中國(guó)石油工程建設(shè)有限公司 修 宇 陳 宇

近年來(lái)，云計(jì)算、大數(shù)據(jù)、5G、人工智能、數(shù)據(jù)中臺(tái)等新技術(shù)的發(fā)展，推動(dòng)了傳統(tǒng)媒體和新興媒體融合發(fā)展。媒體融合創(chuàng)新了電視制播技術(shù)，給內(nèi)容制作、節(jié)目播出、傳輸管理等帶來(lái)很大變化；同時(shí)，這種變化給影視作品等媒體安全播出帶來(lái)巨大的安全風(fēng)險(xiǎn)，一些熱點(diǎn)問(wèn)題迅速發(fā)酵，嚴(yán)重的還演變成社會(huì)群體性事件，威脅著我國(guó)網(wǎng)絡(luò)信息安全。

1 媒體融合帶來(lái)新隱患和事故

1.1 信息造假造成安全隱患

目前我國(guó)網(wǎng)民規(guī)模9億多，網(wǎng)民既是信息的接收者也是信息的傳播者，輿論管控難度增大。由于利益驅(qū)使，一些虛假信息、謠言等造假問(wèn)題日益突出。比如：音視頻網(wǎng)站等內(nèi)容播出平臺(tái)中，為了提高評(píng)分雇傭粉絲刷分提高自己評(píng)分、播放量與點(diǎn)擊量等。抖音等短視頻虛假宣傳，誘導(dǎo)詐騙用戶進(jìn)入消費(fèi)陷阱損失慘重事件時(shí)有發(fā)生。再例如，不法分子通過(guò)對(duì)知名網(wǎng)站的偽造，用戶很難分辨而被蒙蔽，在登錄這些網(wǎng)站的時(shí)候，就會(huì)被獲取到他們相關(guān)的信息和數(shù)據(jù)，從而遭受相應(yīng)的損失。

1.2 人為操作風(fēng)險(xiǎn)和事故

網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等關(guān)鍵崗位信息安全意識(shí)淡漠會(huì)造成網(wǎng)絡(luò)安全漏洞。例如，某電視臺(tái)網(wǎng)絡(luò)管理員利用一臺(tái)Web應(yīng)用服務(wù)器，為了將采訪素材及時(shí)回傳到臺(tái)內(nèi)，臨時(shí)在防火墻上設(shè)置了端口映射，幾個(gè)月后，這臺(tái)服務(wù)器因沒(méi)有及時(shí)安裝補(bǔ)丁文件而被惡意注入幾十個(gè)木馬程序。

據(jù)統(tǒng)計(jì)，管理員操作失誤或惡意破壞，如硬盤(pán)格式化、鏡像還原分區(qū)錯(cuò)誤等，導(dǎo)致業(yè)務(wù)系統(tǒng)無(wú)法正常登錄，部分功能異常不穩(wěn)定，登錄和訪問(wèn)失敗率在25%左右。

1.3 軟硬件漏洞及事故

影視業(yè)在系統(tǒng)軟硬件方面相對(duì)落后，常發(fā)生網(wǎng)絡(luò)漏洞事故。媒體融合讓熱點(diǎn)問(wèn)題迅速發(fā)酵，逐漸演變?yōu)樯鐣?huì)性事件，給國(guó)家網(wǎng)絡(luò)安全帶來(lái)嚴(yán)重威脅。

軟件規(guī)劃時(shí)未充分考慮安全因素，上線前未進(jìn)行安全測(cè)試和風(fēng)險(xiǎn)評(píng)估，使軟件運(yùn)行存在嚴(yán)重安全隱患。例如，網(wǎng)站系統(tǒng)未授權(quán)訪問(wèn)導(dǎo)致發(fā)布任意信息；高清機(jī)頂盒存在拒絕服務(wù)漏洞，黑客利用此漏洞造成大批用戶無(wú)法正常看電視。

1.4 網(wǎng)絡(luò)安全隱患

西方國(guó)家通過(guò)網(wǎng)絡(luò)攻擊我國(guó)文化，造成我國(guó)文化陣地受到嚴(yán)重破壞。一些國(guó)家還想要改變我國(guó)主流意識(shí)形態(tài)，滋生出很多網(wǎng)絡(luò)安全問(wèn)題。發(fā)布內(nèi)容正確性關(guān)系輿論導(dǎo)向，因此利用黑客技術(shù)，特別是APT攻擊公眾服務(wù)網(wǎng)站、IPTV、APP等業(yè)務(wù)，或攻擊新媒體內(nèi)容生產(chǎn)、發(fā)布系統(tǒng)，手段多樣、隱蔽性高，傳統(tǒng)的安全措施很難發(fā)現(xiàn)并阻止。

