劉燕茹

摘 要：全媒體融合為廣電行業(yè)帶來了全新的發(fā)展機遇，同時也使得廣電信息安全面臨著更加多樣化的威脅與挑戰(zhàn)。對此，文章就全媒體融合背景下的廣電信息安全防護策略予以簡要探討，以供借鑒參考。

關(guān)鍵詞：全媒體融合;廣電信息安全;防護策略

中圖分類號：TN949.12文獻標識碼：A文章編號：1674-1064（2021）07-048-02

DOI：10.12310/j.issn.1674-1064.2021.07.024

1 廣電信息安全環(huán)境分類

廣電信息安全事件通常是指，由于人為失誤或非法攻擊而導致對廣電播出信息系統(tǒng)、網(wǎng)站等的安全造成威脅，或?qū)ι鐣娫斐刹焕绊懙呢撁媸录?。此類影響廣電信息的安全問題主要有木馬程序、網(wǎng)絡攻擊、信息泄露、信息破壞、廣電設備故障等。對于廣電信息安全環(huán)境，可根據(jù)不同環(huán)境分為安全通信環(huán)境、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心以及應用系統(tǒng)環(huán)境等幾個方面，在廣電信息安全防護策略的制定時應根據(jù)不同的安全環(huán)境進行針對性部署。廣電信息安全環(huán)境分類如圖1所示。

2 廣電信息安全防護策略

2.1 網(wǎng)絡結(jié)構(gòu)安全防護

上下級網(wǎng)絡間應采用可靠的物理或邊界隔離，并根據(jù)系統(tǒng)功能、業(yè)務流程、網(wǎng)絡結(jié)構(gòu)等進行網(wǎng)絡安全區(qū)域的劃分。對于安全區(qū)域邊界可按照三個層次進行劃分，即一級核心域、二級中心域及三級接入域。其中，廣電播出系統(tǒng)可劃為一級核心域，并按要求配置相應的安全審計系統(tǒng)，上下級網(wǎng)絡間的安全區(qū)域邊界應通過物理或邊界隔離，予以可靠的安全防護[1]。

安全域的劃分應結(jié)合業(yè)務系統(tǒng)、防護等級、物理位置等因素，對不同的子網(wǎng)及網(wǎng)段進行劃分，并以便于管控為原則對不同的子網(wǎng)及網(wǎng)段分配地址段。同時，應保證廣播電視系統(tǒng)主要網(wǎng)絡設備的業(yè)務處理能力具備一定的冗余空間，以滿足業(yè)務高峰期的業(yè)務處理需要。另外，與廣電網(wǎng)絡信息系統(tǒng)有關(guān)的網(wǎng)絡設備，如核心交換機、匯聚交換機等在配置時，應設置一定的冗余空間，以免關(guān)鍵節(jié)點出現(xiàn)單點故障而影響整個系統(tǒng)的運行。

2.2 播出系統(tǒng)安全防護

對于廣播電視較為重要的播出系統(tǒng)，應具備相應的應急備份平臺，且對于關(guān)鍵性操作還應具備“一鍵恢復”的功能，以免操作失誤或網(wǎng)絡攻擊而導致重要數(shù)據(jù)丟失。同時，廣播電視系統(tǒng)前端還應結(jié)合實際需要，設置能夠?qū)Σコ鱿到y(tǒng)進行備份及倒換的控制設備，便于一旦遭遇網(wǎng)絡攻擊，終端顯示畫面或信息被篡改時，廣電系統(tǒng)前端能夠?qū)⒈淮鄹牡漠嬅婊蛐畔⑦M行清除，并替換成正常的畫面及信息。另外，針對覆蓋面較廣的有線數(shù)字電視，其前端應采用具有清流備播的異地備播系統(tǒng)，并采用安全可靠的防護策略或隔離措施，確保當主播出系統(tǒng)受到安全威脅時，仍能正常播出運行，不受任何事故影響。

廣播電視前端播控系統(tǒng)網(wǎng)絡，應與外網(wǎng)進行嚴格的物理隔離，防止辦公網(wǎng)絡、互聯(lián)網(wǎng)等遭受攻擊而影響播控系統(tǒng)的安全性。

