融媒建設(shè)中網(wǎng)絡(luò)安全問(wèn)題概述

高深

（黑龍江廣播電視臺(tái)，黑龍江 哈爾濱150000）

2019 年是融媒體建設(shè)加速發(fā)展的一年。落實(shí)總書(shū)記關(guān)于融媒體建設(shè)要求，如何更快更好建構(gòu)現(xiàn)代全媒體傳播體系，成為當(dāng)今媒體融合發(fā)展的重要任務(wù)。在融媒體建設(shè)過(guò)程中，網(wǎng)絡(luò)安全體系的建設(shè)是系統(tǒng)建設(shè)中重要的組成部分之一，本文結(jié)合以往網(wǎng)站及客戶(hù)端日常管理工作，總結(jié)在融媒建設(shè)中常見(jiàn)的安全管理問(wèn)題，以供大家研判參考。

1 信息安全政策法規(guī)要求

網(wǎng)絡(luò)信息相關(guān)政策法規(guī)主要有兩個(gè)體系要求，一個(gè)是有網(wǎng)信部門(mén)聯(lián)合公安部門(mén)推出的《網(wǎng)絡(luò)安全法》，另一個(gè)是由中共中央宣傳部新聞局和國(guó)家廣播電視總局科技司共同推出的《縣級(jí)融媒體中心網(wǎng)絡(luò)安全規(guī)范》。《網(wǎng)絡(luò)安全法》于2017 年6 月1日正式實(shí)施，是我國(guó)第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問(wèn)題的基礎(chǔ)性法律。2019 年4 月，中宣部和國(guó)家廣播電視總局聯(lián)合發(fā)布的《縣級(jí)融媒體中心網(wǎng)絡(luò)安全規(guī)范》作為行業(yè)規(guī)范，明確了融媒建設(shè)的信息安全建設(shè)要求。互聯(lián)網(wǎng)信息系統(tǒng)運(yùn)營(yíng)主體應(yīng)該保證系統(tǒng)滿(mǎn)足《網(wǎng)絡(luò)安全法》的相關(guān)要，不滿(mǎn)足的可以有公安部門(mén)對(duì)運(yùn)營(yíng)主體和個(gè)人進(jìn)行行政處罰，處罰形式包括罰款、責(zé)令停業(yè)整頓等。例如根據(jù)澎湃新聞報(bào)道，菏澤市東明縣某網(wǎng)絡(luò)科技公司被行政處罰，對(duì)公司處六萬(wàn)元罰款，對(duì)法定代表人李某某處五千元罰款，責(zé)令停業(yè)整頓。其原因是網(wǎng)絡(luò)安全防護(hù)工作落實(shí)不到位，大量注冊(cè)用戶(hù)未落實(shí)實(shí)名認(rèn)證，網(wǎng)站存在嚴(yán)重安全隱患[1]。可以看到網(wǎng)絡(luò)安全建設(shè)是目前融媒體系統(tǒng)建設(shè)中的重要環(huán)節(jié)，網(wǎng)絡(luò)安全建設(shè)的缺失直接影響到系統(tǒng)的上線運(yùn)營(yíng)。按照廣電總局的縣級(jí)融媒體建設(shè)規(guī)范要求，縣級(jí)融媒體應(yīng)該達(dá)到信息安全等級(jí)保護(hù)第二級(jí)保護(hù)標(biāo)準(zhǔn)，省級(jí)平臺(tái)需要達(dá)到第三級(jí)等保標(biāo)準(zhǔn)。由公安部等四部委在2007 年下發(fā)《信息安全等級(jí)保護(hù)辦法》要求第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，每年至少進(jìn)行一次自查。