目前大量數(shù)據(jù)在數(shù)據(jù)中心集中存儲(chǔ)，被篡改、泄密或數(shù)據(jù)可用性風(fēng)險(xiǎn)積聚。用戶身份信息、權(quán)限信息、調(diào)度信息、播出節(jié)目等重要業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中，多數(shù)情況缺乏完整性校驗(yàn)和加密措施，導(dǎo)致音視頻媒體遭到泄露或插入非法廣告或內(nèi)容不健康等，威脅巨大。

1.5 云計(jì)算等新技術(shù)隱患

云計(jì)算、大數(shù)據(jù)、人工智能和數(shù)據(jù)中臺(tái)等新技術(shù)、新平臺(tái)使數(shù)據(jù)中心原有的IT運(yùn)行體系發(fā)生改變，導(dǎo)致新的風(fēng)險(xiǎn)發(fā)生。例如，云平臺(tái)架構(gòu)下安全域劃分與隔離更加困難，多租戶虛擬機(jī)和虛擬服務(wù)共用物理資源；傳統(tǒng)終端防病毒軟件升級(jí)更新帶來(lái)啟動(dòng)風(fēng)暴等問(wèn)題，導(dǎo)致對(duì)系統(tǒng)資源的過(guò)度占用；混合云架構(gòu)安全和運(yùn)維邊界不再清晰等為安全管理和運(yùn)維帶來(lái)新的挑戰(zhàn)。

2 層次分析法風(fēng)險(xiǎn)研究

層次分析法是把需要決策研究的事情看成由很多因素組成的一個(gè)大系統(tǒng)，這些因素在一定程度上相互關(guān)聯(lián)和制約，因素根據(jù)彼此之間的隸屬關(guān)系可以組合成若干個(gè)層次，再利用數(shù)學(xué)方法對(duì)各層進(jìn)行排序，并通過(guò)對(duì)排序結(jié)果的分析來(lái)輔助決策。

采用層次分析法進(jìn)行影視業(yè)數(shù)據(jù)中心運(yùn)行風(fēng)險(xiǎn)分析，步驟如下：

首先，影視業(yè)數(shù)據(jù)中心運(yùn)行風(fēng)險(xiǎn)從內(nèi)外部環(huán)境、網(wǎng)絡(luò)安全保障、網(wǎng)絡(luò)安全態(tài)勢(shì)三個(gè)方面來(lái)分析。其中，環(huán)境和態(tài)勢(shì)方面風(fēng)險(xiǎn)涉及數(shù)據(jù)中心全部資產(chǎn)和企業(yè)信譽(yù)等無(wú)形資產(chǎn)。安全保障分別從管理、技術(shù)、建設(shè)、運(yùn)維四個(gè)層次來(lái)分析。我們針對(duì)每一個(gè)層面進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)。

其次，每一個(gè)層次中利用層次分析法進(jìn)行數(shù)據(jù)中心運(yùn)行風(fēng)險(xiǎn)分析。我們利用德?tīng)柗品?、頭腦風(fēng)暴法等對(duì)資產(chǎn)價(jià)值、威脅發(fā)生頻率、脆弱性嚴(yán)重程度分別賦值。

然后，風(fēng)險(xiǎn)值計(jì)算。根據(jù)下面公式計(jì)算風(fēng)險(xiǎn)值，制定公司風(fēng)險(xiǎn)值嚴(yán)重程度標(biāo)準(zhǔn)，識(shí)別高中低風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)值=R(A，T，V)=R(L(T，V)，F(xiàn)(Ia，Va))。

其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)價(jià)值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。

