王雷 徐教強

【摘要】 為了提升OTT TV的信息安全防護與應急處理能力，根據(jù)OTT業(yè)務網(wǎng)絡特點對EPG的主動防篡改機制進行了設計，并提出了信息安全事件的應急處理思路與策略建議，最后在實際維護工作中對上述策略的有效性進行了實踐，希望能為OTT TV運營與維護單位在安全建設中提供有益的參考。

【關鍵詞】 OTT TV EPG防篡改 應急處理

Research and Practices of EPG Tamper Resistance and Emergency System in OTT TV

Wang Lei， Xu Jiaoqiang （China Telecom Corporation Limited Jiangsu Branch ，Nanjing 210017， China）

Abstract： In order to improve the information security and emergency management of OTT TV， an active tamper resistance mechanism of EPG based on characteristics of OTT network and emergency management method and Strategies under the information security incidents are proposed. Finally， those mechanism and Strategy are proved to be effective in maintenance work ， which hopes to provide useful reference for the OTT TV construction and maintenance.

Key words： OTT TV， EPG tamper resistance， emergency system

一、引言

OTT TV（以下簡稱OTT）是“Over The Top TV”的縮寫，是指基于開放互聯(lián)網(wǎng)的視頻服務，終端可以是電視機、電腦、機頂盒、PAD、智能手機等等。據(jù)統(tǒng)計，僅2013年中國OTT盒子的出貨量就有800-1000萬，在龐大規(guī)模用戶的背后是日益嚴峻的安全形勢。

OTT直接承載于公共寬帶互聯(lián)網(wǎng)之上，面臨著來自黑客攻擊產(chǎn)生的安全風險，其中信息安全威脅是其中影響最惡劣的安全風險。

14年8月，某市廣電數(shù)字電視機頂盒遭黑客入侵，篡改了展示內容并以反動宣傳內容替代，影響群眾正常收看電視，造成嚴重不良影響。在此背景下，保障OTT內容安全、播放安全是OTT業(yè)務長期健康發(fā)展的重要保證。

二、EPG防篡改機制研究

2.1 技術方案

EPG 是Electronic Program Guide的英文縮寫，即電子節(jié)目菜單。EPG系統(tǒng)因為其直面用戶的特性處于OTT信息安全防護戰(zhàn)線中至關重要的位置。針對內容防護的EPG內容防篡改機制是信息安全防護工作中的治本之法。EPG系統(tǒng)采用web服務器架構建設，不同于通常的web服務器，其特殊性在于EPG服務器集群數(shù)量較大、模板文件（jsp/html/css/圖片等）量巨大、模板更新頻率較高。研究EPG的篡改發(fā)現(xiàn)和阻止策略需要充分考慮這些因素。

目前篡改防范和處置的技術方案主要有三類：文件比對、目錄同步、IO訪問控制：

（1）文件比對：對可信源文件計算校驗值并存儲，并對目標文件定時計算校驗值。這種方案的安全性最高，但在防護過程中的不斷地校驗值計算、存儲和比對將造成巨大的資源消耗。

（2）目錄同步：可信源目錄和目標目錄之間采用操作系統(tǒng)rsync技術進行監(jiān)控和同步，一方面源目錄的修改會即刻同步到目標目錄，另一方面目標目錄修改后會立刻被探測到并為源目錄內容重新覆蓋。

（3）I/O訪問控制：該方案用系統(tǒng)驅動對監(jiān)控目標目錄實施進程訪問控制，通過規(guī)則設定只有可信進程（也就是實施EPG模板更新的進程）能夠對目標目錄實施寫操作，其它進程的寫操作被直接阻止。

其中第一種、第二種方案均屬于事后恢復型方案，此類方案不能完全阻止篡改發(fā)生，同時需要不斷同步比對，除消耗系統(tǒng)資源外，也增加了一定的存儲，適用于網(wǎng)頁更新不頻繁，靜態(tài)頁面等為主的場景。對于EPG業(yè)務百萬級數(shù)量小文件、動態(tài)頁面更新頻繁的特性，此類方案并不適用。第三種方案屬于事前預防型的方案，資源消耗小，事前防篡改力度高。

