智慧廣電視域下廣播電視網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建

常祖國

（青島西海岸新區(qū)職業(yè)中等專業(yè)學(xué)校，山東 青島 266000）

0 引言

《廣播電視技術(shù)迭代實施方案（2020—2022年）》提出智慧廣電“安全大腦”這一概念，強(qiáng)調(diào)充分運用網(wǎng)絡(luò)安全威脅情報、安全大數(shù)據(jù)與知識圖譜等，強(qiáng)化廣電網(wǎng)絡(luò)安全體系。根據(jù)媒體融合發(fā)展與智慧廣電網(wǎng)絡(luò)的服務(wù)需求，為了堅守廣播電視這一國家意識形態(tài)與思想文化傳播的陣地，現(xiàn)階段需深入研究廣電網(wǎng)絡(luò)安全防護(hù)體系。

1 智慧廣電視域下廣電網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)

1.1 整體框架

根據(jù)智慧廣電視域下的網(wǎng)絡(luò)安全需求，網(wǎng)絡(luò)安全防護(hù)體系可將大數(shù)據(jù)技術(shù)作為核心，提供多源異構(gòu)的安全數(shù)據(jù)分析，以此綜合分析廣播電視系統(tǒng)中的各類安全數(shù)據(jù)[1]。防護(hù)平臺中大數(shù)據(jù)技術(shù)可采集來自不同設(shè)備、應(yīng)用程序以及其他安全監(jiān)控系統(tǒng)的安全數(shù)據(jù)，同時進(jìn)行存儲、處理和分析，檢測潛在的安全威脅和漏洞。該平臺的大數(shù)據(jù)技術(shù)核心部分可面向多個方面的安全威脅情報，在構(gòu)建安全算法模型的基礎(chǔ)上，實現(xiàn)安全事件事前、事中、事后的預(yù)估、警告、協(xié)防和改進(jìn)，確保廣播電視系統(tǒng)的安全運營[2]。

1.2 功能架構(gòu)

智慧廣電視域下廣電網(wǎng)絡(luò)安全防護(hù)平臺，由云端安全平臺和本地安全組成功能架構(gòu)。云端安全平臺是整個架構(gòu)的核心部分，擁有強(qiáng)大的存儲和計算能力，負(fù)責(zé)接收、處理和分析廣播電視行業(yè)的各類安全數(shù)據(jù)，同時提供多種云端服務(wù)。云端安全平臺能夠從全局的視角對廣播電視機(jī)構(gòu)的網(wǎng)絡(luò)環(huán)境進(jìn)行監(jiān)控和分析，幫助機(jī)構(gòu)及時發(fā)現(xiàn)和應(yīng)對各類已知和未知的高級威脅[3]。

本地安全是部署在廣播電視機(jī)構(gòu)內(nèi)部的組件，具備全視化檢測和響應(yīng)各類威脅的能力。本地安全可集成多個神經(jīng)元，并使用先進(jìn)的大數(shù)據(jù)處理技術(shù)，提供對安全全量數(shù)據(jù)的集中采集、處理、存儲、查詢和分析等功能。本地安全的核心能力體現(xiàn)在實時性、全面性上，一方面負(fù)責(zé)監(jiān)測和分析廣播電視機(jī)構(gòu)網(wǎng)絡(luò)中的安全事件，另一方面評估安全體系、管理知識庫和維護(hù)安全培訓(xùn)等功能，為廣播電視機(jī)構(gòu)建立完善的安全運營體系。云端安全平臺與本地安全大腦之間的協(xié)同工作，實現(xiàn)數(shù)據(jù)交互和服務(wù)支持的方式，也形成完整的安全運營體系，促進(jìn)評估、改進(jìn)、監(jiān)測、分析、響應(yīng)、止損、恢復(fù)及復(fù)盤全過程。

2 智慧廣電網(wǎng)絡(luò)安全體系關(guān)鍵技術(shù)

2.1 多源異構(gòu)海量安全大數(shù)據(jù)處理技術(shù)

