广电云媒体电视平台安全防护建设之道

颜唐林
摘要:为了保障广电云媒体电视平台能够安全、稳定、持续的对外提供服务,需要从多个层面展开安全建设。
关键词:云媒体电视平台
在信息技术迅猛发展的今天,云计算正一步步走进人们的视线,成为当今最炙手可热的新技术。在互联网行业,云计算已经得到广泛的应用,包括谷歌、微软、IBM等公司纷纷推出了各自的云计算平台,搜索引擎、网络信箱更是与互联网用户有着密不可分的关系,但这些应用仍然只是云计算应用的一小部分。
在三网融合的浪潮下,互联网视频的异军突起,使得广电传统视频业务面临着巨大挑战。迫于发展压力,广电行业不得不在短时间内建设多套业务系统,推出新的业务。由于国内多数已部署的互动平台系统中不同组件之间大多缺乏明确界定的开放式接口和协议,从而导致大量重复投资建设,维护成本增加,系统扩容和业务融合的难度越来越大。为了保障广电云媒体电视平台能够安全、稳定、持续地对外提供服务,需要从多个层面展开安全建设。
云媒体电视平台具体应用类型
OTT平台:OTT平台作为原本独立的DTV平台与Internet平台间的桥梁,将DTV的视频点播、直播业务引入到Internet服务平台,将可利用的Internet业务引入到DTV平台;从用户层面上,可保证用户从不同终端均能访问OTT平台,获取不同的业务服务。
电视互联网平台:提供新闻、视频节目及其他互动功能的web门户站点。
云媒体电视平台安全分析及防护建设
一、业务类型分析。OTT系统是面向广电运营商,为了提供全面的、整体的视频解决方案,包括媒资的注入、打包、分发、产品化管理、推流、多终端适配、码流自适应等各个环节,满足用户高质量体验需求。OTT系统融合数家国际上成功运营的OTT系统的架构体系,同时兼顾国内广电运营商目前现有的系统情况,符合业界使用广泛的NGOD标准;遵循开放、可用、可靠、可管、可控、可维护等原则,并为媒资、广告等系统提供规范的接口。
OTT平台为有线数字电视平台的补充,可以将直播频道、VOD平台视频点播资源引进互联网接入业务平台,从而形成覆盖个人计算机、手机、PAD等移动多媒体终端的视频服务体系。OTT平台为互联网接入平台的补充,可以引导宽带互联网接入用户访问OTT平台获取视频点播内容,从而降低宽带互联网出口压力;另一方面,通过该平台提供高质量的音视频点播、直播内容,能够显著提高用户相关体验,有利于宽带互联网接入业务的推广。
二、网络现状。OTT平台当前网络现状如图1所示。
当前,OTT业务平台连接云媒体电视核心平台实现数据交互,安全防护措施只有防火墙系统实现部分区域的逻辑隔离。
三、风险分析。(一)网络结构产生的风险。OTT业务平台没有进行VLAN划分,不同应用类型服务器之间均可进行互相通信。如果OTT业务平台中的某台服务器被攻陷,会影响整个服务器上的承载的业务,将会带来很大的风险,严重破坏信息的可用性、机密性及其完整性。
(二)网络边界接入的风险。OTT业务平台在该出口部署了防火墙设备,而忽略了内部的边界,如服务器边界,而这些边界却能带来巨大的风险。如内部人员可以攻击服务器边界或者安全区域以及其他区域的边界,会导致重要数据泄露或者网络不可用等风险。
(三)网络节点局域网安全风险。根据调查,在已发生的危害网络安全的事件中,约80%来自内部网络,根据OTT业务平台的情况分析,面临的安全风险主要是:
1.由于OTT业务平台在局域网内部,没有明确界定不同用户、不同信息和不同系统安全级别,没有实现基于安全域的访问控制,给关键系统和信息的安全保护带来了风险。
2.在内部网不同安全域之间普遍没有防护措施,不能有效抵御内部的安全威胁。
3.内部人员有意或无意间泄露内部网络结构、账号、口令等重要信息,为针对网络的攻击提供了条件。
4.针对路由器、交换机的攻击,造成路由破坏。
(四)边界粗粒度控制带来的安全风险。由于OTT业务平台在边界处仅仅通过防火墻的技术做访问控制,现在的攻击很多是基于应用层来实现的,如文件型病毒、蠕虫、木马等,而这些攻击防火墙显得无能为力。因此如果不对边界进行深度访问控制,将会出现数据泄漏、网络上充满大量攻击数据包等重大风险。
