新技術下影視數據中心網絡安全風險研究

中國石油工程建設有限公司 修 宇 陳 宇

近年來，云計算、大數據、5G、人工智能、數據中臺等新技術的發展，推動了傳統媒體和新興媒體融合發展。媒體融合創新了電視制播技術，給內容制作、節目播出、傳輸管理等帶來很大變化；同時，這種變化給影視作品等媒體安全播出帶來巨大的安全風險，一些熱點問題迅速發酵，嚴重的還演變成社會群體性事件，威脅著我國網絡信息安全。

1 媒體融合帶來新隱患和事故

1.1 信息造假造成安全隱患

目前我國網民規模9億多，網民既是信息的接收者也是信息的傳播者，輿論管控難度增大。由于利益驅使，一些虛假信息、謠言等造假問題日益突出。比如：音視頻網站等內容播出平臺中，為了提高評分雇傭粉絲刷分提高自己評分、播放量與點擊量等。抖音等短視頻虛假宣傳，誘導詐騙用戶進入消費陷阱損失慘重事件時有發生。再例如，不法分子通過對知名網站的偽造，用戶很難分辨而被蒙蔽，在登錄這些網站的時候，就會被獲取到他們相關的信息和數據，從而遭受相應的損失。

1.2 人為操作風險和事故

網絡管理員、系統管理員、數據庫管理員等關鍵崗位信息安全意識淡漠會造成網絡安全漏洞。例如，某電視臺網絡管理員利用一臺Web應用服務器，為了將采訪素材及時回傳到臺內，臨時在防火墻上設置了端口映射，幾個月后，這臺服務器因沒有及時安裝補丁文件而被惡意注入幾十個木馬程序。

據統計，管理員操作失誤或惡意破壞，如硬盤格式化、鏡像還原分區錯誤等，導致業務系統無法正常登錄，部分功能異常不穩定，登錄和訪問失敗率在25%左右。

1.3 軟硬件漏洞及事故

影視業在系統軟硬件方面相對落后，常發生網絡漏洞事故。媒體融合讓熱點問題迅速發酵，逐漸演變為社會性事件，給國家網絡安全帶來嚴重威脅。

軟件規劃時未充分考慮安全因素，上線前未進行安全測試和風險評估，使軟件運行存在嚴重安全隱患。例如，網站系統未授權訪問導致發布任意信息；高清機頂盒存在拒絕服務漏洞，黑客利用此漏洞造成大批用戶無法正常看電視。

1.4 網絡安全隱患

西方國家通過網絡攻擊我國文化，造成我國文化陣地受到嚴重破壞。一些國家還想要改變我國主流意識形態，滋生出很多網絡安全問題。發布內容正確性關系輿論導向，因此利用黑客技術，特別是APT攻擊公眾服務網站、IPTV、APP等業務，或攻擊新媒體內容生產、發布系統，手段多樣、隱蔽性高，傳統的安全措施很難發現并阻止。

目前大量數據在數據中心集中存儲，被篡改、泄密或數據可用性風險積聚。用戶身份信息、權限信息、調度信息、播出節目等重要業務數據在網絡傳輸過程中，多數情況缺乏完整性校驗和加密措施，導致音視頻媒體遭到泄露或插入非法廣告或內容不健康等，威脅巨大。

1.5 云計算等新技術隱患

云計算、大數據、人工智能和數據中臺等新技術、新平臺使數據中心原有的IT運行體系發生改變，導致新的風險發生。例如，云平臺架構下安全域劃分與隔離更加困難，多租戶虛擬機和虛擬服務共用物理資源；傳統終端防病毒軟件升級更新帶來啟動風暴等問題，導致對系統資源的過度占用；混合云架構安全和運維邊界不再清晰等為安全管理和運維帶來新的挑戰。

2 層次分析法風險研究

層次分析法是把需要決策研究的事情看成由很多因素組成的一個大系統，這些因素在一定程度上相互關聯和制約，因素根據彼此之間的隸屬關系可以組合成若干個層次，再利用數學方法對各層進行排序，并通過對排序結果的分析來輔助決策。

采用層次分析法進行影視業數據中心運行風險分析，步驟如下：

首先，影視業數據中心運行風險從內外部環境、網絡安全保障、網絡安全態勢三個方面來分析。其中，環境和態勢方面風險涉及數據中心全部資產和企業信譽等無形資產。安全保障分別從管理、技術、建設、運維四個層次來分析。我們針對每一個層面進行風險評價。

其次，每一個層次中利用層次分析法進行數據中心運行風險分析。我們利用德爾菲法、頭腦風暴法等對資產價值、威脅發生頻率、脆弱性嚴重程度分別賦值。

然后，風險值計算。根據下面公式計算風險值，制定公司風險值嚴重程度標準，識別高中低風險。

風險值=R(A，T，V)=R(L(T，V)，F(Ia，Va))。

其中，R表示安全風險計算函數；A表示資產；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產價值；Va表示脆弱性嚴重程度；L表示威脅利用資產的脆弱性導致安全事件的可能性；F表示安全事件發生后造成的損失。

