学术交流
当前位置:
  • 首页
  • >
  • 学术交流
  • >
  • 专题研讨

广电网络信息安全现状及未来发展(上)

2014-11-26 09:50 来源:电视技术

责编:陈默

广电网络信息安全现状及未来发展(上)

2014-10-22 《电视技术》编辑部

【原编者按】201481日,温州有线电视网络被攻击案在全国有线网络行业引起巨大反响,为了更好地帮助有线网络解决信息安全问题,20148月,由“友好网联盟”承办的“广播电视安全播出经验交流会”在西安顺利举办,来自全国近20家有线网络公司运维部的管理人员根据各地的情况,针对信息安全的方方面面进行了深度沟通与探讨。本刊将交流内容整理成文,以期为信息安全建设提供有意的借鉴

 

贵州:广电网络安全播出概况

贵州省广播电视信息网络股份有限公司由省公司、9个市州公司、75个县级分公司、497个乡镇服务站组成,是全省广电网络整合、资产重组转制成立的文化企业。作为全省唯一的广电网络服务机构,目前贵州广电网络拥有420万用户,其中高清互动覆盖用户为250万。运营平台采用唯一的总系统前端,双向网改采用PON+EoC技术,及IPQAM互动模式。

1.贵州省广电网络播出平台情况

单向直播播出平台:可覆盖全省420万有线电视用户,主要业务包括高清、标清、数据,在传输模式上采用骨干传输、本地插入模式,接入模式为有线、无线相结合。

双向互动平台:覆盖全省220万双向有线网络用户,其中双向高清终端为70万户。在传输方面采用统一核心平台、专用推流网络,在接入方面采用IPQAM推流、双向网络接入方式。

其他外联网络:主要包括互联网接入、门户网站、网络视频门户(多屏看)、BOSS系统、信息发布系统及媒资系统。

2.威胁安全播出的因素

从历史上看,广电网络遭受安全攻击主要有以下两种方式:从分配网非法插入及卫星干扰。

随着广电网络的日益复杂及新业务的不断推出,广电网络将面临众多新的安全威胁,主要包括:来自外部互联网络对系统的入侵;内部用户接入网络的安全;企业内网的用网安全;关键岗位的管控;相关信息发布管理的合理流程。

3.技术应对策略

贵州广电的安全应对策略主要包括:直播系统确保不与外网物理连接;增加网络防护设施,加大入侵难度;对门户类网站进行实时内容监控;根据用户智能卡号和对应密码确定用户身份;互联网运用与点播信令回传通道进行隔离;对整个互动内容和系统进行实时监测等(见图1、图2)。

 

1 贵州省网业务安全体系


2 贵州互动电视综合监测系统

4.管理应对策略

首先,规范关键岗位职能和内容发布流程。主要工作包括:发布和内容修改的岗位,严格执行双人操作制度;对信息发布流程进行严格的管控;增设各地信息发布内容监控点。

其次,加强一线工作人员的选择和甄别、主要工作包括:发布和内容修改的岗位,严格执行双人操作制度;对信息发布流程进行严格的管控;增设各地信息发布内容监控点。

5.近期进行的工作

主要工作包括:增加防火墙,严格实施内外网隔离;对相关管理制度进行完善及修改等。


河北:网络安全播技术与管理

河北广电信息网络集团的安全防护主要包括以下三方面的内容,即加强顶层结构,构建强有力的领导小组;其次是提升人员综合素质,以应对各种日常和突发事件;第三是基础层面的安全防护。

1.构建安全小组

当前,信息技术革命日新月异,对国际政治、经济、文化、社会、军事等领域的发展已产生了深刻影响。互联网已融入社会生活的方方面面,深刻地改变着人们的生产和生活方式。网络安全和信息化对于一个国家很多领域都是牵一发而动全身,因此,要充分认识做好网络安全和信息化工作的重要性和紧迫性。中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平227日下午在主持召开的中央网络安全和信息化领导小组第一次会议上发表重要讲话,强调网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。

互联网文化与广电网文化已经产生了接触、碰撞,挑战和机遇不断出现。基于此,河北广电信息网络集团网络组成了由高管任组长,各部室主任为成员的安全小组。在企业安全战略运筹上提高决策支撑能力、统筹协调能力、应急反应能力及综合施策能力。深入学习贯彻习近平总书记在中央网络安全和信息化领导小组第一次会议上的重要讲话精神,研究我们小组工作规则,部署公司网络安全工作规则。同时,严格按照《广播电视安全播出管理规定实施细则》编制要求内容。对突发事件及时做出响应和处置,避免突发事件扩大或升级,以最大限度减少突发事件造成的损失。