2 信息系統(tǒng)常見(jiàn)安全問(wèn)題處置

按照總局下發(fā)的《縣級(jí)融媒體中心網(wǎng)絡(luò)安全規(guī)范》，我們可以進(jìn)行符合等級(jí)保護(hù)要求的安全系統(tǒng)建設(shè)。但信息安全保護(hù)不只是安全設(shè)備的堆砌，還需要加強(qiáng)日常安全行為管理和突發(fā)安全事件的處置。以下結(jié)合黑龍江網(wǎng)絡(luò)廣播電視臺(tái)的日常運(yùn)營(yíng)中常見(jiàn)的幾類(lèi)安全事件進(jìn)行分析說(shuō)明，并給出簡(jiǎn)要處理策略和方法。

在黑龍江網(wǎng)絡(luò)廣播電視臺(tái)的日常運(yùn)營(yíng)中，目 前發(fā)生最多的安全事件是爬蟲(chóng)事件，每周達(dá)到18 萬(wàn)次；其次是DDos 攻擊事件，峰值流量達(dá)到60Gbps。作為媒體網(wǎng)站我們還額外關(guān)注sql 注入攻擊和網(wǎng)頁(yè)篡改行為。

2.1 爬蟲(chóng)攻擊

爬蟲(chóng)原本是搜索引擎用來(lái)進(jìn)行信息檢索的工具，PC 時(shí)代網(wǎng)站都盡量對(duì)爬蟲(chóng)友好，以在搜索引擎中排名靠前從而增加網(wǎng)站的流量。但隨著融媒體的發(fā)展，爬蟲(chóng)技術(shù)被大量應(yīng)用在互聯(lián)網(wǎng)公司進(jìn)行媒體資源的匯聚，最知名的例子便是今日頭條對(duì)新聞網(wǎng)站內(nèi)容的抓取。大量非授權(quán)的爬蟲(chóng)訪問(wèn)網(wǎng)站占用了系統(tǒng)的運(yùn)營(yíng)資源，降低了系統(tǒng)的訪問(wèn)速度，降低了正常用戶(hù)的訪問(wèn)體驗(yàn)。目前隨著市場(chǎng)對(duì)于原創(chuàng)內(nèi)容的追逐，大量原創(chuàng)內(nèi)容被非授權(quán)的抓取了，降低了自有網(wǎng)站的運(yùn)營(yíng)能力。針對(duì)合規(guī)爬蟲(chóng)，只需要做好robots.txt 的配置，就可以很好的限制爬蟲(chóng)爬取的行為。例如建立網(wǎng)站的爬蟲(chóng)黑名單，限制可以爬取的內(nèi)容等。但針對(duì)非法爬蟲(chóng)，就需要通過(guò)user-anget 等信息進(jìn)行訪問(wèn)控制；更進(jìn)一步需要根據(jù)訪問(wèn)日志制訂相應(yīng)的限制策略，例如限制鏈接時(shí)長(zhǎng)和單位時(shí)間內(nèi)的訪問(wèn)次數(shù)；也可以采購(gòu)web 應(yīng)用防火墻對(duì)網(wǎng)絡(luò)爬蟲(chóng)進(jìn)行限制或針對(duì)特定ip 地址進(jìn)行阻斷。

可以通過(guò)更改apache 的配置來(lái)實(shí)現(xiàn)user-agent 的限制。假如我們要把python 類(lèi)爬蟲(chóng)和百度的爬蟲(chóng)限制掉，可以加一條這樣的規(guī)則：

2.2 SQL 注入攻擊

SQL 注入攻擊是目前網(wǎng)站系統(tǒng)常見(jiàn)的一種攻擊形式，其具有攻擊簡(jiǎn)單、危害性高等特點(diǎn)。網(wǎng)上流行各種SQL 注入工具，這使得很多”愛(ài)好者”可以輕易危害網(wǎng)站安全，進(jìn)行網(wǎng)頁(yè)篡改等。SQL 注入是由于沒(méi)有對(duì)用戶(hù)輸入數(shù)據(jù)進(jìn)行嚴(yán)格的合法性驗(yàn)證造成的，以此來(lái)實(shí)現(xiàn)欺騙數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行非授權(quán)的任意查詢(xún)，從而進(jìn)一步得到相應(yīng)的數(shù)據(jù)信息。

