梁玉婷

(太原有线电视网络有限公司，山西 太原 030024)



三网融合背景下广电网络信息安全现状及防护措施

梁玉婷

(太原有线电视网络有限公司，山西 太原 030024)

摘要：简述了广电网络在三网融合背景下所面临的威胁，并从系统安全、网络安全、终端安全和管理安全等多方面提出整改措施。

关键词：网络信息安全；三网融合；整改措施

三网融合是指电信网、广播电视网、互联网三大网络通过技术改造，使得业务范围趋于一致，能为用户提供语音、数据和广播电视等多种服务。

广电网络多年来一直承担着舆论宣传和主流文化传播的责任，具有较高的社会影响力，随着新媒体业务的逐步丰富上线，从之前业务单一、结构封闭的单向直播网络过渡成为服务多样、系统互联复杂、网络接口开放的双向网络，网络和系统越来越多地采纳与互联网类似的技术，因此，新技术在广电网络中的应用使得广电网络将面临内容篡改、流量攻击、系统入侵等新的信息安全威胁，网络信息安全建设将越来越重要。

1广电网络面临的威胁

随着三网融合的不断推进，广电业务逐渐多样化，广电网络也越来越开放，广电网络面临新的信息安全威胁。常见的威胁主要表现在：

· 敏感信息篡改

政治敏感信息、黄赌毒信息通过广电网络扩散，对社会造成恶劣影响。

· 广告页面被黑客篡改

非授权广告会侵害广电本身的经济利益。

· 视频内容被黑客篡改

非法/非授权视频会造成严重社会影响和经济损失。

2广电网络信息安全建设原则

在三网融合的大背景下，广电网络发生了翻天覆地的变化。全面实现广播电视数字化，有线电视网络全面完成数字整体转换，有线网络基本完成双向化；基本实现广电终端标准化智能化，以TVOS为支撑，推动广电终端融合发展，形成广电有线无线卫星和互联网融合的“广电+”生态，配合总前端各种应用平台逐步形成“终端+应用+互联网资源”的增值业务形态，可为用户提供基本广播电视业务、互动业务、互联网接入业务等多种业务。因此，广电网络信息安全建设将越来越复杂，传统的网络防御手段已无法满足新形势下广电网络的发展需求。

广电网络信息安全建设要满足相关行业标准，立足于有线网络现状，承载直播业务、互动业务和互联网宽带业务等，综合分析安全威胁风险等级后，以“安全的内容、安全的系统、安全的网络、安全的终端、安全的管理”为核心目标，以内容安全为主线，以安全保障业务融合为主题，进行各个业务分区的安全防护能力建设，采用不同的安全防范措施来保障信息系统在网络上的安全要求，构建安全防护体系。

图1　网络安全功能架构图

3广电网络信息安全防护措施

3.1安全的内容

采用输出头端白名单对比EPG保护、输入内容控制及防篡改，从技术层面加强“节目防篡改、防插播”的播出内容保护力度。

3.2安全的系统，保障业务发展

根据业务系统重要性、应用范围、安全保护需求、安全事件影响程度等综合因素，确定不同保护等级的系统防护基线，完成DVB直播系统、互动业务系统、BOSS系统、宽带业务系统等系统的安全整改加固，实现系统从传统被动安全防护到主动安全风险管控的有机融合。

完成数据保护系统建设、主机保护系统建设、数字身份管理系统建设，建立覆盖全网综合网络管理系统，形成统一安全策略和审计管理功能。

3.3安全的网络，保障三网融合

随着广电网络和新媒体业务的不断发展，存在着网络结构复杂、边界不清等问题，以安全为核心重构广电网络，通过安全域划分和边界整合，确定不同网络区域安全保护等级，完善不同网络区域间安全隔离和跨界访问控制，形成清晰、简洁、稳定的中心的组网架构，部署防火墙和入侵检测系统等，实现边界隔离和防护，更好的解决复杂系统的安全问题[1]。

1) 内部子网的隔离及访问控制的实现：通过划分VLAN的方式实现内部网络不同安全域之间的物理隔离。将网络划分为多个VLAN可以限制网络广播，防止广播风暴波及整个网络；可以增强网络安全性，含有敏感数据的用户组可与网络的其余部分隔离，降低泄露机密信息的可能性，不同VLAN的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。

