OTT業(yè)務(wù)EPG防篡改與應(yīng)急機(jī)制的研究與實(shí)踐

王雷 徐教強(qiáng)

【摘要】 為了提升OTT TV的信息安全防護(hù)與應(yīng)急處理能力，根據(jù)OTT業(yè)務(wù)網(wǎng)絡(luò)特點(diǎn)對(duì)EPG的主動(dòng)防篡改機(jī)制進(jìn)行了設(shè)計(jì)，并提出了信息安全事件的應(yīng)急處理思路與策略建議，最后在實(shí)際維護(hù)工作中對(duì)上述策略的有效性進(jìn)行了實(shí)踐，希望能為OTT TV運(yùn)營(yíng)與維護(hù)單位在安全建設(shè)中提供有益的參考。

【關(guān)鍵詞】 OTT TV EPG防篡改 應(yīng)急處理

Research and Practices of EPG Tamper Resistance and Emergency System in OTT TV

Wang Lei， Xu Jiaoqiang （China Telecom Corporation Limited Jiangsu Branch ，Nanjing 210017， China）

Abstract： In order to improve the information security and emergency management of OTT TV， an active tamper resistance mechanism of EPG based on characteristics of OTT network and emergency management method and Strategies under the information security incidents are proposed. Finally， those mechanism and Strategy are proved to be effective in maintenance work ， which hopes to provide useful reference for the OTT TV construction and maintenance.

Key words： OTT TV， EPG tamper resistance， emergency system

一、引言

OTT TV（以下簡(jiǎn)稱OTT）是“Over The Top TV”的縮寫，是指基于開放互聯(lián)網(wǎng)的視頻服務(wù)，終端可以是電視機(jī)、電腦、機(jī)頂盒、PAD、智能手機(jī)等等。據(jù)統(tǒng)計(jì)，僅2013年中國(guó)OTT盒子的出貨量就有800-1000萬(wàn)，在龐大規(guī)模用戶的背后是日益嚴(yán)峻的安全形勢(shì)。

OTT直接承載于公共寬帶互聯(lián)網(wǎng)之上，面臨著來(lái)自黑客攻擊產(chǎn)生的安全風(fēng)險(xiǎn)，其中信息安全威脅是其中影響最惡劣的安全風(fēng)險(xiǎn)。

14年8月，某市廣電數(shù)字電視機(jī)頂盒遭黑客入侵，篡改了展示內(nèi)容并以反動(dòng)宣傳內(nèi)容替代，影響群眾正常收看電視，造成嚴(yán)重不良影響。在此背景下，保障OTT內(nèi)容安全、播放安全是OTT業(yè)務(wù)長(zhǎng)期健康發(fā)展的重要保證。

二、EPG防篡改機(jī)制研究

2.1 技術(shù)方案

EPG 是Electronic Program Guide的英文縮寫，即電子節(jié)目菜單。EPG系統(tǒng)因?yàn)槠渲泵嬗脩舻奶匦蕴幱贠TT信息安全防護(hù)戰(zhàn)線中至關(guān)重要的位置。針對(duì)內(nèi)容防護(hù)的EPG內(nèi)容防篡改機(jī)制是信息安全防護(hù)工作中的治本之法。EPG系統(tǒng)采用web服務(wù)器架構(gòu)建設(shè)，不同于通常的web服務(wù)器，其特殊性在于EPG服務(wù)器集群數(shù)量較大、模板文件（jsp/html/css/圖片等）量巨大、模板更新頻率較高。研究EPG的篡改發(fā)現(xiàn)和阻止策略需要充分考慮這些因素。

目前篡改防范和處置的技術(shù)方案主要有三類：文件比對(duì)、目錄同步、IO訪問(wèn)控制：

（1）文件比對(duì)：對(duì)可信源文件計(jì)算校驗(yàn)值并存儲(chǔ)，并對(duì)目標(biāo)文件定時(shí)計(jì)算校驗(yàn)值。這種方案的安全性最高，但在防護(hù)過(guò)程中的不斷地校驗(yàn)值計(jì)算、存儲(chǔ)和比對(duì)將造成巨大的資源消耗。

