常祖国

（青岛西海岸新区职业中等专业学校，山东 青岛 266000）

0 引言

《广播电视技术迭代实施方案（2020—2022年）》提出智慧广电“安全大脑”这一概念，强调充分运用网络安全威胁情报、安全大数据与知识图谱等，强化广电网络安全体系。根据媒体融合发展与智慧广电网络的服务需求，为了坚守广播电视这一国家意识形态与思想文化传播的阵地，现阶段需深入研究广电网络安全防护体系。

1 智慧广电视域下广电网络安全防护体系架构

1.1 整体框架

根据智慧广电视域下的网络安全需求，网络安全防护体系可将大数据技术作为核心，提供多源异构的安全数据分析，以此综合分析广播电视系统中的各类安全数据[1]。防护平台中大数据技术可采集来自不同设备、应用程序以及其他安全监控系统的安全数据，同时进行存储、处理和分析，检测潜在的安全威胁和漏洞。该平台的大数据技术核心部分可面向多个方面的安全威胁情报，在构建安全算法模型的基础上，实现安全事件事前、事中、事后的预估、警告、协防和改进，确保广播电视系统的安全运营[2]。

1.2 功能架构

智慧广电视域下广电网络安全防护平台，由云端安全平台和本地安全组成功能架构。云端安全平台是整个架构的核心部分，拥有强大的存储和计算能力，负责接收、处理和分析广播电视行业的各类安全数据，同时提供多种云端服务。云端安全平台能够从全局的视角对广播电视机构的网络环境进行监控和分析，帮助机构及时发现和应对各类已知和未知的高级威胁[3]。

本地安全是部署在广播电视机构内部的组件，具备全视化检测和响应各类威胁的能力。本地安全可集成多个神经元，并使用先进的大数据处理技术，提供对安全全量数据的集中采集、处理、存储、查询和分析等功能。本地安全的核心能力体现在实时性、全面性上，一方面负责监测和分析广播电视机构网络中的安全事件，另一方面评估安全体系、管理知识库和维护安全培训等功能，为广播电视机构建立完善的安全运营体系。云端安全平台与本地安全大脑之间的协同工作，实现数据交互和服务支持的方式，也形成完整的安全运营体系，促进评估、改进、监测、分析、响应、止损、恢复及复盘全过程。

2 智慧广电网络安全体系关键技术

2.1 多源异构海量安全大数据处理技术

多源异构海量安全大数据处理技术涉及数据的采集、存储、处理和分析等环节，需要综合运用大数据存储、计算和分析技术，以及异构数据源对接和数据清洗等关键技术[4]。广播电视机构需要从各个数据源中获取相关的安全数据，包括网络设备产生的日志、应用程序的运行数据以及用户行为数据等。安全数据通常以不同的格式和协议存在，形成异构的数据源。因此，技术人员需要设计和开发适用的采集器，实现与不同数据源的对接、数据清洗、字段映射等功能，以此确保数据的准确性和完整性。考虑到广播电视行业的特点，安全数据通常具有高速和大容量的特征，需要使用高效的数据存储技术来满足存储需求。在构建网络安全平台方面，可采用分布式存储系统，将数据按照热度和访问频率进行划分，实现数据的高效存储和访问。在数据处理和分析环节，广播电视机构需运用大数据处理和分析技术，对海量的安全数据进行实时和批量处理，即使用流式和批示一体化分析的复杂事件处理（Complex Event Processing，CEP）引擎，建立规则和模型，实现实时的威胁检测和告警。数据可视化和报告呈现是多源异构海量安全大数据处理的补充环节。该环节可运用可视化技术，将复杂的安全数据转化为直观、易于理解的图表和报告，帮助安全运营人员快速分析和识别威胁，并进行相应的应对。

2.2 本地和全局关联分析优化技术

本地和全局关联分析优化技术主要面向安全大数据的处理和分析需求，采用一系列的策略和算法来提升关联分析的效率和性能。本地关联分析优化技术主要对关联分析引擎的逻辑计划进行优化，以提高查询效率[5]。类似于结构化查询语言（Structured Query Language，SQL）的优化流程，依赖大量启发式规则来重新安排逻辑计划，以消除不必要的计算步骤、减少资源开销和提高执行速度。本地关联分析优化技术还可采用条件前置技术，将CEP分析过滤语句前置，筛除不符合条件的数据，减少不必要的计算和数据传输开销，提高查询性能。

全局关联分析优化技术通过合并具有相似条件的CEP语句，减少过滤语句的执行次数，以达到减少计算和提高效率的目的。具体来说，如果存在多个CEP语句具有相似的条件，可以将这些语句合并为一个过滤项，对数据进行多次筛选，以此优化查询计划。