多源異構(gòu)海量安全大數(shù)據(jù)處理技術(shù)涉及數(shù)據(jù)的采集、存儲、處理和分析等環(huán)節(jié)，需要綜合運用大數(shù)據(jù)存儲、計算和分析技術(shù)，以及異構(gòu)數(shù)據(jù)源對接和數(shù)據(jù)清洗等關(guān)鍵技術(shù)[4]。廣播電視機(jī)構(gòu)需要從各個數(shù)據(jù)源中獲取相關(guān)的安全數(shù)據(jù)，包括網(wǎng)絡(luò)設(shè)備產(chǎn)生的日志、應(yīng)用程序的運行數(shù)據(jù)以及用戶行為數(shù)據(jù)等。安全數(shù)據(jù)通常以不同的格式和協(xié)議存在，形成異構(gòu)的數(shù)據(jù)源。因此，技術(shù)人員需要設(shè)計和開發(fā)適用的采集器，實現(xiàn)與不同數(shù)據(jù)源的對接、數(shù)據(jù)清洗、字段映射等功能，以此確保數(shù)據(jù)的準(zhǔn)確性和完整性。考慮到廣播電視行業(yè)的特點，安全數(shù)據(jù)通常具有高速和大容量的特征，需要使用高效的數(shù)據(jù)存儲技術(shù)來滿足存儲需求。在構(gòu)建網(wǎng)絡(luò)安全平臺方面，可采用分布式存儲系統(tǒng)，將數(shù)據(jù)按照熱度和訪問頻率進(jìn)行劃分，實現(xiàn)數(shù)據(jù)的高效存儲和訪問。在數(shù)據(jù)處理和分析環(huán)節(jié)，廣播電視機(jī)構(gòu)需運用大數(shù)據(jù)處理和分析技術(shù)，對海量的安全數(shù)據(jù)進(jìn)行實時和批量處理，即使用流式和批示一體化分析的復(fù)雜事件處理（Complex Event Processing，CEP）引擎，建立規(guī)則和模型，實現(xiàn)實時的威脅檢測和告警。數(shù)據(jù)可視化和報告呈現(xiàn)是多源異構(gòu)海量安全大數(shù)據(jù)處理的補(bǔ)充環(huán)節(jié)。該環(huán)節(jié)可運用可視化技術(shù)，將復(fù)雜的安全數(shù)據(jù)轉(zhuǎn)化為直觀、易于理解的圖表和報告，幫助安全運營人員快速分析和識別威脅，并進(jìn)行相應(yīng)的應(yīng)對。

2.2 本地和全局關(guān)聯(lián)分析優(yōu)化技術(shù)

本地和全局關(guān)聯(lián)分析優(yōu)化技術(shù)主要面向安全大數(shù)據(jù)的處理和分析需求，采用一系列的策略和算法來提升關(guān)聯(lián)分析的效率和性能。本地關(guān)聯(lián)分析優(yōu)化技術(shù)主要對關(guān)聯(lián)分析引擎的邏輯計劃進(jìn)行優(yōu)化，以提高查詢效率[5]。類似于結(jié)構(gòu)化查詢語言（Structured Query Language，SQL）的優(yōu)化流程，依賴大量啟發(fā)式規(guī)則來重新安排邏輯計劃，以消除不必要的計算步驟、減少資源開銷和提高執(zhí)行速度。本地關(guān)聯(lián)分析優(yōu)化技術(shù)還可采用條件前置技術(shù)，將CEP分析過濾語句前置，篩除不符合條件的數(shù)據(jù)，減少不必要的計算和數(shù)據(jù)傳輸開銷，提高查詢性能。

全局關(guān)聯(lián)分析優(yōu)化技術(shù)通過合并具有相似條件的CEP語句，減少過濾語句的執(zhí)行次數(shù)，以達(dá)到減少計算和提高效率的目的。具體來說，如果存在多個CEP語句具有相似的條件，可以將這些語句合并為一個過濾項，對數(shù)據(jù)進(jìn)行多次篩選，以此優(yōu)化查詢計劃。

本地和全局關(guān)聯(lián)分析優(yōu)化技術(shù)包括字段裁剪和數(shù)據(jù)存儲的優(yōu)化。字段裁剪指的是對CEP語句中不使用的字段進(jìn)行裁剪，在邏輯計劃中避免不必要的內(nèi)存消耗和計算開銷，從而提高執(zhí)行效率。數(shù)據(jù)存儲方面，可采用壓縮算法和數(shù)據(jù)分層等技術(shù)，減少存儲空間的占用和敏感數(shù)據(jù)的風(fēng)險，提高數(shù)據(jù)的存儲和查詢效率。本地和全局關(guān)聯(lián)分析優(yōu)化技術(shù)還包括對事件處理和調(diào)整的優(yōu)化，如對重復(fù)統(tǒng)計只存儲標(biāo)識符而非原始數(shù)據(jù)、使用概率數(shù)據(jù)結(jié)構(gòu)做近似統(tǒng)計、高速的JSON解析、TI信息匹配用內(nèi)存緩存、高速無鎖化RingBuffer事件緩存隊列以及低開銷的亂序事件調(diào)整等。

2.3 多級告警收斂聚合技術(shù)

多級告警收斂聚合技術(shù)一般運用多種手段降低告警數(shù)量，實現(xiàn)跨設(shè)備、跨攻擊階段、跨攻擊鏈的告警聚合效果。在廣電安全運營平臺中，告警產(chǎn)生的初級階段可從網(wǎng)絡(luò)設(shè)備、應(yīng)用程序等多個數(shù)據(jù)源采集告警信息，并對這些告警信息進(jìn)行預(yù)處理和清洗，以排除重復(fù)和噪聲告警，提高告警的可信度和質(zhì)量。在告警聚合的中級階段，采用多種聚合手段聚合相關(guān)的告警，可基于時間窗口、設(shè)備標(biāo)識、攻擊特征等多個維度進(jìn)行聚合，將同一行為或事件產(chǎn)生的多個告警聚合成一個安全事件，以此減少重復(fù)告警，提高告警的可讀性和理解性。在告警處理的高級階段，將聚合后的安全事件與已知的攻擊模式或威脅情報進(jìn)行關(guān)聯(lián)，可通過建立規(guī)則庫、使用機(jī)器學(xué)習(xí)算法、參考第三方威脅情報等方式來實現(xiàn)。值得注意的是，多級告警收斂聚合技術(shù)具有一定的自動化和智能化特點。

