有線電視前端系統網絡安全設計

王慧勇

[摘 要]有線電視數字前端系統的安全性十分重要，特別是在有線數字電視前端系統IP化改造、媒介融合的大環境下，安全隱患大大增加。基于此，本文對有線電視網絡的安全問題進行分析，并提出針對性的技術防護措施與手段。

[關鍵詞]有線數字電視;前端;網絡安全;設計

doi：10.3969/j.issn.1673 - 0194.2020.12.081

[中圖分類號]TN943.6[文獻標識碼]A[文章編號]1673-0194（2020）12-0-02

0 ? ? 引 言

2017年6月1日，我國正式頒布《中華人民共和國網絡安全法》，明確網絡安全等級保護制度是網絡安全維護的基本制度。有線電視前端系統一旦受到網絡攻擊，會造成功能喪失、數據泄露，或者發布有害信息，對企業業務、公共利益、國家安全產生重大危害。

1 ? ? 系統現狀

有線數字電視前端系統擁有龐大的用戶群，是國家重要的信息基礎設施。因此，該系統的網絡安全建設十分重要。有線數字電視前端主要包含信源處理系統、加擾表單系統以及傳輸系統。對視音頻進行相應處理，使用戶能夠通過機頂盒等方式接收并觀看節目。信源處理系統主要完成音視頻信號的編碼以及碼率轉換，主要設備包括編碼器以及轉碼器。信號處理系統主要負責EPG（Electronic Program Guide，電子節目指南）和數據廣播、產生CA信號，主要設備包括EPG服務器以及加擾機等。傳輸處理系統主要完成信號復用、調制輸出，主要設備包括節目復用器以及射頻調制器等。目前，對有線數字電視前端系統的非法入侵、篡改網絡問題層出不窮。攻擊態勢逐步規模化、專業化、多樣化。隨著業務增加、核心業務網的拓展，網絡拓撲日益復雜，網絡安全邊界模糊，缺少必要的網絡安全設備。網絡安全設備的安全配置較弱，缺少對用戶行為的控制和審計，業務主機系統及數據庫版本較老，漏洞較多。一旦被侵入，將涉及多種業務，風險巨大。

2 ? ? 安全域劃分

對業務網絡進行安全域劃分，需要根據系統架構，承載的業務和數據流、安全需求等情況，按照層次化、縱深防御的安全域劃分思想，進行科學、嚴謹劃分。根據業務梳理，前端系統中重點對EPG單元、CA單元、SMS單元、數據庫單元、網管單元進行網絡安全設計。

2.1 ? ? EPG及數據廣播

EPG系統是一種廣告內容處理系統。在符合規范的有線電視私有數據中插入自定義的廣告數據，使用戶在電視節目接收終端進行一系列操作時，畫面中出現相應的廣告數據內容。數據廣播系統，即單向數據廣播，負責應用數據的單向廣播，基于DSM-CC（ISO 13818-6）協議，可發送HTML（HyperText Markup Language，超文本標記語言）應用、JAVA應用或任意其他預置應用的數據，如MP3、圖片文件、XML文件等;同時可配置發送數據廣播相關業務的PSI/SI數據以及與各應用相關的AIT表。其中，EPG廣告系統以及數據廣播以TS流的方式進入復用器的TS輸入口。

2.2 ? ? CAS系統以及SMS系統

CAS系統是為了確保有線數字電視前端的輸出信號只能被經過授權的用戶進行接收的一種條件接收系統。省級以及直轄市級有線電視運營商一般采用3家CA同密技術來保障加密數據的安全性。主要設備包含EMMG服務器、ECMG服務器、加密機服務器、加密數據庫等部分。SMS系統是有線數字電視前端用戶管理系統，通常也被稱作BOSS系統，負責開通業務、運營服務。由此可見，在有線電視數字前端中，CAS以及SMS/BOSS系統，只有擁有一個高安全性、高可靠性的網絡，才能穩定地完成其功能，保障付費用戶和運營商的利益。

2.3 ? 網絡安全設計

對于網絡信息化系統，需要對通信網絡架構、區域邊界、計算環境3個方面進行安全加固，從而保障制播系統內的應用業務、重要數據的正常流轉。通過分析，可以建立一個數字電視前端網絡模型，如圖1所示。

