ITV业务网络安全的思考

◎中国电信股份有限公司衡阳分公司 李利军

湖南省衡南县教师进修学校 李丽荣

ITV业务网络安全的思考

◎中国电信股份有限公司衡阳分公司 李利军

湖南省衡南县教师进修学校 李丽荣

ITV作为各大运营商的营销品牌，集网络和电视媒体特点于一身，近几年的发展非常迅速，随着ITV网络的快速发展，ITV网络的安全形势愈来愈严重，也愈来愈重要，除了ITV业务自身运行的网络安全压力外，还经常出现ITV网络受到攻击或者病毒入侵等问题。因此，如何保障ITV业务网络安全，防范网络攻击对 ITV业务开展造成的影响，保障 ITV业务的可持续发展，成为电信运营商目前迫切需要解决的关键问题。首先介绍ITV业务网络承载现状，然后重点从网络结构、安全策略角度对如何提升ITV网络安全防护能力进行详细阐述。

ITV；网络安全；部署方案；安全策略

背景

随着ITV业务的高速发展，网络规模的不断扩大，对ITV网络安全的要求也就越来越高，若网络结构、网络规划不合理，网络策略部署不细化、不精确，应用系统的安全性考虑不充分等，网络就很容易受到攻击，造成网络不稳定、服务质量差，因此，考虑ITV网络的安全性，提升网络的稳定性就显得尤为重要。在三网融合迅速推进的今天，为了确保ITV业务顺利发展，不因ITV网络的安全性问题而受到影响，对于电信运营商来说，制订严格的ITV业务网络安全性部署方案，具有非常重要的意义。

ITV网络现状

ITV系统主要由内容运营系统、业务支撑系统、业务网络、承载网和家庭网络五部分组成，全网结构如图1所示。

目前，中电信各省分公司运营商基本都是以省为单位进行ITV业务网络的建设，建立以省为单位的内容运营、业务支撑系统，包括用户认证、业务及内容管理、内容库等功能；在CDN网络建设方面，通过省分平台建立统一的省中心节点，各个地市再建立各自的区域中心，最后在靠近用户端建立边缘POP节点，其中，区域中心与POP点采用分布式部署，包含流媒体分发及服务等功能。而承载网络、家庭网络主要完成从用户端到区域中心的直播节目及到就近POP节点的点播业务的承载。

ITV网络安全部署方案

目前，ITV业务的网络架构，从网络安全角度出发，充分考虑了如何提升ITV网络运行质量，保障ITV业务的顺利发展等因素。下面从网络结构的安全性、网络层面的安全性规划、应用系统的安全性及日常的安全管理等几个方面分析ITV网络的安全问题。

图1 ITV网络架构图

1.网络结构的安全性

1）为了保障内容运营及业务支撑系统的网络结构性安全，采用专网进行整体性部署，与其他网络的对接使用专用的网络安全防护设备进行保障，以防范网络攻击。

2）对于CDN网络省中心与地市区域中心的跨城域网对接，建议采用专线互联或者VPN方式承载，尽量避免在开放性的骨干网络进行直接承载。

3）对于城域网内的承载，ITV业务采用PSPV或者PSPUPV的接入方式，实现了ITV业务与其他业务的隔离。

4）家庭网络要求配置智能ITV终端，具备访问控制功能、身份认证功能和入侵防护功能等安全特性。

2.各层网络的安全性规划

1）在IP地址规划方面，考虑到ITV平台需要引入第三方内容的需求，建议省中心统建节点采用公网IP地址，其他节点均可采用私网IP地址，为了便于网络扩展，平台使用的私网地址建议以B类地址为单位进行划分，且必须全省统一规划私网IP地址，按照ITV业务规模大小需求进行分配。

2）在部署可控组播时，每一级都要求严格匹配，过滤其他组播报文，只允许经过验证的组播源和组播用户加入组播网络。

3）充分做好策略部署，以保持ITV业务与其他业务的隔离。主要包括以下几方面的工作：

（1）对内容运营网络的对接网络需要设置策略路由，并尽量细化，只接收、发送允许的路由。同时设置五元组的白名单网络访问控制列表。

（2）在省中心ITV节点与承载网对接的路由接收策略方面，省中心节点只接收城域网内规划的ITV业务私网的IP地址段路由，不接收其他路由；承载网除正常接收的省中心公有地址路由外，在缺省情况下不接收ITV省中心节点广播的私网路由及其他的公网路由。

（3）在省中心ITV节点与承载网对接的路由发送策略方面，省中心节点只广播承载网广播省中心使用的公网IP段路由，不广播其他路由；承载网面向ITV省中心节点的路由广播策略，原则上仅广播本城域网掩码为16位的ITV私网路由，不广播其他路由。