綜上考慮，對于百萬級OTT業(yè)務，選用I/O訪問控制方式來實現(xiàn)EPG防篡改功能更加具備可行性，也能達到更為準確高效的防護效果。

2.2 功能邏輯

基于I/O訪問控制技術的EPG防篡改機制利用操作系統(tǒng)的文件系統(tǒng)接口，在網(wǎng)頁文件被修改調用文件系統(tǒng)接口時，進行合法性檢查，對于非法操作進行告警和拒絕，對于合法的操作繼續(xù)原有的文件操作。此功能可細化為邏輯流程：

（1）文件操作進入操作狀態(tài)。

（2）操作狀態(tài)首先判斷要操作的文件是否在安全配置中，判定在安全配置中的條件主要包括是否在安全配置的指定目錄下、是否是安全配置的指定文件類型、是否是安全配置的指定文件等。

（3）根據(jù)安全配置中設置的規(guī)則判斷，此進程是否被允許對此文件做此操作，若允許，則繼續(xù)文件操作，不做任何處理。

（4）若不允許操作，則記錄日志，并拒絕文件操作，同時發(fā)告警，通知操作狀態(tài)同時攜帶告警描述信息。

2.3 實現(xiàn)架構

基于EPG服務集群特點，EPG防篡改機制設計用層級管理模式實現(xiàn)，從功能職責和部署上劃分為管理和策略服務器、防篡改客戶端Agent。

防篡改客戶端Agent用于檢測及監(jiān)控EPG服務器文件更新的變化，部署于EPG服務器，進行頁面篡改事件感知預警和阻止。 實現(xiàn)特性主要有：

（1）基于操作系統(tǒng)文件驅動，對頁面篡改行為進行實時感知預警。

（2）在篡改事件時，阻止篡改并發(fā)起告警。

管理和策略服務器單獨部署，負責將操作指令傳達給監(jiān)控和同步，同時負責實時接收和保存來自監(jiān)控和同步的各種日志信息。實現(xiàn)特性主要有：

（1）基于業(yè)務進行感知預警目錄和策略的配置管理。

（2）對來自Agent的篡改告警進行統(tǒng)一處理。

（3）可與業(yè)務系統(tǒng)對接，觸發(fā)業(yè)務對篡改的處理。

三、應急處理機制研究

信息安全事件的發(fā)生極易導致嚴重的影響，針對信息安全事件的應急處置機制則就是安全防護工作的最后一道防線?；诖?，本文提出信息安全事件應急處置的快速處置、暫時性修復、事后追溯三階段處置模型。節(jié)目內容篡改等安全事件發(fā)生并被覺察到后，首先在快速處置階段向主要受眾切斷播放源以消除影響，再使用預先準備好的默認內容進行播放業(yè)務的恢復（待數(shù)據(jù)恢復后切換為正常播放），最后進行溯源分析確定入侵源并實施對應的安全加固方案。

3.1 快速處置機制

發(fā)現(xiàn)內容篡改等影響惡劣的入侵事件后，經(jīng)過事件影響面定位后需要快速處置，迅速切斷內容源，避免造成更大范圍的影響。

用戶展示的最終效果涉及到節(jié)目源編碼器、EPG、CDN節(jié)點提供的展示服務，對于節(jié)目源被替換造成的影響可通過關停編碼器進行處置，對于EPG展示內容被篡改可通過關閉EPG服務器上WEB進程進行處置，對于CDN上媒體內容被篡改可通過刪除媒體文件乃至關閉CDN服務等方式進行處置，實際應急處置中，可考慮將涉及到各環(huán)節(jié)的信息安全處置方案細化為各類應急處置模式。

根據(jù)安全事件影響范圍、影響設備、影響業(yè)務對應急處置模式進行合理的組合配置，可形成全面高效的應急處置方案，有效針對各類安全突發(fā)事件進行處理，其核心邏輯為：

