刘燕茹
摘 要:全媒体融合为广电行业带来了全新的发展机遇,同时也使得广电信息安全面临着更加多样化的威胁与挑战。对此,文章就全媒体融合背景下的广电信息安全防护策略予以简要探讨,以供借鉴参考。
关键词:全媒体融合;广电信息安全;防护策略
中图分类号:TN949.12文献标识码:A文章编号:1674-1064(2021)07-048-02
DOI:10.12310/j.issn.1674-1064.2021.07.024
1 广电信息安全环境分类
广电信息安全事件通常是指,由于人为失误或非法攻击而导致对广电播出信息系统、网站等的安全造成威胁,或对社会公众造成不利影响的负面事件。此类影响广电信息的安全问题主要有木马程序、网络攻击、信息泄露、信息破坏、广电设备故障等。对于广电信息安全环境,可根据不同环境分为安全通信环境、安全区域边界、安全计算环境、安全管理中心以及应用系统环境等几个方面,在广电信息安全防护策略的制定时应根据不同的安全环境进行针对性部署。广电信息安全环境分类如图1所示。
2 广电信息安全防护策略
2.1 网络结构安全防护
上下级网络间应采用可靠的物理或边界隔离,并根据系统功能、业务流程、网络结构等进行网络安全区域的划分。对于安全区域边界可按照三个层次进行划分,即一级核心域、二级中心域及三级接入域。其中,广电播出系统可划为一级核心域,并按要求配置相应的安全审计系统,上下级网络间的安全区域边界应通过物理或边界隔离,予以可靠的安全防护[1]。
安全域的划分应结合业务系统、防护等级、物理位置等因素,对不同的子网及网段进行划分,并以便于管控为原则对不同的子网及网段分配地址段。同时,应保证广播电视系统主要网络设备的业务处理能力具备一定的冗余空间,以满足业务高峰期的业务处理需要。另外,与广电网络信息系统有关的网络设备,如核心交换机、汇聚交换机等在配置时,应设置一定的冗余空间,以免关键节点出现单点故障而影响整个系统的运行。
2.2 播出系统安全防护
对于广播电视较为重要的播出系统,应具备相应的应急备份平台,且对于关键性操作还应具备“一键恢复”的功能,以免操作失误或网络攻击而导致重要数据丢失。同时,广播电视系统前端还应结合实际需要,设置能够对播出系统进行备份及倒换的控制设备,便于一旦遭遇网络攻击,终端显示画面或信息被篡改时,广电系统前端能够将被篡改的画面或信息进行清除,并替换成正常的画面及信息。另外,针对覆盖面较广的有线数字电视,其前端应采用具有清流备播的异地备播系统,并采用安全可靠的防护策略或隔离措施,確保当主播出系统受到安全威胁时,仍能正常播出运行,不受任何事故影响。
广播电视前端播控系统网络,应与外网进行严格的物理隔离,防止办公网络、互联网等遭受攻击而影响播控系统的安全性。
对于广播电视播控平台的各个系统,应按要求做好倒换测试,并针对可能出现的各类安全风险事件,建立健全完善的风险处置体系,细化安全风险处理流程,确保在出现安全风险事件时,主路、备路均能实现安全稳定运行。
对于节目码数据流的发送传输,通常宜选择为ASI格式,或选择单向的IP格式,以确保数据传输过程中的安全性与可靠性。
广播电视的EPG系统、电视广播系统、中间件系统等广电信息业务在播出前,对于播出的视频信息须按要求进行严格的数字签名与加密保护,确保整个播出过程中视频信息的安全性与保密性,防止信息被非法篡改而造成安全播出事故。
对于Loader系统、应用下载系统等广播电视网络的业务/应用系统,应在电视节目播出前,对相应播出控制的系统固件、应用软件等做好数字签名保护,确保软件代码的安全性、完整性,以免遭受非法攻击而被篡改。
对于广播电视所有业务系统或应用系统含有BOSS系统或SAM系统的,应按照广电信息的安全防护要求,在信息播发前严格进行信息安全过滤,以有效阻止不合格图片、视频、文字等非法信息流出播发。
2.3 终端设备安全防护
机顶盒、网关等作为广播电视的终端播出设备,同样应按要求做好相应的安全防护。对此,应在信息播出段及双向信息接收侧做好安全处理模块的部署,以构建安全稳定的广电网络区域边界,进而有效阻止非法透明码流、文字、图片、视频等信息入侵,防止广电系统软件被非法篡改。
在广电网络与家庭网络的连接侧,应按要求进行防火墙部署,防止黑客或入侵者由家庭网络端,对广电系统机顶盒、网关等终端设备进行非法攻击。