2.提升员工综合素质

互联网拉近了人与人之间的距离,人与人之间的社会关系从现实社会移动到虚拟社会。工作中收发邮件的两个人,是同事或者上下级。博客之间互相评论的人,在现实中可能是亲戚或者朋友。一个人在社会中的角色,会慢慢在社交网络中浮现出来,有人会有疑问,这和互联网信息安全有什么关系?互联网信息安全不是反病毒吗?互联网信息安全不是靠漏洞发起攻击的吗?一台电脑不上网,不连接任何外接设备不就永远不会感染病毒吗?的确是这样,但是有一个最重要的安全节点被忽视了,那就是人。你可以说服人把计算机的网线接上,把杀毒软件卸载掉,打开所有的端口,因此人才是互联网信息安全中最薄弱的环节。

最简单的例子:一个在身边略懂电脑的同学每天在微博上面发一些360安全卫士的负面消息,比如窃取用户隐私,收集用户电脑内的文件信息等。当然他也不知道360具体窃取了什么隐私,收集了哪些文件信息,那些文件是干什么的。潜移默化中,一些不懂网络安全的朋友就相信了他所说的话,卸载掉了360,我们不讨论360是否真的窃取了用户隐私。但一个人在互联网上或者计算机内的行为,可能就因为受到了一些客观因素的影响而改变了。这就是个简单的、非主观的利用自身社会角色来影响他人互联网行为的社会工程学范畴的攻击360安全卫士是被攻击方,卸载360和散播360负面消息的人就成了攻击方。

同时,微信等新型社交平台的出现,大大提升了虚拟社会交往的速度及广度,有一种理论叫做六度分隔理论,告诉我们只需要不超出6位中间人,就可以间接地与世界上任意一位先生或者女士相识。社交网络上面,就有你完整的社会关系拓扑图。

人们的个性化信息构成了我们的大数据,通过手机的应用软件数据就能得知你是做什么的,兴趣、爱好、身体状况怎么样。社会工程学的应用越来细致,越来越精准。

著名黑客凯文·米特尼克于2002年推出了一本关于社会工程学的公益性质的畅销书。目的是让全球的网民们能够懂得网络安全,提高警惕,防止没必要的个人损失。同时其也成为黑客们学习的高级教程。

2013年发布的《黑客社会工程学攻击2》,作为国内首本以案例为主、理论为辅的社会工程学参考书,没有理论、没有说教,直击社工尸攻城现场,还原一个个经典案例,令人汗毛倒竖,却也大呼过瘾。大家可以从里面了解和体会社会工程师的思维模式与enjoy hacking的方法。

基于此,对于广电网络公司来说,增强员工的互联网安全意识,严防社会工程攻击势在必行。

此外,还要做到提升员工基本技能的熟练度、细致度、认真度等。人员技术水平是科技公司的基础,水平提高之后再讨论运营维护,才会水到渠成。具体工作包括精细化人员、设备管理及专用的网络部署。河北广电网络部署了很多系统,如VOD系统、时移系统、互联网系统等,如果没有精细化的管理,就没有办法发现问题,更无从去解决问题。我们通过值班日志、设备日志对比审查,来考核值机员的认真度,从而提升值班质量。通过经常进行局部筛查,定期进行全网巡检,定期、不定期组织实际演练等,把学到的内容实实在在地应用到工作中。

3.基础层面安全保护

1)异地平台备份

对于一家网络运营商来说,在遭受如火灾、水灾、地震、战争等不可抗拒的自然灾难以及计算机犯罪、计算机病毒、掉电、网络/通信失败、硬件/软件错误和人为操作错误等人为灾难时,容灾系统将保证用户数据的安全性(数据容灾),甚至一个更加完善的容灾系统,还能提供不间断的应用服务(应用容灾)。可以说,容灾系统是数据存储备份的最高层次。

在异地平台备份方面,河北广电网络主要采取了以下3种方式:

