三網融合背景下廣電網絡安全防護探析

黃書鴻

(國家廣播電視總局761 臺,福建 三明 366000)

0 引言

三網融合是指電信網、廣播電視網、互聯網在向寬帶通信網、數字電視網、下一代互聯網演進過程中,三大網絡通過技術改造,其技術功能趨于一致,業務范圍趨于相同,網絡互聯互通、資源共享,能為用戶提供語音、數據和廣播電視等多種服務[1]。

1 三網融合下廣電網絡安全面臨威脅

1.1 三網融合下廣電網絡安全威脅種類

三網融合的實現在很大程度上實現了廣電網絡資源配置的合理化,擴大了廣電網絡的應用范圍,卻也讓廣電網絡面臨嚴重的安全威脅。與有線媒體網絡不同,在無線網絡中,信號必須通過沒有真正連接的開放介質傳輸,因此數據容易暴露在竊聽之下,并在沒有通知的情況下被篡改。此外,該通道可能會被對手干擾和使用[2]。基于風險來源和表現形式,三網融合下廣電網絡的安全威脅主要有以下兩種:

第一種是來自黑客的主動非法惡意攻擊。網絡安全是現代世界中一個日益嚴重的問題。網絡安全中最薄弱的環節之一是密碼的使用和濫用。隨著知識和技術的傳播越來越廣泛,破解密碼的方法變得越來越簡單并容易獲得。

第二種是來自網絡病毒的非主動惡意攻擊。隨著網絡耦合程度的加深(從松散到緊密),自省代碼的風險變得更大。在松散耦合系統中,病毒只能通過電子郵件技術傳播,而電子郵件技術通常需要人類用戶的干預才能開始執行所收到的病毒。但三網融合讓耦合系統變得更加緊密,病毒可以在不規范的網絡透明文件系統和遠程過程調用設施中,利用這些系統將代碼復制到遠程控制下的主機。這會導致用戶無法正常觀看電視、使用網絡,給廣電公司造成重大經濟損失。

1.2 三網融合下廣電網絡安全威脅特點

三網融合的鏈路層不同于傳統廣電網絡的鏈路層,三網融合的特定屬性,例如,協作頻譜感知、現有和自共存機制,提出了新的安全隱患。因此,三網融合的獨特特性使廣電網絡安全更具挑戰性,且與其他媒體安全問題截然不同。這是因為三網融合后廣電網絡消除了固有的資源限制,增加了次用戶訪問機會,卻又不需要次級用戶提供信任保證。同時,自私和惡意的用戶可能會發送虛假數據或偽造感知數據。這使得廣電網絡結構漏洞增加,表現為受攻擊的方式多樣化,增加了網絡安全管理的難度。

(2)三網融合對超高數據速率、低時延、綜合服務質量和擴展覆蓋的支持,為廣電網絡的發展提供了天然的好處,可以通過廣泛部署的蜂窩網絡基礎設施進行管理和控制。然而,這種好處還需要面對來自網絡安全方面的挑戰,因為計算機病毒有可能通過瞄準和刪除重要的操作程序對廣電網絡造成嚴重破壞。一旦發生網絡安全事故,會造成用戶無法使用廣電公司提供的網絡服務,這種損失是無法估量的。因此,三網融合下廣電網絡安全威脅的另一特點是損失較大。相較于家庭網絡安全威脅,廣電網絡發生安全事故所造成的破壞更大。

2 三網融合下廣電網絡安全防護措施

2.1 三網融合下廣電網絡外部安全防護措施

在三網融合背景下,廣電網絡需要采取某些安全措施來保證外部的安全性、隱私性、數據完整性和機密性,以確保在該背景下,第三方合作機構直連進入廣電網絡時保持特定的安全操作,保證廣電網絡信息的安全性和隱私性。為此,一方面,要求數據在傳輸、收集、處理和保持安全存儲時免受未經授權的用戶侵害;另一方面,要求有權控制信息的收集和使用,不能在多個機構之間共享。更具體地說,三網融合下廣電網絡外部安全防護中的關鍵任務數據極其敏感,如果泄露給未經授權的人員,可能會帶來多種后果[3]。因此,應給予更多關注并采取措施保護來自未經授權的訪問、使用和更改的敏感和關鍵信息,包括數據只能由授權人員和通過個人身份解密手段檢索的最終點。

為解決三網融合下廣電網絡外部安全防護問題,筆者建議在外部用戶訪問廣電網絡時,在安全的VPN節點與其協調器之間的安全通信通道上提供共享密鑰,通過加密為這些敏感數據提供更好的機密性。在發生可用性損失的情況下,必須將操作切換到另一個VPN。所有數據的網絡和協調器節點通過共享一個未公開的密鑰來計算消息驗證碼(MAC),通過應用身份驗證協議來訪問和更改信息,可以有效地確保數據的完整性和機密性不會被對手記錄和重放舊數據時與之混淆,確保舊數據不會被回收。這使得三網融合背景下,廣電網絡的安全性更高。

2.2 三網融合下廣電網絡內部安全防護措施

2.2.1 內部系統安全防護措施

三網融合背景下,廣電網絡的內部系統防護必須可靠,在用于管理或通信需要時必須采取詳細的預防措施,以保護廣電數據,包括啟用大量網絡輔助工具,例如,防火墻、虛擬專用網絡(VPN)和各種防病毒軟件包來處理此類困境。表1 顯示了三網融合背景下廣電網絡內部系統的主要安全威脅、安全要求和可能的安全解決方案。

表1 廣電網絡內部系統安全及解決方案

2.2.2 公共區域安全防護措施

為保證內部公共區域安全,系統采取了多重措施,說明如下:

(1)三網融合背景下,廣電網絡內部公共區域與安全相關的自主設備數量不斷增加,為此需要有效的機制來抵制低成本的旁道分析 (SCA)攻擊。針對側信道分析攻擊的最流行的對策之一是UMA 硬件設備。將 UMA 算法有效地移植到硬件,從而將漸近隨機性成本降低的同時,能防止用戶通過其他通道進入廣電網絡[3]。

(2)三網融合背景下,廣電網絡內部公共區域在運維區域中容易出現安全故障。因此,需要將在應用層面上可以并行計算的更小的獨立硬件模塊中的延遲設置為最多為五個周期。為此,所設置的防火墻要具備一定的IPS 功能以提供安全性。筆者建議使用Mininet來創建網絡拓撲,使用Opendaylight 控制器來控制拓撲,以創建一個集中式防火墻和網絡入侵檢測系統,用于提供免受各種類型攻擊的安全性服務,為虛擬路由功能提供有效的分配指南。

(3)聯網計算機中完全更新的防病毒軟件的存在有助于檢測和清除隱形病毒。在到期日期之前更新現有的防病毒軟件可以降低感染率和可能的再感染率,減小參數會導致感染性更強的帶有隱形病毒的計算機留在解毒隔間中。這為安裝高級防病毒軟件以及更新現有防病毒軟件包提供了機會。

3 結語

綜上所述,廣域網和局域網的迅速擴張導致了全球互聯網絡的建立,這個網絡連接了數百萬個系統。因此,要實現三網融合背景下廣電網絡的安全防護,必須做好外部和內部兩方面的防護。只有以全局方式考慮廣電網絡安全防護,才能更好地解決網絡安全問題,保護廣電網絡安全,從而促進廣電事業的新發展。