全媒體融合背景下的廣電信息安全防護(hù)策略探究

劉燕茹

摘 要：全媒體融合為廣電行業(yè)帶來了全新的發(fā)展機(jī)遇，同時(shí)也使得廣電信息安全面臨著更加多樣化的威脅與挑戰(zhàn)。對此，文章就全媒體融合背景下的廣電信息安全防護(hù)策略予以簡要探討，以供借鑒參考。

關(guān)鍵詞：全媒體融合;廣電信息安全;防護(hù)策略

中圖分類號：TN949.12文獻(xiàn)標(biāo)識碼：A文章編號：1674-1064（2021）07-048-02

DOI：10.12310/j.issn.1674-1064.2021.07.024

1 廣電信息安全環(huán)境分類

廣電信息安全事件通常是指，由于人為失誤或非法攻擊而導(dǎo)致對廣電播出信息系統(tǒng)、網(wǎng)站等的安全造成威脅，或?qū)ι鐣娫斐刹焕绊懙呢?fù)面事件。此類影響廣電信息的安全問題主要有木馬程序、網(wǎng)絡(luò)攻擊、信息泄露、信息破壞、廣電設(shè)備故障等。對于廣電信息安全環(huán)境，可根據(jù)不同環(huán)境分為安全通信環(huán)境、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心以及應(yīng)用系統(tǒng)環(huán)境等幾個(gè)方面，在廣電信息安全防護(hù)策略的制定時(shí)應(yīng)根據(jù)不同的安全環(huán)境進(jìn)行針對性部署。廣電信息安全環(huán)境分類如圖1所示。

2 廣電信息安全防護(hù)策略

2.1 網(wǎng)絡(luò)結(jié)構(gòu)安全防護(hù)

上下級網(wǎng)絡(luò)間應(yīng)采用可靠的物理或邊界隔離，并根據(jù)系統(tǒng)功能、業(yè)務(wù)流程、網(wǎng)絡(luò)結(jié)構(gòu)等進(jìn)行網(wǎng)絡(luò)安全區(qū)域的劃分。對于安全區(qū)域邊界可按照三個(gè)層次進(jìn)行劃分，即一級核心域、二級中心域及三級接入域。其中，廣電播出系統(tǒng)可劃為一級核心域，并按要求配置相應(yīng)的安全審計(jì)系統(tǒng)，上下級網(wǎng)絡(luò)間的安全區(qū)域邊界應(yīng)通過物理或邊界隔離，予以可靠的安全防護(hù)[1]。

安全域的劃分應(yīng)結(jié)合業(yè)務(wù)系統(tǒng)、防護(hù)等級、物理位置等因素，對不同的子網(wǎng)及網(wǎng)段進(jìn)行劃分，并以便于管控為原則對不同的子網(wǎng)及網(wǎng)段分配地址段。同時(shí)，應(yīng)保證廣播電視系統(tǒng)主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備一定的冗余空間，以滿足業(yè)務(wù)高峰期的業(yè)務(wù)處理需要。另外，與廣電網(wǎng)絡(luò)信息系統(tǒng)有關(guān)的網(wǎng)絡(luò)設(shè)備，如核心交換機(jī)、匯聚交換機(jī)等在配置時(shí)，應(yīng)設(shè)置一定的冗余空間，以免關(guān)鍵節(jié)點(diǎn)出現(xiàn)單點(diǎn)故障而影響整個(gè)系統(tǒng)的運(yùn)行。

2.2 播出系統(tǒng)安全防護(hù)

