融媒建設中網絡安全問題概述

高深

（黑龍江廣播電視臺，黑龍江 哈爾濱150000）

2019 年是融媒體建設加速發展的一年。落實總書記關于融媒體建設要求，如何更快更好建構現代全媒體傳播體系，成為當今媒體融合發展的重要任務。在融媒體建設過程中，網絡安全體系的建設是系統建設中重要的組成部分之一，本文結合以往網站及客戶端日常管理工作，總結在融媒建設中常見的安全管理問題，以供大家研判參考。

1 信息安全政策法規要求

網絡信息相關政策法規主要有兩個體系要求，一個是有網信部門聯合公安部門推出的《網絡安全法》，另一個是由中共中央宣傳部新聞局和國家廣播電視總局科技司共同推出的《縣級融媒體中心網絡安全規范》。《網絡安全法》于2017 年6 月1日正式實施，是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律。2019 年4 月，中宣部和國家廣播電視總局聯合發布的《縣級融媒體中心網絡安全規范》作為行業規范，明確了融媒建設的信息安全建設要求。互聯網信息系統運營主體應該保證系統滿足《網絡安全法》的相關要，不滿足的可以有公安部門對運營主體和個人進行行政處罰，處罰形式包括罰款、責令停業整頓等。例如根據澎湃新聞報道，菏澤市東明縣某網絡科技公司被行政處罰，對公司處六萬元罰款，對法定代表人李某某處五千元罰款，責令停業整頓。其原因是網絡安全防護工作落實不到位，大量注冊用戶未落實實名認證，網站存在嚴重安全隱患[1]。可以看到網絡安全建設是目前融媒體系統建設中的重要環節，網絡安全建設的缺失直接影響到系統的上線運營。按照廣電總局的縣級融媒體建設規范要求，縣級融媒體應該達到信息安全等級保護第二級保護標準，省級平臺需要達到第三級等保標準。由公安部等四部委在2007 年下發《信息安全等級保護辦法》要求第三級信息系統應當每年至少進行一次等級測評，每年至少進行一次自查。

2 信息系統常見安全問題處置

按照總局下發的《縣級融媒體中心網絡安全規范》，我們可以進行符合等級保護要求的安全系統建設。但信息安全保護不只是安全設備的堆砌，還需要加強日常安全行為管理和突發安全事件的處置。以下結合黑龍江網絡廣播電視臺的日常運營中常見的幾類安全事件進行分析說明，并給出簡要處理策略和方法。

在黑龍江網絡廣播電視臺的日常運營中，目 前發生最多的安全事件是爬蟲事件，每周達到18 萬次；其次是DDos 攻擊事件，峰值流量達到60Gbps。作為媒體網站我們還額外關注sql 注入攻擊和網頁篡改行為。

2.1 爬蟲攻擊

爬蟲原本是搜索引擎用來進行信息檢索的工具，PC 時代網站都盡量對爬蟲友好，以在搜索引擎中排名靠前從而增加網站的流量。但隨著融媒體的發展，爬蟲技術被大量應用在互聯網公司進行媒體資源的匯聚，最知名的例子便是今日頭條對新聞網站內容的抓取。大量非授權的爬蟲訪問網站占用了系統的運營資源，降低了系統的訪問速度，降低了正常用戶的訪問體驗。目前隨著市場對于原創內容的追逐，大量原創內容被非授權的抓取了，降低了自有網站的運營能力。針對合規爬蟲，只需要做好robots.txt 的配置，就可以很好的限制爬蟲爬取的行為。例如建立網站的爬蟲黑名單，限制可以爬取的內容等。但針對非法爬蟲，就需要通過user-anget 等信息進行訪問控制；更進一步需要根據訪問日志制訂相應的限制策略，例如限制鏈接時長和單位時間內的訪問次數；也可以采購web 應用防火墻對網絡爬蟲進行限制或針對特定ip 地址進行阻斷。

可以通過更改apache 的配置來實現user-agent 的限制。假如我們要把python 類爬蟲和百度的爬蟲限制掉，可以加一條這樣的規則：

2.2 SQL 注入攻擊

SQL 注入攻擊是目前網站系統常見的一種攻擊形式，其具有攻擊簡單、危害性高等特點。網上流行各種SQL 注入工具，這使得很多”愛好者”可以輕易危害網站安全，進行網頁篡改等。SQL 注入是由于沒有對用戶輸入數據進行嚴格的合法性驗證造成的，以此來實現欺騙數據庫服務器執行非授權的任意查詢，從而進一步得到相應的數據信息。