(五)配置缺陷的风险。1.缺乏对操作系统基本安全配置的指导,导致某些主机由于配置不规范如弱口令、文件共享等被作为跳板来攻击其他机器。
2.重要应用和服务器的数量种类日益增多,对业务系统资产,如操作系统和支撑的数据库、网络中间件,以及网络边界的路由器、交换机、防火墙等设备配置,无法准确了解且配置是否符合基本安全要求,一旦发生维护人员误操作,或者采用一成不变的初始系统设置而忽略了对安全控制的要求,就可能会极大地影响系统的正常运转。
(六)系统漏洞风险。苍蝇不叮无缝的蛋,入侵者只要找到复杂的计算机网络中的一个缝,就能轻而易举地闯入系统。所以了解这些缝都有可能在哪里,对于修补它们至关重要。通常裂缝主要表现在软件编写存在BUG、系统配置不当、口令失窃、明文通讯信息被监听以及初始设计存在缺陷等方面。无论是服务器程序、客户端软件还是操作系统,只要是用代码编写的东西,就会存在不同程度的BUG。当前OTT业务平台不具备漏洞监测机制,对平台系统中的漏洞无法做到快速预警及响应。
(七)家庭终端机顶盒连接OTT业务平台风险。终端用户通过机顶盒以太网口能够轻松获取IP地址,便可连接广电云媒体平台相当一部分服务器或应用系统。只要用户具备基本的网络知识及安全攻防技术即可实现对广电云媒体电视平台中多数服务器进行扫描,一旦扫描发现漏洞即可采用对应的入侵工具对广电当前系统实施攻击,轻则导致业务系统负载过高,重则导致云媒体平台某些业务终端,甚至某些系统页面有被篡改的风险。
四、需求分析。通过以上风险分析,OTT业务平台需要从结构安全、边界安全、漏洞预警、基线配置检查、运维管理等多个维度进行建设。
建设防守思路分析
建设思路分别从产品技术层面和安全服务层面展开,具体内容描述如下。
一、方案参考标准。本方案参考了国内以下信息安全技术标准和规范:GB/T 22239-2008 (《信息安全技术——信息系统安全等级保护基本要求》)、GB/T 22240-2008 (信息安全技术——信息系统安全等级保护定级指南)、GB/T 25070-2010(信息安全技术——信息系统安全等级保护安全设计技术要求)、《广播电视安全播出管理规定及各专业实施细则》(广电总局62号令)、GD/J 038-2011(《广播电视相关信息系统——安全等级保护基本要求》)。
二、安全技术层面建设。
(一)网络结构安全。建议对OTT业务应用平台网络区域进行调整,根据其应用特点划分网络域、核心域、计算域。在应用服务区之间进行路由控制建立安全的访问路径,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。
(二)边界防护建设。1.在云媒体电视平台网络建设示图(图2)中区域边界处,即云媒体核心交换机侧与OTT业务平台交换机侧,按GD/J 038-2011 《广播电视相关信息系统安全等级保护基本要求》部署防火墙,构造安全区域边界。对广播业务前端网络和双向业务前端网络的服务器和应用系统进行安全防护。
2.在应用服务器区1边界处部署入侵防护系统(IPS)实现对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等行为进行阻断;当检测到攻击行为时,能够记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时能够阻断并报警。另外,机顶盒端上存在以太口,一旦利用网线连接电脑可以自动获取IP地址,直接与广电云媒体平台相通,并能够直接与OTT平台进行通信,具备安全基础知识的外部人员可以对云媒体電视平台的其他主机以及OTT应用平台进行扫描甚至入侵。OTT应用平台应用服务器区1外部可以直接访问,为此在应用服务器区1前端部署入侵防护系统阻断从家庭网络发起对机顶盒或网关等终端的非法入侵。
3.FTP服务器需要访问合作伙伴视频库,为了防止蠕虫、病毒、恶意代码等威胁进入广电云媒体平台,在FTP服务器边界部署防毒墙(即防病毒网关)阻断恶意代码任意扩散。
(三)漏洞预警建设。在云媒体电视平台运维管理区部署漏洞扫描系统对该平台中的漏洞、弱口令等脆弱性进行定期安全检查并提供预警响应,对发现的网络系统安全漏洞进行及时的修补。通过漏洞扫描系统能够落实评估与漏洞修补工作,真正重视漏洞管理、修补漏洞是阻断攻击者实施攻击的有效途径,从而也可以有效阻断蠕虫攻击。
