常祖國(guó)

（青島西海岸新區(qū)職業(yè)中等專業(yè)學(xué)校，山東 青島 266000）

0 引言

《廣播電視技術(shù)迭代實(shí)施方案（2020—2022年）》提出智慧廣電“安全大腦”這一概念，強(qiáng)調(diào)充分運(yùn)用網(wǎng)絡(luò)安全威脅情報(bào)、安全大數(shù)據(jù)與知識(shí)圖譜等，強(qiáng)化廣電網(wǎng)絡(luò)安全體系。根據(jù)媒體融合發(fā)展與智慧廣電網(wǎng)絡(luò)的服務(wù)需求，為了堅(jiān)守廣播電視這一國(guó)家意識(shí)形態(tài)與思想文化傳播的陣地，現(xiàn)階段需深入研究廣電網(wǎng)絡(luò)安全防護(hù)體系。

1 智慧廣電視域下廣電網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)

1.1 整體框架

根據(jù)智慧廣電視域下的網(wǎng)絡(luò)安全需求，網(wǎng)絡(luò)安全防護(hù)體系可將大數(shù)據(jù)技術(shù)作為核心，提供多源異構(gòu)的安全數(shù)據(jù)分析，以此綜合分析廣播電視系統(tǒng)中的各類安全數(shù)據(jù)[1]。防護(hù)平臺(tái)中大數(shù)據(jù)技術(shù)可采集來(lái)自不同設(shè)備、應(yīng)用程序以及其他安全監(jiān)控系統(tǒng)的安全數(shù)據(jù)，同時(shí)進(jìn)行存儲(chǔ)、處理和分析，檢測(cè)潛在的安全威脅和漏洞。該平臺(tái)的大數(shù)據(jù)技術(shù)核心部分可面向多個(gè)方面的安全威脅情報(bào)，在構(gòu)建安全算法模型的基礎(chǔ)上，實(shí)現(xiàn)安全事件事前、事中、事后的預(yù)估、警告、協(xié)防和改進(jìn)，確保廣播電視系統(tǒng)的安全運(yùn)營(yíng)[2]。

1.2 功能架構(gòu)

智慧廣電視域下廣電網(wǎng)絡(luò)安全防護(hù)平臺(tái)，由云端安全平臺(tái)和本地安全組成功能架構(gòu)。云端安全平臺(tái)是整個(gè)架構(gòu)的核心部分，擁有強(qiáng)大的存儲(chǔ)和計(jì)算能力，負(fù)責(zé)接收、處理和分析廣播電視行業(yè)的各類安全數(shù)據(jù)，同時(shí)提供多種云端服務(wù)。云端安全平臺(tái)能夠從全局的視角對(duì)廣播電視機(jī)構(gòu)的網(wǎng)絡(luò)環(huán)境進(jìn)行監(jiān)控和分析，幫助機(jī)構(gòu)及時(shí)發(fā)現(xiàn)和應(yīng)對(duì)各類已知和未知的高級(jí)威脅[3]。

本地安全是部署在廣播電視機(jī)構(gòu)內(nèi)部的組件，具備全視化檢測(cè)和響應(yīng)各類威脅的能力。本地安全可集成多個(gè)神經(jīng)元，并使用先進(jìn)的大數(shù)據(jù)處理技術(shù)，提供對(duì)安全全量數(shù)據(jù)的集中采集、處理、存儲(chǔ)、查詢和分析等功能。本地安全的核心能力體現(xiàn)在實(shí)時(shí)性、全面性上，一方面負(fù)責(zé)監(jiān)測(cè)和分析廣播電視機(jī)構(gòu)網(wǎng)絡(luò)中的安全事件，另一方面評(píng)估安全體系、管理知識(shí)庫(kù)和維護(hù)安全培訓(xùn)等功能，為廣播電視機(jī)構(gòu)建立完善的安全運(yùn)營(yíng)體系。云端安全平臺(tái)與本地安全大腦之間的協(xié)同工作，實(shí)現(xiàn)數(shù)據(jù)交互和服務(wù)支持的方式，也形成完整的安全運(yùn)營(yíng)體系，促進(jìn)評(píng)估、改進(jìn)、監(jiān)測(cè)、分析、響應(yīng)、止損、恢復(fù)及復(fù)盤全過(guò)程。

2 智慧廣電網(wǎng)絡(luò)安全體系關(guān)鍵技術(shù)

