融媒体背景下广电网络安全的智能化应用

鲁德娟

(中国国际电视总公司 北京 100036)

近年来，大数据、物联网、云计算、人工智能等技术在广电行业得到广泛应用，融媒体、全媒体逐步实现纵深发展，传统广电技术系统从专用、独立网络逐步向采、编、播等全领域、全业务、全流程的一体化、网络化发展，播出网络环境日益复杂，随之而来的网络安全问题也日益凸显[1]。

面对组织化、规模化、平台化、复杂化的网络攻击趋势，单纯依靠防火墙等安全产品及查杀病毒、入侵监测、封堵漏洞等安全措施，已无法满足当前广电技术系统安全、稳定运行的发展需求，亟须前移播控系统安全防守关口，提前态势预警、提前规避风险[2]，及时发现异常，快速响应处理，将被动防御转向事前评估预测，从静态特征分析转向智能数据分析，从手工封堵转向自动化处理，从单点防御转向云网边端的全方位防护，降低网络安全风险，提高网络安全防护能力。

1 广电网络安全现状

1.1 广电网络安全管理现状

近年来，国家高度重视网络安全工作，相继出台了《国家网络空间安全战略》《网络空间国际合作战略》《中华人民共和国网络安全法》《信息安全技术网络安全等级保护条例2.0》等法律法规，有力地促进了网络安全行业的全面发展。广电行业紧跟国家政策要求，结合行业特性，2020 年出台《广播电视网络安全等级保护定级指南》，联合国家网信办等12部门发布《网络安全审查办法》，2021年出台了《广播电视网络安全等级保护基本要求》，建立了国内广播电视和网络视听推荐性行业标准，强化广播电视关键基础设施安全保护，加强行业网络安全设施建设。广电网络安全有关管理要求如图1所示。

图1 广电网络安全有关管理要求

1.2 广电技术系统网络安全现状

现行广电技术系统大多建设时间较早，其网络安全体系均采用静态、防御性的防护措施，通过加解密、防火墙、访问控制等技术手段加固技术系统、保护信息数据[3]。按照广电总局网络安全有关规定和要求，广播电视运行保障单位技术系统大都完成了等级保护定级和安全防护体系建设工作，其中一些采取了以分区分域、边界防护为原则的安全防护架构，在一定程度上满足了网络安全要求。

近年来，媒体融合已经成为传统媒体转型的必由之路，新媒体网络的接入、技术系统的升级改造、移动办公模式的变化，使网络边界逐渐模糊，业务访问需求复杂性变高，内部资源暴露面扩大，不可控安全因素增加，技术系统网络安全风险不断加大。

1.3 传统网络安全防护系统存在的问题

在高新技术快速迭代的今天，部分广电网络安全防护系统架构已经与当前技术体制脱节，其采用的传统网络安全防护系统相较于快速发展的网络安全攻防技术，已经无法满足网络安全等级保护2.0标准的相关要求，部分设备无法部署现有通用安全防护措施，部分平台尚未实现安全数据的集中管理，网络安全设备协同防护能力不足，网络安全体系化防护水平不高，同时系统缺乏事前预警和态势感知能力，主要依靠人力发现并处置安全设备产生的大量告警，占用资源大，对安全运维人员技术能力和职业素养要求较高，在当前错综复杂网络环境下对大规模、分布式的网络攻击，难以做到有效处置。传统网络安全防护系统存在的问题具体如图2所示。

图2 传统网络安全防护系统存在的问题

2 智能化应用的优势

人工智能技术的出现，给网络安全攻防技术和体系建设提供了一个全新的思路，利用大数据、人工智能等技术，构建“云—网—端”协同立体的网络安全防护体系，能够实现多维数据采集处理、大数据高速检索、攻击威胁探测、智能态势感知和自动化响应等功能，具有人力成本低、预警能力强、风险监测准、应急处置快等特点[4]。

