高深

（黑龍江廣播電視臺，黑龍江 哈爾濱150000）

2019 年是融媒體建設(shè)加速發(fā)展的一年。落實總書記關(guān)于融媒體建設(shè)要求，如何更快更好建構(gòu)現(xiàn)代全媒體傳播體系，成為當(dāng)今媒體融合發(fā)展的重要任務(wù)。在融媒體建設(shè)過程中，網(wǎng)絡(luò)安全體系的建設(shè)是系統(tǒng)建設(shè)中重要的組成部分之一，本文結(jié)合以往網(wǎng)站及客戶端日常管理工作，總結(jié)在融媒建設(shè)中常見的安全管理問題，以供大家研判參考。

1 信息安全政策法規(guī)要求

網(wǎng)絡(luò)信息相關(guān)政策法規(guī)主要有兩個體系要求，一個是有網(wǎng)信部門聯(lián)合公安部門推出的《網(wǎng)絡(luò)安全法》，另一個是由中共中央宣傳部新聞局和國家廣播電視總局科技司共同推出的《縣級融媒體中心網(wǎng)絡(luò)安全規(guī)范》?！毒W(wǎng)絡(luò)安全法》于2017 年6 月1日正式實施，是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律。2019 年4 月，中宣部和國家廣播電視總局聯(lián)合發(fā)布的《縣級融媒體中心網(wǎng)絡(luò)安全規(guī)范》作為行業(yè)規(guī)范，明確了融媒建設(shè)的信息安全建設(shè)要求?；ヂ?lián)網(wǎng)信息系統(tǒng)運營主體應(yīng)該保證系統(tǒng)滿足《網(wǎng)絡(luò)安全法》的相關(guān)要，不滿足的可以有公安部門對運營主體和個人進(jìn)行行政處罰，處罰形式包括罰款、責(zé)令停業(yè)整頓等。例如根據(jù)澎湃新聞報道，菏澤市東明縣某網(wǎng)絡(luò)科技公司被行政處罰，對公司處六萬元罰款，對法定代表人李某某處五千元罰款，責(zé)令停業(yè)整頓。其原因是網(wǎng)絡(luò)安全防護(hù)工作落實不到位，大量注冊用戶未落實實名認(rèn)證，網(wǎng)站存在嚴(yán)重安全隱患[1]。可以看到網(wǎng)絡(luò)安全建設(shè)是目前融媒體系統(tǒng)建設(shè)中的重要環(huán)節(jié)，網(wǎng)絡(luò)安全建設(shè)的缺失直接影響到系統(tǒng)的上線運營。按照廣電總局的縣級融媒體建設(shè)規(guī)范要求，縣級融媒體應(yīng)該達(dá)到信息安全等級保護(hù)第二級保護(hù)標(biāo)準(zhǔn)，省級平臺需要達(dá)到第三級等保標(biāo)準(zhǔn)。由公安部等四部委在2007 年下發(fā)《信息安全等級保護(hù)辦法》要求第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，每年至少進(jìn)行一次自查。

2 信息系統(tǒng)常見安全問題處置

按照總局下發(fā)的《縣級融媒體中心網(wǎng)絡(luò)安全規(guī)范》，我們可以進(jìn)行符合等級保護(hù)要求的安全系統(tǒng)建設(shè)。但信息安全保護(hù)不只是安全設(shè)備的堆砌，還需要加強(qiáng)日常安全行為管理和突發(fā)安全事件的處置。以下結(jié)合黑龍江網(wǎng)絡(luò)廣播電視臺的日常運營中常見的幾類安全事件進(jìn)行分析說明，并給出簡要處理策略和方法。

在黑龍江網(wǎng)絡(luò)廣播電視臺的日常運營中，目 前發(fā)生最多的安全事件是爬蟲事件，每周達(dá)到18 萬次；其次是DDos 攻擊事件，峰值流量達(dá)到60Gbps。作為媒體網(wǎng)站我們還額外關(guān)注sql 注入攻擊和網(wǎng)頁篡改行為。