2.1 多源異構(gòu)海量安全大數(shù)據(jù)處理技術(shù)

多源異構(gòu)海量安全大數(shù)據(jù)處理技術(shù)涉及數(shù)據(jù)的采集、存儲(chǔ)、處理和分析等環(huán)節(jié)，需要綜合運(yùn)用大數(shù)據(jù)存儲(chǔ)、計(jì)算和分析技術(shù)，以及異構(gòu)數(shù)據(jù)源對(duì)接和數(shù)據(jù)清洗等關(guān)鍵技術(shù)[4]。廣播電視機(jī)構(gòu)需要從各個(gè)數(shù)據(jù)源中獲取相關(guān)的安全數(shù)據(jù)，包括網(wǎng)絡(luò)設(shè)備產(chǎn)生的日志、應(yīng)用程序的運(yùn)行數(shù)據(jù)以及用戶行為數(shù)據(jù)等。安全數(shù)據(jù)通常以不同的格式和協(xié)議存在，形成異構(gòu)的數(shù)據(jù)源。因此，技術(shù)人員需要設(shè)計(jì)和開發(fā)適用的采集器，實(shí)現(xiàn)與不同數(shù)據(jù)源的對(duì)接、數(shù)據(jù)清洗、字段映射等功能，以此確保數(shù)據(jù)的準(zhǔn)確性和完整性?？紤]到廣播電視行業(yè)的特點(diǎn)，安全數(shù)據(jù)通常具有高速和大容量的特征，需要使用高效的數(shù)據(jù)存儲(chǔ)技術(shù)來(lái)滿足存儲(chǔ)需求。在構(gòu)建網(wǎng)絡(luò)安全平臺(tái)方面，可采用分布式存儲(chǔ)系統(tǒng)，將數(shù)據(jù)按照熱度和訪問(wèn)頻率進(jìn)行劃分，實(shí)現(xiàn)數(shù)據(jù)的高效存儲(chǔ)和訪問(wèn)。在數(shù)據(jù)處理和分析環(huán)節(jié)，廣播電視機(jī)構(gòu)需運(yùn)用大數(shù)據(jù)處理和分析技術(shù)，對(duì)海量的安全數(shù)據(jù)進(jìn)行實(shí)時(shí)和批量處理，即使用流式和批示一體化分析的復(fù)雜事件處理（Complex Event Processing，CEP）引擎，建立規(guī)則和模型，實(shí)現(xiàn)實(shí)時(shí)的威脅檢測(cè)和告警。數(shù)據(jù)可視化和報(bào)告呈現(xiàn)是多源異構(gòu)海量安全大數(shù)據(jù)處理的補(bǔ)充環(huán)節(jié)。該環(huán)節(jié)可運(yùn)用可視化技術(shù)，將復(fù)雜的安全數(shù)據(jù)轉(zhuǎn)化為直觀、易于理解的圖表和報(bào)告，幫助安全運(yùn)營(yíng)人員快速分析和識(shí)別威脅，并進(jìn)行相應(yīng)的應(yīng)對(duì)。

2.2 本地和全局關(guān)聯(lián)分析優(yōu)化技術(shù)

本地和全局關(guān)聯(lián)分析優(yōu)化技術(shù)主要面向安全大數(shù)據(jù)的處理和分析需求，采用一系列的策略和算法來(lái)提升關(guān)聯(lián)分析的效率和性能。本地關(guān)聯(lián)分析優(yōu)化技術(shù)主要對(duì)關(guān)聯(lián)分析引擎的邏輯計(jì)劃進(jìn)行優(yōu)化，以提高查詢效率[5]。類似于結(jié)構(gòu)化查詢語(yǔ)言（Structured Query Language，SQL）的優(yōu)化流程，依賴大量啟發(fā)式規(guī)則來(lái)重新安排邏輯計(jì)劃，以消除不必要的計(jì)算步驟、減少資源開銷和提高執(zhí)行速度。本地關(guān)聯(lián)分析優(yōu)化技術(shù)還可采用條件前置技術(shù)，將CEP分析過(guò)濾語(yǔ)句前置，篩除不符合條件的數(shù)據(jù)，減少不必要的計(jì)算和數(shù)據(jù)傳輸開銷，提高查詢性能。