2.1 减少人工成本投入

传统广电技术系统的网络安全监测、处置主要依靠网络安全维护人员人工审核鉴别网络安全风险和攻击行为，并做出相应的处置操作，这将耗费大量的人力。采用人工智能技术自动采集广电技术系统设备运行状态和预警信息，将常见攻击行为、攻击阶段、攻击手段、已经攻陷的资产及全网的实时攻击态势自动分析判断并直观呈现，利用预设的处置流程和操作方案，提供一键策略制定、一键报告生成等自动化功能，大幅度降低人力成本投入，提高响应效率。

2.2 提供风险态势预警

利用人工智能技术，在网络安全防护体系中对技术系统各个环节的网络流量、系统运行参数、终端报警数据进行分析、整合，通过安全模型分析、环境感知、算法模型、机器学习、AI 学习等技术对全部数据进行分析决策，将关键的风险信息筛选并呈现出来，及时发现网络系统风险隐患及安全威胁，并对其影响范围及严重程度进行量化评估，辅助运维人员及时发现，提前消除隐患。

2.3 提升风险监测准确度

人工智能在网络安全防护体系中，基于多规则、多模型、多源异构的数据来源，快速筛选剔除了无效告警和误报预警信息，大幅度降低了告警信息数量规模，经过筛选后，重点关注、受攻击、真实故障告警等信息更加集中和醒目，有效提升了风险监测的准确度，在可视化呈现的基础上，进一步分析攻击、故障的详细情况，为运维人员提供判断和处置的依据。

2.4 提高应急处置效率

采用人工智能技术构建的网络安全防护体系，利用自主学习能力，不断获取、吸收、迭代最新的安全防护策略和风险信息，并根据当前系统配置和设备状态，调整安全防护策略，更加有效地应对新型风险和挑战。在此基础上，利用人工智能技术开发参数配置、自动巡检、故障排查等模块，实现网络安全防护体系自动化、智能化运行，加快故障和攻击处置效率，提升安全防护性能。

3 人工智能在广电网络安全中的应用

3.1 人工智能在防火墙中的应用

目前，防火墙仍是网络安全防御系统中的主要设备。传统防火墙主要依靠预先设置好的安全策略、规则对数据、流量进行检测防护，传输正常数据包、阻断异常数据包，其主动防御、动态检测、应用防护等能力均存在不足，如果安全策略、规则更新不及时，将无法判断一些新型的攻击形态[5]。智能防火墙是人工智能与防火墙技术的有机结合，相较于传统防火墙技术，智能防火墙具有机器学习、自动分析和智能决策等功能，管理界面可视，应急操作简单，能根据技术发展和网络攻击趋势，智能调整访问控制策略，大大降低了对管理人员技能水平、应急操作的依赖，减少了人为误判造成的危害技术系统正常运行情况的发生，在减轻运维压力的同时，极大地提升了威胁检测的准确性和及时性。

3.2 人工智能在入侵检测中的应用

入侵检测技术是当前网络安全管理工作中的重要组成部分。传统的入侵检测技术在安全性、时效性和体系结构等方面均存在短板，存在高误报率、高漏报率等问题，导致阻断入侵能力低[6]。基于以上情况，智能入侵检测系统借助人工智能中的模糊信息识别、具有自我学习能力的专家系统、数据挖掘和人工神经网络等技术，采用分布式、协作式体系结构，实现对网络入侵动态检测、自动预警和实时防御功能[7]，提高入侵辨别能力，提升入侵检测效率，增强入侵防范水平，在保障信息系统安全运行的基础上，最大程度地抵御外来入侵攻击，保护信息安全。

3.3 人工智能在态势感知中的应用

随着广电技术系统网络结构更加复杂，信息流转更加频繁，传统的态势感知技术已经无法满足应用需求，依托人工智能技术构建的新型态势感知系统，能对防火墙、入侵监测、攻击溯源、防御系统等安全防护设备的各种日志进行汇总、过滤、关联分析、行为分析等，通过审计程序对网络主机对话、网络连接进行提取分析和深度挖掘，及时发现网络系统中不稳定、不安全因素，利用自主学习能力，动态调整安全防护策略，实时加固安全防护体系，实现广电技术系统的安全态势可见、风险攻击可知、应急处置高效。