對于廣播電視較為重要的播出系統(tǒng)，應(yīng)具備相應(yīng)的應(yīng)急備份平臺，且對于關(guān)鍵性操作還應(yīng)具備“一鍵恢復(fù)”的功能，以免操作失誤或網(wǎng)絡(luò)攻擊而導(dǎo)致重要數(shù)據(jù)丟失。同時(shí)，廣播電視系統(tǒng)前端還應(yīng)結(jié)合實(shí)際需要，設(shè)置能夠?qū)Σコ鱿到y(tǒng)進(jìn)行備份及倒換的控制設(shè)備，便于一旦遭遇網(wǎng)絡(luò)攻擊，終端顯示畫面或信息被篡改時(shí)，廣電系統(tǒng)前端能夠?qū)⒈淮鄹牡漠嬅婊蛐畔⑦M(jìn)行清除，并替換成正常的畫面及信息。另外，針對覆蓋面較廣的有線數(shù)字電視，其前端應(yīng)采用具有清流備播的異地備播系統(tǒng)，并采用安全可靠的防護(hù)策略或隔離措施，確保當(dāng)主播出系統(tǒng)受到安全威脅時(shí)，仍能正常播出運(yùn)行，不受任何事故影響。

廣播電視前端播控系統(tǒng)網(wǎng)絡(luò)，應(yīng)與外網(wǎng)進(jìn)行嚴(yán)格的物理隔離，防止辦公網(wǎng)絡(luò)、互聯(lián)網(wǎng)等遭受攻擊而影響播控系統(tǒng)的安全性。

對于廣播電視播控平臺的各個(gè)系統(tǒng)，應(yīng)按要求做好倒換測試，并針對可能出現(xiàn)的各類安全風(fēng)險(xiǎn)事件，建立健全完善的風(fēng)險(xiǎn)處置體系，細(xì)化安全風(fēng)險(xiǎn)處理流程，確保在出現(xiàn)安全風(fēng)險(xiǎn)事件時(shí)，主路、備路均能實(shí)現(xiàn)安全穩(wěn)定運(yùn)行。

對于節(jié)目碼數(shù)據(jù)流的發(fā)送傳輸，通常宜選擇為ASI格式，或選擇單向的IP格式，以確保數(shù)據(jù)傳輸過程中的安全性與可靠性。

廣播電視的EPG系統(tǒng)、電視廣播系統(tǒng)、中間件系統(tǒng)等廣電信息業(yè)務(wù)在播出前，對于播出的視頻信息須按要求進(jìn)行嚴(yán)格的數(shù)字簽名與加密保護(hù)，確保整個(gè)播出過程中視頻信息的安全性與保密性，防止信息被非法篡改而造成安全播出事故。

對于Loader系統(tǒng)、應(yīng)用下載系統(tǒng)等廣播電視網(wǎng)絡(luò)的業(yè)務(wù)/應(yīng)用系統(tǒng)，應(yīng)在電視節(jié)目播出前，對相應(yīng)播出控制的系統(tǒng)固件、應(yīng)用軟件等做好數(shù)字簽名保護(hù)，確保軟件代碼的安全性、完整性，以免遭受非法攻擊而被篡改。

對于廣播電視所有業(yè)務(wù)系統(tǒng)或應(yīng)用系統(tǒng)含有BOSS系統(tǒng)或SAM系統(tǒng)的，應(yīng)按照廣電信息的安全防護(hù)要求，在信息播發(fā)前嚴(yán)格進(jìn)行信息安全過濾，以有效阻止不合格圖片、視頻、文字等非法信息流出播發(fā)。

2.3 終端設(shè)備安全防護(hù)

機(jī)頂盒、網(wǎng)關(guān)等作為廣播電視的終端播出設(shè)備，同樣應(yīng)按要求做好相應(yīng)的安全防護(hù)。對此，應(yīng)在信息播出段及雙向信息接收側(cè)做好安全處理模塊的部署，以構(gòu)建安全穩(wěn)定的廣電網(wǎng)絡(luò)區(qū)域邊界，進(jìn)而有效阻止非法透明碼流、文字、圖片、視頻等信息入侵，防止廣電系統(tǒng)軟件被非法篡改。

在廣電網(wǎng)絡(luò)與家庭網(wǎng)絡(luò)的連接側(cè)，應(yīng)按要求進(jìn)行防火墻部署，防止黑客或入侵者由家庭網(wǎng)絡(luò)端，對廣電系統(tǒng)機(jī)頂盒、網(wǎng)關(guān)等終端設(shè)備進(jìn)行非法攻擊。