接著，對(duì)資產(chǎn)在每層中存在的各種風(fēng)險(xiǎn)排序，計(jì)算出影響組織資產(chǎn)安全的不可接受風(fēng)險(xiǎn)。例如，安全保障的技術(shù)層又分為物理層、主機(jī)層、網(wǎng)絡(luò)層、數(shù)據(jù)層和應(yīng)用層。我們要計(jì)算一臺(tái)重要服務(wù)器的技術(shù)層風(fēng)險(xiǎn)。（1）識(shí)別重要服務(wù)器主機(jī)層風(fēng)險(xiǎn)。資產(chǎn)在主機(jī)操作系統(tǒng)層面存在緩沖區(qū)溢出漏洞被利用造成宕機(jī)風(fēng)險(xiǎn)、用戶口令被破解非法登錄風(fēng)險(xiǎn)、管理員權(quán)限過(guò)大刪除、篡改系統(tǒng)數(shù)據(jù)等，那么根據(jù)實(shí)際計(jì)算出每類(lèi)風(fēng)險(xiǎn)值大小排序。（2）識(shí)別重要服務(wù)器在物理層、網(wǎng)絡(luò)層、數(shù)據(jù)層和應(yīng)用層風(fēng)險(xiǎn)，發(fā)現(xiàn)保護(hù)措施到位，未發(fā)現(xiàn)不可接受風(fēng)險(xiǎn)。

最后，各層之間風(fēng)險(xiǎn)和保護(hù)措施之間的關(guān)系進(jìn)行關(guān)聯(lián)分析，綜合評(píng)價(jià)資產(chǎn)面臨網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。例如還是那臺(tái)重要服務(wù)器，網(wǎng)絡(luò)層的保護(hù)措施為：網(wǎng)絡(luò)邊界已經(jīng)部署防火墻，服務(wù)器網(wǎng)絡(luò)區(qū)域部署了普通和高級(jí)可持續(xù)入侵檢測(cè)系統(tǒng)，管理員只能通過(guò)堡壘機(jī)在控制權(quán)限和操作日志記錄審計(jì)基礎(chǔ)上訪問(wèn)服務(wù)器；物理層的保護(hù)措施是機(jī)房安裝門(mén)禁和出入登記制度。那么，綜合主機(jī)層、網(wǎng)絡(luò)層、物理層、應(yīng)用層、數(shù)據(jù)層風(fēng)險(xiǎn)和保護(hù)措施，這臺(tái)重要服務(wù)器技術(shù)層風(fēng)險(xiǎn)級(jí)別為中等。

3 數(shù)據(jù)中心運(yùn)行風(fēng)險(xiǎn)評(píng)價(jià)

根據(jù)影視行業(yè)關(guān)鍵業(yè)務(wù)和相關(guān)信息系統(tǒng)的特點(diǎn)和層次分析法風(fēng)險(xiǎn)分析結(jié)果，建立影視業(yè)數(shù)據(jù)中心運(yùn)行風(fēng)險(xiǎn)評(píng)價(jià)模型。評(píng)價(jià)模型從環(huán)境風(fēng)險(xiǎn)、安全保障、安全態(tài)勢(shì)三個(gè)方面進(jìn)行辨識(shí)、分析、評(píng)價(jià)，每方面又從不同層面、維度和要素進(jìn)行立體化全方位考量，具體如圖1所示。

圖1 數(shù)據(jù)中心運(yùn)行風(fēng)險(xiǎn)評(píng)價(jià)模型

第一層次風(fēng)險(xiǎn)評(píng)價(jià)：環(huán)境風(fēng)險(xiǎn)。

影視業(yè)自身及其信息化情況構(gòu)成網(wǎng)絡(luò)安全環(huán)境，通過(guò)對(duì)各環(huán)境因素度量反映影視業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)環(huán)境。

（1）網(wǎng)絡(luò)媒體所有權(quán)主要指在媒體融合背景下網(wǎng)絡(luò)意識(shí)形態(tài)安全，即是否能夠把握網(wǎng)絡(luò)輿論主導(dǎo)權(quán)，大力宣傳黨中央重大戰(zhàn)略部署和主流思想，弘揚(yáng)中國(guó)優(yōu)秀傳統(tǒng)文化。

（2）網(wǎng)絡(luò)媒體環(huán)境清潔度考慮網(wǎng)絡(luò)媒體結(jié)構(gòu)復(fù)雜多樣背景下，數(shù)據(jù)中心對(duì)數(shù)字內(nèi)容的版權(quán)保護(hù)情況，以及對(duì)網(wǎng)絡(luò)媒體中垃圾信息有效處理能力。

