中國石油工程建設(shè)有限公司 修 宇 陳 宇

近年來，云計算、大數(shù)據(jù)、5G、人工智能、數(shù)據(jù)中臺等新技術(shù)的發(fā)展，推動了傳統(tǒng)媒體和新興媒體融合發(fā)展。媒體融合創(chuàng)新了電視制播技術(shù)，給內(nèi)容制作、節(jié)目播出、傳輸管理等帶來很大變化；同時，這種變化給影視作品等媒體安全播出帶來巨大的安全風(fēng)險，一些熱點問題迅速發(fā)酵，嚴(yán)重的還演變成社會群體性事件，威脅著我國網(wǎng)絡(luò)信息安全。

1 媒體融合帶來新隱患和事故

1.1 信息造假造成安全隱患

目前我國網(wǎng)民規(guī)模9億多，網(wǎng)民既是信息的接收者也是信息的傳播者，輿論管控難度增大。由于利益驅(qū)使，一些虛假信息、謠言等造假問題日益突出。比如：音視頻網(wǎng)站等內(nèi)容播出平臺中，為了提高評分雇傭粉絲刷分提高自己評分、播放量與點擊量等。抖音等短視頻虛假宣傳，誘導(dǎo)詐騙用戶進(jìn)入消費陷阱損失慘重事件時有發(fā)生。再例如，不法分子通過對知名網(wǎng)站的偽造，用戶很難分辨而被蒙蔽，在登錄這些網(wǎng)站的時候，就會被獲取到他們相關(guān)的信息和數(shù)據(jù)，從而遭受相應(yīng)的損失。

1.2 人為操作風(fēng)險和事故

網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等關(guān)鍵崗位信息安全意識淡漠會造成網(wǎng)絡(luò)安全漏洞。例如，某電視臺網(wǎng)絡(luò)管理員利用一臺Web應(yīng)用服務(wù)器，為了將采訪素材及時回傳到臺內(nèi)，臨時在防火墻上設(shè)置了端口映射，幾個月后，這臺服務(wù)器因沒有及時安裝補丁文件而被惡意注入幾十個木馬程序。

據(jù)統(tǒng)計，管理員操作失誤或惡意破壞，如硬盤格式化、鏡像還原分區(qū)錯誤等，導(dǎo)致業(yè)務(wù)系統(tǒng)無法正常登錄，部分功能異常不穩(wěn)定，登錄和訪問失敗率在25%左右。

1.3 軟硬件漏洞及事故

影視業(yè)在系統(tǒng)軟硬件方面相對落后，常發(fā)生網(wǎng)絡(luò)漏洞事故。媒體融合讓熱點問題迅速發(fā)酵，逐漸演變?yōu)樯鐣允录?，給國家網(wǎng)絡(luò)安全帶來嚴(yán)重威脅。

軟件規(guī)劃時未充分考慮安全因素，上線前未進(jìn)行安全測試和風(fēng)險評估，使軟件運行存在嚴(yán)重安全隱患。例如，網(wǎng)站系統(tǒng)未授權(quán)訪問導(dǎo)致發(fā)布任意信息；高清機(jī)頂盒存在拒絕服務(wù)漏洞，黑客利用此漏洞造成大批用戶無法正?？措娨暋?/p>

1.4 網(wǎng)絡(luò)安全隱患

西方國家通過網(wǎng)絡(luò)攻擊我國文化，造成我國文化陣地受到嚴(yán)重破壞。一些國家還想要改變我國主流意識形態(tài)，滋生出很多網(wǎng)絡(luò)安全問題。發(fā)布內(nèi)容正確性關(guān)系輿論導(dǎo)向，因此利用黑客技術(shù)，特別是APT攻擊公眾服務(wù)網(wǎng)站、IPTV、APP等業(yè)務(wù)，或攻擊新媒體內(nèi)容生產(chǎn)、發(fā)布系統(tǒng)，手段多樣、隱蔽性高，傳統(tǒng)的安全措施很難發(fā)現(xiàn)并阻止。