（2）目錄同步：可信源目錄和目標(biāo)目錄之間采用操作系統(tǒng)rsync技術(shù)進(jìn)行監(jiān)控和同步，一方面源目錄的修改會(huì)即刻同步到目標(biāo)目錄，另一方面目標(biāo)目錄修改后會(huì)立刻被探測(cè)到并為源目錄內(nèi)容重新覆蓋。

（3）I/O訪問(wèn)控制：該方案用系統(tǒng)驅(qū)動(dòng)對(duì)監(jiān)控目標(biāo)目錄實(shí)施進(jìn)程訪問(wèn)控制，通過(guò)規(guī)則設(shè)定只有可信進(jìn)程（也就是實(shí)施EPG模板更新的進(jìn)程）能夠?qū)δ繕?biāo)目錄實(shí)施寫操作，其它進(jìn)程的寫操作被直接阻止。

其中第一種、第二種方案均屬于事后恢復(fù)型方案，此類方案不能完全阻止篡改發(fā)生，同時(shí)需要不斷同步比對(duì)，除消耗系統(tǒng)資源外，也增加了一定的存儲(chǔ)，適用于網(wǎng)頁(yè)更新不頻繁，靜態(tài)頁(yè)面等為主的場(chǎng)景。對(duì)于EPG業(yè)務(wù)百萬(wàn)級(jí)數(shù)量小文件、動(dòng)態(tài)頁(yè)面更新頻繁的特性，此類方案并不適用。第三種方案屬于事前預(yù)防型的方案，資源消耗小，事前防篡改力度高。

綜上考慮，對(duì)于百萬(wàn)級(jí)OTT業(yè)務(wù)，選用I/O訪問(wèn)控制方式來(lái)實(shí)現(xiàn)EPG防篡改功能更加具備可行性，也能達(dá)到更為準(zhǔn)確高效的防護(hù)效果。

2.2 功能邏輯

基于I/O訪問(wèn)控制技術(shù)的EPG防篡改機(jī)制利用操作系統(tǒng)的文件系統(tǒng)接口，在網(wǎng)頁(yè)文件被修改調(diào)用文件系統(tǒng)接口時(shí)，進(jìn)行合法性檢查，對(duì)于非法操作進(jìn)行告警和拒絕，對(duì)于合法的操作繼續(xù)原有的文件操作。此功能可細(xì)化為邏輯流程：

（1）文件操作進(jìn)入操作狀態(tài)。

（2）操作狀態(tài)首先判斷要操作的文件是否在安全配置中，判定在安全配置中的條件主要包括是否在安全配置的指定目錄下、是否是安全配置的指定文件類型、是否是安全配置的指定文件等。

（3）根據(jù)安全配置中設(shè)置的規(guī)則判斷，此進(jìn)程是否被允許對(duì)此文件做此操作，若允許，則繼續(xù)文件操作，不做任何處理。

（4）若不允許操作，則記錄日志，并拒絕文件操作，同時(shí)發(fā)告警，通知操作狀態(tài)同時(shí)攜帶告警描述信息。

2.3 實(shí)現(xiàn)架構(gòu)

基于EPG服務(wù)集群特點(diǎn)，EPG防篡改機(jī)制設(shè)計(jì)用層級(jí)管理模式實(shí)現(xiàn)，從功能職責(zé)和部署上劃分為管理和策略服務(wù)器、防篡改客戶端Agent。

防篡改客戶端Agent用于檢測(cè)及監(jiān)控EPG服務(wù)器文件更新的變化，部署于EPG服務(wù)器，進(jìn)行頁(yè)面篡改事件感知預(yù)警和阻止。 實(shí)現(xiàn)特性主要有：

（1）基于操作系統(tǒng)文件驅(qū)動(dòng)，對(duì)頁(yè)面篡改行為進(jìn)行實(shí)時(shí)感知預(yù)警。

（2）在篡改事件時(shí)，阻止篡改并發(fā)起告警。

管理和策略服務(wù)器單獨(dú)部署，負(fù)責(zé)將操作指令傳達(dá)給監(jiān)控和同步，同時(shí)負(fù)責(zé)實(shí)時(shí)接收和保存來(lái)自監(jiān)控和同步的各種日志信息。實(shí)現(xiàn)特性主要有：