2.3.1 數(shù)據(jù)源可信度評估

數(shù)據(jù)源可信度評估是多級告警收斂聚合技術(shù)的一個重要環(huán)節(jié)，主要對數(shù)據(jù)源的可信度進(jìn)行評估，判斷每個數(shù)據(jù)源提供的告警信息的準(zhǔn)確性和可靠性，并根據(jù)評估結(jié)果進(jìn)行告警的優(yōu)先級排序和處理。

2.3.2 場景化聚合指標(biāo)

場景化聚合指標(biāo)是在多級告警收斂聚合過程中使用的一種評估指標(biāo)。定義合適的場景化聚合指標(biāo)，可將相關(guān)的告警聚合成為具有實際意義和操作性的安全事件，以提高告警的可讀性和理解性。場景化聚合指標(biāo)可根據(jù)特定行為、攻擊階段、攻擊鏈的各種情況進(jìn)行定義。

2.4 自動化無損安全防御有效性驗證技術(shù)

自動化無損安全防御有效性驗證技術(shù)涉及南北、東西向攻擊評估，以及終端安全能力和郵件網(wǎng)關(guān)能力評估。在南北向攻擊評估中，主要模擬從互聯(lián)網(wǎng)側(cè)發(fā)起對Web應(yīng)用的攻擊，涵蓋網(wǎng)站模擬攻擊、遠(yuǎn)程漏洞模擬攻擊、黑客工具模擬等常見的安全場景。在東西向網(wǎng)絡(luò)攻擊評估中，主要模擬內(nèi)網(wǎng)中主機(jī)之間的網(wǎng)絡(luò)攻擊行為，包括橫向移動攻擊模擬、中間件漏洞利用、內(nèi)網(wǎng)黑客工具模擬等，以檢測和評估內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)備對內(nèi)部攻擊行為的防御能力。終端安全能力的評估，主要模擬各種惡意行為，如惡意執(zhí)行、駐留、提權(quán)、對抗、橫向移動和命令控制等，以評估終端安全設(shè)備的安全能力。在評估郵件網(wǎng)關(guān)的安全能力方面，主要以發(fā)送釣魚郵件給工作人員的方式，檢測該環(huán)節(jié)是否成功攔截，進(jìn)而評估郵件網(wǎng)關(guān)對威脅郵件的檢測和攔截效果。

不同的評估場景中，可進(jìn)行周期性調(diào)控（7×24 h的持續(xù)評估）與自動化評估，生成評估報告并與ATT&CK技術(shù)戰(zhàn)術(shù)進(jìn)行映射和分析。報告中包含整體防護(hù)率、檢測率和阻斷率等指標(biāo)，以及評估結(jié)果詳情和改進(jìn)建議。

3 應(yīng)用案例

廣東廣播電視臺在2021年國家廣播電視總局組織的實網(wǎng)攻防演習(xí)中，采用以大數(shù)據(jù)技術(shù)為核心的網(wǎng)絡(luò)安全防護(hù)體系，完美應(yīng)對了演習(xí)考驗。廣東廣播電視臺的智慧廣電網(wǎng)絡(luò)安全體系除了依靠大數(shù)據(jù)技術(shù)實現(xiàn)檢測、偵察、追蹤溯源等安全防護(hù)以外，通過不同環(huán)節(jié)的本地和全局關(guān)聯(lián)分析優(yōu)化技術(shù)、多級告警收斂聚合技術(shù)、自動化無損安全防御有效性驗證技術(shù)提升了整體網(wǎng)絡(luò)安全水平?？梢姡⒅腔郯卜老到y(tǒng)有助于提高廣播電視網(wǎng)絡(luò)安全防御效能。

4 結(jié)語

在智慧廣電視域下，廣播電視網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建對于保護(hù)關(guān)鍵信息資產(chǎn)、確保業(yè)務(wù)連續(xù)性、防范網(wǎng)絡(luò)攻擊和威脅、提升用戶信任和滿意度以及滿足法律法規(guī)要求至關(guān)重要。針對當(dāng)下的發(fā)展需求與要求，廣播電視網(wǎng)絡(luò)安全防護(hù)體系還應(yīng)結(jié)合自身發(fā)展情況、時代發(fā)展情況以及傳輸技術(shù)、網(wǎng)絡(luò)技術(shù)等迭代情況，合理構(gòu)建網(wǎng)絡(luò)安全防護(hù)機(jī)制，保障業(yè)務(wù)穩(wěn)定發(fā)展并為用戶提供安全可靠的服務(wù)。