對于廣播電視播控平臺的各個系統(tǒng)，應按要求做好倒換測試，并針對可能出現(xiàn)的各類安全風險事件，建立健全完善的風險處置體系，細化安全風險處理流程，確保在出現(xiàn)安全風險事件時，主路、備路均能實現(xiàn)安全穩(wěn)定運行。

對于節(jié)目碼數(shù)據(jù)流的發(fā)送傳輸，通常宜選擇為ASI格式，或選擇單向的IP格式，以確保數(shù)據(jù)傳輸過程中的安全性與可靠性。

廣播電視的EPG系統(tǒng)、電視廣播系統(tǒng)、中間件系統(tǒng)等廣電信息業(yè)務在播出前，對于播出的視頻信息須按要求進行嚴格的數(shù)字簽名與加密保護，確保整個播出過程中視頻信息的安全性與保密性，防止信息被非法篡改而造成安全播出事故。

對于Loader系統(tǒng)、應用下載系統(tǒng)等廣播電視網(wǎng)絡的業(yè)務/應用系統(tǒng)，應在電視節(jié)目播出前，對相應播出控制的系統(tǒng)固件、應用軟件等做好數(shù)字簽名保護，確保軟件代碼的安全性、完整性，以免遭受非法攻擊而被篡改。

對于廣播電視所有業(yè)務系統(tǒng)或應用系統(tǒng)含有BOSS系統(tǒng)或SAM系統(tǒng)的，應按照廣電信息的安全防護要求，在信息播發(fā)前嚴格進行信息安全過濾，以有效阻止不合格圖片、視頻、文字等非法信息流出播發(fā)。

2.3 終端設備安全防護

機頂盒、網(wǎng)關(guān)等作為廣播電視的終端播出設備，同樣應按要求做好相應的安全防護。對此，應在信息播出段及雙向信息接收側(cè)做好安全處理模塊的部署，以構(gòu)建安全穩(wěn)定的廣電網(wǎng)絡區(qū)域邊界，進而有效阻止非法透明碼流、文字、圖片、視頻等信息入侵，防止廣電系統(tǒng)軟件被非法篡改。

在廣電網(wǎng)絡與家庭網(wǎng)絡的連接側(cè)，應按要求進行防火墻部署，防止黑客或入侵者由家庭網(wǎng)絡端，對廣電系統(tǒng)機頂盒、網(wǎng)關(guān)等終端設備進行非法攻擊。

對于數(shù)字有線電視智能化的機頂盒等終端設備，其極易成為安全防護的薄弱環(huán)節(jié)，因此，須按要求做好相應的防護措施：主要包括軟件安全防護、信息接收域內(nèi)防護、播出信息防護、雙向信息防護、應急安全防護等安全防護措施。

以數(shù)字電視安全芯片UTi為基礎的數(shù)字太和，能夠通過數(shù)字簽名和多層防護，確保廣電系統(tǒng)Bootloader、固件以及相應應用App的安全性，避免機頂盒等終端設備因人為刷機而出現(xiàn)安全漏洞，防止軟件被非法篡改，進而構(gòu)建安全可靠的終端安全區(qū)域邊界[2]。

針對數(shù)字有線電視終端設備，應構(gòu)建安全、有效的應急預案，便于一旦發(fā)生較為重大的非法安全攻擊時，能夠及時啟動應急預案，并迅速使廣電系統(tǒng)恢復正常。

2.4 網(wǎng)絡設備安全防護

對于廣電網(wǎng)絡一級安全區(qū)域邊界的網(wǎng)絡設備，應結(jié)合廣電播出的安全要求安裝安全審計系統(tǒng)，確保操作人員在發(fā)出操作請求時必須經(jīng)過相應的安全審計工作，便于一旦發(fā)生安全攻擊時能夠第一時間追溯源頭，進而保證廣電系統(tǒng)的安全穩(wěn)定運行。同時，通過用戶安全管理、設備安全防護、服務器安全措施等組合安全防護策略，確保所有操作的安全性與可控性。

在廣電網(wǎng)絡設備訪問及配置過程中，應根據(jù)廣電網(wǎng)絡的安全要求設置相應的安全登錄口令，主要包括控制臺口令、遠程登錄口令、特權(quán)口令等幾個方面。在進行口令密碼設置時，應注意定期對口令密碼進行更新更換，并采用高強度密碼加密的方式加強口令的加密等級。對于遠程登錄口令可采用SHH安全的登錄方式，嚴格控制會話次數(shù)、會話超時的情況，并設置相應的預警信息，一旦出現(xiàn)突發(fā)安全事件，應能夠在第一時間發(fā)出預警。