（1）基于業(yè)務(wù)進(jìn)行感知預(yù)警目錄和策略的配置管理。

（2）對(duì)來(lái)自Agent的篡改告警進(jìn)行統(tǒng)一處理。

（3）可與業(yè)務(wù)系統(tǒng)對(duì)接，觸發(fā)業(yè)務(wù)對(duì)篡改的處理。

三、應(yīng)急處理機(jī)制研究

信息安全事件的發(fā)生極易導(dǎo)致嚴(yán)重的影響，針對(duì)信息安全事件的應(yīng)急處置機(jī)制則就是安全防護(hù)工作的最后一道防線。基于此，本文提出信息安全事件應(yīng)急處置的快速處置、暫時(shí)性修復(fù)、事后追溯三階段處置模型。節(jié)目?jī)?nèi)容篡改等安全事件發(fā)生并被覺(jué)察到后，首先在快速處置階段向主要受眾切斷播放源以消除影響，再使用預(yù)先準(zhǔn)備好的默認(rèn)內(nèi)容進(jìn)行播放業(yè)務(wù)的恢復(fù)（待數(shù)據(jù)恢復(fù)后切換為正常播放），最后進(jìn)行溯源分析確定入侵源并實(shí)施對(duì)應(yīng)的安全加固方案。

3.1 快速處置機(jī)制

發(fā)現(xiàn)內(nèi)容篡改等影響惡劣的入侵事件后，經(jīng)過(guò)事件影響面定位后需要快速處置，迅速切斷內(nèi)容源，避免造成更大范圍的影響。

用戶展示的最終效果涉及到節(jié)目源編碼器、EPG、CDN節(jié)點(diǎn)提供的展示服務(wù)，對(duì)于節(jié)目源被替換造成的影響可通過(guò)關(guān)停編碼器進(jìn)行處置，對(duì)于EPG展示內(nèi)容被篡改可通過(guò)關(guān)閉EPG服務(wù)器上WEB進(jìn)程進(jìn)行處置，對(duì)于CDN上媒體內(nèi)容被篡改可通過(guò)刪除媒體文件乃至關(guān)閉CDN服務(wù)等方式進(jìn)行處置，實(shí)際應(yīng)急處置中，可考慮將涉及到各環(huán)節(jié)的信息安全處置方案細(xì)化為各類應(yīng)急處置模式。

根據(jù)安全事件影響范圍、影響設(shè)備、影響業(yè)務(wù)對(duì)應(yīng)急處置模式進(jìn)行合理的組合配置，可形成全面高效的應(yīng)急處置方案，有效針對(duì)各類安全突發(fā)事件進(jìn)行處理，其核心邏輯為：

1.應(yīng)急處置模型中設(shè)置若干種基礎(chǔ)處置模式，如數(shù)據(jù)更換、服務(wù)停止、系統(tǒng)停機(jī)等。

2.根據(jù)實(shí)際的網(wǎng)元處置方式、流程將基礎(chǔ)處置模式按順序組合成處置模式組。

3.將目標(biāo)設(shè)備按節(jié)點(diǎn)區(qū)域、網(wǎng)元、處置方式分成若干群組，并關(guān)聯(lián)上述處置模式。

4.發(fā)生入侵并確定實(shí)施應(yīng)急處置時(shí)，對(duì)目標(biāo)群組實(shí)施關(guān)聯(lián)的處置模式組。

3.2 業(yè)務(wù)修復(fù)方案

在OTT業(yè)務(wù)系統(tǒng)遭遇入侵并采取快速處置機(jī)制進(jìn)行處理后，可按正常業(yè)務(wù)及內(nèi)容下發(fā)流程覆蓋被篡改的內(nèi)容或者文件以恢復(fù)業(yè)務(wù)。