VLAN的划分可根据不同原则，一般有三种划分方式：基于端口，基于MAC地址，基于路由。

2) 内外网隔离及访问控制的实现：防火墙能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险。在内外网边界设置防火墙，在网络连接之间建立一个安全控制点，内外网之间的所有网络数据流都必须经过防火墙，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制，最终实现内外网隔离及访问控制，保证内网服务器的安全。

3) 操作系统及应用系统的安全防范：a) 操作系统的安全防范：对操作系统进行必要的安全配置，关闭一些不常用却存在安全隐患的应用；使用数据加密，根据数据的重要性，对关键文件选择合理的加密级别以满足用户需求；对数据进行定期备份；加强密码口令的使用；及时给系统打补丁。b) 应用系统安全防范：设立专门的网络管理员，登录设备时需要通过用户名、密码的安全认证，并定期更换密码，以防止他人随意进入网络，并在此基础上，加强口令长度和复杂度，严格控制登陆者的操作权限；网络管理员、系统管理员不能共用登录名、密码；连续多次登录错误，将锁定该用户，确保双重安全认证；在管理区建立统一运维堡垒机，对业务环境下的用户运维操作进行控制和审计，在实现对自然人身份以及资源、资源账号的集中管理的同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产(服务器、网络设备、安全设备等)损失、保障业务系统的正常运营；关闭不必要的协议及端口号；定期进行漏洞扫描并及时升级。

4) 网络入侵检测系统：对于业务系统非法外联和非法接入的情况，部署网络入侵检测系统，针对网络攻击的风险提供安全审计、监视、攻击识别和反攻击等功能，监控系统中是否出现违反安全策略的行为或入侵行为。

3.4安全的终端，保障播放可管可控

基于可信机顶盒终端，建立覆盖全网的机顶盒安全及行为监测系统，实时发现各种违规及非法行为，并尽快进行应急处置。

针对机顶盒功能和威胁分析，确定如下安全目标：

1) 防范攻击人员利用机顶盒搭建非法视频服务系统；

2) 完善机顶盒配置管理,对弱口令、不安全的服务运行及开放端口进行管理；

3) 防范攻击人员非法修改机顶盒系统，做出具体类似“非法接收未付费频道”、“免广告”或“接收外来信源信号”等功能的机顶盒版本。

3.5安全的管理

为提高广电网络对核心业务的安全保障能力，建立信息安全综合管理平台，实现7*24小时安全审计与监控功能，在管理区设置日志审计平台，能够对网络系统、安全设备、重要应用实施统一管理、统一监控、统一审计、协同防护，能够及时发现系统异常和用户非法行为并立即采取应对措施，充分发挥网络安全防护系统的整体作用，提高网络安全防护的等级和水平。

另外，加强安全信息与事件管理、安全合规性管理、弱点管理等技术手段，完善包括组织管理、规章制度、安全流程等方面[2]。

4总结

三网融合，带给广电网络前所未有的新的信息安全威胁，使得广电网络在信息安全技术和政策措施方面必须随之进行调整，为适应新形势的要求，进一步确保广电网络作为国家基础网络设施的可靠性和安全性，广电网络必须在法律法规、信息安全机制建设及新技术研发等各个方面进行深刻的变革。

参考文献

[1]涂聪，刘晨鸣.三网融合背景下我国广电网络信息安全政策及技术措施思考[J].广播与电视技术，2014，41(11)：39-40.

[2]李国贤.三网融合下广电网络的发展思考[J].信息安全与技术，2011(11)：86-87.

Thoughts on Present Security Situation and Technical Measures of Broadcasting Network under the Background of Three Network Convergence

Liang Yuting

(TaiyuanCableTelevisionNetworkCompanyLimited,TaiyuanShanxi030024,China)

Abstract:This paper analyzes the security threats to broadcast network under the background of triple play. It puts forward suggestions for broadcast network reform from four aspects of system security, network security, terminal security and management security.

Key words:security of network information, network convergence, technical measures

收稿日期：2016-03-10

作者简介：梁玉婷(1990- )，女，山西人，工程师，硕士研究生，主要研究方向：有线电视技术。

文章编号：1674- 4578(2016)03- 0069- 02

中图分类号：TN915.08

文献标识码：A