邱福如
(广东省广播电视网络股份有限公司中山分公司,广东 中山 528400)
随着三网融合的推进,广电网络实现了业务的升级换代,但是也带来了多方面的网络安全问题。广电运营商在对业务系统进行建设时要意识到安全防护系统的重要性,在网络各层次设置网络安全防护产品,以保证系统的正常运行。
随着三网融合,当前广电网络的安全环境逐渐复杂化,广电网络信息安全环境关系如图1所示。长期以来,广电网络发展中的安全建设相对滞后,安全网络建设不规范、不全面,安全防范技术存在缺陷,系统存在安全隐患,因此,需要实现网络信息安全系统的有效应用。
图1 广电网络信息安全环境关系
广电网络存在的安全隐患来自多个方面,包括外部网络、办公网络以及用户。如果安全区域边界或安全区域缺少有效的防护,广播业务前端网络会受到入侵,服务器等设备会受到攻击,严重时甚至会导致系统瘫痪,数据、文字、图片、视频等资料会被非法篡改,如采用非法未透明流替换前端直播,会播放非法信息[1]。非法入侵还可能源于机顶盒等终端,例如机顶盒被非法刷机或者下载非法应用。
结合广电网络的特点建立配套的安全系统,安全系统要融入广电业务运营的各个环节,包括组织管理、技术、制度等,与运营结合为整体,最终成为构成运营的基本内容。广电网络信息安全系统的建设要从整体入手,实现全方位的保障,要作用于每个层次与每个环节,从而实现网络安全风险的控制[2]。构建网络安全体系要实现管理和技术的共同作用,除了要保证设备、系统、产品的安全可靠,还要加强风险监控,如风险监测、风险评估、风险响应等,对风险采取系统恢复等措施。
广电网络信息安全体系的构建要结合安全保障模型,要考虑到网络直播、互动业务、数据业务的特点,结合业务运行建立配套的安全环境。(1)实现物理安全,要包括设备的方方面面。(2)针对公钥设施要实施统一授权、统一认证和统一权限。(3)要对数据库进行管理,保证数据的安全性。(4)要有运维支撑系统,从技术保障的角度出发,结合广电网络技术标准,从多个角度采取技术措施保障网络安全[3]。
制定安全策略要结合广电系统的实际。安全策略体现出安全管理的思想,是广电网实施安全防护的依据。策略要明确被保护的主体,明确具体职责,提供相应问题的解决方案。策略要体现出普遍性,要为强化系统的安全可靠性创造基础条件。安全策略还要明确哪些是需要保护的、防范的,这些都是保证风险得以控制的关键。
安全防护要作用于路由器、交换机、工作站等设备,以免通信网络的硬件受到自然灾害、人为因素的影响。另外,还要预防搭线窃听、防止非法攻击、用户越权操作等。安全防护要考虑到数据的妥善保管,防止非法偷窃和破坏活动,防止发生电磁泄漏。当前主要的安全防护措施是对传导发射和辐射的防护。
安全检测要实时监测网络中与安全有关的事件,如资料窃取、非法入侵、泄密行为、违规使用等。系统需要对网络使用情况进行真实记录,防止违规行为。安全检测要具有防销毁、篡改的特性,要跟踪记录相关的安全信息, 分析和报告跟踪中得来的信息。安全检测可以用于对内部操作进行审核,阻止越权操作。安全扫描技术是基于远程检测主机安全脆弱点的技术。通过安全扫描,能发现其所维护的服务器、软件存在的安全漏洞,此外,网络安全扫描技术还可以检验系统是否有可能被攻击。
数据安全是动态的,如何保证动态网络系统的安全是防护方案急需解决的问题,安全服务是保障系统安全的重要环节。当前广电通信网络对安全服务提出了更高的标准,因此需要加强网络的紧急响应。安全防护具有复杂性,对于广电系统网络的安全问题需要进行快速响应。另外,安全响应还要考虑到数据的备份,要确保在数据遭到破坏后仍可以快速响应并启动备份。
基于商业用途的网络系统存在较多的安全漏洞。广电网的安全防护要依据口令对用户的身份进行认证和识别。广电网的信息储存于系统文件与数据库中,但是数据存储与运输都采用明文,安全防护等级受到限制,信息处理、传输、储存存在风险。广电网组网时,系统没有设计安全防范,安全防护设施不健全,易受到外部的攻击和入侵。针对不同级别的网络要进行可靠的物理隔离或设置边界隔离。要结合信息系统功能、业务类型、业务流程进行网络安全域结构层次的划分,以保证业务安全服务的科学合理。
播出系统要具有应急备份功能,关键操作可以实现“一键恢复”。网络系统的前端要备份播出系统以及倒换控制设备,如果终端显示画面发生非法篡改,前端可以主动将非法信息清除并调整到合法画面。如果网络的覆盖范围较大,系统前端要有异地备播管理系统。系统的实现采用清流备播的方式,还要采取安全防护措施,确保直播系统发生安全意外时系统可以不受影响,保证系统在任何条件下都可以稳定运行。前端播控系统与管理网、办公平台、外接互联网之间要进行物理隔离。播控平台各系统要定期进行倒换测试,检测应急处理的可靠性,保证主备路系统处于安全状态。节目码数据流要加密并使用数字签名保护,防止被非法篡改,实现对数据的保护,保证保密性和完整性。Loader系统在播出前应对系统固件进行检测,对于应用软件要实施数字签名保护,保证代码的完整性,防止代码被非法篡改。
广电网络中的设备要有安全识别功能,操作请求要通过安全审计,操作后要可追溯,进而保障系统的安全。设备访问要设置登录口令,登录口令可以分为控制台口令、远程控制口令和特权口令。结合现有安全防护策略的要求,设计基于终端层、网络层、应用层架构的广电安全防控体系。在此基础上,有针对性地研究信息安全系统的多类型外设接入管理技术,设计“人、物”可信身份认证接入管理。此外,网络设备防护采用加密技术可以保证端到端数据传递的可靠性,从而保证数据安全,减少被盗用或篡改的风险。网络中各层协议借助加密技术保证了安全,如数据传递借助IPSec,SSL,SSH等技术。针对广电网络的出口,除了借助防火墙进行安全控制外,系统安全防护要在技术上系统性地考虑上下级各种数据业务的需求、网络的纵向互联、横向互联和数据通信的安全性等问题。通过划分安全区、专用网络、专用隔离和加密认证等从多个层次构筑多道抵御网络黑客和恶意代码攻击的防线,对广电网络进行实时监控,对关键业务系统实施重点保护。
广电网络运营针对信息安全要有配套的解决方案。安全系统的应用要针对安全隐患,明确应用思路与框架,借助针对性措施保证广电网络的安全运行,防止安全风险事件的发生。