但由于OTT業(yè)務(wù)具有受眾廣泛、影響擴(kuò)散快的特點(diǎn)，對(duì)業(yè)務(wù)恢復(fù)的時(shí)間提出了更高的要求?；诖朔N要求，可將業(yè)務(wù)下發(fā)流程按上節(jié)應(yīng)急處置模式組的方式制定業(yè)務(wù)恢復(fù)模塊組，以實(shí)現(xiàn)業(yè)務(wù)的快速恢復(fù)，具體方式因具體OTT業(yè)務(wù)平臺(tái)業(yè)務(wù)下發(fā)方式的不同故不再贅述。

3.3 事后追溯

入侵事件的追溯技術(shù)可分為入侵痕跡分析以及計(jì)算機(jī)取證方式。前者通過(guò)日志的關(guān)聯(lián)性分析以及可疑文件入手對(duì)入侵行為進(jìn)行溯源。后者依據(jù)計(jì)算機(jī)證據(jù)易失性原理從目標(biāo)設(shè)備獲取磁盤信息傳送到分析設(shè)備，用專業(yè)的計(jì)算機(jī)取證軟件分析目標(biāo)設(shè)備文件的讀寫狀況，OTT業(yè)務(wù)平臺(tái)入侵追溯可依據(jù)平臺(tái)的不同選擇對(duì)應(yīng)的方式。

四、江蘇電信信息安全防護(hù)實(shí)踐與總結(jié)展望

江蘇電信OTT業(yè)務(wù)自正式開放以來(lái)一直保持規(guī)模發(fā)展的態(tài)勢(shì)，也同樣面臨著嚴(yán)峻的網(wǎng)絡(luò)與信息安全挑戰(zhàn)，傳統(tǒng)的安全運(yùn)維手段和體系已無(wú)法滿足日益嚴(yán)峻的互聯(lián)網(wǎng)安全防護(hù)的需求。

根據(jù)OTT業(yè)務(wù)網(wǎng)絡(luò)特點(diǎn)，江蘇電信OTT維護(hù)人員經(jīng)過(guò)持續(xù)多年的研究、探索和信息安全防護(hù)實(shí)踐工作，逐步建立起一套完整的EPG內(nèi)容防篡改防護(hù)思路與應(yīng)急處理機(jī)制。在江蘇電信OTT業(yè)務(wù)信息安全維護(hù)工作中，EPG內(nèi)容防篡改策略目前已逐步在落實(shí)開發(fā)為防篡改系統(tǒng)，而應(yīng)急處理機(jī)制也在逐步從人工操作向自動(dòng)化、一鍵封裝化道路演進(jìn)。這些策略的部署與演進(jìn)對(duì)OTT業(yè)務(wù)安全穩(wěn)定運(yùn)行在現(xiàn)在以至未來(lái)都將一直發(fā)揮重要作用。

EPG防篡改與應(yīng)急處理機(jī)制經(jīng)過(guò)實(shí)踐反映了策略的有效性，可以為OTT業(yè)務(wù)安全提供一定的指導(dǎo)及參考價(jià)值，OTT業(yè)務(wù)運(yùn)營(yíng)商可以根據(jù)平臺(tái)自身的特性如平臺(tái)與網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)量等的差異性采取不同的策略進(jìn)行防護(hù)部署。隨著互聯(lián)網(wǎng)的高速發(fā)展，OTT業(yè)務(wù)面臨的安全形勢(shì)會(huì)愈加嚴(yán)峻，關(guān)于信息安全防護(hù)與應(yīng)急處置的策略研究仍要繼續(xù)加強(qiáng)。后續(xù)江蘇電信業(yè)務(wù)維護(hù)人員將繼續(xù)在EPG內(nèi)容防篡改以及應(yīng)急響應(yīng)處理策略上進(jìn)行深入研究與實(shí)踐。

參 考 文 獻(xiàn)

[1]洪鈞.構(gòu)建可管可控的OTT平臺(tái)的探討[J].廣播電視信息，2014（269）：49～51 Hong Jun， Research on the Construction of Controllable OTT Platform[J].Broadcast Television Information，2014（269）：49～51

[2]黃亞超，謝衛(wèi)華.IPTV在信息安全的研究與展望[J].電視技術(shù)，2011，35（20）：53～55 Huang Yachao， Xie Weihua.Research and Prospect of IPTV in Information Security[J].Video Engineering，2011，35（20）：53～55