防止SQL 注入攻擊的核心還是在系統(tǒng)代碼層面完善從而避免sql 注入漏洞的產(chǎn)生，需要嚴(yán)格進(jìn)行輸入變量的類(lèi)型、長(zhǎng)度以及過(guò)濾特殊字符。對(duì)于廣電行業(yè)由于大部分系統(tǒng)都不是由自己進(jìn)行開(kāi)發(fā)的，因此我們需要有效的工具來(lái)避免黑客通過(guò)sql漏洞來(lái)進(jìn)行攻擊。web 應(yīng)用防護(hù)服務(wù)可以根據(jù)查詢(xún)語(yǔ)句的特征值有效的進(jìn)行參數(shù)阻斷，是一種有效的是自建融媒系統(tǒng)中的一項(xiàng)重要安全保障。

2.3 網(wǎng)頁(yè)篡改

常見(jiàn)的網(wǎng)頁(yè)篡改攻擊形式有被互聯(lián)網(wǎng)暗產(chǎn)控制被掛賭博鏈接或者廣告文章。根據(jù)CNCERT 的報(bào)告2018 年有7049 個(gè)網(wǎng)站本篡改，但較2017 年下降了64.9%。由數(shù)據(jù)表明網(wǎng)頁(yè)竄改風(fēng)險(xiǎn)大幅下降，但網(wǎng)頁(yè)竄改仍是媒體行業(yè)要高度重視的一種攻擊形式。媒體網(wǎng)站作為各級(jí)政府的重要宣傳出口，具有極強(qiáng)的政治屬性，因此應(yīng)該做好應(yīng)急預(yù)案，在最短的時(shí)間內(nèi)刪除被篡改網(wǎng)頁(yè)，消除不良影響。傳統(tǒng)廣電往往采用24 小時(shí)人工監(jiān)控的形式來(lái)進(jìn)行風(fēng)險(xiǎn)管控。由于網(wǎng)頁(yè)篡改一定會(huì)在頁(yè)面中加入攻擊者的信息。因此目前普遍采用的網(wǎng)頁(yè)篡改發(fā)現(xiàn)方式如下：加強(qiáng)對(duì)關(guān)鍵網(wǎng)頁(yè)進(jìn)行監(jiān)控，定時(shí)爬取網(wǎng)站內(nèi)容對(duì)頁(yè)面文字部分進(jìn)行提取，判斷是否有涉賭、涉黃、涉政的違禁詞匯，從而判定網(wǎng)頁(yè)是否被篡改。

2.4 DDoS 攻擊

2018 年境內(nèi)發(fā)起DDoS 攻擊的活躍控制端數(shù)量同 比下降46%、被控端數(shù)量同比下降37%；DDoS 攻擊的主要影響是，耗盡融媒系統(tǒng)的帶寬資源、計(jì)算資源，造成部分業(yè)務(wù)不可訪問(wèn)。

目前解決DDoS 攻擊沒(méi)有很好的應(yīng)對(duì)方法，系統(tǒng)本身防護(hù)的核心思路還是要提升系統(tǒng)的負(fù)載能力。接入CDN 服務(wù)可以有效提升系統(tǒng)帶寬和負(fù)載能力，然而需要大量資金成本支出。黑龍江網(wǎng)絡(luò)廣播電視臺(tái)受到的DDos 攻擊峰值達(dá)到過(guò)60Gps，如果都用CDN 或者DDos 流量清洗服務(wù)來(lái)承接流量將產(chǎn)生巨額的費(fèi)用支出。目前廣電融媒系統(tǒng)針對(duì)DDoS 攻擊的有效防御策略應(yīng)該對(duì)圖文、流媒體等不同業(yè)務(wù)進(jìn)行劃分，例如在業(yè)務(wù)上采用不同的域名、ip、接入線路來(lái)進(jìn)行業(yè)務(wù)劃分，從而保證單一業(yè)務(wù)被DDos 攻擊時(shí)不會(huì)影響到其他業(yè)務(wù)的正常運(yùn)營(yíng)。

