魯?shù)戮?/p>

(中國(guó)國(guó)際電視總公司 北京 100036)

近年來(lái)，大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算、人工智能等技術(shù)在廣電行業(yè)得到廣泛應(yīng)用，融媒體、全媒體逐步實(shí)現(xiàn)縱深發(fā)展，傳統(tǒng)廣電技術(shù)系統(tǒng)從專用、獨(dú)立網(wǎng)絡(luò)逐步向采、編、播等全領(lǐng)域、全業(yè)務(wù)、全流程的一體化、網(wǎng)絡(luò)化發(fā)展，播出網(wǎng)絡(luò)環(huán)境日益復(fù)雜，隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也日益凸顯[1]。

面對(duì)組織化、規(guī)?；?、平臺(tái)化、復(fù)雜化的網(wǎng)絡(luò)攻擊趨勢(shì)，單純依靠防火墻等安全產(chǎn)品及查殺病毒、入侵監(jiān)測(cè)、封堵漏洞等安全措施，已無(wú)法滿足當(dāng)前廣電技術(shù)系統(tǒng)安全、穩(wěn)定運(yùn)行的發(fā)展需求，亟須前移播控系統(tǒng)安全防守關(guān)口，提前態(tài)勢(shì)預(yù)警、提前規(guī)避風(fēng)險(xiǎn)[2]，及時(shí)發(fā)現(xiàn)異常，快速響應(yīng)處理，將被動(dòng)防御轉(zhuǎn)向事前評(píng)估預(yù)測(cè)，從靜態(tài)特征分析轉(zhuǎn)向智能數(shù)據(jù)分析，從手工封堵轉(zhuǎn)向自動(dòng)化處理，從單點(diǎn)防御轉(zhuǎn)向云網(wǎng)邊端的全方位防護(hù)，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全防護(hù)能力。

1 廣電網(wǎng)絡(luò)安全現(xiàn)狀

1.1 廣電網(wǎng)絡(luò)安全管理現(xiàn)狀

近年來(lái)，國(guó)家高度重視網(wǎng)絡(luò)安全工作，相繼出臺(tái)了《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)空間國(guó)際合作戰(zhàn)略》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)條例2.0》等法律法規(guī)，有力地促進(jìn)了網(wǎng)絡(luò)安全行業(yè)的全面發(fā)展。廣電行業(yè)緊跟國(guó)家政策要求，結(jié)合行業(yè)特性，2020 年出臺(tái)《廣播電視網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》，聯(lián)合國(guó)家網(wǎng)信辦等12部門發(fā)布《網(wǎng)絡(luò)安全審查辦法》，2021年出臺(tái)了《廣播電視網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，建立了國(guó)內(nèi)廣播電視和網(wǎng)絡(luò)視聽(tīng)推薦性行業(yè)標(biāo)準(zhǔn)，強(qiáng)化廣播電視關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)，加強(qiáng)行業(yè)網(wǎng)絡(luò)安全設(shè)施建設(shè)。廣電網(wǎng)絡(luò)安全有關(guān)管理要求如圖1所示。

圖1 廣電網(wǎng)絡(luò)安全有關(guān)管理要求

1.2 廣電技術(shù)系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀

現(xiàn)行廣電技術(shù)系統(tǒng)大多建設(shè)時(shí)間較早，其網(wǎng)絡(luò)安全體系均采用靜態(tài)、防御性的防護(hù)措施，通過(guò)加解密、防火墻、訪問(wèn)控制等技術(shù)手段加固技術(shù)系統(tǒng)、保護(hù)信息數(shù)據(jù)[3]。按照廣電總局網(wǎng)絡(luò)安全有關(guān)規(guī)定和要求，廣播電視運(yùn)行保障單位技術(shù)系統(tǒng)大都完成了等級(jí)保護(hù)定級(jí)和安全防護(hù)體系建設(shè)工作，其中一些采取了以分區(qū)分域、邊界防護(hù)為原則的安全防護(hù)架構(gòu)，在一定程度上滿足了網(wǎng)絡(luò)安全要求。

近年來(lái)，媒體融合已經(jīng)成為傳統(tǒng)媒體轉(zhuǎn)型的必由之路，新媒體網(wǎng)絡(luò)的接入、技術(shù)系統(tǒng)的升級(jí)改造、移動(dòng)辦公模式的變化，使網(wǎng)絡(luò)邊界逐漸模糊，業(yè)務(wù)訪問(wèn)需求復(fù)雜性變高，內(nèi)部資源暴露面擴(kuò)大，不可控安全因素增加，技術(shù)系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷加大。

