基于廣電網(wǎng)絡融合終端信息安全系統(tǒng)的應用研究

邱福如

(廣東省廣播電視網(wǎng)絡股份有限公司中山分公司，廣東 中山 528400)

0 引言

隨著三網(wǎng)融合的推進，廣電網(wǎng)絡實現(xiàn)了業(yè)務的升級換代，但是也帶來了多方面的網(wǎng)絡安全問題。廣電運營商在對業(yè)務系統(tǒng)進行建設時要意識到安全防護系統(tǒng)的重要性，在網(wǎng)絡各層次設置網(wǎng)絡安全防護產(chǎn)品，以保證系統(tǒng)的正常運行。

1 廣電網(wǎng)絡信息系統(tǒng)安全隱患

隨著三網(wǎng)融合，當前廣電網(wǎng)絡的安全環(huán)境逐漸復雜化，廣電網(wǎng)絡信息安全環(huán)境關系如圖1所示。長期以來，廣電網(wǎng)絡發(fā)展中的安全建設相對滯后，安全網(wǎng)絡建設不規(guī)范、不全面，安全防范技術存在缺陷，系統(tǒng)存在安全隱患，因此，需要實現(xiàn)網(wǎng)絡信息安全系統(tǒng)的有效應用。

圖1 廣電網(wǎng)絡信息安全環(huán)境關系

廣電網(wǎng)絡存在的安全隱患來自多個方面，包括外部網(wǎng)絡、辦公網(wǎng)絡以及用戶。如果安全區(qū)域邊界或安全區(qū)域缺少有效的防護，廣播業(yè)務前端網(wǎng)絡會受到入侵，服務器等設備會受到攻擊，嚴重時甚至會導致系統(tǒng)癱瘓，數(shù)據(jù)、文字、圖片、視頻等資料會被非法篡改，如采用非法未透明流替換前端直播，會播放非法信息[1]。非法入侵還可能源于機頂盒等終端，例如機頂盒被非法刷機或者下載非法應用。

2 廣電網(wǎng)絡信息安全系統(tǒng)的應用思路與框架

2.1 應用思路

結(jié)合廣電網(wǎng)絡的特點建立配套的安全系統(tǒng)，安全系統(tǒng)要融入廣電業(yè)務運營的各個環(huán)節(jié)，包括組織管理、技術、制度等，與運營結(jié)合為整體，最終成為構(gòu)成運營的基本內(nèi)容。廣電網(wǎng)絡信息安全系統(tǒng)的建設要從整體入手，實現(xiàn)全方位的保障，要作用于每個層次與每個環(huán)節(jié)，從而實現(xiàn)網(wǎng)絡安全風險的控制[2]。構(gòu)建網(wǎng)絡安全體系要實現(xiàn)管理和技術的共同作用，除了要保證設備、系統(tǒng)、產(chǎn)品的安全可靠，還要加強風險監(jiān)控，如風險監(jiān)測、風險評估、風險響應等，對風險采取系統(tǒng)恢復等措施。

2.2 安全體系框架

廣電網(wǎng)絡信息安全體系的構(gòu)建要結(jié)合安全保障模型，要考慮到網(wǎng)絡直播、互動業(yè)務、數(shù)據(jù)業(yè)務的特點，結(jié)合業(yè)務運行建立配套的安全環(huán)境。(1)實現(xiàn)物理安全，要包括設備的方方面面。(2)針對公鑰設施要實施統(tǒng)一授權(quán)、統(tǒng)一認證和統(tǒng)一權(quán)限。(3)要對數(shù)據(jù)庫進行管理，保證數(shù)據(jù)的安全性。(4)要有運維支撐系統(tǒng)，從技術保障的角度出發(fā)，結(jié)合廣電網(wǎng)絡技術標準，從多個角度采取技術措施保障網(wǎng)絡安全[3]。

3 廣電網(wǎng)絡信息安全系統(tǒng)的組成

3.1 安全策略

制定安全策略要結(jié)合廣電系統(tǒng)的實際。安全策略體現(xiàn)出安全管理的思想，是廣電網(wǎng)實施安全防護的依據(jù)。策略要明確被保護的主體，明確具體職責，提供相應問題的解決方案。策略要體現(xiàn)出普遍性，要為強化系統(tǒng)的安全可靠性創(chuàng)造基礎條件。安全策略還要明確哪些是需要保護的、防范的，這些都是保證風險得以控制的關鍵。

3.2 安全防護

安全防護要作用于路由器、交換機、工作站等設備，以免通信網(wǎng)絡的硬件受到自然災害、人為因素的影響。另外，還要預防搭線竊聽、防止非法攻擊、用戶越權(quán)操作等。安全防護要考慮到數(shù)據(jù)的妥善保管，防止非法偷竊和破壞活動，防止發(fā)生電磁泄漏。當前主要的安全防護措施是對傳導發(fā)射和輻射的防護。

3.3 安全檢測

安全檢測要實時監(jiān)測網(wǎng)絡中與安全有關的事件，如資料竊取、非法入侵、泄密行為、違規(guī)使用等。系統(tǒng)需要對網(wǎng)絡使用情況進行真實記錄，防止違規(guī)行為。安全檢測要具有防銷毀、篡改的特性，要跟蹤記錄相關的安全信息, 分析和報告跟蹤中得來的信息。安全檢測可以用于對內(nèi)部操作進行審核，阻止越權(quán)操作。安全掃描技術是基于遠程檢測主機安全脆弱點的技術。通過安全掃描，能發(fā)現(xiàn)其所維護的服務器、軟件存在的安全漏洞，此外，網(wǎng)絡安全掃描技術還可以檢驗系統(tǒng)是否有可能被攻擊。