3.4 人工智能在检测处置中的应用

当前，新型网络攻击呈现出规模化、智能化的发展趋势，对网络攻击行为检测和处置带来了较大困难。为此，新型网络安全防护体系引入人工智能和数字模型算法，采用SOAR技术，驱动安全控制器联动网络安全设备等各个网元来智能感知、识别流量路径，通过丰富的特征库、全面的检测策略、智能的机器学习、高效的沙箱动态分析，匹配云端的威胁情报，可以根据网络攻击特征自主开展特征分析、攻击取证、跟踪溯源等操作，并根据风险等级自动采取隔离、阻断、禁止访问、封禁端口等处置工作[8]，协助运维人员处置大量重复的安全事件，有效提升了检测处置的精准度，提升安全运维效率。

4 智能安全防护管理平台应用方案探讨

针对广电技术系统网络安全现状，根据人工智能、大数据在网络安全防护领域的应用实例，广电行业应不断适应新形势、新发展，在整合现有网络安全防护资源基础上，对安全环境、安全设备数据、能力进行采集、处理，对海量安全告警信息进行智能分析和研判，自动化处置安全事件，动态优化安全策略，逐步形成体系化的智能安全防护机制[9]，构建“威胁发现—智能研判—响应处置—动态优化”的智能安全防护管理平台，实现网络安全闭环管理，为广电网络安全保驾护航。

4.1 功能逻辑架构

结合《信息安全技术网络安全等级保护条例2.0》要求和广电网络环境现状，制定符合自身实际情况的智能安全防护管理平台功能逻辑架构，具体如图3 所示。其中，智能安全防护管理平台的基础安全环境为上层提供基础安全能力，应包括安全区域边界设备、安全计算环境设备、安全管理中心设备；安全数据中台对运行数据、告警信息等网络安全要素进行整理汇集，应包括数据采集、处理、管理、分析及存储功能，为上层应用提供安全数据服务；安全能力中台对整体安全能力进行梳理管理调度，应具有数据识别、防护、检测和资源统一编排、调度、策略管理能力，为上层应用提供标准安全能力；安全应用提供自适应智能化的安全检测规则、灵活的分析建模方式，具有资产管理、威胁溯源、态势感知等功能，实现安全事件自动化流程化检测、分析、响应，做到安全闭环。

图3 总体功能逻辑架构图

4.2 数据流转设计

根据全网安全防护情况，数据流转可分为行为探测阶段、大数据前置分析阶段、大数据后置分析阶段这3 个阶段。其中，行为探测阶段对流量和日志数据进行采集，并利用IDS、流量探针、沙箱、SOC 等进行初步威胁行为探测，基于单点数据发现安全威胁。大数据前置分析阶段将行为探测阶段数据进一步发送至平台进行实时分析和离线分析，实时分析利用细粒度模型算子进行关联分析、统计分析、AI分析等，输出攻击链阶段、告警标签、处置建议等安全威胁详细信息，离线分析结合历史数据进行学习分析，发现偏离历史行为的异常行为、违规操作、账户失陷等安全风险。大数据后置分析阶段将前置分析结果存储至ES中，并为分析应用提供支撑。数据分析流具体如图4所示。

图4 数据分析流图

4.3 平台组网设计

根据《信息安全技术网络安全等级保护条例2.0》要求，基础安全环境应包括安全区域边界、安全计算环境和安全管理中心建设等内容。在建设智能安全防护管理平台时，可复用现有安全资源，通过安全探针统一管理全网数据，进行统一存储、分析，同时对外提供数据访问及分析接口，整体组网设计架构如图5所示。

图5 智能安全防护管理平台组网结构图

5 结语

随着人工智能、大数据、零信任等新型技术在网络安全领域的快速发展及其在广电技术系统的应用，基于边界构建的传统网络安全防护正在被智能型、主动安全的网络安全架构所取代，智能型的广电网络安全防护管理平台以其完善的功能性能、创新的运行模式，不断强化广电网络安全防护能力，进一步筑牢广电技术系统安全防线，为智慧广电和媒体融合纵深发展营造良好的网络环境。