1.3 傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)存在的問(wèn)題

在高新技術(shù)快速迭代的今天，部分廣電網(wǎng)絡(luò)安全防護(hù)系統(tǒng)架構(gòu)已經(jīng)與當(dāng)前技術(shù)體制脫節(jié)，其采用的傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)相較于快速發(fā)展的網(wǎng)絡(luò)安全攻防技術(shù)，已經(jīng)無(wú)法滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的相關(guān)要求，部分設(shè)備無(wú)法部署現(xiàn)有通用安全防護(hù)措施，部分平臺(tái)尚未實(shí)現(xiàn)安全數(shù)據(jù)的集中管理，網(wǎng)絡(luò)安全設(shè)備協(xié)同防護(hù)能力不足，網(wǎng)絡(luò)安全體系化防護(hù)水平不高，同時(shí)系統(tǒng)缺乏事前預(yù)警和態(tài)勢(shì)感知能力，主要依靠人力發(fā)現(xiàn)并處置安全設(shè)備產(chǎn)生的大量告警，占用資源大，對(duì)安全運(yùn)維人員技術(shù)能力和職業(yè)素養(yǎng)要求較高，在當(dāng)前錯(cuò)綜復(fù)雜網(wǎng)絡(luò)環(huán)境下對(duì)大規(guī)模、分布式的網(wǎng)絡(luò)攻擊，難以做到有效處置。傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)存在的問(wèn)題具體如圖2所示。

圖2 傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)存在的問(wèn)題

2 智能化應(yīng)用的優(yōu)勢(shì)

人工智能技術(shù)的出現(xiàn)，給網(wǎng)絡(luò)安全攻防技術(shù)和體系建設(shè)提供了一個(gè)全新的思路，利用大數(shù)據(jù)、人工智能等技術(shù)，構(gòu)建“云—網(wǎng)—端”協(xié)同立體的網(wǎng)絡(luò)安全防護(hù)體系，能夠?qū)崿F(xiàn)多維數(shù)據(jù)采集處理、大數(shù)據(jù)高速檢索、攻擊威脅探測(cè)、智能態(tài)勢(shì)感知和自動(dòng)化響應(yīng)等功能，具有人力成本低、預(yù)警能力強(qiáng)、風(fēng)險(xiǎn)監(jiān)測(cè)準(zhǔn)、應(yīng)急處置快等特點(diǎn)[4]。

2.1 減少人工成本投入

傳統(tǒng)廣電技術(shù)系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測(cè)、處置主要依靠網(wǎng)絡(luò)安全維護(hù)人員人工審核鑒別網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和攻擊行為，并做出相應(yīng)的處置操作，這將耗費(fèi)大量的人力。采用人工智能技術(shù)自動(dòng)采集廣電技術(shù)系統(tǒng)設(shè)備運(yùn)行狀態(tài)和預(yù)警信息，將常見(jiàn)攻擊行為、攻擊階段、攻擊手段、已經(jīng)攻陷的資產(chǎn)及全網(wǎng)的實(shí)時(shí)攻擊態(tài)勢(shì)自動(dòng)分析判斷并直觀呈現(xiàn)，利用預(yù)設(shè)的處置流程和操作方案，提供一鍵策略制定、一鍵報(bào)告生成等自動(dòng)化功能，大幅度降低人力成本投入，提高響應(yīng)效率。

2.2 提供風(fēng)險(xiǎn)態(tài)勢(shì)預(yù)警

利用人工智能技術(shù)，在網(wǎng)絡(luò)安全防護(hù)體系中對(duì)技術(shù)系統(tǒng)各個(gè)環(huán)節(jié)的網(wǎng)絡(luò)流量、系統(tǒng)運(yùn)行參數(shù)、終端報(bào)警數(shù)據(jù)進(jìn)行分析、整合，通過(guò)安全模型分析、環(huán)境感知、算法模型、機(jī)器學(xué)習(xí)、AI 學(xué)習(xí)等技術(shù)對(duì)全部數(shù)據(jù)進(jìn)行分析決策，將關(guān)鍵的風(fēng)險(xiǎn)信息篩選并呈現(xiàn)出來(lái)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)隱患及安全威脅，并對(duì)其影響范圍及嚴(yán)重程度進(jìn)行量化評(píng)估，輔助運(yùn)維人員及時(shí)發(fā)現(xiàn)，提前消除隱患。

