融媒體背景下廣電網絡安全的智能化應用

魯德娟

(中國國際電視總公司 北京 100036)

近年來，大數據、物聯網、云計算、人工智能等技術在廣電行業得到廣泛應用，融媒體、全媒體逐步實現縱深發展，傳統廣電技術系統從專用、獨立網絡逐步向采、編、播等全領域、全業務、全流程的一體化、網絡化發展，播出網絡環境日益復雜，隨之而來的網絡安全問題也日益凸顯[1]。

面對組織化、規模化、平臺化、復雜化的網絡攻擊趨勢，單純依靠防火墻等安全產品及查殺病毒、入侵監測、封堵漏洞等安全措施，已無法滿足當前廣電技術系統安全、穩定運行的發展需求，亟須前移播控系統安全防守關口，提前態勢預警、提前規避風險[2]，及時發現異常，快速響應處理，將被動防御轉向事前評估預測，從靜態特征分析轉向智能數據分析，從手工封堵轉向自動化處理，從單點防御轉向云網邊端的全方位防護，降低網絡安全風險，提高網絡安全防護能力。

1 廣電網絡安全現狀

1.1 廣電網絡安全管理現狀

近年來，國家高度重視網絡安全工作，相繼出臺了《國家網絡空間安全戰略》《網絡空間國際合作戰略》《中華人民共和國網絡安全法》《信息安全技術網絡安全等級保護條例2.0》等法律法規，有力地促進了網絡安全行業的全面發展。廣電行業緊跟國家政策要求，結合行業特性，2020 年出臺《廣播電視網絡安全等級保護定級指南》，聯合國家網信辦等12部門發布《網絡安全審查辦法》，2021年出臺了《廣播電視網絡安全等級保護基本要求》，建立了國內廣播電視和網絡視聽推薦性行業標準，強化廣播電視關鍵基礎設施安全保護，加強行業網絡安全設施建設。廣電網絡安全有關管理要求如圖1所示。

圖1 廣電網絡安全有關管理要求

1.2 廣電技術系統網絡安全現狀

現行廣電技術系統大多建設時間較早，其網絡安全體系均采用靜態、防御性的防護措施，通過加解密、防火墻、訪問控制等技術手段加固技術系統、保護信息數據[3]。按照廣電總局網絡安全有關規定和要求，廣播電視運行保障單位技術系統大都完成了等級保護定級和安全防護體系建設工作，其中一些采取了以分區分域、邊界防護為原則的安全防護架構，在一定程度上滿足了網絡安全要求。

近年來，媒體融合已經成為傳統媒體轉型的必由之路，新媒體網絡的接入、技術系統的升級改造、移動辦公模式的變化，使網絡邊界逐漸模糊，業務訪問需求復雜性變高，內部資源暴露面擴大，不可控安全因素增加，技術系統網絡安全風險不斷加大。

1.3 傳統網絡安全防護系統存在的問題

在高新技術快速迭代的今天，部分廣電網絡安全防護系統架構已經與當前技術體制脫節，其采用的傳統網絡安全防護系統相較于快速發展的網絡安全攻防技術，已經無法滿足網絡安全等級保護2.0標準的相關要求，部分設備無法部署現有通用安全防護措施，部分平臺尚未實現安全數據的集中管理，網絡安全設備協同防護能力不足，網絡安全體系化防護水平不高，同時系統缺乏事前預警和態勢感知能力，主要依靠人力發現并處置安全設備產生的大量告警，占用資源大，對安全運維人員技術能力和職業素養要求較高，在當前錯綜復雜網絡環境下對大規模、分布式的網絡攻擊，難以做到有效處置。傳統網絡安全防護系統存在的問題具體如圖2所示。

圖2 傳統網絡安全防護系統存在的問題

2 智能化應用的優勢

人工智能技術的出現，給網絡安全攻防技術和體系建設提供了一個全新的思路，利用大數據、人工智能等技術，構建“云—網—端”協同立體的網絡安全防護體系，能夠實現多維數據采集處理、大數據高速檢索、攻擊威脅探測、智能態勢感知和自動化響應等功能，具有人力成本低、預警能力強、風險監測準、應急處置快等特點[4]。