全局關(guān)聯(lián)分析優(yōu)化技術(shù)通過(guò)合并具有相似條件的CEP語(yǔ)句，減少過(guò)濾語(yǔ)句的執(zhí)行次數(shù)，以達(dá)到減少計(jì)算和提高效率的目的。具體來(lái)說(shuō)，如果存在多個(gè)CEP語(yǔ)句具有相似的條件，可以將這些語(yǔ)句合并為一個(gè)過(guò)濾項(xiàng)，對(duì)數(shù)據(jù)進(jìn)行多次篩選，以此優(yōu)化查詢計(jì)劃。

本地和全局關(guān)聯(lián)分析優(yōu)化技術(shù)包括字段裁剪和數(shù)據(jù)存儲(chǔ)的優(yōu)化。字段裁剪指的是對(duì)CEP語(yǔ)句中不使用的字段進(jìn)行裁剪，在邏輯計(jì)劃中避免不必要的內(nèi)存消耗和計(jì)算開銷，從而提高執(zhí)行效率。數(shù)據(jù)存儲(chǔ)方面，可采用壓縮算法和數(shù)據(jù)分層等技術(shù)，減少存儲(chǔ)空間的占用和敏感數(shù)據(jù)的風(fēng)險(xiǎn)，提高數(shù)據(jù)的存儲(chǔ)和查詢效率。本地和全局關(guān)聯(lián)分析優(yōu)化技術(shù)還包括對(duì)事件處理和調(diào)整的優(yōu)化，如對(duì)重復(fù)統(tǒng)計(jì)只存儲(chǔ)標(biāo)識(shí)符而非原始數(shù)據(jù)、使用概率數(shù)據(jù)結(jié)構(gòu)做近似統(tǒng)計(jì)、高速的JSON解析、TI信息匹配用內(nèi)存緩存、高速無(wú)鎖化RingBuffer事件緩存隊(duì)列以及低開銷的亂序事件調(diào)整等。

2.3 多級(jí)告警收斂聚合技術(shù)

多級(jí)告警收斂聚合技術(shù)一般運(yùn)用多種手段降低告警數(shù)量，實(shí)現(xiàn)跨設(shè)備、跨攻擊階段、跨攻擊鏈的告警聚合效果。在廣電安全運(yùn)營(yíng)平臺(tái)中，告警產(chǎn)生的初級(jí)階段可從網(wǎng)絡(luò)設(shè)備、應(yīng)用程序等多個(gè)數(shù)據(jù)源采集告警信息，并對(duì)這些告警信息進(jìn)行預(yù)處理和清洗，以排除重復(fù)和噪聲告警，提高告警的可信度和質(zhì)量。在告警聚合的中級(jí)階段，采用多種聚合手段聚合相關(guān)的告警，可基于時(shí)間窗口、設(shè)備標(biāo)識(shí)、攻擊特征等多個(gè)維度進(jìn)行聚合，將同一行為或事件產(chǎn)生的多個(gè)告警聚合成一個(gè)安全事件，以此減少重復(fù)告警，提高告警的可讀性和理解性。在告警處理的高級(jí)階段，將聚合后的安全事件與已知的攻擊模式或威脅情報(bào)進(jìn)行關(guān)聯(lián)，可通過(guò)建立規(guī)則庫(kù)、使用機(jī)器學(xué)習(xí)算法、參考第三方威脅情報(bào)等方式來(lái)實(shí)現(xiàn)。值得注意的是，多級(jí)告警收斂聚合技術(shù)具有一定的自動(dòng)化和智能化特點(diǎn)。

2.3.1 數(shù)據(jù)源可信度評(píng)估

數(shù)據(jù)源可信度評(píng)估是多級(jí)告警收斂聚合技術(shù)的一個(gè)重要環(huán)節(jié)，主要對(duì)數(shù)據(jù)源的可信度進(jìn)行評(píng)估，判斷每個(gè)數(shù)據(jù)源提供的告警信息的準(zhǔn)確性和可靠性，并根據(jù)評(píng)估結(jié)果進(jìn)行告警的優(yōu)先級(jí)排序和處理。

2.3.2 場(chǎng)景化聚合指標(biāo)

場(chǎng)景化聚合指標(biāo)是在多級(jí)告警收斂聚合過(guò)程中使用的一種評(píng)估指標(biāo)。定義合適的場(chǎng)景化聚合指標(biāo)，可將相關(guān)的告警聚合成為具有實(shí)際意義和操作性的安全事件，以提高告警的可讀性和理解性。場(chǎng)景化聚合指標(biāo)可根據(jù)特定行為、攻擊階段、攻擊鏈的各種情況進(jìn)行定義。