防止SQL 注入攻擊的核心還是在系統代碼層面完善從而避免sql 注入漏洞的產生，需要嚴格進行輸入變量的類型、長度以及過濾特殊字符。對于廣電行業由于大部分系統都不是由自己進行開發的，因此我們需要有效的工具來避免黑客通過sql漏洞來進行攻擊。web 應用防護服務可以根據查詢語句的特征值有效的進行參數阻斷，是一種有效的是自建融媒系統中的一項重要安全保障。

2.3 網頁篡改

常見的網頁篡改攻擊形式有被互聯網暗產控制被掛賭博鏈接或者廣告文章。根據CNCERT 的報告2018 年有7049 個網站本篡改，但較2017 年下降了64.9%。由數據表明網頁竄改風險大幅下降，但網頁竄改仍是媒體行業要高度重視的一種攻擊形式。媒體網站作為各級政府的重要宣傳出口，具有極強的政治屬性，因此應該做好應急預案，在最短的時間內刪除被篡改網頁，消除不良影響。傳統廣電往往采用24 小時人工監控的形式來進行風險管控。由于網頁篡改一定會在頁面中加入攻擊者的信息。因此目前普遍采用的網頁篡改發現方式如下：加強對關鍵網頁進行監控，定時爬取網站內容對頁面文字部分進行提取，判斷是否有涉賭、涉黃、涉政的違禁詞匯，從而判定網頁是否被篡改。

2.4 DDoS 攻擊

2018 年境內發起DDoS 攻擊的活躍控制端數量同 比下降46%、被控端數量同比下降37%；DDoS 攻擊的主要影響是，耗盡融媒系統的帶寬資源、計算資源，造成部分業務不可訪問。

目前解決DDoS 攻擊沒有很好的應對方法，系統本身防護的核心思路還是要提升系統的負載能力。接入CDN 服務可以有效提升系統帶寬和負載能力，然而需要大量資金成本支出。黑龍江網絡廣播電視臺受到的DDos 攻擊峰值達到過60Gps，如果都用CDN 或者DDos 流量清洗服務來承接流量將產生巨額的費用支出。目前廣電融媒系統針對DDoS 攻擊的有效防御策略應該對圖文、流媒體等不同業務進行劃分，例如在業務上采用不同的域名、ip、接入線路來進行業務劃分，從而保證單一業務被DDos 攻擊時不會影響到其他業務的正常運營。

3 其他安全風險提示

3.1 運營帳戶的管理

目前各個媒體單位都開始進行了自己的融媒矩陣建設，在今日頭條、微信等各大平臺都建立的眾多的賬號，但目前媒體對于賬號的管理和平臺對于賬號的管理方式并不相同，這帶來了潛在的網絡安全風險。

各平臺對于賬號安全的管理有三個要素：用戶名、密碼、密保郵箱及電話。媒體管理賬號則是運營者、密碼、賬號。在這些要素中權限等級最高的是手機信息，即在沒有用戶名和密碼的情況下，通過手機號可以重新設置帳戶其他信息。這樣在在業務交接的時候往往只交接了賬號、密碼而沒有及時變更手機信息。在一些情況下，如：人員離職、手機號注銷；賬號可能脫離媒體的掌控，進而造成嚴重損失。

3.2 盜刷類安全風險

此類安全風險并不是傳統的破壞計算機系統，因此很難說這類行為是違法的，但它消耗了系統的運營資源。例如CDN 的盜刷和驗證短信的盜刷，攻擊者完全模擬正常用戶的正常行為，登錄系統發送驗證短信，下發短信是需要預先購買的，當費用不足是就會造成業務中斷。這類攻擊手法很難通過技術手段識別出來，因此需要管理者在運營保障和資源損失之間做出抉擇，以犧牲部分資源的代價保障系統的穩定運營。

4 結論

近年來隨著網絡建設的發展，網絡安全要求逐步升級，總的來說網絡安全管理擁有越來越多的工具和設備來保證計算機系統的安全運行。攻擊目的也從系統破壞、病毒傳播逐步發展到竊取企業信息、計算資源，因此防護重點也逐步向信息加密與安全轉變。

此外，融媒號的發展和移動辦公的需要，改變了傳統計算機系統集中部署分區管理的方法。在分布是架構下數據傳輸的安全性和設備的準入管理需求，促使傳統網絡安全需要更多的資源進行新階段的安全管理。