2.1 減少人工成本投入

傳統廣電技術系統的網絡安全監測、處置主要依靠網絡安全維護人員人工審核鑒別網絡安全風險和攻擊行為，并做出相應的處置操作，這將耗費大量的人力。采用人工智能技術自動采集廣電技術系統設備運行狀態和預警信息，將常見攻擊行為、攻擊階段、攻擊手段、已經攻陷的資產及全網的實時攻擊態勢自動分析判斷并直觀呈現，利用預設的處置流程和操作方案，提供一鍵策略制定、一鍵報告生成等自動化功能，大幅度降低人力成本投入，提高響應效率。

2.2 提供風險態勢預警

利用人工智能技術，在網絡安全防護體系中對技術系統各個環節的網絡流量、系統運行參數、終端報警數據進行分析、整合，通過安全模型分析、環境感知、算法模型、機器學習、AI 學習等技術對全部數據進行分析決策，將關鍵的風險信息篩選并呈現出來，及時發現網絡系統風險隱患及安全威脅，并對其影響范圍及嚴重程度進行量化評估，輔助運維人員及時發現，提前消除隱患。

2.3 提升風險監測準確度

人工智能在網絡安全防護體系中，基于多規則、多模型、多源異構的數據來源，快速篩選剔除了無效告警和誤報預警信息，大幅度降低了告警信息數量規模，經過篩選后，重點關注、受攻擊、真實故障告警等信息更加集中和醒目，有效提升了風險監測的準確度，在可視化呈現的基礎上，進一步分析攻擊、故障的詳細情況，為運維人員提供判斷和處置的依據。

2.4 提高應急處置效率

采用人工智能技術構建的網絡安全防護體系，利用自主學習能力，不斷獲取、吸收、迭代最新的安全防護策略和風險信息，并根據當前系統配置和設備狀態，調整安全防護策略，更加有效地應對新型風險和挑戰。在此基礎上，利用人工智能技術開發參數配置、自動巡檢、故障排查等模塊，實現網絡安全防護體系自動化、智能化運行，加快故障和攻擊處置效率，提升安全防護性能。

3 人工智能在廣電網絡安全中的應用

3.1 人工智能在防火墻中的應用

目前，防火墻仍是網絡安全防御系統中的主要設備。傳統防火墻主要依靠預先設置好的安全策略、規則對數據、流量進行檢測防護，傳輸正常數據包、阻斷異常數據包，其主動防御、動態檢測、應用防護等能力均存在不足，如果安全策略、規則更新不及時，將無法判斷一些新型的攻擊形態[5]。智能防火墻是人工智能與防火墻技術的有機結合，相較于傳統防火墻技術，智能防火墻具有機器學習、自動分析和智能決策等功能，管理界面可視，應急操作簡單，能根據技術發展和網絡攻擊趨勢，智能調整訪問控制策略，大大降低了對管理人員技能水平、應急操作的依賴，減少了人為誤判造成的危害技術系統正常運行情況的發生，在減輕運維壓力的同時，極大地提升了威脅檢測的準確性和及時性。

3.2 人工智能在入侵檢測中的應用

入侵檢測技術是當前網絡安全管理工作中的重要組成部分。傳統的入侵檢測技術在安全性、時效性和體系結構等方面均存在短板，存在高誤報率、高漏報率等問題，導致阻斷入侵能力低[6]。基于以上情況，智能入侵檢測系統借助人工智能中的模糊信息識別、具有自我學習能力的專家系統、數據挖掘和人工神經網絡等技術，采用分布式、協作式體系結構，實現對網絡入侵動態檢測、自動預警和實時防御功能[7]，提高入侵辨別能力，提升入侵檢測效率，增強入侵防范水平，在保障信息系統安全運行的基礎上，最大程度地抵御外來入侵攻擊，保護信息安全。

3.3 人工智能在態勢感知中的應用

隨著廣電技術系統網絡結構更加復雜，信息流轉更加頻繁，傳統的態勢感知技術已經無法滿足應用需求，依托人工智能技術構建的新型態勢感知系統，能對防火墻、入侵監測、攻擊溯源、防御系統等安全防護設備的各種日志進行匯總、過濾、關聯分析、行為分析等，通過審計程序對網絡主機對話、網絡連接進行提取分析和深度挖掘，及時發現網絡系統中不穩定、不安全因素，利用自主學習能力，動態調整安全防護策略，實時加固安全防護體系，實現廣電技術系統的安全態勢可見、風險攻擊可知、應急處置高效。