加強遠程登錄地址的訪問控制，通過訪問控制列表，限制遠程登錄的源地址，并設置僅允許一個IP地址或局域網(wǎng)IP遠程登錄訪問。對于非必要的服務器及端口應進行關(guān)閉，以最大程度利用訪問控制列表，實現(xiàn)對當前現(xiàn)有端口的訪問控制。

對于廣電網(wǎng)絡設備的非必要服務項應進行關(guān)閉，以顯著提升廣電系統(tǒng)運行的安全性與有效性。

通過SNMP V3及以上版本的廣電網(wǎng)絡安全管理協(xié)議，為廣電網(wǎng)絡設備的安全運行提供安全風險監(jiān)控與管理接口。同時，對于一級安全區(qū)域邊界的網(wǎng)絡核心路由交換設備，應采用雙機熱備系統(tǒng)架構(gòu)。

2.5 數(shù)據(jù)信息備份恢復

構(gòu)建相應的災難備份系統(tǒng)，健全數(shù)據(jù)與系統(tǒng)安全管理工作機制，制定相應的災難備份與恢復應急預案，并進行相應的災難備份與恢復演練，進而有效保證廣電數(shù)據(jù)信息的安全與核心應用的穩(wěn)定運行。

建立健全數(shù)據(jù)備份機制，并按要求對重要數(shù)據(jù)設置備份專人，以強化對不同數(shù)據(jù)存儲與備份的管理。對于較為關(guān)鍵的、機密性較高的數(shù)據(jù)信息，可采用高強度的字符串加密算法予以加密保護，以防止數(shù)據(jù)被非法存取，避免機密數(shù)據(jù)信息發(fā)生泄漏。

對于重要的廣電數(shù)據(jù)信息，可采用多樣化的數(shù)據(jù)備份方法予以備份保護，如本地、異地或外部存儲設備備份等，確保數(shù)據(jù)在遭受非法篡改等破壞后能夠及時恢復。數(shù)據(jù)備份的文件應存儲于非本機磁盤的其他存儲介質(zhì)，存儲介質(zhì)的存放地應做好相應的防火、防潮、防磁、防盜工作，并保證存儲的環(huán)境溫度、濕度達標。

在廣電系統(tǒng)數(shù)據(jù)庫補丁安裝、版本更新、配置升級等發(fā)生變動前，應先對廣電數(shù)據(jù)信息進行備份。對于廣播電視體系的核心應用系統(tǒng)，應對重要數(shù)據(jù)進行每日及每周備份，其他非核心應用系統(tǒng)的數(shù)據(jù)信息可每周或每月定期進行備份[3]。

備份數(shù)據(jù)恢復前，應對備份數(shù)據(jù)的一致性進行檢驗，確保兩個備份數(shù)據(jù)的大小、數(shù)量及日期保持一致，在完成數(shù)據(jù)的一致性檢驗且滿足要求后方可使用。同時，系統(tǒng)備份的數(shù)據(jù)還應定期進行恢復演練，以保證備份數(shù)據(jù)的可用性、完整性。在完成恢復演練后，應在備份系統(tǒng)上進行恢復演練測試，測試成功后即可在主用系統(tǒng)上進行應用。

3 結(jié)語

綜上所述，針對當下廣電信息安全面臨的一系列問題與挑戰(zhàn)，應在做好廣電信息安全環(huán)境分類的基礎上，切實采取相應穩(wěn)妥的防護策略，促使廣電信息安全得到有效保障。

參考文獻

[1] 王曉艷，梁晉春，姚穎穎，等.媒體融合下電視臺網(wǎng)絡化制播系統(tǒng)安全建設[J].信息技術(shù)與標準化，2017（1）：28-31.

[2] 涂鈞.廣西廣電網(wǎng)絡信息安全防護體系研究思路[J].信息技術(shù)與標準化，2017（3）：37-41.

[3] 孫源.融媒體建設環(huán)境下的信息安全如何保障[J].西部廣播電視，2018（23）：38-39.