方式1:传统的ASI-DS3方式。省级前端与传输对接方式见图3

3 传统的ASI-DS3方式,DS3选路保护

其中,主机房、备机房、传输机房分别部署DS3选路保护,并配置DS3选路策略。

一般部署情况:A前端为主路、B前端为辅路,由传输端部署的选路器来选路。

问题1A前端受到攻击

问题2A前端线路受到攻击

方式2:组播承载方式。这是有线数字前端基于IP组播承载业务常规方式,省有线前端与传输对接方式见图4

4 组播承载方式

其中,A前端双路并行播发,B前端单路播发,产生3路信号发往地市端,也就是说产生了3倍流量。

方式3IP组播承载方式。IP选路保护。见图5

5 IP组播承载方式

其为基于IP组播承载业务方式。其中,主机房双复用器双路并行播发;备机房双复用器单路播发;在传输机房采用IP选路保护器,将A前端一路IPB前端IP信号形成21结构,这样就会去掉一路基本信号的传输成本,增加一路其他增值业务的能力。

2)路由器安全

主要策略包括:配置用户名并开启加密方式保存密码;制订路由器基本安全策略;防止ICMP重定向、外部源路由欺骗、盗用内部IPsmurf;关闭Web管理功能等可以不用的服务;设备配置QoS策略和CAR策略功能及防范DoS等。

据《2013年我国互联网网络安全态势综述》报告称,国家信息安全漏洞共享平台在分析验证D-LinkCiscoLinksysNetgearTenda等多家厂商的路由器产品后,发现它们都存在后门,黑客可由此直接控制路由器,并进一步发起DNS劫持、窃取信息、网络钓鱼等攻击,直接威胁用户网上交易和数据存储安全,使得相关产品变成随时可被引爆的安全地雷。以D-Link部分路由器产品为例,攻击者利用后门可取得路由器的完全控制权。CNVD分析发现,受该后门影响的D-Link路由器在互联网上对应的IP地址至少有1.2万个,可影响大量用户。这也同样说明,黑客可以同时攻击干线路由器。基于此,河北广电针对路由器安全采取了以下安全措施:

首先,配置用户名并开启加密方式保存密码。

其次,制订路由器基本安全策略。防止外部IP地址欺骗,外部网络的用户可能会使用内部网的合法IP地址或者回环地址作为源地址,从而实现非法访问;防止外部的非法探测。非法访问者对内部网络发起攻击前,往往会用ping或其他命令探测网络,所以可以通过禁止从外部用pingtraceroute等探测网络来进行防范。路由器一般可以通过telnetSNMP访问,应该确保Internet上没有人能用这些协议攻击路由器;阻止对关键端口的非法访问。关键端口可能是内部系统使用的端口或者是防火墙本身暴露的端口。对这些端口的访问应该加以限制,否则这些设备就很容易受到攻击。此外,攻击者有时会利用ICMP重定向来对路由器进行重定向,将本应送到正确目标的信息重定向到它们指定的设备,从而获得有用信息;防止外部源路由欺骗。源路由选择是指使用数据链路层信息来为数据报进行路由选择。该技术跨越了网络层的路由信息,使入侵者可以为内部网的数据报指定一个非法的路由,这样原本应该送到合法目的地的数据报就会被送到入侵者指定的地址;防止盗用内部IP地址,攻击者可能会盗用内部IP地址进行非法访问,开启mak地址绑定功能;要在源站点防止smurf,关键是阻止所有的向内回显请求。这就要防止路由器将指向网络广播地址的通信映射到局域网广播地址。

第三,路由器除了可以提供路径选择外,它还是一台服务器,可以提供一些有用的服务。路由器运行的这些服务可能会成为敌人攻击的突破口,为了安全起见,最好关闭这些服务。

第四,拒绝服务(DoS)是目前黑客广泛使用的一种手段,可通过独占网络资源、使其他主机不能进行正常访问,从而导致网络瘫痪,我们可以通过在接入路由器上采用QoSCAR限速策略来达到抵御的目的。QoSQuality of Service)是网络的一种安全机制,可解决网络延迟和阻塞等问题,在路由器中主要是实现IP带宽控制功能,防止部分IP占用大量带宽。

3)组播安全防范

1IGMPv3

作为一种与单播(Unicast)和广播(Broadcast)并列的通信方式,组播(Multicast)技术能够有效地解决单点发送、多点接收的问题,从而实现网络中点到多点的高效数据传送,能够节约大量网络带宽,降低网络负载。