對于數(shù)字有線電視智能化的機(jī)頂盒等終端設(shè)備，其極易成為安全防護(hù)的薄弱環(huán)節(jié)，因此，須按要求做好相應(yīng)的防護(hù)措施：主要包括軟件安全防護(hù)、信息接收域內(nèi)防護(hù)、播出信息防護(hù)、雙向信息防護(hù)、應(yīng)急安全防護(hù)等安全防護(hù)措施。

以數(shù)字電視安全芯片UTi為基礎(chǔ)的數(shù)字太和，能夠通過數(shù)字簽名和多層防護(hù)，確保廣電系統(tǒng)Bootloader、固件以及相應(yīng)應(yīng)用App的安全性，避免機(jī)頂盒等終端設(shè)備因人為刷機(jī)而出現(xiàn)安全漏洞，防止軟件被非法篡改，進(jìn)而構(gòu)建安全可靠的終端安全區(qū)域邊界[2]。

針對數(shù)字有線電視終端設(shè)備，應(yīng)構(gòu)建安全、有效的應(yīng)急預(yù)案，便于一旦發(fā)生較為重大的非法安全攻擊時(shí)，能夠及時(shí)啟動應(yīng)急預(yù)案，并迅速使廣電系統(tǒng)恢復(fù)正常。

2.4 網(wǎng)絡(luò)設(shè)備安全防護(hù)

對于廣電網(wǎng)絡(luò)一級安全區(qū)域邊界的網(wǎng)絡(luò)設(shè)備，應(yīng)結(jié)合廣電播出的安全要求安裝安全審計(jì)系統(tǒng)，確保操作人員在發(fā)出操作請求時(shí)必須經(jīng)過相應(yīng)的安全審計(jì)工作，便于一旦發(fā)生安全攻擊時(shí)能夠第一時(shí)間追溯源頭，進(jìn)而保證廣電系統(tǒng)的安全穩(wěn)定運(yùn)行。同時(shí)，通過用戶安全管理、設(shè)備安全防護(hù)、服務(wù)器安全措施等組合安全防護(hù)策略，確保所有操作的安全性與可控性。

在廣電網(wǎng)絡(luò)設(shè)備訪問及配置過程中，應(yīng)根據(jù)廣電網(wǎng)絡(luò)的安全要求設(shè)置相應(yīng)的安全登錄口令，主要包括控制臺口令、遠(yuǎn)程登錄口令、特權(quán)口令等幾個(gè)方面。在進(jìn)行口令密碼設(shè)置時(shí)，應(yīng)注意定期對口令密碼進(jìn)行更新更換，并采用高強(qiáng)度密碼加密的方式加強(qiáng)口令的加密等級。對于遠(yuǎn)程登錄口令可采用SHH安全的登錄方式，嚴(yán)格控制會話次數(shù)、會話超時(shí)的情況，并設(shè)置相應(yīng)的預(yù)警信息，一旦出現(xiàn)突發(fā)安全事件，應(yīng)能夠在第一時(shí)間發(fā)出預(yù)警。

加強(qiáng)遠(yuǎn)程登錄地址的訪問控制，通過訪問控制列表，限制遠(yuǎn)程登錄的源地址，并設(shè)置僅允許一個(gè)IP地址或局域網(wǎng)IP遠(yuǎn)程登錄訪問。對于非必要的服務(wù)器及端口應(yīng)進(jìn)行關(guān)閉，以最大程度利用訪問控制列表，實(shí)現(xiàn)對當(dāng)前現(xiàn)有端口的訪問控制。

對于廣電網(wǎng)絡(luò)設(shè)備的非必要服務(wù)項(xiàng)應(yīng)進(jìn)行關(guān)閉，以顯著提升廣電系統(tǒng)運(yùn)行的安全性與有效性。

通過SNMP V3及以上版本的廣電網(wǎng)絡(luò)安全管理協(xié)議，為廣電網(wǎng)絡(luò)設(shè)備的安全運(yùn)行提供安全風(fēng)險(xiǎn)監(jiān)控與管理接口。同時(shí)，對于一級安全區(qū)域邊界的網(wǎng)絡(luò)核心路由交換設(shè)備，應(yīng)采用雙機(jī)熱備系統(tǒng)架構(gòu)。