（3）有效信息高效利用是指面對(duì)海量文本、圖像、音視頻等信息，是否從內(nèi)容敏感度、內(nèi)容防篡改、內(nèi)容影響和傾向等多維度建立信息安全保護(hù)機(jī)制，保障用戶高效利用。

（4）影視信息化風(fēng)險(xiǎn)主要從信息化重視程度、信息化投入總額占固定資產(chǎn)投資比重、信息安全投資占信息化投資比重等方面考量風(fēng)險(xiǎn)。

（5）信息化應(yīng)用狀況主要指信息化對(duì)影視業(yè)務(wù)支撐情況，主要包括決策信息化水平、辦公自動(dòng)化系統(tǒng)應(yīng)用程度、經(jīng)營(yíng)管理系統(tǒng)應(yīng)用程度、網(wǎng)絡(luò)營(yíng)銷(xiāo)系統(tǒng)應(yīng)用程度、門(mén)戶網(wǎng)站建設(shè)水平等。

（6）人員及技術(shù)成熟度主要指關(guān)鍵崗位人員忠誠(chéng)度水平、外聘專(zhuān)家可信度水平、云計(jì)算人工智能等網(wǎng)絡(luò)安全新技術(shù)應(yīng)用水平等。第二層次風(fēng)險(xiǎn)評(píng)價(jià)：安全保障。

（1）構(gòu)建網(wǎng)絡(luò)安全保障體系，嚴(yán)格管控風(fēng)險(xiǎn)才能保障影視業(yè)數(shù)據(jù)中心安全運(yùn)行。

（2）管理保障。管理保障主要從網(wǎng)絡(luò)安全戰(zhàn)略、政策法規(guī)制度、安全組織、經(jīng)費(fèi)保障等方面研究。

（3）技術(shù)保障主要從信息系統(tǒng)安全技術(shù)能力、安全基礎(chǔ)設(shè)施支撐能力、信息系統(tǒng)安全保護(hù)能力、應(yīng)用安全保障等方面研究。

（4）建設(shè)保障主要從信息化建設(shè)過(guò)程中是否建立完善網(wǎng)絡(luò)安全管理制度、是否同步建設(shè)網(wǎng)絡(luò)安全技術(shù)措施、是否同步完成網(wǎng)絡(luò)安全工程、信息化產(chǎn)品和服務(wù)是否國(guó)產(chǎn)化等方面研究是否存在網(wǎng)絡(luò)安全隱患。

（5）運(yùn)維保障主要從運(yùn)行管理和控制、變更管理和控制、系統(tǒng)安全狀態(tài)監(jiān)控、事件處置和應(yīng)急響應(yīng)、安全檢查和持續(xù)改進(jìn)、系統(tǒng)運(yùn)行安全效能等方面研究。

第三層次風(fēng)險(xiǎn)評(píng)價(jià)：安全態(tài)勢(shì)。

國(guó)內(nèi)外網(wǎng)絡(luò)安全和公司輿情安全態(tài)勢(shì)掌控能力直接影響公司信譽(yù)、業(yè)務(wù)、受眾和粉絲數(shù)量等。

（1）網(wǎng)絡(luò)安全態(tài)勢(shì)主要指是否具備技術(shù)手段，建立體制機(jī)制整合分析國(guó)內(nèi)外網(wǎng)絡(luò)安全信息，判斷當(dāng)前國(guó)際國(guó)內(nèi)安全狀況并預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)的能力。

（2）輿情安全態(tài)勢(shì)主要指網(wǎng)絡(luò)恐怖活動(dòng)防控、內(nèi)部不良信息發(fā)布防控、網(wǎng)絡(luò)輿情防控、群體事件防控等能力。

總結(jié)：媒體融合需要網(wǎng)絡(luò)安全保駕護(hù)航，對(duì)影視業(yè)數(shù)據(jù)中心存在風(fēng)險(xiǎn)進(jìn)行研究，建立數(shù)據(jù)中心運(yùn)行風(fēng)險(xiǎn)態(tài)勢(shì)指標(biāo)體系，指引影視業(yè)網(wǎng)絡(luò)安全保障媒體業(yè)務(wù)高效穩(wěn)定發(fā)展，實(shí)現(xiàn)萬(wàn)物互聯(lián)時(shí)代的中國(guó)夢(mèng)。