求的細粒度安全域劃分；3）主要基于邊界和網(wǎng)絡終端的安全防護技術，缺乏層次化；4）各安全設備基于不完整的網(wǎng)絡安全信息進行單獨檢測，導致不能成有效的關聯(lián)和聯(lián)動，容易造成防護孤島，難以應對APT類高級網(wǎng)絡攻擊和竊密手段。

APT攻擊是一種分階段、長期的復雜性攻擊，Hutchins？EM等人提出利用IKC（Intrusion？Kill？ Chain）模型來描述APT攻擊，該模型將APT攻擊按順序劃分為7個階段：網(wǎng)絡偵察、武器研制、攻擊體傳輸、初始入侵、通信和控制（C&C;）、橫向攻擊和竊取數(shù)據(jù)。而從攻擊事件發(fā)生的網(wǎng)絡層次而言，APT攻擊可發(fā)生在物理位面、網(wǎng)絡位面、用戶位面和應用位面。此外，APT攻擊的持續(xù)性和高技術性，使其具備較強的防護規(guī)避和檢測逃逸能力，甚至有可能修改對網(wǎng)絡防護系統(tǒng)的安全日志，造成檢測信息的缺失。而且，APT攻擊具有針對性，是根據(jù)目標定制的攻擊，很難從第三方獲取其歷史檢測數(shù)據(jù)和進行基于簽名的檢測。因此，傳統(tǒng)的單視角的網(wǎng)絡入侵檢測系統(tǒng)難以對APT進行有效檢測。

針對以上問題，參考國內(nèi)外相關領域的研究成果，根據(jù)廣電網(wǎng)絡安全防護的實際需求，本文提出了一種基于大數(shù)據(jù)分析的廣電網(wǎng)絡多層次安全防護方案。該方案創(chuàng)新利用多層次安全防護和大數(shù)據(jù)分析技術和細粒度安全域劃分技術，可有效融合多視角的安全相關日志數(shù)據(jù)，以檢測具有逃逸能力的網(wǎng)絡攻擊竊密行為。靈活適配多維度的細粒度安全域劃分，實施多元化的安全防護策略，能有效對抗高級網(wǎng)絡攻擊和竊密手段，具備攻擊前準確預測、攻擊中精確檢測和聯(lián)動安全響應防護能力。

1 相關研究工作

《電視技術》編輯部對在開放的網(wǎng)絡環(huán)境中如何保障安全播出的問題進行了研究，從安全播出的現(xiàn)狀，威脅安全播出的因素，技術應對策略和管理應對策略等方面進行了闡述。劉娜對電視播控系統(tǒng)中存在的信息安全的重要性進行了分析，深入研究了惡意軟件和網(wǎng)絡攻擊對播控系統(tǒng)的危害，并給出了相關解決方案。陸肖元等人對下一代廣電網(wǎng)絡網(wǎng)管系統(tǒng)的發(fā)展進行了研究，分析了廣電網(wǎng)網(wǎng)管發(fā)展的主要需求，提出了適合廣電網(wǎng)的三層管理模型，并設計了基于Web技術的集成融合網(wǎng)管。

在安全域模型研究方面，Raimundas？ Matulevi？ius等人在2017年提出了一種信息系統(tǒng)安全威脅管理的域模型——ISSRM模型，該模型從安全威脅管理出發(fā)，依據(jù)信息資產(chǎn)、安全威脅、安全威脅防護策略、安全威脅響應等維度，可有效對網(wǎng)絡安全域進行劃分。

在多層次防護框架技術方面，Daesung？Moon等人在2015年提出了一種高級威脅檢測方法，以網(wǎng)絡各層次的安全相關日志為輸入，對異常事件進行關聯(lián)，融合各防護層次系統(tǒng)日志，檢測APT等傳統(tǒng)防護系統(tǒng)無法應對的高級威脅等。

2 總體安全防護方案

基于大數(shù)據(jù)分析的廣電網(wǎng)絡多層次安全防護方案，利用細粒度域劃分技術，將電視臺的廣電網(wǎng)絡劃分為若干安全域，實施與域業(yè)務及安全防護需求相匹配的多元化需求的安全訪問和防護策略；其次，系統(tǒng)采用多層次的防護技術，針對不同的安全域和防護目標，部署如邊界防護、入侵檢測、授權認證、安全審計等多種安全技術手段和設備，并通過安全管理中心有效協(xié)調(diào)聯(lián)動各安全設備；此外，在各網(wǎng)絡位置部署安全相關日志采集器，采集各網(wǎng)絡節(jié)點產(chǎn)生的日志信息，規(guī)約化處理后存儲到大數(shù)據(jù)處理平臺，利用大數(shù)據(jù)分析與挖掘技術，進行安全事件關聯(lián)分析，有效融合多視角的安全相關日志數(shù)據(jù)，以檢測具有逃逸能力的網(wǎng)絡攻擊竊密行為，并將檢測告警結(jié)果反饋給安全設備，進行聯(lián)動響應以阻斷攻擊和清除惡意軟件，有效的保障電視臺的安全播出。

