融媒建设中网络安全问题概述
2020-08-12高深
高深
(黑龙江广播电视台,黑龙江 哈尔滨150000)
2019 年是融媒体建设加速发展的一年。落实总书记关于融媒体建设要求,如何更快更好建构现代全媒体传播体系,成为当今媒体融合发展的重要任务。在融媒体建设过程中,网络安全体系的建设是系统建设中重要的组成部分之一,本文结合以往网站及客户端日常管理工作,总结在融媒建设中常见的安全管理问题,以供大家研判参考。
1 信息安全政策法规要求
网络信息相关政策法规主要有两个体系要求,一个是有网信部门联合公安部门推出的《网络安全法》,另一个是由中共中央宣传部新闻局和国家广播电视总局科技司共同推出的《县级融媒体中心网络安全规范》。《网络安全法》于2017 年6 月1日正式实施,是我国第一部全面规范网络空间安全管理方面问题的基础性法律。2019 年4 月,中宣部和国家广播电视总局联合发布的《县级融媒体中心网络安全规范》作为行业规范,明确了融媒建设的信息安全建设要求。互联网信息系统运营主体应该保证系统满足《网络安全法》的相关要,不满足的可以有公安部门对运营主体和个人进行行政处罚,处罚形式包括罚款、责令停业整顿等。例如根据澎湃新闻报道,菏泽市东明县某网络科技公司被行政处罚,对公司处六万元罚款,对法定代表人李某某处五千元罚款,责令停业整顿。其原因是网络安全防护工作落实不到位,大量注册用户未落实实名认证,网站存在严重安全隐患[1]。可以看到网络安全建设是目前融媒体系统建设中的重要环节,网络安全建设的缺失直接影响到系统的上线运营。按照广电总局的县级融媒体建设规范要求,县级融媒体应该达到信息安全等级保护第二级保护标准,省级平台需要达到第三级等保标准。由公安部等四部委在2007 年下发《信息安全等级保护办法》要求第三级信息系统应当每年至少进行一次等级测评,每年至少进行一次自查。
2 信息系统常见安全问题处置
按照总局下发的《县级融媒体中心网络安全规范》,我们可以进行符合等级保护要求的安全系统建设。但信息安全保护不只是安全设备的堆砌,还需要加强日常安全行为管理和突发安全事件的处置。以下结合黑龙江网络广播电视台的日常运营中常见的几类安全事件进行分析说明,并给出简要处理策略和方法。
在黑龙江网络广播电视台的日常运营中,目 前发生最多的安全事件是爬虫事件,每周达到18 万次;其次是DDos 攻击事件,峰值流量达到60Gbps。作为媒体网站我们还额外关注sql 注入攻击和网页篡改行为。
2.1 爬虫攻击
爬虫原本是搜索引擎用来进行信息检索的工具,PC 时代网站都尽量对爬虫友好,以在搜索引擎中排名靠前从而增加网站的流量。但随着融媒体的发展,爬虫技术被大量应用在互联网公司进行媒体资源的汇聚,最知名的例子便是今日头条对新闻网站内容的抓取。大量非授权的爬虫访问网站占用了系统的运营资源,降低了系统的访问速度,降低了正常用户的访问体验。目前随着市场对于原创内容的追逐,大量原创内容被非授权的抓取了,降低了自有网站的运营能力。针对合规爬虫,只需要做好robots.txt 的配置,就可以很好的限制爬虫爬取的行为。例如建立网站的爬虫黑名单,限制可以爬取的内容等。但针对非法爬虫,就需要通过user-anget 等信息进行访问控制;更进一步需要根据访问日志制订相应的限制策略,例如限制链接时长和单位时间内的访问次数;也可以采购web 应用防火墙对网络爬虫进行限制或针对特定ip 地址进行阻断。
可以通过更改apache 的配置来实现user-agent 的限制。假如我们要把python 类爬虫和百度的爬虫限制掉,可以加一条这样的规则:
2.2 SQL 注入攻击
SQL 注入攻击是目前网站系统常见的一种攻击形式,其具有攻击简单、危害性高等特点。网上流行各种SQL 注入工具,这使得很多”爱好者”可以轻易危害网站安全,进行网页篡改等。SQL 注入是由于没有对用户输入数据进行严格的合法性验证造成的,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