本地和全局关联分析优化技术包括字段裁剪和数据存储的优化。字段裁剪指的是对CEP语句中不使用的字段进行裁剪，在逻辑计划中避免不必要的内存消耗和计算开销，从而提高执行效率。数据存储方面，可采用压缩算法和数据分层等技术，减少存储空间的占用和敏感数据的风险，提高数据的存储和查询效率。本地和全局关联分析优化技术还包括对事件处理和调整的优化，如对重复统计只存储标识符而非原始数据、使用概率数据结构做近似统计、高速的JSON解析、TI信息匹配用内存缓存、高速无锁化RingBuffer事件缓存队列以及低开销的乱序事件调整等。

2.3 多级告警收敛聚合技术

多级告警收敛聚合技术一般运用多种手段降低告警数量，实现跨设备、跨攻击阶段、跨攻击链的告警聚合效果。在广电安全运营平台中，告警产生的初级阶段可从网络设备、应用程序等多个数据源采集告警信息，并对这些告警信息进行预处理和清洗，以排除重复和噪声告警，提高告警的可信度和质量。在告警聚合的中级阶段，采用多种聚合手段聚合相关的告警，可基于时间窗口、设备标识、攻击特征等多个维度进行聚合，将同一行为或事件产生的多个告警聚合成一个安全事件，以此减少重复告警，提高告警的可读性和理解性。在告警处理的高级阶段，将聚合后的安全事件与已知的攻击模式或威胁情报进行关联，可通过建立规则库、使用机器学习算法、参考第三方威胁情报等方式来实现。值得注意的是，多级告警收敛聚合技术具有一定的自动化和智能化特点。

2.3.1 数据源可信度评估

数据源可信度评估是多级告警收敛聚合技术的一个重要环节，主要对数据源的可信度进行评估，判断每个数据源提供的告警信息的准确性和可靠性，并根据评估结果进行告警的优先级排序和处理。

2.3.2 场景化聚合指标

场景化聚合指标是在多级告警收敛聚合过程中使用的一种评估指标。定义合适的场景化聚合指标，可将相关的告警聚合成为具有实际意义和操作性的安全事件，以提高告警的可读性和理解性。场景化聚合指标可根据特定行为、攻击阶段、攻击链的各种情况进行定义。

2.4 自动化无损安全防御有效性验证技术

自动化无损安全防御有效性验证技术涉及南北、东西向攻击评估，以及终端安全能力和邮件网关能力评估。在南北向攻击评估中，主要模拟从互联网侧发起对Web应用的攻击，涵盖网站模拟攻击、远程漏洞模拟攻击、黑客工具模拟等常见的安全场景。在东西向网络攻击评估中，主要模拟内网中主机之间的网络攻击行为，包括横向移动攻击模拟、中间件漏洞利用、内网黑客工具模拟等，以检测和评估内网网络安全设备对内部攻击行为的防御能力。终端安全能力的评估，主要模拟各种恶意行为，如恶意执行、驻留、提权、对抗、横向移动和命令控制等，以评估终端安全设备的安全能力。在评估邮件网关的安全能力方面，主要以发送钓鱼邮件给工作人员的方式，检测该环节是否成功拦截，进而评估邮件网关对威胁邮件的检测和拦截效果。

不同的评估场景中，可进行周期性调控（7×24 h的持续评估）与自动化评估，生成评估报告并与ATT&CK技术战术进行映射和分析。报告中包含整体防护率、检测率和阻断率等指标，以及评估结果详情和改进建议。

3 应用案例

广东广播电视台在2021年国家广播电视总局组织的实网攻防演习中，采用以大数据技术为核心的网络安全防护体系，完美应对了演习考验。广东广播电视台的智慧广电网络安全体系除了依靠大数据技术实现检测、侦察、追踪溯源等安全防护以外，通过不同环节的本地和全局关联分析优化技术、多级告警收敛聚合技术、自动化无损安全防御有效性验证技术提升了整体网络安全水平。可见，建立智慧安防系统有助于提高广播电视网络安全防御效能。

4 结语

在智慧广电视域下，广播电视网络安全防护体系的构建对于保护关键信息资产、确保业务连续性、防范网络攻击和威胁、提升用户信任和满意度以及满足法律法规要求至关重要。针对当下的发展需求与要求，广播电视网络安全防护体系还应结合自身发展情况、时代发展情况以及传输技术、网络技术等迭代情况，合理构建网络安全防护机制，保障业务稳定发展并为用户提供安全可靠的服务。