如何防范信息交互帶給互動(dòng)電視網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)

和傳統(tǒng)廣播式數(shù)字電視“我播你看”的模式不同，互動(dòng)電視提供給用戶更多選擇的余地，不僅可以自由選擇想看的節(jié)目內(nèi)容，還可以享受游戲、通訊、購物等更多的增值服務(wù)。

互動(dòng)電視網(wǎng)絡(luò)存在哪些安全風(fēng)險(xiǎn)

在廣播式的電視系統(tǒng)時(shí)代，有線電視網(wǎng)絡(luò)相對(duì)簡單和封閉，其安全僅需考慮物理層暢通和前端信源播出的安全即可，因此，各地有線電視運(yùn)營商普遍對(duì)網(wǎng)絡(luò)安全體系的建設(shè)不夠重視。

隨著互動(dòng)電視的發(fā)展，特別是，由于新的互動(dòng)業(yè)務(wù)系統(tǒng)，如視頻點(diǎn)播、電視購物、互動(dòng)廣告、時(shí)移電視、電視銀行、電視教育、互動(dòng)投票、電視游戲、交互式EPG等的不斷出現(xiàn)和應(yīng)用，互動(dòng)電視業(yè)務(wù)系統(tǒng)打破了廣播式數(shù)字電視系統(tǒng)與外界物理隔離的特性。除了需要與用戶終端進(jìn)行交互外，互動(dòng)電視業(yè)務(wù)系統(tǒng)還需要與銀行、電信運(yùn)營商、外部內(nèi)容提供商、第三方合作伙伴等外部的網(wǎng)絡(luò)進(jìn)行聯(lián)通以傳遞業(yè)務(wù)信息。

而正是這些信息交互，給有線電視網(wǎng)絡(luò)帶來了更多的網(wǎng)絡(luò)安全隱患，比如信息泄密，比如業(yè)務(wù)中斷，以及數(shù)據(jù)丟失等等。如何確保內(nèi)容的合規(guī)性、防止網(wǎng)絡(luò)上的非法入侵、防范病毒的擴(kuò)散、保護(hù)用戶的信息不被竊取等都成為了有線電視運(yùn)營商需要考慮的問題。

借用鹿角抵御騎兵的安全防御思路

在冷兵器戰(zhàn)爭時(shí)期，騎兵是一種威力驚人的兵種——速度快、沖擊力強(qiáng)，加上重磅武器，在戰(zhàn)場有很大的威力。為了對(duì)抗騎兵，一種名為“鹿角”的防守器具出現(xiàn)了。

“鹿角”是將許多尖銳而堅(jiān)固的樹枝或樹干捆綁在一起，或者是將圓木削尖、交叉捆綁在一起，之后放置在干道上，從而可以有效阻止騎兵的快速進(jìn)攻。此外，還可以在鹿角上綁上一些鈴鐺，以便在敵軍步兵移動(dòng)鹿角時(shí)可以為守軍提供警報(bào)，從而及時(shí)、有效地防止敵軍對(duì)本軍營寨的襲擊，大大提高了軍營的安全預(yù)警和防范能力。

國內(nèi)著名網(wǎng)絡(luò)安全專業(yè)廠商啟明星辰認(rèn)為，互聯(lián)電視網(wǎng)絡(luò)就可以參考這一思路，通過構(gòu)建數(shù)據(jù)交換網(wǎng)絡(luò)，隔離外部系統(tǒng)與互動(dòng)電視業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)攻擊的預(yù)警和防護(hù)，保障數(shù)據(jù)的安全交互。

數(shù)據(jù)交換網(wǎng)的核心思想，是在互動(dòng)電視業(yè)務(wù)系統(tǒng)與外部系統(tǒng)之間建立一個(gè)可監(jiān)控的、安全的、專用的數(shù)據(jù)交換網(wǎng)。數(shù)據(jù)交換網(wǎng)中有防護(hù)措施、檢測措施、審計(jì)措施等，負(fù)責(zé)交換業(yè)務(wù)數(shù)據(jù)、抵御外部的攻擊、阻止入侵與病毒的通過，通過業(yè)務(wù)代理隔離直接訪問、通過審計(jì)驗(yàn)證業(yè)務(wù)安全。