防止SQL 注入攻击的核心还是在系统代码层面完善从而避免sql 注入漏洞的产生,需要严格进行输入变量的类型、长度以及过滤特殊字符。对于广电行业由于大部分系统都不是由自己进行开发的,因此我们需要有效的工具来避免黑客通过sql漏洞来进行攻击。web 应用防护服务可以根据查询语句的特征值有效的进行参数阻断,是一种有效的是自建融媒系统中的一项重要安全保障。
2.3 网页篡改
常见的网页篡改攻击形式有被互联网暗产控制被挂赌博链接或者广告文章。根据CNCERT 的报告2018 年有7049 个网站本篡改,但较2017 年下降了64.9%。由数据表明网页窜改风险大幅下降,但网页窜改仍是媒体行业要高度重视的一种攻击形式。媒体网站作为各级政府的重要宣传出口,具有极强的政治属性,因此应该做好应急预案,在最短的时间内删除被篡改网页,消除不良影响。传统广电往往采用24 小时人工监控的形式来进行风险管控。由于网页篡改一定会在页面中加入攻击者的信息。因此目前普遍采用的网页篡改发现方式如下:加强对关键网页进行监控,定时爬取网站内容对页面文字部分进行提取,判断是否有涉赌、涉黄、涉政的违禁词汇,从而判定网页是否被篡改。
2.4 DDoS 攻击
2018 年境内发起DDoS 攻击的活跃控制端数量同 比下降46%、被控端数量同比下降37%;DDoS 攻击的主要影响是,耗尽融媒系统的带宽资源、计算资源,造成部分业务不可访问。
目前解决DDoS 攻击没有很好的应对方法,系统本身防护的核心思路还是要提升系统的负载能力。接入CDN 服务可以有效提升系统带宽和负载能力,然而需要大量资金成本支出。黑龙江网络广播电视台受到的DDos 攻击峰值达到过60Gps,如果都用CDN 或者DDos 流量清洗服务来承接流量将产生巨额的费用支出。目前广电融媒系统针对DDoS 攻击的有效防御策略应该对图文、流媒体等不同业务进行划分,例如在业务上采用不同的域名、ip、接入线路来进行业务划分,从而保证单一业务被DDos 攻击时不会影响到其他业务的正常运营。
3 其他安全风险提示
3.1 运营帐户的管理
目前各个媒体单位都开始进行了自己的融媒矩阵建设,在今日头条、微信等各大平台都建立的众多的账号,但目前媒体对于账号的管理和平台对于账号的管理方式并不相同,这带来了潜在的网络安全风险。
各平台对于账号安全的管理有三个要素:用户名、密码、密保邮箱及电话。媒体管理账号则是运营者、密码、账号。在这些要素中权限等级最高的是手机信息,即在没有用户名和密码的情况下,通过手机号可以重新设置帐户其他信息。这样在在业务交接的时候往往只交接了账号、密码而没有及时变更手机信息。在一些情况下,如:人员离职、手机号注销;账号可能脱离媒体的掌控,进而造成严重损失。
3.2 盗刷类安全风险
此类安全风险并不是传统的破坏计算机系统,因此很难说这类行为是违法的,但它消耗了系统的运营资源。例如CDN 的盗刷和验证短信的盗刷,攻击者完全模拟正常用户的正常行为,登录系统发送验证短信,下发短信是需要预先购买的,当费用不足是就会造成业务中断。这类攻击手法很难通过技术手段识别出来,因此需要管理者在运营保障和资源损失之间做出抉择,以牺牲部分资源的代价保障系统的稳定运营。
4 结论
近年来随着网络建设的发展,网络安全要求逐步升级,总的来说网络安全管理拥有越来越多的工具和设备来保证计算机系统的安全运行。攻击目的也从系统破坏、病毒传播逐步发展到窃取企业信息、计算资源,因此防护重点也逐步向信息加密与安全转变。
此外,融媒号的发展和移动办公的需要,改变了传统计算机系统集中部署分区管理的方法。在分布是架构下数据传输的安全性和设备的准入管理需求,促使传统网络安全需要更多的资源进行新阶段的安全管理。