ITV業務網絡安全的思考

◎中國電信股份有限公司衡陽分公司 李利軍

湖南省衡南縣教師進修學校 李麗榮

ITV業務網絡安全的思考

◎中國電信股份有限公司衡陽分公司 李利軍

湖南省衡南縣教師進修學校 李麗榮

ITV作為各大運營商的營銷品牌，集網絡和電視媒體特點于一身，近幾年的發展非常迅速，隨著ITV網絡的快速發展，ITV網絡的安全形勢愈來愈嚴重，也愈來愈重要，除了ITV業務自身運行的網絡安全壓力外，還經常出現ITV網絡受到攻擊或者病毒入侵等問題。因此，如何保障ITV業務網絡安全，防范網絡攻擊對 ITV業務開展造成的影響，保障 ITV業務的可持續發展，成為電信運營商目前迫切需要解決的關鍵問題。首先介紹ITV業務網絡承載現狀，然后重點從網絡結構、安全策略角度對如何提升ITV網絡安全防護能力進行詳細闡述。

ITV；網絡安全；部署方案；安全策略

背景

隨著ITV業務的高速發展，網絡規模的不斷擴大，對ITV網絡安全的要求也就越來越高，若網絡結構、網絡規劃不合理，網絡策略部署不細化、不精確，應用系統的安全性考慮不充分等，網絡就很容易受到攻擊，造成網絡不穩定、服務質量差，因此，考慮ITV網絡的安全性，提升網絡的穩定性就顯得尤為重要。在三網融合迅速推進的今天，為了確保ITV業務順利發展，不因ITV網絡的安全性問題而受到影響，對于電信運營商來說，制訂嚴格的ITV業務網絡安全性部署方案，具有非常重要的意義。

ITV網絡現狀

ITV系統主要由內容運營系統、業務支撐系統、業務網絡、承載網和家庭網絡五部分組成，全網結構如圖1所示。

目前，中電信各省分公司運營商基本都是以省為單位進行ITV業務網絡的建設，建立以省為單位的內容運營、業務支撐系統，包括用戶認證、業務及內容管理、內容庫等功能；在CDN網絡建設方面，通過省分平臺建立統一的省中心節點，各個地市再建立各自的區域中心，最后在靠近用戶端建立邊緣POP節點，其中，區域中心與POP點采用分布式部署，包含流媒體分發及服務等功能。而承載網絡、家庭網絡主要完成從用戶端到區域中心的直播節目及到就近POP節點的點播業務的承載。

ITV網絡安全部署方案

目前，ITV業務的網絡架構，從網絡安全角度出發，充分考慮了如何提升ITV網絡運行質量，保障ITV業務的順利發展等因素。下面從網絡結構的安全性、網絡層面的安全性規劃、應用系統的安全性及日常的安全管理等幾個方面分析ITV網絡的安全問題。

圖1 ITV網絡架構圖

1.網絡結構的安全性

1）為了保障內容運營及業務支撐系統的網絡結構性安全，采用專網進行整體性部署，與其他網絡的對接使用專用的網絡安全防護設備進行保障，以防范網絡攻擊。

2）對于CDN網絡省中心與地市區域中心的跨城域網對接，建議采用專線互聯或者VPN方式承載，盡量避免在開放性的骨干網絡進行直接承載。

3）對于城域網內的承載，ITV業務采用PSPV或者PSPUPV的接入方式，實現了ITV業務與其他業務的隔離。

4）家庭網絡要求配置智能ITV終端，具備訪問控制功能、身份認證功能和入侵防護功能等安全特性。

2.各層網絡的安全性規劃

1）在IP地址規劃方面，考慮到ITV平臺需要引入第三方內容的需求，建議省中心統建節點采用公網IP地址，其他節點均可采用私網IP地址，為了便于網絡擴展，平臺使用的私網地址建議以B類地址為單位進行劃分，且必須全省統一規劃私網IP地址，按照ITV業務規模大小需求進行分配。

2）在部署可控組播時，每一級都要求嚴格匹配，過濾其他組播報文，只允許經過驗證的組播源和組播用戶加入組播網絡。

3）充分做好策略部署，以保持ITV業務與其他業務的隔離。主要包括以下幾方面的工作：

（1）對內容運營網絡的對接網絡需要設置策略路由，并盡量細化，只接收、發送允許的路由。同時設置五元組的白名單網絡訪問控制列表。

（2）在省中心ITV節點與承載網對接的路由接收策略方面，省中心節點只接收城域網內規劃的ITV業務私網的IP地址段路由，不接收其他路由；承載網除正常接收的省中心公有地址路由外，在缺省情況下不接收ITV省中心節點廣播的私網路由及其他的公網路由。

（3）在省中心ITV節點與承載網對接的路由發送策略方面，省中心節點只廣播承載網廣播省中心使用的公網IP段路由，不廣播其他路由；承載網面向ITV省中心節點的路由廣播策略，原則上僅廣播本城域網掩碼為16位的ITV私網路由，不廣播其他路由。