(四)统一安全基线建设。安全基线配置核查系统是一款专门检测各类设备(操作系统、网络设备、应用系统、安全设备)存在不规范配置的工具,系统具备完善的安全配置检查点,采用高效、智能的识别技术,第一时间主动对网络中的资产设备进行细致深入的安全配置监测、分析,并给用户提供专业、有效的安全配置建议,提高检查结果的准确性和合规性。在运维管理区部署安全基线配置核查系统一方面能够实现对已上线的系统进行检查,还可以针对未来新上线的系统进行入网安全评估使用。
(五)运维管理、审计建设。堡垒机系统是集中的运维操作监控平台,建立基于唯一身份标识的实名制管理,统一账号管理策略,实现跨平台管理,消灭管理孤岛。该系统能够集中访问控制与授权,实现单点登录和细粒度的命令级访问授权,并实现基于用户的审计,审计到人,实现从登录到退出的全程操作审计,将安全运管落到实处。
同时,通过在运维管理区部署ESPC(日志管理平台)实现对本次所部署的安全防护系统(FireWall、IPS、SAS-H、RSAS)进行集中、统一管控。
三、安全服务层面建设。安全不是一成不变的,针对网络发展的日新月异,提供产品防护的同时需要安全服务贯穿整个信息安全发展的始终。建议所采用具体服务内容,包括安全评估、安全加固、应急响应服务,具体内容如下。
(一)安全评估。风险评估对现有网络中的网络架构、网络协议、系统、数据库等资产安全现状进行了解,确定在系统的具体环境下到底存在什么安全漏洞和安全隐患,一旦这些脆弱性被黑客利用会造成什么样的资产风险和影响。在此基础上,具体实施的过程中再对实施流程进行规划,即针对广电云媒体电视平台中的OTT应用平台的具体情况定制适合于自身的安全目标和安全级别,然后根据所要达到的安全目标和安全级别,在充分考虑安全性的基础之上选择和实施相应的安全建设方案。
(二)安全加固。网络安全是动态的,需要时刻关注最新漏洞和安全动态,制定更新的安全策略以应对外来的入侵和蠕虫病毒等威胁。针对广电云媒体平台中的OTT应用平台各台服务器的漏洞和脆弱性,定期的进行安全加固,可以使系统有效的抵御外来的入侵和蠕虫病毒的袭击,使系统可以长期保持在高度可信的状态。
安全加固是针对进行评估后的主机的漏洞和脆弱性采取的一种有效的安全手段,可以帮助系统抵御外来的入侵和蠕虫病毒的袭击,使系统长期保持在高度可信的状态。通常对系统和应用服务的安全加固包括如下方面:安装最新补丁,账号、口令策略调整,网络与服务加固,文件系统权限增强,日志审核功能增强,安全性增强。
(三)应急响应。当前广电行业自身可能尚没有足够资源和能力对安全事故作出反应。网络安全的发展日新月异,无法实现一劳永逸的安全,所以当紧急安全问题发生,一般技术人员又无法迅速解决的时候,及时发现问题、解决问题就必须依靠专业的应急响应服务来实现。在第一时间内对客户信息系统面临的紧急安全事件进行应急响应。紧急安全事故包括:大规模病毒爆发、网络入侵事件、拒绝服务、主机或网络异常事件等。
小结
在三网融合的大背景下,互联互通给人们生活带来便利的同时,也给信息系统安全防护建设带来了挑战。广电网络除了要从安全组织结构、责任和体系、安全管理流程和制度方面加强外,还需要认真研究《广播电视相关信息系统——安全等级保护基本要求》,针对新型广电网络的复杂性和业务的多态性,设计和采用有效的信息安全解决方案。(作者单位:江西网络广播电视台)
相关文章!
  • 新常态背景下供给结构转型的逻

    【摘要】吴敬琏等学者编著的《供给侧改革》一书,选题切合时代需求,研究视野宏阔,求真务实且见解独到,弘扬了改革创新的时代精神,具有强烈

  • 电视剧《西藏秘密》的史诗性

    王泉<br />
    根据刘德濒同名小说改编的46集电视连续剧《西藏秘密》,以僧人扎西顿珠的沧桑人生经历为线索,真实再现了20世纪30至50年代末

  • 个性打造精品特色塑造名牌

    陈 雪<br />
    【摘要】时下,收看电视新闻评论节目,成为观众更深层次了解新闻的热门途径。迄今,CCTV4套《海峡两岸》已成为一档优秀的电视新