數(shù)據(jù)交換網(wǎng)如何演繹鹿角功效

上圖描述的就是數(shù)據(jù)交換網(wǎng)的典型部署：采用了多功能安全網(wǎng)關(guān)(UTM)、入侵檢測系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)與一體化安全網(wǎng)關(guān)異構(gòu)的防護(hù)措施(如防火墻、入侵防御等)以及前置機(jī)等多種安全技術(shù)，實(shí)現(xiàn)了事前的防護(hù)、事中的監(jiān)控以及事后的審計(jì)，阻斷了外部與業(yè)務(wù)系統(tǒng)的直接連接，并隔離了通用協(xié)議。

通過一體化安全網(wǎng)關(guān)、前置機(jī)、網(wǎng)閘，實(shí)現(xiàn)鹿角的“阻擋”功能：

一體化安全網(wǎng)關(guān)在高性能硬件平臺(tái)上融合防火墻、網(wǎng)關(guān)防病毒、入侵防御、抗拒絕服務(wù)、用戶帶寬管理、文件過濾等一系列的網(wǎng)關(guān)級(jí)防御功能，作為數(shù)據(jù)交換網(wǎng)的第一道防線，能較好地實(shí)現(xiàn)邊界防護(hù)功能。

前置機(jī)代替業(yè)務(wù)系統(tǒng)直接與外部系統(tǒng)進(jìn)行通訊，阻斷了外部系統(tǒng)與業(yè)務(wù)系統(tǒng)的直接連接，可進(jìn)一步提高互動(dòng)電視業(yè)務(wù)系統(tǒng)的安全性。

異構(gòu)防護(hù)措施作為數(shù)據(jù)交換網(wǎng)與互動(dòng)電視業(yè)務(wù)系統(tǒng)的最后一道邊界，能夠?qū)崿F(xiàn)與多功能安全網(wǎng)關(guān)異構(gòu)的防護(hù)效果。兩道強(qiáng)大的防護(hù)門檻有效的隔離了安全等級(jí)不同的網(wǎng)絡(luò)，大大降低了入侵的“門路”。

而鹿角上的“鈴鐺”，就是檢測和審計(jì)，這些旁路部署的設(shè)備，可以在有攻擊或者是違規(guī)操作發(fā)生時(shí)，給予用戶實(shí)時(shí)的報(bào)警和響應(yīng)：

入侵檢測產(chǎn)品，主要實(shí)現(xiàn)數(shù)據(jù)交換網(wǎng)內(nèi)的入侵行為、異常流量實(shí)時(shí)監(jiān)測，該處主要是針對(duì)高級(jí)黑客的攻擊行為與未知攻擊的監(jiān)控。

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能夠詳細(xì)記錄對(duì)業(yè)務(wù)的訪問行為，實(shí)現(xiàn)對(duì)業(yè)務(wù)的細(xì)粒度審計(jì)，為安全事件的分析和查證以及安全措施及策略的調(diào)整提供充分的依據(jù)。

至于安全管理平臺(tái)，則是軍營中的傳令偵查兵，對(duì)所有防御、檢測措施進(jìn)行統(tǒng)一的安全管理和監(jiān)控。能夠?qū)崿F(xiàn)對(duì)信息系統(tǒng)安全狀態(tài)、安全風(fēng)險(xiǎn)的監(jiān)控和管理，通過監(jiān)控系統(tǒng)漏洞的變化情況，實(shí)時(shí)展示重要的資產(chǎn)和業(yè)務(wù)的脆弱性及其所面臨的風(fēng)險(xiǎn)，對(duì)資產(chǎn)進(jìn)行基于保密性、完整性、可用性等安全屬性的評(píng)估。

隨著各地互動(dòng)電視建設(shè)的飛速發(fā)展，互動(dòng)電視系統(tǒng)的安全建設(shè)也成了所有有線電視運(yùn)營商不得不關(guān)注的重要問題。通過建設(shè)一個(gè)鹿角式的數(shù)據(jù)交換網(wǎng)絡(luò)，可以極大的減少互動(dòng)電視系統(tǒng)的安全風(fēng)險(xiǎn)，一些正在考慮安全建設(shè)的機(jī)構(gòu)可以參考該思路。