■ 江蘇 霍祥偉

編者按： 近年來，廣電網(wǎng)絡時有遭受非法信息攻擊的風險，本文針對廣電網(wǎng)絡非法信息攻擊手段、網(wǎng)絡系統(tǒng)安全、播出系統(tǒng)安全、數(shù)據(jù)備份與恢復等要素，提出了廣電網(wǎng)絡信息安全技術體系結構和相應的防護技術要求。

在三網(wǎng)融合政策以及數(shù)字化、網(wǎng)絡化、智能化等技術的推動下，廣電網(wǎng)絡演變成了一個綜合信息通信網(wǎng)絡，既有單向信息廣播網(wǎng)絡也包含雙向傳輸網(wǎng)，還可以接入互聯(lián)網(wǎng)。廣電機頂盒終端也從單向廣播型向DVB+OTT雙向智能化演進，各地廣電網(wǎng)絡運營商還在發(fā)展融合型的家庭智能網(wǎng)關。

因此，信息安全在廣電網(wǎng)絡中愈來愈復雜，也越發(fā)重要。傳統(tǒng)安全播出技術手段已經(jīng)無法應對最新的非法信息攻擊。

廣電網(wǎng)絡信息安全及其分類

廣電網(wǎng)絡信息安全是廣播電視播出相關的信息系統(tǒng)或網(wǎng)站遭受危害，或對社會造成負面影響的突發(fā)事件，包括有害程序、網(wǎng)絡攻擊、信息破壞、信息內容安全、設備設施故障等情況。安全播出事件分為特別重大、重大、較大三級。

實際上，完整地廣電網(wǎng)絡的信息安全環(huán)境如表1所示。

廣電網(wǎng)絡中的信息安全環(huán)境之間的關系如圖1所示。

表1 廣電網(wǎng)絡信息安全環(huán)境分類表

圖1 廣電網(wǎng)絡信息安全環(huán)境關系圖

廣電網(wǎng)絡非法信息攻擊途徑

從圖1我們可以看出，針對廣電網(wǎng)絡的非法信息攻擊主要是：

1.從外部網(wǎng)絡或辦公網(wǎng)絡發(fā)起，在沒有安全區(qū)域邊界或者安全區(qū)域邊界能力不夠的情況下，入侵廣播業(yè)務前端網(wǎng)路或雙向業(yè)務前端網(wǎng)絡，控制服務器等設備，并對應用系統(tǒng)進行攻擊，使應用系統(tǒng)癱瘓，或非法篡改替換各種數(shù)據(jù)、文字、圖片、視頻、App等，使得機頂盒等終端不能正常使用或顯示播放非法信息。

2.從單向廣播網(wǎng)中間發(fā)起，篡改原有信息，注入非法信息，如采用非法未透明流替換前端直播或點播播出的節(jié)目碼流，替換EPG廣告未加密播出的文字、圖片等，替換數(shù)據(jù)廣播未加密播出的文字、圖片等，使得機頂盒等終端顯示播放非法信息。

3.從雙向傳輸網(wǎng)中間發(fā)起，在沒有安全區(qū)域邊界或者安全區(qū)域邊界能力不夠的情況下，入侵雙向業(yè)務前端網(wǎng)絡，控制服務器等設備，使應用系統(tǒng)癱瘓，或非法篡改替換各種數(shù)據(jù)、文字、圖片、視頻、App等，使得機頂盒等終端不能正常使用或顯示播放非法信息。如果雙向業(yè)務前端網(wǎng)絡和廣播業(yè)務前端網(wǎng)絡之間沒有隔離，還可以入侵廣播業(yè)務前端網(wǎng)絡中的服務器。

4.從機頂盒等終端發(fā)起，對機頂盒軟件進行非法刷機替換，下載存儲非法應用，顯示播放非法信息；從家庭網(wǎng)絡中智能終端發(fā)起，篡改廣電應用的用戶數(shù)據(jù)和信息，顯示播放非法信息。