2.5 數(shù)據(jù)信息備份恢復(fù)

構(gòu)建相應(yīng)的災(zāi)難備份系統(tǒng)，健全數(shù)據(jù)與系統(tǒng)安全管理工作機(jī)制，制定相應(yīng)的災(zāi)難備份與恢復(fù)應(yīng)急預(yù)案，并進(jìn)行相應(yīng)的災(zāi)難備份與恢復(fù)演練，進(jìn)而有效保證廣電數(shù)據(jù)信息的安全與核心應(yīng)用的穩(wěn)定運(yùn)行。

建立健全數(shù)據(jù)備份機(jī)制，并按要求對重要數(shù)據(jù)設(shè)置備份專人，以強(qiáng)化對不同數(shù)據(jù)存儲與備份的管理。對于較為關(guān)鍵的、機(jī)密性較高的數(shù)據(jù)信息，可采用高強(qiáng)度的字符串加密算法予以加密保護(hù)，以防止數(shù)據(jù)被非法存取，避免機(jī)密數(shù)據(jù)信息發(fā)生泄漏。

對于重要的廣電數(shù)據(jù)信息，可采用多樣化的數(shù)據(jù)備份方法予以備份保護(hù)，如本地、異地或外部存儲設(shè)備備份等，確保數(shù)據(jù)在遭受非法篡改等破壞后能夠及時(shí)恢復(fù)。數(shù)據(jù)備份的文件應(yīng)存儲于非本機(jī)磁盤的其他存儲介質(zhì)，存儲介質(zhì)的存放地應(yīng)做好相應(yīng)的防火、防潮、防磁、防盜工作，并保證存儲的環(huán)境溫度、濕度達(dá)標(biāo)。

在廣電系統(tǒng)數(shù)據(jù)庫補(bǔ)丁安裝、版本更新、配置升級等發(fā)生變動前，應(yīng)先對廣電數(shù)據(jù)信息進(jìn)行備份。對于廣播電視體系的核心應(yīng)用系統(tǒng)，應(yīng)對重要數(shù)據(jù)進(jìn)行每日及每周備份，其他非核心應(yīng)用系統(tǒng)的數(shù)據(jù)信息可每周或每月定期進(jìn)行備份[3]。

備份數(shù)據(jù)恢復(fù)前，應(yīng)對備份數(shù)據(jù)的一致性進(jìn)行檢驗(yàn)，確保兩個(gè)備份數(shù)據(jù)的大小、數(shù)量及日期保持一致，在完成數(shù)據(jù)的一致性檢驗(yàn)且滿足要求后方可使用。同時(shí)，系統(tǒng)備份的數(shù)據(jù)還應(yīng)定期進(jìn)行恢復(fù)演練，以保證備份數(shù)據(jù)的可用性、完整性。在完成恢復(fù)演練后，應(yīng)在備份系統(tǒng)上進(jìn)行恢復(fù)演練測試，測試成功后即可在主用系統(tǒng)上進(jìn)行應(yīng)用。

3 結(jié)語

綜上所述，針對當(dāng)下廣電信息安全面臨的一系列問題與挑戰(zhàn)，應(yīng)在做好廣電信息安全環(huán)境分類的基礎(chǔ)上，切實(shí)采取相應(yīng)穩(wěn)妥的防護(hù)策略，促使廣電信息安全得到有效保障。

參考文獻(xiàn)

[1] 王曉艷，梁晉春，姚穎穎，等.媒體融合下電視臺網(wǎng)絡(luò)化制播系統(tǒng)安全建設(shè)[J].信息技術(shù)與標(biāo)準(zhǔn)化，2017（1）：28-31.

[2] 涂鈞.廣西廣電網(wǎng)絡(luò)信息安全防護(hù)體系研究思路[J].信息技術(shù)與標(biāo)準(zhǔn)化，2017（3）：37-41.

[3] 孫源.融媒體建設(shè)環(huán)境下的信息安全如何保障[J].西部廣播電視，2018（23）：38-39.