目前,河北广电网络利用组播技术来提供一些新的增值业务,包括在线直播、网络电视、远程教育、远程医疗、网络电台、实时视频会议等对带宽和数据交互的实时性要求较高的信息服务。

IGMPv1:主机可以加入组播组,没有离开信息(leave messages),路由器使用基于超时的机制去发现其成员不关注的组。

IGMPv2:该协议包含了离开信息,允许迅速向路由协议报告组成员终止情况,其对高带宽组播组或易变型组播组成员而言是非常重要的。

IGMPv3:与以上两种协议相比,该协议的主要改动为允许主机指定其要接收通信流量的主机对象,来自网络中其他主机的流量是被隔离的。同时,IGMPv3也支持主机阻止那些来自于非要求的主机发送的网络数据包,综上所述,采用IGMP V3更为安全。

2ASMSSM

ASM需要组地址的良好分配,在任何假定的时间,一个ASM组应该通过一个单独的应用被使用。当两个应用同时使用相同的ASM组播组时,接收设备从两个应用的源接收相同的应用,这种模式可能导致网络中意料之外的通信,或导致网络连接的拥塞与应用接收设备的故障。ASM通常采用239/8的地址范围。

SSM仅仅在每个源主机中进行预先规划,而不需要组地址在网络中的预先规划。当运行在相同源主机时,不同的应用必须使用不同的SSM组。运行在不同的源主机时,不同的应用可以任意重新使用SSM组地址,这不会导致任何网络流量的超出。默认的SSM地址范围为232/8,用户也可以自由配置。

此外,还需要在相关路由器上建立严格的ACL,明确哪些组播信息可以通过,哪些不可以。组播边界设置不仅可以减少路由器负担,而且能保证内容安全。边界设置主要有两种模式,一种是组播ttl,另一种是组播boundary

 

江西:网络安全的建设、管理经验

江西广电网络现有用户350万户,建设有传输网、数字电视网、业务网、数据网等4张网络。其中,传输网作为其他网络的承载网,与其他系统进行了物理隔离,网管系统只预留了远程维护接口,不用时断开。数字电视网通过接口机与业务网连接,江西广电网络计划在这部分增加一台安全堡垒来实现安全保障。业务网通过接口机与银行、短信提供商、双向互动平台连接,连接均由防火墙保障安全。数据网将用户与管理分为两个网络,并采取了相应的安全措施。下面,笔者将网络安全问题细分成四个层次分别进行讨论,分别为门禁、线路、用户鉴权及监测。

1.门禁

门禁是安全防护最外面的一层,它直接面对着外部各方面的冲击。我们认为门禁系统应由各种规章制度以其执行力组成,其是一个管理上的问题。目前,江西省广电网络公司的省中心机房设有五道门岗,进大院一个,小院一个,进大楼一个,进设备区一个,每个机房单独设门岗,其中前4个均为专人值守。在门禁管理制度方面,江西省广电网络制订了一整套安全播出工作手册,并严格执行先申请再进入的程序。且进入机房后需要由机房工作人员全程陪同。这一层最危险、最容易出的问题我们认为是来自机房内部人员。为此,江西广电采取了以下措施:

首先,是制订完善的规章制度。

其次,是分项目,分机房,分权限。即每个工程师负责一个主项目和一个次项目,在主项目中他的权限最高,次项目确保在其主负责人不在时通过电话能够解决问题。

第三,机房负责人经常与机房维护工程师聊天,以了解其思想动态,确保其积极健康向上。

第四,每周二召开一次例会,既是一次技术交流,也是一次思想交流,增进同事之间的和谐关系。

2.线路

这一层指的是各种光缆、电缆、有线、无线的接入机房的线路。保障链路安全首先是要对每条线路登记资料,主要包括光缆、电缆及卫星天线等。其次,对每条线路做好标记,标记上注明线路来自那儿以及去那里。此外,设置摄像头监控这些线路并定期检查。