接著，對資產在每層中存在的各種風險排序，計算出影響組織資產安全的不可接受風險。例如，安全保障的技術層又分為物理層、主機層、網絡層、數據層和應用層。我們要計算一臺重要服務器的技術層風險。（1）識別重要服務器主機層風險。資產在主機操作系統層面存在緩沖區溢出漏洞被利用造成宕機風險、用戶口令被破解非法登錄風險、管理員權限過大刪除、篡改系統數據等，那么根據實際計算出每類風險值大小排序。（2）識別重要服務器在物理層、網絡層、數據層和應用層風險，發現保護措施到位，未發現不可接受風險。

最后，各層之間風險和保護措施之間的關系進行關聯分析，綜合評價資產面臨網絡安全風險。例如還是那臺重要服務器，網絡層的保護措施為：網絡邊界已經部署防火墻，服務器網絡區域部署了普通和高級可持續入侵檢測系統，管理員只能通過堡壘機在控制權限和操作日志記錄審計基礎上訪問服務器；物理層的保護措施是機房安裝門禁和出入登記制度。那么，綜合主機層、網絡層、物理層、應用層、數據層風險和保護措施，這臺重要服務器技術層風險級別為中等。

3 數據中心運行風險評價

根據影視行業關鍵業務和相關信息系統的特點和層次分析法風險分析結果，建立影視業數據中心運行風險評價模型。評價模型從環境風險、安全保障、安全態勢三個方面進行辨識、分析、評價，每方面又從不同層面、維度和要素進行立體化全方位考量，具體如圖1所示。

圖1 數據中心運行風險評價模型

第一層次風險評價：環境風險。

影視業自身及其信息化情況構成網絡安全環境，通過對各環境因素度量反映影視業網絡安全風險環境。

（1）網絡媒體所有權主要指在媒體融合背景下網絡意識形態安全，即是否能夠把握網絡輿論主導權，大力宣傳黨中央重大戰略部署和主流思想，弘揚中國優秀傳統文化。

（2）網絡媒體環境清潔度考慮網絡媒體結構復雜多樣背景下，數據中心對數字內容的版權保護情況，以及對網絡媒體中垃圾信息有效處理能力。

（3）有效信息高效利用是指面對海量文本、圖像、音視頻等信息，是否從內容敏感度、內容防篡改、內容影響和傾向等多維度建立信息安全保護機制，保障用戶高效利用。

（4）影視信息化風險主要從信息化重視程度、信息化投入總額占固定資產投資比重、信息安全投資占信息化投資比重等方面考量風險。

（5）信息化應用狀況主要指信息化對影視業務支撐情況，主要包括決策信息化水平、辦公自動化系統應用程度、經營管理系統應用程度、網絡營銷系統應用程度、門戶網站建設水平等。

（6）人員及技術成熟度主要指關鍵崗位人員忠誠度水平、外聘專家可信度水平、云計算人工智能等網絡安全新技術應用水平等。第二層次風險評價：安全保障。

（1）構建網絡安全保障體系，嚴格管控風險才能保障影視業數據中心安全運行。

（2）管理保障。管理保障主要從網絡安全戰略、政策法規制度、安全組織、經費保障等方面研究。

（3）技術保障主要從信息系統安全技術能力、安全基礎設施支撐能力、信息系統安全保護能力、應用安全保障等方面研究。

（4）建設保障主要從信息化建設過程中是否建立完善網絡安全管理制度、是否同步建設網絡安全技術措施、是否同步完成網絡安全工程、信息化產品和服務是否國產化等方面研究是否存在網絡安全隱患。

（5）運維保障主要從運行管理和控制、變更管理和控制、系統安全狀態監控、事件處置和應急響應、安全檢查和持續改進、系統運行安全效能等方面研究。

第三層次風險評價：安全態勢。

國內外網絡安全和公司輿情安全態勢掌控能力直接影響公司信譽、業務、受眾和粉絲數量等。

（1）網絡安全態勢主要指是否具備技術手段，建立體制機制整合分析國內外網絡安全信息，判斷當前國際國內安全狀況并預測未來的發展趨勢的能力。

（2）輿情安全態勢主要指網絡恐怖活動防控、內部不良信息發布防控、網絡輿情防控、群體事件防控等能力。

總結：媒體融合需要網絡安全保駕護航，對影視業數據中心存在風險進行研究，建立數據中心運行風險態勢指標體系，指引影視業網絡安全保障媒體業務高效穩定發展，實現萬物互聯時代的中國夢。