邱福如

(廣東省廣播電視網(wǎng)絡(luò)股份有限公司中山分公司，廣東 中山 528400)

0 引言

隨著三網(wǎng)融合的推進(jìn)，廣電網(wǎng)絡(luò)實現(xiàn)了業(yè)務(wù)的升級換代，但是也帶來了多方面的網(wǎng)絡(luò)安全問題。廣電運營商在對業(yè)務(wù)系統(tǒng)進(jìn)行建設(shè)時要意識到安全防護(hù)系統(tǒng)的重要性，在網(wǎng)絡(luò)各層次設(shè)置網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，以保證系統(tǒng)的正常運行。

1 廣電網(wǎng)絡(luò)信息系統(tǒng)安全隱患

隨著三網(wǎng)融合，當(dāng)前廣電網(wǎng)絡(luò)的安全環(huán)境逐漸復(fù)雜化，廣電網(wǎng)絡(luò)信息安全環(huán)境關(guān)系如圖1所示。長期以來，廣電網(wǎng)絡(luò)發(fā)展中的安全建設(shè)相對滯后，安全網(wǎng)絡(luò)建設(shè)不規(guī)范、不全面，安全防范技術(shù)存在缺陷，系統(tǒng)存在安全隱患，因此，需要實現(xiàn)網(wǎng)絡(luò)信息安全系統(tǒng)的有效應(yīng)用。

圖1 廣電網(wǎng)絡(luò)信息安全環(huán)境關(guān)系

廣電網(wǎng)絡(luò)存在的安全隱患來自多個方面，包括外部網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)以及用戶。如果安全區(qū)域邊界或安全區(qū)域缺少有效的防護(hù)，廣播業(yè)務(wù)前端網(wǎng)絡(luò)會受到入侵，服務(wù)器等設(shè)備會受到攻擊，嚴(yán)重時甚至?xí)?dǎo)致系統(tǒng)癱瘓，數(shù)據(jù)、文字、圖片、視頻等資料會被非法篡改，如采用非法未透明流替換前端直播，會播放非法信息[1]。非法入侵還可能源于機(jī)頂盒等終端，例如機(jī)頂盒被非法刷機(jī)或者下載非法應(yīng)用。

2 廣電網(wǎng)絡(luò)信息安全系統(tǒng)的應(yīng)用思路與框架

2.1 應(yīng)用思路

結(jié)合廣電網(wǎng)絡(luò)的特點建立配套的安全系統(tǒng)，安全系統(tǒng)要融入廣電業(yè)務(wù)運營的各個環(huán)節(jié)，包括組織管理、技術(shù)、制度等，與運營結(jié)合為整體，最終成為構(gòu)成運營的基本內(nèi)容。廣電網(wǎng)絡(luò)信息安全系統(tǒng)的建設(shè)要從整體入手，實現(xiàn)全方位的保障，要作用于每個層次與每個環(huán)節(jié)，從而實現(xiàn)網(wǎng)絡(luò)安全風(fēng)險的控制[2]。構(gòu)建網(wǎng)絡(luò)安全體系要實現(xiàn)管理和技術(shù)的共同作用，除了要保證設(shè)備、系統(tǒng)、產(chǎn)品的安全可靠，還要加強(qiáng)風(fēng)險監(jiān)控，如風(fēng)險監(jiān)測、風(fēng)險評估、風(fēng)險響應(yīng)等，對風(fēng)險采取系統(tǒng)恢復(fù)等措施。

2.2 安全體系框架

廣電網(wǎng)絡(luò)信息安全體系的構(gòu)建要結(jié)合安全保障模型，要考慮到網(wǎng)絡(luò)直播、互動業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)的特點，結(jié)合業(yè)務(wù)運行建立配套的安全環(huán)境。(1)實現(xiàn)物理安全，要包括設(shè)備的方方面面。(2)針對公鑰設(shè)施要實施統(tǒng)一授權(quán)、統(tǒng)一認(rèn)證和統(tǒng)一權(quán)限。(3)要對數(shù)據(jù)庫進(jìn)行管理，保證數(shù)據(jù)的安全性。(4)要有運維支撐系統(tǒng)，從技術(shù)保障的角度出發(fā)，結(jié)合廣電網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)，從多個角度采取技術(shù)措施保障網(wǎng)絡(luò)安全[3]。