（4）為了防止使用ITV私網地址作為源地址的網絡攻擊的發生，原則上在網絡的業務接入控制層設備的全局模式下，或者在面向寬帶接入網的接口上使用白名單的方式限制ITV私網源地址的訪問方向，只允許ITV用戶訪問 ITV省中心平臺、ITV區域節點、ITV邊緣POP及終端設備管理平臺的地址。在業務接入控制層設備功能和性能的情況不具備時，則在城域網出口路由器下聯端口上采用ACL技術或者URPF技術（在設備具備相關能力的情況下），以限制ITV私網源地址的訪問方向，只允許ITV用戶訪問 ITV省中心平臺、ITV區域節點、ITV邊緣POP及終端設備管理平臺的地址。

（5）為防止公網用戶對ITV網絡內的地址段進行攻擊或者入侵，對于ITV用戶側，原則上在網絡的業務接入控制層設備的全局模式下或者在面對寬帶接入網的接口上使用白名單的方式，以限制公網IP用戶對ITV私網用戶的訪問方向，只允許ITV省中心平臺、ITV區域節點、ITV邊緣POP及終端設備管理平臺的地址訪問ITV的用戶IP；對于IPV平臺側，則在平臺設備的入口方向做白名單的方式,以限制公網IP用戶對 ITV私網用戶的訪問方向，只允許ITV省中心平臺、ITV區域節點、ITV邊緣POP、終端設備管理平臺的地址、ITV用戶私網DE地址訪問ITV平臺。

（6）在做好QoS規劃的同時，保證ITV業務所需的網絡帶寬。

3.應用系統的安全性

1）在認證安全方面，要保證只有合法的用戶機頂盒才能夠使用ITV網絡提供的業務，同時保護用戶上傳的身份認證信息不會被非法竊取或重置，可以根據需要選用安全性高的挑戰/響應認證方式。

2）根據運營平臺各子系統的安全及業務訪問功能需求進行安全域的劃分與隔離，并對不同的安全域采取相應的安全措施和防護手段，將區域的功能權限、互訪控制做到精確化，沒有互通需求的時候一定要進行限制；分等級對運營平臺進行安全的權限設置，要求遠程維護人員以安全的方式接入運營平臺。

3）對于信息傳輸的安全性，可以采用對稱加密算法進行信息的加密傳輸，防止信息被非法竊聽或者修改。

4）在內容的安全性管理方面，可以采用數字版權管理來防止數字節目內容被非法復制。同時，對關鍵業務數據部署安全存儲備份系統。

4.日常安全性管理

1）定期對ITV運營平臺各子系統進行漏洞、病毒掃描，并根據掃描結果有針對性地進行系統安全加固，以保障系統健康。

2）集中記錄和分析系統運行日志，包括文件更新變動日志、操作員日志、機頂盒日志等，以便可以及時發現各種異常事件，進行相應的安全處理。

3）做好網絡安全應急預案及處理管理流程，對突發的網絡安全事件進行有效處理。

結束語

ITV業務及網絡技術的發展不是一蹴而就的，ITV承載網技術也必然在ITV業務的推動下，結合IP網絡技術的變革而不斷發展。隨著ITV業務的大規模發展，ITV用戶還將進一步快速增長，對網絡安全的要求也會越來越高，各個運營商也將不斷地制定各種辦法以滿足其需求，避免因網絡安全問題而影響業務發展，為ITV業務發展添磚加瓦。

[1]STEVENSW R.TCP/IP詳解卷1：協議[M].范建華，胥光輝，張濤，等，譯.北京：機械工業出版社，2000.

[2] 顧巧論.計算機網絡安全[M].北京：清華大學出版社，2007.

[3] 許永明，謝質文，歐陽春.IPTV一技術與應用實踐[M].北京：電子工業出版社，2006.

[4] 高慶雍,馬芩.IPTV及關鍵技術[J].郵電設計技術，2007（8）：17-21.

[5]曼佐克.網絡安全評估[M].張建標，譯.北京：科學出版社.

[6] 解偉，郭曉強，全子一.IPTV中的視頻壓縮技術研究[J].電信科學，2006（3）：39-42.

[7] 王惠玲.現代電視網絡技術-有線電視實用技術與新技術[M].北京：人民郵電出版社，2005.

[8] 盧官明，宗昉.IPTV技術及應用[M].北京:人民郵電出版社，2007.

[9] 中國電信集團公司.中國電信IP城域網優化改造指導意見[Z].2006.

[10] 中國電信集團公司.中國電信 IPTV平臺技術體制V3[Z].2012.

[11] ISO/IEC 14496-3，Coding of moving pictures and audio[S].1998.

TN949

A

【本文獻信息】李利軍，李麗榮.ITV業務網絡安全的思考[J].電視技術，2014，38（20）.