1.應急處置模型中設置若干種基礎處置模式，如數(shù)據(jù)更換、服務停止、系統(tǒng)停機等。

2.根據(jù)實際的網(wǎng)元處置方式、流程將基礎處置模式按順序組合成處置模式組。

3.將目標設備按節(jié)點區(qū)域、網(wǎng)元、處置方式分成若干群組，并關聯(lián)上述處置模式。

4.發(fā)生入侵并確定實施應急處置時，對目標群組實施關聯(lián)的處置模式組。

3.2 業(yè)務修復方案

在OTT業(yè)務系統(tǒng)遭遇入侵并采取快速處置機制進行處理后，可按正常業(yè)務及內容下發(fā)流程覆蓋被篡改的內容或者文件以恢復業(yè)務。

但由于OTT業(yè)務具有受眾廣泛、影響擴散快的特點，對業(yè)務恢復的時間提出了更高的要求?；诖朔N要求，可將業(yè)務下發(fā)流程按上節(jié)應急處置模式組的方式制定業(yè)務恢復模塊組，以實現(xiàn)業(yè)務的快速恢復，具體方式因具體OTT業(yè)務平臺業(yè)務下發(fā)方式的不同故不再贅述。

3.3 事后追溯

入侵事件的追溯技術可分為入侵痕跡分析以及計算機取證方式。前者通過日志的關聯(lián)性分析以及可疑文件入手對入侵行為進行溯源。后者依據(jù)計算機證據(jù)易失性原理從目標設備獲取磁盤信息傳送到分析設備，用專業(yè)的計算機取證軟件分析目標設備文件的讀寫狀況，OTT業(yè)務平臺入侵追溯可依據(jù)平臺的不同選擇對應的方式。

四、江蘇電信信息安全防護實踐與總結展望

江蘇電信OTT業(yè)務自正式開放以來一直保持規(guī)模發(fā)展的態(tài)勢，也同樣面臨著嚴峻的網(wǎng)絡與信息安全挑戰(zhàn)，傳統(tǒng)的安全運維手段和體系已無法滿足日益嚴峻的互聯(lián)網(wǎng)安全防護的需求。

根據(jù)OTT業(yè)務網(wǎng)絡特點，江蘇電信OTT維護人員經(jīng)過持續(xù)多年的研究、探索和信息安全防護實踐工作，逐步建立起一套完整的EPG內容防篡改防護思路與應急處理機制。在江蘇電信OTT業(yè)務信息安全維護工作中，EPG內容防篡改策略目前已逐步在落實開發(fā)為防篡改系統(tǒng)，而應急處理機制也在逐步從人工操作向自動化、一鍵封裝化道路演進。這些策略的部署與演進對OTT業(yè)務安全穩(wěn)定運行在現(xiàn)在以至未來都將一直發(fā)揮重要作用。

EPG防篡改與應急處理機制經(jīng)過實踐反映了策略的有效性，可以為OTT業(yè)務安全提供一定的指導及參考價值，OTT業(yè)務運營商可以根據(jù)平臺自身的特性如平臺與網(wǎng)絡架構、業(yè)務量等的差異性采取不同的策略進行防護部署。隨著互聯(lián)網(wǎng)的高速發(fā)展，OTT業(yè)務面臨的安全形勢會愈加嚴峻，關于信息安全防護與應急處置的策略研究仍要繼續(xù)加強。后續(xù)江蘇電信業(yè)務維護人員將繼續(xù)在EPG內容防篡改以及應急響應處理策略上進行深入研究與實踐。

參 考 文 獻

[1]洪鈞.構建可管可控的OTT平臺的探討[J].廣播電視信息，2014（269）：49～51 Hong Jun， Research on the Construction of Controllable OTT Platform[J].Broadcast Television Information，2014（269）：49～51

[2]黃亞超，謝衛(wèi)華.IPTV在信息安全的研究與展望[J].電視技術，2011，35（20）：53～55 Huang Yachao， Xie Weihua.Research and Prospect of IPTV in Information Security[J].Video Engineering，2011，35（20）：53～55