3 廣電網(wǎng)絡(luò)信息安全系統(tǒng)的組成

3.1 安全策略

制定安全策略要結(jié)合廣電系統(tǒng)的實際。安全策略體現(xiàn)出安全管理的思想，是廣電網(wǎng)實施安全防護(hù)的依據(jù)。策略要明確被保護(hù)的主體，明確具體職責(zé)，提供相應(yīng)問題的解決方案。策略要體現(xiàn)出普遍性，要為強(qiáng)化系統(tǒng)的安全可靠性創(chuàng)造基礎(chǔ)條件。安全策略還要明確哪些是需要保護(hù)的、防范的，這些都是保證風(fēng)險得以控制的關(guān)鍵。

3.2 安全防護(hù)

安全防護(hù)要作用于路由器、交換機(jī)、工作站等設(shè)備，以免通信網(wǎng)絡(luò)的硬件受到自然災(zāi)害、人為因素的影響。另外，還要預(yù)防搭線竊聽、防止非法攻擊、用戶越權(quán)操作等。安全防護(hù)要考慮到數(shù)據(jù)的妥善保管，防止非法偷竊和破壞活動，防止發(fā)生電磁泄漏。當(dāng)前主要的安全防護(hù)措施是對傳導(dǎo)發(fā)射和輻射的防護(hù)。

3.3 安全檢測

安全檢測要實時監(jiān)測網(wǎng)絡(luò)中與安全有關(guān)的事件，如資料竊取、非法入侵、泄密行為、違規(guī)使用等。系統(tǒng)需要對網(wǎng)絡(luò)使用情況進(jìn)行真實記錄，防止違規(guī)行為。安全檢測要具有防銷毀、篡改的特性，要跟蹤記錄相關(guān)的安全信息, 分析和報告跟蹤中得來的信息。安全檢測可以用于對內(nèi)部操作進(jìn)行審核，阻止越權(quán)操作。安全掃描技術(shù)是基于遠(yuǎn)程檢測主機(jī)安全脆弱點的技術(shù)。通過安全掃描，能發(fā)現(xiàn)其所維護(hù)的服務(wù)器、軟件存在的安全漏洞，此外，網(wǎng)絡(luò)安全掃描技術(shù)還可以檢驗系統(tǒng)是否有可能被攻擊。

3.4 安全響應(yīng)

數(shù)據(jù)安全是動態(tài)的，如何保證動態(tài)網(wǎng)絡(luò)系統(tǒng)的安全是防護(hù)方案急需解決的問題，安全服務(wù)是保障系統(tǒng)安全的重要環(huán)節(jié)。當(dāng)前廣電通信網(wǎng)絡(luò)對安全服務(wù)提出了更高的標(biāo)準(zhǔn)，因此需要加強(qiáng)網(wǎng)絡(luò)的緊急響應(yīng)。安全防護(hù)具有復(fù)雜性，對于廣電系統(tǒng)網(wǎng)絡(luò)的安全問題需要進(jìn)行快速響應(yīng)。另外，安全響應(yīng)還要考慮到數(shù)據(jù)的備份，要確保在數(shù)據(jù)遭到破壞后仍可以快速響應(yīng)并啟動備份。

4 廣電網(wǎng)絡(luò)信息安全系統(tǒng)的應(yīng)用措施

4.1 保證網(wǎng)絡(luò)結(jié)構(gòu)的安全

基于商業(yè)用途的網(wǎng)絡(luò)系統(tǒng)存在較多的安全漏洞。廣電網(wǎng)的安全防護(hù)要依據(jù)口令對用戶的身份進(jìn)行認(rèn)證和識別。廣電網(wǎng)的信息儲存于系統(tǒng)文件與數(shù)據(jù)庫中，但是數(shù)據(jù)存儲與運輸都采用明文，安全防護(hù)等級受到限制，信息處理、傳輸、儲存存在風(fēng)險。廣電網(wǎng)組網(wǎng)時，系統(tǒng)沒有設(shè)計安全防范，安全防護(hù)設(shè)施不健全，易受到外部的攻擊和入侵。針對不同級別的網(wǎng)絡(luò)要進(jìn)行可靠的物理隔離或設(shè)置邊界隔離。要結(jié)合信息系統(tǒng)功能、業(yè)務(wù)類型、業(yè)務(wù)流程進(jìn)行網(wǎng)絡(luò)安全域結(jié)構(gòu)層次的劃分，以保證業(yè)務(wù)安全服務(wù)的科學(xué)合理。