5.從家庭網(wǎng)絡發(fā)起，在沒有安全區(qū)域邊界或者安全區(qū)域邊界能力不夠的情況下，入侵雙向業(yè)務前端網(wǎng)絡，控制服務器等設備，使應用系統(tǒng)癱瘓，或非法篡改替換各種數(shù)據(jù)、文字、圖片、視頻、App等，使得機頂盒等終端不能正常使用或顯示播放非法信息。如果雙向業(yè)務前端網(wǎng)絡和廣播業(yè)務前端網(wǎng)絡之間沒有隔離，還可以入侵廣播業(yè)務前端網(wǎng)絡中的服務器。

廣電網(wǎng)絡信息安全防護措施

1.網(wǎng)絡結構安全

省、市、縣三級網(wǎng)絡之間應采取可靠的物理隔離或邊界隔離等技術手段。根據(jù)信息系統(tǒng)功能、業(yè)務重要性、業(yè)務流程、網(wǎng)絡結構層次、業(yè)務服務對象等合理劃分網(wǎng)絡安全域。安全域應至少分為一級核心域、二級中間域、三級接入域三個層次，廣播電視播出業(yè)務系統(tǒng)應納入一級核心域，并配置安全審計系統(tǒng)。各級安全域網(wǎng)絡之間應采取可靠的物理隔離和邊界隔離等技術手段。

安全域應根據(jù)業(yè)務類型、業(yè)務重要性、物理位置等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。保證網(wǎng)絡設備的業(yè)務處理能力，網(wǎng)絡帶寬需具備冗余空間，滿足業(yè)務高峰期需要。與信息系統(tǒng)相關的核心交換機、匯聚交換機等網(wǎng)絡設備應配置冗余,避免關鍵節(jié)點存在單點故障。

2.播出系統(tǒng)安全

重要播出系統(tǒng)應具備應急備份平臺，關鍵操作應具備“一鍵恢復”功能。數(shù)字電視系統(tǒng)前端應該具有備份播出系統(tǒng)及相關的倒換控制設備，保證當終端顯示畫面或信息被非法篡改時，前端應能主動將終端畫面或信息清除并呈現(xiàn)合法畫面和信息。覆蓋用戶超過100萬戶的有線數(shù)字電視系統(tǒng)前端應具有異地備播系統(tǒng)。備播系統(tǒng)宜采用清流備播的實現(xiàn)方式，采取必要的安全防護或隔離措施，保證當主播出系統(tǒng)遭遇安全事故時不受其影響，在任何情況下都能正常運行。

（1）廣播電視前端播控系統(tǒng)應與辦公網(wǎng)、互聯(lián)網(wǎng)等外網(wǎng)物理隔離。

（2）應定期對播控平臺各系統(tǒng)進行倒換測試，細化應急處理流程，確保主備路系統(tǒng)的安全運行。

（3）節(jié)目碼數(shù)據(jù)流宜采用ASI格式或單向IP格式進行傳輸。

（4）EPG系統(tǒng)、EPG廣告系統(tǒng)、數(shù)據(jù)廣播系統(tǒng)、中間件系統(tǒng)等信息業(yè)務在播出前，應對播出的信息進行加密和數(shù)字簽名保護，保護數(shù)據(jù)保密性和完整性，防止被非法篡改。

（5）Loader系統(tǒng)、應用下載等系統(tǒng)在播出前應對播出的系統(tǒng)固件、應用軟件進行數(shù)字簽名保護，保護軟件代碼完整性，防止被非法篡改。

（6）含BOSS/SMS系統(tǒng)在內的所有業(yè)務/應用系統(tǒng)應在播發(fā)信息前進行信息安全過濾阻止非法文字、圖片和視頻播出。

（7）機頂盒或網(wǎng)關等終端應在廣播信息和雙向信息的接收側部署安全處理模塊，構造安全區(qū)域邊界，阻止非法透明碼流、非法數(shù)據(jù)、非法文字、非法圖片等信息的進入，防止軟件被篡改。