2.1 細粒度安全域劃分技術

傳統(tǒng)的安全域劃分技術，是先把網(wǎng)絡中所有的節(jié)點分組，再把各組放置到不同的區(qū)域中，利用安全網(wǎng)關對不同域的子網(wǎng)進行邊界保護，實施不同的安全防護策略。對于網(wǎng)絡異構、安全防護和訪問需求多元化的廣電網(wǎng)絡而言，這種域劃分技術的缺點是：1）域劃分是基于網(wǎng)絡的物理位置，需要事先進行網(wǎng)絡設計和部署的規(guī)劃，不能適應網(wǎng)絡虛擬化等新技術的需求；2）劃分是靜態(tài)的，調(diào)整能力和靈活度較差，難以適應當今網(wǎng)絡業(yè)務高頻度變更的需求；3）由于劃分的物理性和靜態(tài)性，域劃分的工作量非常大，同時出于網(wǎng)絡性能的考慮，其劃分粒度較粗，難以針對單項業(yè)務實施細粒度的針對性防護。

為了解決上述問題，該安全防護方案，創(chuàng)新引入了細粒度的安全域劃分技術，支持安全等級、業(yè)務類型和用戶訪問等多維度需求的細粒度安全域劃分，將廣電網(wǎng)絡主要劃分為綜合制作域、制播混合域、播出域和安全管理中心域等，實施與各業(yè)務安全防護需求相匹配的細粒度安全防護策略，在減少安全投入的同時，提高了安全防護的針對性和有效性。

2.2 多層次安全防護技術

針對現(xiàn)有安全防御體系主要采用基于邊界和網(wǎng)絡終端的孤立安全防護技術，缺乏層次化，容易造成防護孤島，難以應對新興高級復雜威脅的問題，該安全防護方案創(chuàng)新了多層次安全防護技術，其核心是利用安全大數(shù)據(jù)分析的優(yōu)勢，部署并融合邊界防護、主機防護、入侵檢測、授權認證、滲透性測試、安全審計等多種安全技術手段和設備，并將日志信息提供給安全日志大數(shù)據(jù)處理平臺進行處理分析。APT類復雜攻擊是一個多階段的持續(xù)性攻擊，攻擊者需要一段較長的時間，以攻陷多個節(jié)點或獲取大量信息及資源才能達到其攻擊目標。在該過程中，一個多層次的目標網(wǎng)絡防護框架將高價值資產(chǎn)部署于防護框架的內(nèi)核范圍中，提高了捕捉到攻擊痕跡或信息的可能性。

2.3 安全相關日志大數(shù)據(jù)分析技術

在基于大數(shù)據(jù)分析的廣電網(wǎng)絡多層次防護方案中，安全相關日志大數(shù)據(jù)處理平臺部署于安全管理中心，通過分布在網(wǎng)絡各域或關鍵節(jié)點上的日志采集器，收集并規(guī)約這些網(wǎng)絡安全相關日志，利用數(shù)據(jù)關聯(lián)分析的方法將來自多視角維度的安全相關數(shù)據(jù)融合，形成協(xié)作防御，聯(lián)動響應，能有效對抗和緩解APT類多階段、復雜化、逃逸性高級網(wǎng)絡攻擊和竊密手段，使得安全防護系統(tǒng)具備攻擊中準確檢測、及時聯(lián)動安全響應和事后安全審計與追蹤的網(wǎng)絡安全防護能力。

在云計算、虛擬化和大數(shù)據(jù)分析技術高速發(fā)展的背景下，大數(shù)據(jù)采集、存儲、處理過程的成本急劇削減，使得利用網(wǎng)絡安全相關大數(shù)據(jù)分析的檢測高級攻擊的方法變得切實可行。

3 結(jié)論

文章分析了當前廣電網(wǎng)絡的網(wǎng)絡環(huán)境特點、安全防護需求和面臨的新型網(wǎng)絡安全威脅和挑戰(zhàn)，提出了一種基于大數(shù)據(jù)分析的廣電網(wǎng)絡多層次安全防護方案，該方案創(chuàng)新利用細粒度安全域劃分、多層次安全防護和大數(shù)據(jù)分析技術，與異構的廣電網(wǎng)絡環(huán)境和安全防護需求高度兼容，充分利用網(wǎng)絡各層次部署的網(wǎng)絡安全防護設備及安全相關日志數(shù)據(jù)，形成協(xié)作防御、融合檢測和聯(lián)動響應，能有效對抗高級網(wǎng)絡攻擊和竊密手段，提升廣電網(wǎng)絡的安全防護能力。

參考文獻

[1]Richard Bejtlich. What Is APT and What Does It Want？ http：//taosecurity.blogspot.be/2010/01/what-is-aptand-what-does-it-want.html， 2010.

[2]R. Langner，“Stuxnet： Dissecting a cyberwarfare weapon，”IEEE Secu. & Privacy，vol.9， no. 3， pp. 49–51， 2011.

[3]《電視技術》編輯部.廣電網(wǎng)絡信息安全現(xiàn)狀及未來發(fā)展[J].電視技術，2014， 38（20）：2-11.

[4]劉娜.信息安全技術在播控系統(tǒng)中的應用[J].電視技術， 2015，39（10）：88-90.

[5]梁玉婷.三網(wǎng)融合背景下廣電網(wǎng)絡信息安全現(xiàn)狀及防護措施[J].山西電子技術，2016（3）：69-70.

[6]陸肖元，朱列.面向下一代廣電網(wǎng)絡（NGB）的集成融合網(wǎng)管架構研究[J].計算機應用與軟件， 2012，29（9）：81-82.