3.4 安全響應

數(shù)據(jù)安全是動態(tài)的，如何保證動態(tài)網(wǎng)絡系統(tǒng)的安全是防護方案急需解決的問題，安全服務是保障系統(tǒng)安全的重要環(huán)節(jié)。當前廣電通信網(wǎng)絡對安全服務提出了更高的標準，因此需要加強網(wǎng)絡的緊急響應。安全防護具有復雜性，對于廣電系統(tǒng)網(wǎng)絡的安全問題需要進行快速響應。另外，安全響應還要考慮到數(shù)據(jù)的備份，要確保在數(shù)據(jù)遭到破壞后仍可以快速響應并啟動備份。

4 廣電網(wǎng)絡信息安全系統(tǒng)的應用措施

4.1 保證網(wǎng)絡結(jié)構(gòu)的安全

基于商業(yè)用途的網(wǎng)絡系統(tǒng)存在較多的安全漏洞。廣電網(wǎng)的安全防護要依據(jù)口令對用戶的身份進行認證和識別。廣電網(wǎng)的信息儲存于系統(tǒng)文件與數(shù)據(jù)庫中，但是數(shù)據(jù)存儲與運輸都采用明文，安全防護等級受到限制，信息處理、傳輸、儲存存在風險。廣電網(wǎng)組網(wǎng)時，系統(tǒng)沒有設計安全防范，安全防護設施不健全，易受到外部的攻擊和入侵。針對不同級別的網(wǎng)絡要進行可靠的物理隔離或設置邊界隔離。要結(jié)合信息系統(tǒng)功能、業(yè)務類型、業(yè)務流程進行網(wǎng)絡安全域結(jié)構(gòu)層次的劃分，以保證業(yè)務安全服務的科學合理。

4.2 針對播出系統(tǒng)的安全防范

播出系統(tǒng)要具有應急備份功能，關鍵操作可以實現(xiàn)“一鍵恢復”。網(wǎng)絡系統(tǒng)的前端要備份播出系統(tǒng)以及倒換控制設備，如果終端顯示畫面發(fā)生非法篡改，前端可以主動將非法信息清除并調(diào)整到合法畫面。如果網(wǎng)絡的覆蓋范圍較大，系統(tǒng)前端要有異地備播管理系統(tǒng)。系統(tǒng)的實現(xiàn)采用清流備播的方式，還要采取安全防護措施，確保直播系統(tǒng)發(fā)生安全意外時系統(tǒng)可以不受影響，保證系統(tǒng)在任何條件下都可以穩(wěn)定運行。前端播控系統(tǒng)與管理網(wǎng)、辦公平臺、外接互聯(lián)網(wǎng)之間要進行物理隔離。播控平臺各系統(tǒng)要定期進行倒換測試，檢測應急處理的可靠性，保證主備路系統(tǒng)處于安全狀態(tài)。節(jié)目碼數(shù)據(jù)流要加密并使用數(shù)字簽名保護，防止被非法篡改，實現(xiàn)對數(shù)據(jù)的保護，保證保密性和完整性。Loader系統(tǒng)在播出前應對系統(tǒng)固件進行檢測，對于應用軟件要實施數(shù)字簽名保護，保證代碼的完整性，防止代碼被非法篡改。

4.3 網(wǎng)絡設備防護

廣電網(wǎng)絡中的設備要有安全識別功能，操作請求要通過安全審計，操作后要可追溯，進而保障系統(tǒng)的安全。設備訪問要設置登錄口令，登錄口令可以分為控制臺口令、遠程控制口令和特權(quán)口令。結(jié)合現(xiàn)有安全防護策略的要求，設計基于終端層、網(wǎng)絡層、應用層架構(gòu)的廣電安全防控體系。在此基礎上，有針對性地研究信息安全系統(tǒng)的多類型外設接入管理技術，設計“人、物”可信身份認證接入管理。此外，網(wǎng)絡設備防護采用加密技術可以保證端到端數(shù)據(jù)傳遞的可靠性，從而保證數(shù)據(jù)安全，減少被盜用或篡改的風險。網(wǎng)絡中各層協(xié)議借助加密技術保證了安全，如數(shù)據(jù)傳遞借助IPSec，SSL，SSH等技術。針對廣電網(wǎng)絡的出口，除了借助防火墻進行安全控制外，系統(tǒng)安全防護要在技術上系統(tǒng)性地考慮上下級各種數(shù)據(jù)業(yè)務的需求、網(wǎng)絡的縱向互聯(lián)、橫向互聯(lián)和數(shù)據(jù)通信的安全性等問題。通過劃分安全區(qū)、專用網(wǎng)絡、專用隔離和加密認證等從多個層次構(gòu)筑多道抵御網(wǎng)絡黑客和惡意代碼攻擊的防線，對廣電網(wǎng)絡進行實時監(jiān)控，對關鍵業(yè)務系統(tǒng)實施重點保護。

5 結(jié)語

廣電網(wǎng)絡運營針對信息安全要有配套的解決方案。安全系統(tǒng)的應用要針對安全隱患，明確應用思路與框架，借助針對性措施保證廣電網(wǎng)絡的安全運行，防止安全風險事件的發(fā)生。