（8）機頂盒或網(wǎng)關等終端應在連接家庭網(wǎng)絡側部署內部防火墻，防止從家庭網(wǎng)絡發(fā)起對機頂盒或網(wǎng)關等終端的非法入侵。

3.網(wǎng)絡設備防護

（1）應對一級安全域內的網(wǎng)絡設備安裝安全審計系統(tǒng)，使所有操作請求必須通過安全審計系統(tǒng)，通過用戶、設備、服務等組合策略，保證所有操作可管可控，同時審計手段可對所有操作事后可追溯，保障系統(tǒng)運行安全。

（2）應在設備訪問和配置過程中設置安全的登錄口令，登錄口令包括控制臺口令、遠程登錄口令、特權口令。口令密碼應使用高強度密碼及密碼顯示加密方式，并定期進行更換。應使用SSH安全的遠程登錄方式，對會話次數(shù)、超時進行控制，并設置警示信息。

（3）應通過訪問控制列表對遠程登錄的源地址進行限制，一般只允許某一個IP地址或一個較小的局域網(wǎng)IP段進行訪問。關閉不必要的服務和端口，并充分運用訪問控制列表對現(xiàn)有端口進行有效控制。

（4）應關閉網(wǎng)絡設備的無關服務，提高系統(tǒng)運行服務的有效性。一般情況下,需關閉的服務包括：CDP、HTTP、Smail、Finger、BOOTP、ARP-Proxy、IP Directed Broadcast、ICMP、WINS、DNS、UDP-Small-Servers、NTP 等無關的服務項目。

（5）應通過SNMP V3及以上版本或其他安全的網(wǎng)絡管理協(xié)議提供網(wǎng)絡設備的監(jiān)控與管理接口。一級安全域網(wǎng)絡中核心路由交換設備應采用雙機熱備架構。

4.數(shù)據(jù)備份與恢復

（1）應統(tǒng)籌建設災難備份系統(tǒng)，完善相應工作機制，制定災難恢復預案，定期進行災難恢復演練，確保數(shù)據(jù)安全和核心應用系統(tǒng)連續(xù)運行。

（2）應建立完善的數(shù)據(jù)備份機制，設置數(shù)據(jù)備份專人，加強對各類數(shù)據(jù)存儲和備份的管理。對具有機密性質的重要數(shù)據(jù)采用高強度的數(shù)據(jù)加密算法進行加密操作，如用戶信息數(shù)據(jù)等，保證其不會被非法存取，避免機密數(shù)據(jù)的泄露。

（3）存儲的重要數(shù)據(jù)應采取多種備份方式進行備份，如本地備份、異地備份、外置存儲設備備份等，以防護數(shù)據(jù)被破壞后無法及時恢復。備份文件應存放在非本機磁盤的其他介質中，放置地點應防盜、防火、防潮、防塵、防磁，保證溫度、濕度在規(guī)定范圍內。

（4）在數(shù)據(jù)庫補丁安裝、版本升級、配置變更或數(shù)據(jù)有較大變動前，應先行備份。核心應用系統(tǒng)要實現(xiàn)數(shù)據(jù)每日增量備份，每周全量備份，其他應用系統(tǒng)的數(shù)據(jù)可每周或每月進行備份。

（5）恢復數(shù)據(jù)前必須對數(shù)據(jù)進行一致性校驗，檢查兩份備份數(shù)據(jù)的大小、文件數(shù)量、創(chuàng)建日期等，一致性校驗通過后才能使用。應定期進行備份數(shù)據(jù)的恢復演練，確保備份數(shù)據(jù)的完整性和可用性。恢復演練的測試應在備用系統(tǒng)上進行，測試成功后方可應用在主用系統(tǒng)上。

結語

廣電網(wǎng)絡運營商須針對信息安全事件情況進行分級，建立等級化的應急處置方案，建立信息安全危險預警發(fā)布機制，定期收集發(fā)布各類安全威脅、系統(tǒng)漏洞等信息，組織督促相關部門完成整改，制定信息安全事故事件應急預案，并組織定期演練。