（4）为了防止使用ITV私网地址作为源地址的网络攻击的发生，原则上在网络的业务接入控制层设备的全局模式下，或者在面向宽带接入网的接口上使用白名单的方式限制ITV私网源地址的访问方向，只允许ITV用户访问 ITV省中心平台、ITV区域节点、ITV边缘POP及终端设备管理平台的地址。在业务接入控制层设备功能和性能的情况不具备时，则在城域网出口路由器下联端口上采用ACL技术或者URPF技术（在设备具备相关能力的情况下），以限制ITV私网源地址的访问方向，只允许ITV用户访问 ITV省中心平台、ITV区域节点、ITV边缘POP及终端设备管理平台的地址。

（5）为防止公网用户对ITV网络内的地址段进行攻击或者入侵，对于ITV用户侧，原则上在网络的业务接入控制层设备的全局模式下或者在面对宽带接入网的接口上使用白名单的方式，以限制公网IP用户对ITV私网用户的访问方向，只允许ITV省中心平台、ITV区域节点、ITV边缘POP及终端设备管理平台的地址访问ITV的用户IP；对于IPV平台侧，则在平台设备的入口方向做白名单的方式,以限制公网IP用户对 ITV私网用户的访问方向，只允许ITV省中心平台、ITV区域节点、ITV边缘POP、终端设备管理平台的地址、ITV用户私网DE地址访问ITV平台。

（6）在做好QoS规划的同时，保证ITV业务所需的网络带宽。

3.应用系统的安全性

1）在认证安全方面，要保证只有合法的用户机顶盒才能够使用ITV网络提供的业务，同时保护用户上传的身份认证信息不会被非法窃取或重置，可以根据需要选用安全性高的挑战/响应认证方式。

2）根据运营平台各子系统的安全及业务访问功能需求进行安全域的划分与隔离，并对不同的安全域采取相应的安全措施和防护手段，将区域的功能权限、互访控制做到精确化，没有互通需求的时候一定要进行限制；分等级对运营平台进行安全的权限设置，要求远程维护人员以安全的方式接入运营平台。

3）对于信息传输的安全性，可以采用对称加密算法进行信息的加密传输，防止信息被非法窃听或者修改。

4）在内容的安全性管理方面，可以采用数字版权管理来防止数字节目内容被非法复制。同时，对关键业务数据部署安全存储备份系统。

4.日常安全性管理

1）定期对ITV运营平台各子系统进行漏洞、病毒扫描，并根据扫描结果有针对性地进行系统安全加固，以保障系统健康。

2）集中记录和分析系统运行日志，包括文件更新变动日志、操作员日志、机顶盒日志等，以便可以及时发现各种异常事件，进行相应的安全处理。

3）做好网络安全应急预案及处理管理流程，对突发的网络安全事件进行有效处理。

结束语

ITV业务及网络技术的发展不是一蹴而就的，ITV承载网技术也必然在ITV业务的推动下，结合IP网络技术的变革而不断发展。随着ITV业务的大规模发展，ITV用户还将进一步快速增长，对网络安全的要求也会越来越高，各个运营商也将不断地制定各种办法以满足其需求，避免因网络安全问题而影响业务发展，为ITV业务发展添砖加瓦。

[1]STEVENSW R.TCP/IP详解卷1：协议[M].范建华，胥光辉，张涛，等，译.北京：机械工业出版社，2000.

[2] 顾巧论.计算机网络安全[M].北京：清华大学出版社，2007.

[3] 许永明，谢质文，欧阳春.IPTV一技术与应用实践[M].北京：电子工业出版社，2006.

[4] 高庆雍,马芩.IPTV及关键技术[J].邮电设计技术，2007（8）：17-21.

[5]曼佐克.网络安全评估[M].张建标，译.北京：科学出版社.

[6] 解伟，郭晓强，全子一.IPTV中的视频压缩技术研究[J].电信科学，2006（3）：39-42.

[7] 王惠玲.现代电视网络技术-有线电视实用技术与新技术[M].北京：人民邮电出版社，2005.

[8] 卢官明，宗昉.IPTV技术及应用[M].北京:人民邮电出版社，2007.

[9] 中国电信集团公司.中国电信IP城域网优化改造指导意见[Z].2006.

[10] 中国电信集团公司.中国电信 IPTV平台技术体制V3[Z].2012.

[11] ISO/IEC 14496-3，Coding of moving pictures and audio[S].1998.

TN949

A

【本文献信息】李利军，李丽荣.ITV业务网络安全的思考[J].电视技术，2014，38（20）.