3 其他安全風(fēng)險(xiǎn)提示

3.1 運(yùn)營(yíng)帳戶(hù)的管理

目前各個(gè)媒體單位都開(kāi)始進(jìn)行了自己的融媒矩陣建設(shè)，在今日頭條、微信等各大平臺(tái)都建立的眾多的賬號(hào)，但目前媒體對(duì)于賬號(hào)的管理和平臺(tái)對(duì)于賬號(hào)的管理方式并不相同，這帶來(lái)了潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

各平臺(tái)對(duì)于賬號(hào)安全的管理有三個(gè)要素：用戶(hù)名、密碼、密保郵箱及電話(huà)。媒體管理賬號(hào)則是運(yùn)營(yíng)者、密碼、賬號(hào)。在這些要素中權(quán)限等級(jí)最高的是手機(jī)信息，即在沒(méi)有用戶(hù)名和密碼的情況下，通過(guò)手機(jī)號(hào)可以重新設(shè)置帳戶(hù)其他信息。這樣在在業(yè)務(wù)交接的時(shí)候往往只交接了賬號(hào)、密碼而沒(méi)有及時(shí)變更手機(jī)信息。在一些情況下，如：人員離職、手機(jī)號(hào)注銷(xiāo)；賬號(hào)可能脫離媒體的掌控，進(jìn)而造成嚴(yán)重?fù)p失。

3.2 盜刷類(lèi)安全風(fēng)險(xiǎn)

此類(lèi)安全風(fēng)險(xiǎn)并不是傳統(tǒng)的破壞計(jì)算機(jī)系統(tǒng)，因此很難說(shuō)這類(lèi)行為是違法的，但它消耗了系統(tǒng)的運(yùn)營(yíng)資源。例如CDN 的盜刷和驗(yàn)證短信的盜刷，攻擊者完全模擬正常用戶(hù)的正常行為，登錄系統(tǒng)發(fā)送驗(yàn)證短信，下發(fā)短信是需要預(yù)先購(gòu)買(mǎi)的，當(dāng)費(fèi)用不足是就會(huì)造成業(yè)務(wù)中斷。這類(lèi)攻擊手法很難通過(guò)技術(shù)手段識(shí)別出來(lái)，因此需要管理者在運(yùn)營(yíng)保障和資源損失之間做出抉擇，以犧牲部分資源的代價(jià)保障系統(tǒng)的穩(wěn)定運(yùn)營(yíng)。

4 結(jié)論

近年來(lái)隨著網(wǎng)絡(luò)建設(shè)的發(fā)展，網(wǎng)絡(luò)安全要求逐步升級(jí)，總的來(lái)說(shuō)網(wǎng)絡(luò)安全管理?yè)碛性絹?lái)越多的工具和設(shè)備來(lái)保證計(jì)算機(jī)系統(tǒng)的安全運(yùn)行。攻擊目的也從系統(tǒng)破壞、病毒傳播逐步發(fā)展到竊取企業(yè)信息、計(jì)算資源，因此防護(hù)重點(diǎn)也逐步向信息加密與安全轉(zhuǎn)變。

此外，融媒號(hào)的發(fā)展和移動(dòng)辦公的需要，改變了傳統(tǒng)計(jì)算機(jī)系統(tǒng)集中部署分區(qū)管理的方法。在分布是架構(gòu)下數(shù)據(jù)傳輸?shù)陌踩院驮O(shè)備的準(zhǔn)入管理需求，促使傳統(tǒng)網(wǎng)絡(luò)安全需要更多的資源進(jìn)行新階段的安全管理。