广电云媒体电视平台安全防护建设之道.docVIP

广电云媒体电视平台安全防护建设之道 　　摘要：为了保障广电云媒体电视平台能够安全、稳定、持续的对外提供服务，需要从多个层面展开安全建设 关键词：云媒体电视平台 在信息技术迅猛发展的今天，云计算正一步步走进人们的视线，成为当今最炙手可热的新技术。在互联网行业，云计算已经得到广泛的应用，包括谷歌、微软、IBM等公司纷纷推出了各自的云计算平台，搜索引擎、网络信箱更是与互联网用户有着密不可分的关系，但这些应用仍然只是云计算应用的一小部分 在三网融合的浪潮下，互联网视频的异军突起，使得广电传统视频业务面临着巨大挑战。迫于发展压力，广电行业不得不在短时间内建设多套业务系统，推出新的业务。由于国内多数已部署的互动平台系统中不同组件之间大多缺乏明确界定的开放式接口和协议，从而导致大量重复投资建设，维护成本增加，系统扩容和业务融合的难度越来越大。为了保障广电云媒体电视平台能够安全、稳定、持续地对外提供服务，需要从多个层面展开安全建设 云媒体电视平台具体应用类型 OTT平台：OTT平台作为原本独立的DTV平台与Internet平台间的桥梁，将DTV的视频点播、直播业务引入到Internet服务平台，将可利用的Internet业务引入到DTV平台；从用户层面上，可保证用户从不同终端均能访问OTT平台，获取不同的业务服务 电视互联网平台：提供新闻、视频节目及其他互动功能的web门户站点 云媒体电视平台安全分析及防护建设 一、业务类型分析。OTT系统是面向广电运营商，为了提供全面的、整体的视频解决方案，包括媒资的注入、打包、分发、产品化管理、推流、多终端适配、码流自适应等各个环节，满足用户高质量体验需求。OTT系统融合数家国际上成功运营的OTT系统的架构体系，同时兼顾国内广电运营商目前现有的系统情况，符合业界使用广泛的NGOD标准；遵循开放、可用、可靠、可管、可控、可维护等原则，并为媒资、广告等系统提供规范的接口 OTT平台为有线数字电视平台的补充，可以将直播频道、VOD平台视频点播资源引进互联网接入业务平台，从而形成覆盖个人计算机、手机、PAD等移动多媒体终端的视频服务体系。OTT平台为互联网接入平台的补充，可以引导宽带互联网接入用户访问OTT平台获取视频点播内容，从而降低宽带互联网出口压力；另一方面，通过该平台提供高质量的音视频点播、直播内容，能够显著提高用户相关体验，有利于宽带互联网接入业务的推广 二、网络现状。OTT平台当前网络现状如图1所示 当前，OTT业务平台连接云媒体电视核心平台实现数据交互，安全防护措施只有防火墙系统实现部分区域的逻辑隔离 三、风险分析。（一）网络结构产生的风险。OTT业务平台没有进行VLAN划分，不同应用类型服务器之间均可进行互相通信。如果OTT业务平台中的某台服务器被攻陷，会影响整个服务器上的承载的业务，将会带来很大的风险，严重破坏信息的可用性、机密性及其完整性 （二）网络边界接入的风险。OTT业务平台在该出口部署了防火墙设备，而忽略了内部的边界，如服务器边界，而这些边界却能带来巨大的风险。如内部人员可以攻击服务器边界或者安全区域以及其他区域的边界，会导致重要数据泄露或者网络不可用等风险 （三）网络节点局域网安全风险。根据调查，在已发生的危害网络安全的事件中，约80%来自内部网络，根据OTT业务平台的情况分析，面临的安全风险主要是： 1.由于OTT业务平台在局域网内部，没有明确界定不同用户、不同信息和不同系统安全级别，没有实现基于安全域的访问控制，给关键系统和信息的安全保护带来了风险 2.在内部网不同安全域之间普遍没有防护措施，不能有效抵御内部的安全威胁 3.内部人员有意或无意间泄露内部网络结构、账号、口令等重要信息，为针对网络的攻击提供了条件 4.针对路由器、交换机的攻击，造成路由破坏 （四）边界粗粒度控制带来的安全风险。由于OTT业务平台在边界处仅仅通过防火?Φ募际踝龇梦士刂疲?现在的攻击很多是基于应用层来实现的，如文件型病毒、蠕虫、木马等，而这些攻击防火墙显得无能为力。因此如果不对边界进行深度访问控制，将会出现数据泄漏、网络上充满大量攻击数据包等重大风险 （五）配置缺陷的风险。1.缺乏对操作系统基本安全配置的指导，导致某些主机由于配置不规范如弱口令、文件共享等被作为跳板来攻击其他机器 2.重要应用和服务器的数量种类日益增多，对业务系统资产，如操作系统和支撑的数据库、网络中间件，以及网络边界的路由器、交换机、防火墙等设备配置，无法准确了解且配置是否符合基本安全要求，一旦发生维护人员误操作，或者采用一成不变的初始系统设置而忽略了对安全控制的要求，就可能会极大地影响系统的正常运转 （六）系统漏洞风险。苍蝇不叮无缝的蛋，入侵