2.3 提升風(fēng)險(xiǎn)監(jiān)測(cè)準(zhǔn)確度

人工智能在網(wǎng)絡(luò)安全防護(hù)體系中，基于多規(guī)則、多模型、多源異構(gòu)的數(shù)據(jù)來(lái)源，快速篩選剔除了無(wú)效告警和誤報(bào)預(yù)警信息，大幅度降低了告警信息數(shù)量規(guī)模，經(jīng)過(guò)篩選后，重點(diǎn)關(guān)注、受攻擊、真實(shí)故障告警等信息更加集中和醒目，有效提升了風(fēng)險(xiǎn)監(jiān)測(cè)的準(zhǔn)確度，在可視化呈現(xiàn)的基礎(chǔ)上，進(jìn)一步分析攻擊、故障的詳細(xì)情況，為運(yùn)維人員提供判斷和處置的依據(jù)。

2.4 提高應(yīng)急處置效率

采用人工智能技術(shù)構(gòu)建的網(wǎng)絡(luò)安全防護(hù)體系，利用自主學(xué)習(xí)能力，不斷獲取、吸收、迭代最新的安全防護(hù)策略和風(fēng)險(xiǎn)信息，并根據(jù)當(dāng)前系統(tǒng)配置和設(shè)備狀態(tài)，調(diào)整安全防護(hù)策略，更加有效地應(yīng)對(duì)新型風(fēng)險(xiǎn)和挑戰(zhàn)。在此基礎(chǔ)上，利用人工智能技術(shù)開(kāi)發(fā)參數(shù)配置、自動(dòng)巡檢、故障排查等模塊，實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)體系自動(dòng)化、智能化運(yùn)行，加快故障和攻擊處置效率，提升安全防護(hù)性能。

3 人工智能在廣電網(wǎng)絡(luò)安全中的應(yīng)用

3.1 人工智能在防火墻中的應(yīng)用

目前，防火墻仍是網(wǎng)絡(luò)安全防御系統(tǒng)中的主要設(shè)備。傳統(tǒng)防火墻主要依靠預(yù)先設(shè)置好的安全策略、規(guī)則對(duì)數(shù)據(jù)、流量進(jìn)行檢測(cè)防護(hù)，傳輸正常數(shù)據(jù)包、阻斷異常數(shù)據(jù)包，其主動(dòng)防御、動(dòng)態(tài)檢測(cè)、應(yīng)用防護(hù)等能力均存在不足，如果安全策略、規(guī)則更新不及時(shí)，將無(wú)法判斷一些新型的攻擊形態(tài)[5]。智能防火墻是人工智能與防火墻技術(shù)的有機(jī)結(jié)合，相較于傳統(tǒng)防火墻技術(shù)，智能防火墻具有機(jī)器學(xué)習(xí)、自動(dòng)分析和智能決策等功能，管理界面可視，應(yīng)急操作簡(jiǎn)單，能根據(jù)技術(shù)發(fā)展和網(wǎng)絡(luò)攻擊趨勢(shì)，智能調(diào)整訪問(wèn)控制策略，大大降低了對(duì)管理人員技能水平、應(yīng)急操作的依賴，減少了人為誤判造成的危害技術(shù)系統(tǒng)正常運(yùn)行情況的發(fā)生，在減輕運(yùn)維壓力的同時(shí)，極大地提升了威脅檢測(cè)的準(zhǔn)確性和及時(shí)性。

3.2 人工智能在入侵檢測(cè)中的應(yīng)用

入侵檢測(cè)技術(shù)是當(dāng)前網(wǎng)絡(luò)安全管理工作中的重要組成部分。傳統(tǒng)的入侵檢測(cè)技術(shù)在安全性、時(shí)效性和體系結(jié)構(gòu)等方面均存在短板，存在高誤報(bào)率、高漏報(bào)率等問(wèn)題，導(dǎo)致阻斷入侵能力低[6]。基于以上情況，智能入侵檢測(cè)系統(tǒng)借助人工智能中的模糊信息識(shí)別、具有自我學(xué)習(xí)能力的專家系統(tǒng)、數(shù)據(jù)挖掘和人工神經(jīng)網(wǎng)絡(luò)等技術(shù)，采用分布式、協(xié)作式體系結(jié)構(gòu)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)入侵動(dòng)態(tài)檢測(cè)、自動(dòng)預(yù)警和實(shí)時(shí)防御功能[7]，提高入侵辨別能力，提升入侵檢測(cè)效率，增強(qiáng)入侵防范水平，在保障信息系統(tǒng)安全運(yùn)行的基礎(chǔ)上，最大程度地抵御外來(lái)入侵攻擊，保護(hù)信息安全。