4.2 針對播出系統(tǒng)的安全防范

播出系統(tǒng)要具有應(yīng)急備份功能，關(guān)鍵操作可以實現(xiàn)“一鍵恢復(fù)”。網(wǎng)絡(luò)系統(tǒng)的前端要備份播出系統(tǒng)以及倒換控制設(shè)備，如果終端顯示畫面發(fā)生非法篡改，前端可以主動將非法信息清除并調(diào)整到合法畫面。如果網(wǎng)絡(luò)的覆蓋范圍較大，系統(tǒng)前端要有異地備播管理系統(tǒng)。系統(tǒng)的實現(xiàn)采用清流備播的方式，還要采取安全防護(hù)措施，確保直播系統(tǒng)發(fā)生安全意外時系統(tǒng)可以不受影響，保證系統(tǒng)在任何條件下都可以穩(wěn)定運行。前端播控系統(tǒng)與管理網(wǎng)、辦公平臺、外接互聯(lián)網(wǎng)之間要進(jìn)行物理隔離。播控平臺各系統(tǒng)要定期進(jìn)行倒換測試，檢測應(yīng)急處理的可靠性，保證主備路系統(tǒng)處于安全狀態(tài)。節(jié)目碼數(shù)據(jù)流要加密并使用數(shù)字簽名保護(hù)，防止被非法篡改，實現(xiàn)對數(shù)據(jù)的保護(hù)，保證保密性和完整性。Loader系統(tǒng)在播出前應(yīng)對系統(tǒng)固件進(jìn)行檢測，對于應(yīng)用軟件要實施數(shù)字簽名保護(hù)，保證代碼的完整性，防止代碼被非法篡改。

4.3 網(wǎng)絡(luò)設(shè)備防護(hù)

廣電網(wǎng)絡(luò)中的設(shè)備要有安全識別功能，操作請求要通過安全審計，操作后要可追溯，進(jìn)而保障系統(tǒng)的安全。設(shè)備訪問要設(shè)置登錄口令，登錄口令可以分為控制臺口令、遠(yuǎn)程控制口令和特權(quán)口令。結(jié)合現(xiàn)有安全防護(hù)策略的要求，設(shè)計基于終端層、網(wǎng)絡(luò)層、應(yīng)用層架構(gòu)的廣電安全防控體系。在此基礎(chǔ)上，有針對性地研究信息安全系統(tǒng)的多類型外設(shè)接入管理技術(shù)，設(shè)計“人、物”可信身份認(rèn)證接入管理。此外，網(wǎng)絡(luò)設(shè)備防護(hù)采用加密技術(shù)可以保證端到端數(shù)據(jù)傳遞的可靠性，從而保證數(shù)據(jù)安全，減少被盜用或篡改的風(fēng)險。網(wǎng)絡(luò)中各層協(xié)議借助加密技術(shù)保證了安全，如數(shù)據(jù)傳遞借助IPSec，SSL，SSH等技術(shù)。針對廣電網(wǎng)絡(luò)的出口，除了借助防火墻進(jìn)行安全控制外，系統(tǒng)安全防護(hù)要在技術(shù)上系統(tǒng)性地考慮上下級各種數(shù)據(jù)業(yè)務(wù)的需求、網(wǎng)絡(luò)的縱向互聯(lián)、橫向互聯(lián)和數(shù)據(jù)通信的安全性等問題。通過劃分安全區(qū)、專用網(wǎng)絡(luò)、專用隔離和加密認(rèn)證等從多個層次構(gòu)筑多道抵御網(wǎng)絡(luò)黑客和惡意代碼攻擊的防線，對廣電網(wǎng)絡(luò)進(jìn)行實時監(jiān)控，對關(guān)鍵業(yè)務(wù)系統(tǒng)實施重點保護(hù)。

5 結(jié)語

廣電網(wǎng)絡(luò)運營針對信息安全要有配套的解決方案。安全系統(tǒng)的應(yīng)用要針對安全隱患，明確應(yīng)用思路與框架，借助針對性措施保證廣電網(wǎng)絡(luò)的安全運行，防止安全風(fēng)險事件的發(fā)生。