在这一层中,最危险的是电缆和卫星天线,我们目前还没有发现光缆被入侵的案例。

在电缆方面,江西广电网络采用了三路外电(高压一路、低压两路),变压器设置在公司的院子内,目前较安全。

卫星天线采用主备两套,置于机房的两侧,同时与南昌市机房利用一套思科的DCM设备,可互相交换10ASI信号,互为备份。

3.用户鉴权

用户鉴权是指外来信号通过各种手段进入机房后,对设备进行操作前需要鉴别该信号是否合法及权限是否足够。其首先所有涉及到广播设备与服务器,因此坚决不能与互联网连接,需维护或者设置时,一律申请在机房进行操作;其次广播与其他诸如业务网互动网之间通过接口机和安全网关互联,权限设置必须为最小;最后,必须连接互联网的地方,用防火墙连接。

这一层的危险在于被非法入侵。

首先,我们对设备、服务器的密码按照大小写字母+数字+特殊符号的原则进行设置。用户名、密码只以书面形式记录,并存于机房负责人处,两人才能开启。

其次,防火墙、安全网关通过权限按照系统必须进行最小设置。必须远程维护操作,必须经过安全网关,安全网关会记录所有操作,且全程有专人监控,操作一般安排在晚上1点后进行,维护完成后,我们会对相应的系统进行检查。

4.监测

江西广电网络建设了一套全省数字电视信号监测系统,该系统目前已全面覆盖全省10个设区市及80个县市区前端机房。其中,省中心机房能够对各分公司前端机房的节目监测系统进行管理,从而实现对所辖分前端有线数字广播电视的播出情况进行监测、管理和考核。此外,监测系统能做到信道层、码流层实时监测及报警、TR 101 290三级错误实时监测及报警,对所有信号的故障记录及故障进行录像。


青海:安全播出应急管理浅析

青海省辖区内6个民族自治州,7个民族自治县级34个民族乡,从藏区和维稳角度,青海有线网络在安全播出上又多一层特殊性和重要性。

1.机房

虽然青海省有线网络的整合工作已经完成,但目前还存在三个相对独立的前端机房:省公司、原西宁市公司(3个区)及格尔木分公司。其中,西分机房由于机顶盒的配合等问题,还有几万台单向机顶盒无法升级;各分机房个别光缆干线未通达到县级分公司,如玉树、果洛等。

省公司机房:

信源:主要包括中央台节目。主用国干信源、环网、自动切换;各地卫视:指定的卫星;本地节目:由当地电视台光缆环网传送。

在新源安全方面,目前,本地前端有2IP平台互为备份,下一步将在玉树、格尔木做异地信源备份;有信源预警监测系统。

机房环境及安全:门禁、24小时值班;机房供电:两路外电、两路UPS6080KVA)、一路柴发(300 kW及完善的机房安全制度。

2.传输

城域网:有分前端的形成自愈环网。采用光点到楼的结构。

长途光缆干线:通过自建、租杆挂缆、租纤、形成1550环网,个别分公司有支链但未形成环网的,放清流的数字备份平台。今年开通大部分地区OTN传输网。

3.数据环节的安全防范

1)公司数据业务方面:严格公司内外网系统建设,局域网和互联网要求独立,做到物理隔离;在OA电子自动化办公系统和BOSS运营支撑系统方面,严格人员权限,规范上网和操作行为。员工个人账号必须设置密码,离开时要求及时退出,避免人为方面的安全隐患。

2CAS条件接收系统方面:数字电视前端采用了永新视博CAS条件接收系统和数码视讯CAS条件接收系统,并进行了同密。OSD和邮件发布由公司专人进行管理,做到了三级审核。该系统的安全性能通过公司严格的权限管理,尤其OSD和邮件发布工作由专人负责,并责任到人;各分公司营业厅收费电脑通过内网与BOSS系统服务器连接,除CAS系统管理员外,其他人不得随意进入CAS系统进行任何操作,以保证合法信息的正常播发,不给非法信息留有可乘之机。

3)高清互动点播系统:目前,青海广电网络的华数互动点播业务平台为杭州华数的CDN分发中心,属于分前端点播模式。高清互动系统在杭州华数公司,系统的安全性也由华数公司来保障。

4)广告系统方面:广视易通广告系统完全独立运行,青海广电网络公司局域网与互联网没有互联。广告公司发布的广告由相关部门专人负责发布。

4.下一步工作

下一步工作包括:电子邮件显示机制、策略的变更;部门之间职责的界定;内部客户端、网上营业厅的管理;设备巡检、升级,提供商应现场进行;机房操作有完整的记录;外网连接端口的隔离、管理;补充进《应急预案》中。

 

该文已刊登在《电视技术》2014年第20期

订阅电话:010-59570227