3.3 人工智能在態(tài)勢(shì)感知中的應(yīng)用

隨著廣電技術(shù)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)更加復(fù)雜，信息流轉(zhuǎn)更加頻繁，傳統(tǒng)的態(tài)勢(shì)感知技術(shù)已經(jīng)無(wú)法滿足應(yīng)用需求，依托人工智能技術(shù)構(gòu)建的新型態(tài)勢(shì)感知系統(tǒng)，能對(duì)防火墻、入侵監(jiān)測(cè)、攻擊溯源、防御系統(tǒng)等安全防護(hù)設(shè)備的各種日志進(jìn)行匯總、過(guò)濾、關(guān)聯(lián)分析、行為分析等，通過(guò)審計(jì)程序?qū)W(wǎng)絡(luò)主機(jī)對(duì)話、網(wǎng)絡(luò)連接進(jìn)行提取分析和深度挖掘，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中不穩(wěn)定、不安全因素，利用自主學(xué)習(xí)能力，動(dòng)態(tài)調(diào)整安全防護(hù)策略，實(shí)時(shí)加固安全防護(hù)體系，實(shí)現(xiàn)廣電技術(shù)系統(tǒng)的安全態(tài)勢(shì)可見(jiàn)、風(fēng)險(xiǎn)攻擊可知、應(yīng)急處置高效。

3.4 人工智能在檢測(cè)處置中的應(yīng)用

當(dāng)前，新型網(wǎng)絡(luò)攻擊呈現(xiàn)出規(guī)模化、智能化的發(fā)展趨勢(shì)，對(duì)網(wǎng)絡(luò)攻擊行為檢測(cè)和處置帶來(lái)了較大困難。為此，新型網(wǎng)絡(luò)安全防護(hù)體系引入人工智能和數(shù)字模型算法，采用SOAR技術(shù)，驅(qū)動(dòng)安全控制器聯(lián)動(dòng)網(wǎng)絡(luò)安全設(shè)備等各個(gè)網(wǎng)元來(lái)智能感知、識(shí)別流量路徑，通過(guò)豐富的特征庫(kù)、全面的檢測(cè)策略、智能的機(jī)器學(xué)習(xí)、高效的沙箱動(dòng)態(tài)分析，匹配云端的威脅情報(bào)，可以根據(jù)網(wǎng)絡(luò)攻擊特征自主開(kāi)展特征分析、攻擊取證、跟蹤溯源等操作，并根據(jù)風(fēng)險(xiǎn)等級(jí)自動(dòng)采取隔離、阻斷、禁止訪問(wèn)、封禁端口等處置工作[8]，協(xié)助運(yùn)維人員處置大量重復(fù)的安全事件，有效提升了檢測(cè)處置的精準(zhǔn)度，提升安全運(yùn)維效率。

4 智能安全防護(hù)管理平臺(tái)應(yīng)用方案探討

針對(duì)廣電技術(shù)系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀，根據(jù)人工智能、大數(shù)據(jù)在網(wǎng)絡(luò)安全防護(hù)領(lǐng)域的應(yīng)用實(shí)例，廣電行業(yè)應(yīng)不斷適應(yīng)新形勢(shì)、新發(fā)展，在整合現(xiàn)有網(wǎng)絡(luò)安全防護(hù)資源基礎(chǔ)上，對(duì)安全環(huán)境、安全設(shè)備數(shù)據(jù)、能力進(jìn)行采集、處理，對(duì)海量安全告警信息進(jìn)行智能分析和研判，自動(dòng)化處置安全事件，動(dòng)態(tài)優(yōu)化安全策略，逐步形成體系化的智能安全防護(hù)機(jī)制[9]，構(gòu)建“威脅發(fā)現(xiàn)—智能研判—響應(yīng)處置—?jiǎng)討B(tài)優(yōu)化”的智能安全防護(hù)管理平臺(tái)，實(shí)現(xiàn)網(wǎng)絡(luò)安全閉環(huán)管理，為廣電網(wǎng)絡(luò)安全保駕護(hù)航。

4.1 功能邏輯架構(gòu)