3.4 人工智能在檢測處置中的應用

當前，新型網絡攻擊呈現出規模化、智能化的發展趨勢，對網絡攻擊行為檢測和處置帶來了較大困難。為此，新型網絡安全防護體系引入人工智能和數字模型算法，采用SOAR技術，驅動安全控制器聯動網絡安全設備等各個網元來智能感知、識別流量路徑，通過豐富的特征庫、全面的檢測策略、智能的機器學習、高效的沙箱動態分析，匹配云端的威脅情報，可以根據網絡攻擊特征自主開展特征分析、攻擊取證、跟蹤溯源等操作，并根據風險等級自動采取隔離、阻斷、禁止訪問、封禁端口等處置工作[8]，協助運維人員處置大量重復的安全事件，有效提升了檢測處置的精準度，提升安全運維效率。

4 智能安全防護管理平臺應用方案探討

針對廣電技術系統網絡安全現狀，根據人工智能、大數據在網絡安全防護領域的應用實例，廣電行業應不斷適應新形勢、新發展，在整合現有網絡安全防護資源基礎上，對安全環境、安全設備數據、能力進行采集、處理，對海量安全告警信息進行智能分析和研判，自動化處置安全事件，動態優化安全策略，逐步形成體系化的智能安全防護機制[9]，構建“威脅發現—智能研判—響應處置—動態優化”的智能安全防護管理平臺，實現網絡安全閉環管理，為廣電網絡安全保駕護航。

4.1 功能邏輯架構

結合《信息安全技術網絡安全等級保護條例2.0》要求和廣電網絡環境現狀，制定符合自身實際情況的智能安全防護管理平臺功能邏輯架構，具體如圖3 所示。其中，智能安全防護管理平臺的基礎安全環境為上層提供基礎安全能力，應包括安全區域邊界設備、安全計算環境設備、安全管理中心設備；安全數據中臺對運行數據、告警信息等網絡安全要素進行整理匯集，應包括數據采集、處理、管理、分析及存儲功能，為上層應用提供安全數據服務；安全能力中臺對整體安全能力進行梳理管理調度，應具有數據識別、防護、檢測和資源統一編排、調度、策略管理能力，為上層應用提供標準安全能力；安全應用提供自適應智能化的安全檢測規則、靈活的分析建模方式，具有資產管理、威脅溯源、態勢感知等功能，實現安全事件自動化流程化檢測、分析、響應，做到安全閉環。

圖3 總體功能邏輯架構圖

4.2 數據流轉設計

根據全網安全防護情況，數據流轉可分為行為探測階段、大數據前置分析階段、大數據后置分析階段這3 個階段。其中，行為探測階段對流量和日志數據進行采集，并利用IDS、流量探針、沙箱、SOC 等進行初步威脅行為探測，基于單點數據發現安全威脅。大數據前置分析階段將行為探測階段數據進一步發送至平臺進行實時分析和離線分析，實時分析利用細粒度模型算子進行關聯分析、統計分析、AI分析等，輸出攻擊鏈階段、告警標簽、處置建議等安全威脅詳細信息，離線分析結合歷史數據進行學習分析，發現偏離歷史行為的異常行為、違規操作、賬戶失陷等安全風險。大數據后置分析階段將前置分析結果存儲至ES中，并為分析應用提供支撐。數據分析流具體如圖4所示。

圖4 數據分析流圖

4.3 平臺組網設計

根據《信息安全技術網絡安全等級保護條例2.0》要求，基礎安全環境應包括安全區域邊界、安全計算環境和安全管理中心建設等內容。在建設智能安全防護管理平臺時，可復用現有安全資源，通過安全探針統一管理全網數據，進行統一存儲、分析，同時對外提供數據訪問及分析接口，整體組網設計架構如圖5所示。

圖5 智能安全防護管理平臺組網結構圖

5 結語

隨著人工智能、大數據、零信任等新型技術在網絡安全領域的快速發展及其在廣電技術系統的應用，基于邊界構建的傳統網絡安全防護正在被智能型、主動安全的網絡安全架構所取代，智能型的廣電網絡安全防護管理平臺以其完善的功能性能、創新的運行模式，不斷強化廣電網絡安全防護能力，進一步筑牢廣電技術系統安全防線，為智慧廣電和媒體融合縱深發展營造良好的網絡環境。