对于数字有线电视智能化的机顶盒等终端设备,其极易成为安全防护的薄弱环节,因此,须按要求做好相应的防护措施:主要包括软件安全防护、信息接收域内防护、播出信息防护、双向信息防护、应急安全防护等安全防护措施。
以数字电视安全芯片UTi为基础的数字太和,能够通过数字签名和多层防护,确保广电系统Bootloader、固件以及相应应用App的安全性,避免机顶盒等终端设备因人为刷机而出现安全漏洞,防止软件被非法篡改,进而构建安全可靠的终端安全区域边界[2]。
针对数字有线电视终端设备,应构建安全、有效的应急预案,便于一旦发生较为重大的非法安全攻击时,能够及时启动应急预案,并迅速使广电系统恢复正常。
2.4 网络设备安全防护
对于广电网络一级安全区域边界的网络设备,应结合广电播出的安全要求安装安全审计系统,确保操作人员在发出操作请求时必须经过相应的安全审计工作,便于一旦发生安全攻击时能够第一时间追溯源头,进而保证广电系统的安全稳定运行。同时,通过用户安全管理、设备安全防护、服务器安全措施等组合安全防护策略,确保所有操作的安全性与可控性。
在广电网络设备访问及配置过程中,应根据广电网络的安全要求设置相应的安全登录口令,主要包括控制台口令、远程登录口令、特权口令等几个方面。在进行口令密码设置时,应注意定期对口令密码进行更新更换,并采用高强度密码加密的方式加强口令的加密等级。对于远程登录口令可采用SHH安全的登录方式,严格控制会话次数、会话超时的情况,并设置相应的预警信息,一旦出现突发安全事件,应能够在第一时间发出预警。
加强远程登录地址的访问控制,通过访问控制列表,限制远程登录的源地址,并设置仅允许一个IP地址或局域网IP远程登录访问。对于非必要的服务器及端口应进行关闭,以最大程度利用访問控制列表,实现对当前现有端口的访问控制。
对于广电网络设备的非必要服务项应进行关闭,以显著提升广电系统运行的安全性与有效性。
通过SNMP V3及以上版本的广电网络安全管理协议,为广电网络设备的安全运行提供安全风险监控与管理接口。同时,对于一级安全区域边界的网络核心路由交换设备,应采用双机热备系统架构。
2.5 数据信息备份恢复
构建相应的灾难备份系统,健全数据与系统安全管理工作机制,制定相应的灾难备份与恢复应急预案,并进行相应的灾难备份与恢复演练,进而有效保证广电数据信息的安全与核心应用的稳定运行。
建立健全数据备份机制,并按要求对重要数据设置备份专人,以强化对不同数据存储与备份的管理。对于较为关键的、机密性较高的数据信息,可采用高强度的字符串加密算法予以加密保护,以防止数据被非法存取,避免机密数据信息发生泄漏。
对于重要的广电数据信息,可采用多样化的数据备份方法予以备份保护,如本地、异地或外部存储设备备份等,确保数据在遭受非法篡改等破坏后能够及时恢复。数据备份的文件应存储于非本机磁盘的其他存储介质,存储介质的存放地应做好相应的防火、防潮、防磁、防盗工作,并保证存储的环境温度、湿度达标。
在广电系统数据库补丁安装、版本更新、配置升级等发生变动前,应先对广电数据信息进行备份。对于广播电视体系的核心应用系统,应对重要数据进行每日及每周备份,其他非核心应用系统的数据信息可每周或每月定期进行备份[3]。
备份数据恢复前,应对备份数据的一致性进行检验,确保两个备份数据的大小、数量及日期保持一致,在完成数据的一致性检验且满足要求后方可使用。同时,系统备份的数据还应定期进行恢复演练,以保证备份数据的可用性、完整性。在完成恢复演练后,应在备份系统上进行恢复演练测试,测试成功后即可在主用系统上进行应用。
3 结语
综上所述,针对当下广电信息安全面临的一系列问题与挑战,应在做好广电信息安全环境分类的基础上,切实采取相应稳妥的防护策略,促使广电信息安全得到有效保障。
参考文献
[1] 王晓艳,梁晋春,姚颖颖,等.媒体融合下电视台网络化制播系统安全建设[J].信息技术与标准化,2017(1):28-31.
[2] 涂钧.广西广电网络信息安全防护体系研究思路[J].信息技术与标准化,2017(3):37-41.
[3] 孙源.融媒体建设环境下的信息安全如何保障[J].西部广播电视,2018(23):38-39.