結(jié)合《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)條例2.0》要求和廣電網(wǎng)絡(luò)環(huán)境現(xiàn)狀，制定符合自身實(shí)際情況的智能安全防護(hù)管理平臺(tái)功能邏輯架構(gòu)，具體如圖3 所示。其中，智能安全防護(hù)管理平臺(tái)的基礎(chǔ)安全環(huán)境為上層提供基礎(chǔ)安全能力，應(yīng)包括安全區(qū)域邊界設(shè)備、安全計(jì)算環(huán)境設(shè)備、安全管理中心設(shè)備；安全數(shù)據(jù)中臺(tái)對(duì)運(yùn)行數(shù)據(jù)、告警信息等網(wǎng)絡(luò)安全要素進(jìn)行整理匯集，應(yīng)包括數(shù)據(jù)采集、處理、管理、分析及存儲(chǔ)功能，為上層應(yīng)用提供安全數(shù)據(jù)服務(wù)；安全能力中臺(tái)對(duì)整體安全能力進(jìn)行梳理管理調(diào)度，應(yīng)具有數(shù)據(jù)識(shí)別、防護(hù)、檢測(cè)和資源統(tǒng)一編排、調(diào)度、策略管理能力，為上層應(yīng)用提供標(biāo)準(zhǔn)安全能力；安全應(yīng)用提供自適應(yīng)智能化的安全檢測(cè)規(guī)則、靈活的分析建模方式，具有資產(chǎn)管理、威脅溯源、態(tài)勢(shì)感知等功能，實(shí)現(xiàn)安全事件自動(dòng)化流程化檢測(cè)、分析、響應(yīng)，做到安全閉環(huán)。

圖3 總體功能邏輯架構(gòu)圖

4.2 數(shù)據(jù)流轉(zhuǎn)設(shè)計(jì)

根據(jù)全網(wǎng)安全防護(hù)情況，數(shù)據(jù)流轉(zhuǎn)可分為行為探測(cè)階段、大數(shù)據(jù)前置分析階段、大數(shù)據(jù)后置分析階段這3 個(gè)階段。其中，行為探測(cè)階段對(duì)流量和日志數(shù)據(jù)進(jìn)行采集，并利用IDS、流量探針、沙箱、SOC 等進(jìn)行初步威脅行為探測(cè)，基于單點(diǎn)數(shù)據(jù)發(fā)現(xiàn)安全威脅。大數(shù)據(jù)前置分析階段將行為探測(cè)階段數(shù)據(jù)進(jìn)一步發(fā)送至平臺(tái)進(jìn)行實(shí)時(shí)分析和離線分析，實(shí)時(shí)分析利用細(xì)粒度模型算子進(jìn)行關(guān)聯(lián)分析、統(tǒng)計(jì)分析、AI分析等，輸出攻擊鏈階段、告警標(biāo)簽、處置建議等安全威脅詳細(xì)信息，離線分析結(jié)合歷史數(shù)據(jù)進(jìn)行學(xué)習(xí)分析，發(fā)現(xiàn)偏離歷史行為的異常行為、違規(guī)操作、賬戶失陷等安全風(fēng)險(xiǎn)。大數(shù)據(jù)后置分析階段將前置分析結(jié)果存儲(chǔ)至ES中，并為分析應(yīng)用提供支撐。數(shù)據(jù)分析流具體如圖4所示。

圖4 數(shù)據(jù)分析流圖

4.3 平臺(tái)組網(wǎng)設(shè)計(jì)

根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)條例2.0》要求，基礎(chǔ)安全環(huán)境應(yīng)包括安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心建設(shè)等內(nèi)容。在建設(shè)智能安全防護(hù)管理平臺(tái)時(shí)，可復(fù)用現(xiàn)有安全資源，通過(guò)安全探針統(tǒng)一管理全網(wǎng)數(shù)據(jù)，進(jìn)行統(tǒng)一存儲(chǔ)、分析，同時(shí)對(duì)外提供數(shù)據(jù)訪問(wèn)及分析接口，整體組網(wǎng)設(shè)計(jì)架構(gòu)如圖5所示。

圖5 智能安全防護(hù)管理平臺(tái)組網(wǎng)結(jié)構(gòu)圖

5 結(jié)語(yǔ)

隨著人工智能、大數(shù)據(jù)、零信任等新型技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的快速發(fā)展及其在廣電技術(shù)系統(tǒng)的應(yīng)用，基于邊界構(gòu)建的傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)正在被智能型、主動(dòng)安全的網(wǎng)絡(luò)安全架構(gòu)所取代，智能型的廣電網(wǎng)絡(luò)安全防護(hù)管理平臺(tái)以其完善的功能性能、創(chuàng)新的運(yùn)行模式，不斷強(qiáng)化廣電網(wǎng)絡(luò)安全防護(hù)能力，進(jìn)一步筑牢廣電技術(shù)系統(tǒng)安全防線，為智慧廣電和媒體融合縱深發(fā)展?fàn)I造良好的網(wǎng)絡(luò)環(huán)境。