在網絡模型中，對于核心業務，需要做冗余保障，確保主備鏈路切換。結合安全域，建立網絡區域邊界，在邊界處進行網絡安全加固，并結合業務特性，分析網絡數據。另外，對于安全區域內的設備，企業要營造安全計算環境，對系統的每個環節配置安全策略。建立網絡安全防護中心，對系統的網絡安全態勢進行整體監測與控制。

2.4 ? ? 通信網絡架構安全加固

網絡結構的合理性，對整個系統的高效穩定非常重要。核心業務承載網絡需要具備一定的冗余性。重要的網絡設備、業務服務器需要進行雙機冗余部署，保障通信網絡的高可用性。對在線業務進行梳理，對業務的重要性以及帶寬、資源需求進行分級規劃，優先保障高優先級的業務。優化網絡拓撲，做好備份路由建設。核心業務不與外部網絡相連，單獨劃分網絡與VLAN。同時，配置防火墻、負載均衡等設備，完善整個網絡架構，提高網絡架構的安全性。此外，還要過濾內外的網絡信息數據，對于內網設備，部署相應的應用層防護軟件或硬件，并配置安全策略，進行應用安全防護。

2.5 ? ? 區域邊界安全加固

系統部署終端準入控制中心監控外部人員非授權聯入內部網絡;部署終端安全管理中心監控內部人員非授權聯出外部網絡。非授權用戶私自聯到外部網絡的行為通過終端安全管理系統進行檢查驗證。監控跨越網絡區域邊界的數據交換，并通過指定接口進行數據交換與通信。綁定源地址、目的地址、相應端口、協議等，建立訪問控制策略，限制訪問權限，利用白名單，允許符合相關規則的請求;利用黑名單，拒絕不符合規則的請求。加強內部主機的相互訪問控制，避免非法入侵后，外部人員利用內網主機作為跳板，進一步入侵系統。系統防火墻中配置相關端口安全策略，實現受控端口通信。同時，監視網絡區域邊界的攻擊行為。在網絡安全設備中建立監聽機制，實現端口掃描，監測木馬攻擊、網絡蠕蟲攻擊等。

2.6 ? 計算環境安全加固

創建安全的計算環境，部署堡壘機以及身份認證系統。配置嚴格的安全加固策略，避免突破系統保護邊界的外部人員侵入。部署第三方審計系統收集數據庫審計日志，并配置相關策略;采用多種組合鑒別技術，通過第三方身份認證系統，配置相關認證策略，實現雙因子身份安全認證;對重要資源進行敏感性標記，并設置強制訪問控制規則，對主機進行安全加固和安全配置，對重要資源進行敏感性標記。計算環境中的一些重要識別特征，如MAC地址、設備串號、硬件編碼等進行綁定限制，保證每一個參與系統運作設備的唯一性。利用條件匹配原則，對不符合唯一性要求的訪問設備予以拒絕。

2.7 ? 策略安全加固

除了新增安全設備外，對現網以及安全設備配置合適的安全策略，保證安全建設落到實處。主要包括以下幾點：①身份鑒別，權限與用戶名一一對應，建立實名制管控機制;②對進入內網的登錄地址進行限制，只有通過多因素認證后，才允許其登錄;③各種訪問密碼信令需要定期調換;④限制登錄次數，登錄若干此失敗后，判定為非法登錄，需要進行解鎖驗證后才能正常登錄，阻止非法暴力嘗試登錄等行為。

2.8 ? 運維管理安全加固

網絡安全運維是系統安全中極為重要的一個環節，因此，不僅需要配置安全策略，也需要建立嚴密的運維體系。對于參與運維的人員進行明確唯一的定義，提高管理人員的安全意識，并提升系統運維人員的安全操作水平，避免對業務系統帶來人為的安全隱患。

3 ? ? 結 語

根據調研、評估，確保在線業務正常開展的同時，對網絡安全需求以及業務流程進行匯總分析，確立網絡安全加固方案。優化網絡架構，增加系統的冗余保障能力，對網絡安全設備、操作系統以及數據庫配置安全策略。同時，加強系統網絡安全保護工作，保障系統穩定運行。

主要參考文獻

[1]楊海文，高宇，張虹.基于等級保護的數據安全管理體系建設實踐[J].現代信息科技，2019（2）：102-105.

[2]曾建中.媒體融合云技術下的信息系統安全防護體系設計[J].廣播與電視技術，2016（11）：23-27.