2.1 爬蟲攻擊

爬蟲原本是搜索引擎用來進(jìn)行信息檢索的工具，PC 時代網(wǎng)站都盡量對爬蟲友好，以在搜索引擎中排名靠前從而增加網(wǎng)站的流量。但隨著融媒體的發(fā)展，爬蟲技術(shù)被大量應(yīng)用在互聯(lián)網(wǎng)公司進(jìn)行媒體資源的匯聚，最知名的例子便是今日頭條對新聞網(wǎng)站內(nèi)容的抓取。大量非授權(quán)的爬蟲訪問網(wǎng)站占用了系統(tǒng)的運營資源，降低了系統(tǒng)的訪問速度，降低了正常用戶的訪問體驗。目前隨著市場對于原創(chuàng)內(nèi)容的追逐，大量原創(chuàng)內(nèi)容被非授權(quán)的抓取了，降低了自有網(wǎng)站的運營能力。針對合規(guī)爬蟲，只需要做好robots.txt 的配置，就可以很好的限制爬蟲爬取的行為。例如建立網(wǎng)站的爬蟲黑名單，限制可以爬取的內(nèi)容等。但針對非法爬蟲，就需要通過user-anget 等信息進(jìn)行訪問控制；更進(jìn)一步需要根據(jù)訪問日志制訂相應(yīng)的限制策略，例如限制鏈接時長和單位時間內(nèi)的訪問次數(shù)；也可以采購web 應(yīng)用防火墻對網(wǎng)絡(luò)爬蟲進(jìn)行限制或針對特定ip 地址進(jìn)行阻斷。

可以通過更改apache 的配置來實現(xiàn)user-agent 的限制。假如我們要把python 類爬蟲和百度的爬蟲限制掉，可以加一條這樣的規(guī)則：

2.2 SQL 注入攻擊

SQL 注入攻擊是目前網(wǎng)站系統(tǒng)常見的一種攻擊形式，其具有攻擊簡單、危害性高等特點。網(wǎng)上流行各種SQL 注入工具，這使得很多”愛好者”可以輕易危害網(wǎng)站安全，進(jìn)行網(wǎng)頁篡改等。SQL 注入是由于沒有對用戶輸入數(shù)據(jù)進(jìn)行嚴(yán)格的合法性驗證造成的，以此來實現(xiàn)欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢，從而進(jìn)一步得到相應(yīng)的數(shù)據(jù)信息。

防止SQL 注入攻擊的核心還是在系統(tǒng)代碼層面完善從而避免sql 注入漏洞的產(chǎn)生，需要嚴(yán)格進(jìn)行輸入變量的類型、長度以及過濾特殊字符。對于廣電行業(yè)由于大部分系統(tǒng)都不是由自己進(jìn)行開發(fā)的，因此我們需要有效的工具來避免黑客通過sql漏洞來進(jìn)行攻擊。web 應(yīng)用防護(hù)服務(wù)可以根據(jù)查詢語句的特征值有效的進(jìn)行參數(shù)阻斷，是一種有效的是自建融媒系統(tǒng)中的一項重要安全保障。

2.3 網(wǎng)頁篡改

常見的網(wǎng)頁篡改攻擊形式有被互聯(lián)網(wǎng)暗產(chǎn)控制被掛賭博鏈接或者廣告文章。根據(jù)CNCERT 的報告2018 年有7049 個網(wǎng)站本篡改，但較2017 年下降了64.9%。由數(shù)據(jù)表明網(wǎng)頁竄改風(fēng)險大幅下降，但網(wǎng)頁竄改仍是媒體行業(yè)要高度重視的一種攻擊形式。媒體網(wǎng)站作為各級政府的重要宣傳出口，具有極強(qiáng)的政治屬性，因此應(yīng)該做好應(yīng)急預(yù)案，在最短的時間內(nèi)刪除被篡改網(wǎng)頁，消除不良影響。傳統(tǒng)廣電往往采用24 小時人工監(jiān)控的形式來進(jìn)行風(fēng)險管控。由于網(wǎng)頁篡改一定會在頁面中加入攻擊者的信息。因此目前普遍采用的網(wǎng)頁篡改發(fā)現(xiàn)方式如下：加強(qiáng)對關(guān)鍵網(wǎng)頁進(jìn)行監(jiān)控，定時爬取網(wǎng)站內(nèi)容對頁面文字部分進(jìn)行提取，判斷是否有涉賭、涉黃、涉政的違禁詞匯，從而判定網(wǎng)頁是否被篡改。