2.4 自動(dòng)化無(wú)損安全防御有效性驗(yàn)證技術(shù)

自動(dòng)化無(wú)損安全防御有效性驗(yàn)證技術(shù)涉及南北、東西向攻擊評(píng)估，以及終端安全能力和郵件網(wǎng)關(guān)能力評(píng)估。在南北向攻擊評(píng)估中，主要模擬從互聯(lián)網(wǎng)側(cè)發(fā)起對(duì)Web應(yīng)用的攻擊，涵蓋網(wǎng)站模擬攻擊、遠(yuǎn)程漏洞模擬攻擊、黑客工具模擬等常見的安全場(chǎng)景。在東西向網(wǎng)絡(luò)攻擊評(píng)估中，主要模擬內(nèi)網(wǎng)中主機(jī)之間的網(wǎng)絡(luò)攻擊行為，包括橫向移動(dòng)攻擊模擬、中間件漏洞利用、內(nèi)網(wǎng)黑客工具模擬等，以檢測(cè)和評(píng)估內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)備對(duì)內(nèi)部攻擊行為的防御能力。終端安全能力的評(píng)估，主要模擬各種惡意行為，如惡意執(zhí)行、駐留、提權(quán)、對(duì)抗、橫向移動(dòng)和命令控制等，以評(píng)估終端安全設(shè)備的安全能力。在評(píng)估郵件網(wǎng)關(guān)的安全能力方面，主要以發(fā)送釣魚郵件給工作人員的方式，檢測(cè)該環(huán)節(jié)是否成功攔截，進(jìn)而評(píng)估郵件網(wǎng)關(guān)對(duì)威脅郵件的檢測(cè)和攔截效果。

不同的評(píng)估場(chǎng)景中，可進(jìn)行周期性調(diào)控（7×24 h的持續(xù)評(píng)估）與自動(dòng)化評(píng)估，生成評(píng)估報(bào)告并與ATT&CK技術(shù)戰(zhàn)術(shù)進(jìn)行映射和分析。報(bào)告中包含整體防護(hù)率、檢測(cè)率和阻斷率等指標(biāo)，以及評(píng)估結(jié)果詳情和改進(jìn)建議。

3 應(yīng)用案例

廣東廣播電視臺(tái)在2021年國(guó)家廣播電視總局組織的實(shí)網(wǎng)攻防演習(xí)中，采用以大數(shù)據(jù)技術(shù)為核心的網(wǎng)絡(luò)安全防護(hù)體系，完美應(yīng)對(duì)了演習(xí)考驗(yàn)。廣東廣播電視臺(tái)的智慧廣電網(wǎng)絡(luò)安全體系除了依靠大數(shù)據(jù)技術(shù)實(shí)現(xiàn)檢測(cè)、偵察、追蹤溯源等安全防護(hù)以外，通過(guò)不同環(huán)節(jié)的本地和全局關(guān)聯(lián)分析優(yōu)化技術(shù)、多級(jí)告警收斂聚合技術(shù)、自動(dòng)化無(wú)損安全防御有效性驗(yàn)證技術(shù)提升了整體網(wǎng)絡(luò)安全水平。可見，建立智慧安防系統(tǒng)有助于提高廣播電視網(wǎng)絡(luò)安全防御效能。

4 結(jié)語(yǔ)

在智慧廣電視域下，廣播電視網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建對(duì)于保護(hù)關(guān)鍵信息資產(chǎn)、確保業(yè)務(wù)連續(xù)性、防范網(wǎng)絡(luò)攻擊和威脅、提升用戶信任和滿意度以及滿足法律法規(guī)要求至關(guān)重要。針對(duì)當(dāng)下的發(fā)展需求與要求，廣播電視網(wǎng)絡(luò)安全防護(hù)體系還應(yīng)結(jié)合自身發(fā)展情況、時(shí)代發(fā)展情況以及傳輸技術(shù)、網(wǎng)絡(luò)技術(shù)等迭代情況，合理構(gòu)建網(wǎng)絡(luò)安全防護(hù)機(jī)制，保障業(yè)務(wù)穩(wěn)定發(fā)展并為用戶提供安全可靠的服務(wù)。