2.4 DDoS 攻擊

2018 年境內(nèi)發(fā)起DDoS 攻擊的活躍控制端數(shù)量同 比下降46%、被控端數(shù)量同比下降37%；DDoS 攻擊的主要影響是，耗盡融媒系統(tǒng)的帶寬資源、計算資源，造成部分業(yè)務(wù)不可訪問。

目前解決DDoS 攻擊沒有很好的應(yīng)對方法，系統(tǒng)本身防護(hù)的核心思路還是要提升系統(tǒng)的負(fù)載能力。接入CDN 服務(wù)可以有效提升系統(tǒng)帶寬和負(fù)載能力，然而需要大量資金成本支出。黑龍江網(wǎng)絡(luò)廣播電視臺受到的DDos 攻擊峰值達(dá)到過60Gps，如果都用CDN 或者DDos 流量清洗服務(wù)來承接流量將產(chǎn)生巨額的費用支出。目前廣電融媒系統(tǒng)針對DDoS 攻擊的有效防御策略應(yīng)該對圖文、流媒體等不同業(yè)務(wù)進(jìn)行劃分，例如在業(yè)務(wù)上采用不同的域名、ip、接入線路來進(jìn)行業(yè)務(wù)劃分，從而保證單一業(yè)務(wù)被DDos 攻擊時不會影響到其他業(yè)務(wù)的正常運營。

3 其他安全風(fēng)險提示

3.1 運營帳戶的管理

目前各個媒體單位都開始進(jìn)行了自己的融媒矩陣建設(shè)，在今日頭條、微信等各大平臺都建立的眾多的賬號，但目前媒體對于賬號的管理和平臺對于賬號的管理方式并不相同，這帶來了潛在的網(wǎng)絡(luò)安全風(fēng)險。

各平臺對于賬號安全的管理有三個要素：用戶名、密碼、密保郵箱及電話。媒體管理賬號則是運營者、密碼、賬號。在這些要素中權(quán)限等級最高的是手機(jī)信息，即在沒有用戶名和密碼的情況下，通過手機(jī)號可以重新設(shè)置帳戶其他信息。這樣在在業(yè)務(wù)交接的時候往往只交接了賬號、密碼而沒有及時變更手機(jī)信息。在一些情況下，如：人員離職、手機(jī)號注銷；賬號可能脫離媒體的掌控，進(jìn)而造成嚴(yán)重?fù)p失。

3.2 盜刷類安全風(fēng)險

此類安全風(fēng)險并不是傳統(tǒng)的破壞計算機(jī)系統(tǒng)，因此很難說這類行為是違法的，但它消耗了系統(tǒng)的運營資源。例如CDN 的盜刷和驗證短信的盜刷，攻擊者完全模擬正常用戶的正常行為，登錄系統(tǒng)發(fā)送驗證短信，下發(fā)短信是需要預(yù)先購買的，當(dāng)費用不足是就會造成業(yè)務(wù)中斷。這類攻擊手法很難通過技術(shù)手段識別出來，因此需要管理者在運營保障和資源損失之間做出抉擇，以犧牲部分資源的代價保障系統(tǒng)的穩(wěn)定運營。

4 結(jié)論

近年來隨著網(wǎng)絡(luò)建設(shè)的發(fā)展，網(wǎng)絡(luò)安全要求逐步升級，總的來說網(wǎng)絡(luò)安全管理擁有越來越多的工具和設(shè)備來保證計算機(jī)系統(tǒng)的安全運行。攻擊目的也從系統(tǒng)破壞、病毒傳播逐步發(fā)展到竊取企業(yè)信息、計算資源，因此防護(hù)重點也逐步向信息加密與安全轉(zhuǎn)變。

此外，融媒號的發(fā)展和移動辦公的需要，改變了傳統(tǒng)計算機(jī)系統(tǒng)集中部署分區(qū)管理的方法。在分布是架構(gòu)下數(shù)據(jù)傳輸?shù)陌踩院驮O(shè)備的準(zhǔn)入管理需求，促使傳統(tǒng)網(wǎng)絡(luò)安全需要更多的資源進(jìn)行新階段的安全管理。