目前大量數(shù)據(jù)在數(shù)據(jù)中心集中存儲，被篡改、泄密或數(shù)據(jù)可用性風(fēng)險積聚。用戶身份信息、權(quán)限信息、調(diào)度信息、播出節(jié)目等重要業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中，多數(shù)情況缺乏完整性校驗和加密措施，導(dǎo)致音視頻媒體遭到泄露或插入非法廣告或內(nèi)容不健康等，威脅巨大。

1.5 云計算等新技術(shù)隱患

云計算、大數(shù)據(jù)、人工智能和數(shù)據(jù)中臺等新技術(shù)、新平臺使數(shù)據(jù)中心原有的IT運行體系發(fā)生改變，導(dǎo)致新的風(fēng)險發(fā)生。例如，云平臺架構(gòu)下安全域劃分與隔離更加困難，多租戶虛擬機(jī)和虛擬服務(wù)共用物理資源；傳統(tǒng)終端防病毒軟件升級更新帶來啟動風(fēng)暴等問題，導(dǎo)致對系統(tǒng)資源的過度占用；混合云架構(gòu)安全和運維邊界不再清晰等為安全管理和運維帶來新的挑戰(zhàn)。

2 層次分析法風(fēng)險研究

層次分析法是把需要決策研究的事情看成由很多因素組成的一個大系統(tǒng)，這些因素在一定程度上相互關(guān)聯(lián)和制約，因素根據(jù)彼此之間的隸屬關(guān)系可以組合成若干個層次，再利用數(shù)學(xué)方法對各層進(jìn)行排序，并通過對排序結(jié)果的分析來輔助決策。

采用層次分析法進(jìn)行影視業(yè)數(shù)據(jù)中心運行風(fēng)險分析，步驟如下：

首先，影視業(yè)數(shù)據(jù)中心運行風(fēng)險從內(nèi)外部環(huán)境、網(wǎng)絡(luò)安全保障、網(wǎng)絡(luò)安全態(tài)勢三個方面來分析。其中，環(huán)境和態(tài)勢方面風(fēng)險涉及數(shù)據(jù)中心全部資產(chǎn)和企業(yè)信譽等無形資產(chǎn)。安全保障分別從管理、技術(shù)、建設(shè)、運維四個層次來分析。我們針對每一個層面進(jìn)行風(fēng)險評價。

其次，每一個層次中利用層次分析法進(jìn)行數(shù)據(jù)中心運行風(fēng)險分析。我們利用德爾菲法、頭腦風(fēng)暴法等對資產(chǎn)價值、威脅發(fā)生頻率、脆弱性嚴(yán)重程度分別賦值。

然后，風(fēng)險值計算。根據(jù)下面公式計算風(fēng)險值，制定公司風(fēng)險值嚴(yán)重程度標(biāo)準(zhǔn)，識別高中低風(fēng)險。

風(fēng)險值=R(A，T，V)=R(L(T，V)，F(xiàn)(Ia，Va))。

其中，R表示安全風(fēng)險計算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)價值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。

接著，對資產(chǎn)在每層中存在的各種風(fēng)險排序，計算出影響組織資產(chǎn)安全的不可接受風(fēng)險。例如，安全保障的技術(shù)層又分為物理層、主機(jī)層、網(wǎng)絡(luò)層、數(shù)據(jù)層和應(yīng)用層。我們要計算一臺重要服務(wù)器的技術(shù)層風(fēng)險。（1）識別重要服務(wù)器主機(jī)層風(fēng)險。資產(chǎn)在主機(jī)操作系統(tǒng)層面存在緩沖區(qū)溢出漏洞被利用造成宕機(jī)風(fēng)險、用戶口令被破解非法登錄風(fēng)險、管理員權(quán)限過大刪除、篡改系統(tǒng)數(shù)據(jù)等，那么根據(jù)實際計算出每類風(fēng)險值大小排序。（2）識別重要服務(wù)器在物理層、網(wǎng)絡(luò)層、數(shù)據(jù)層和應(yīng)用層風(fēng)險，發(fā)現(xiàn)保護(hù)措施到位，未發(fā)現(xiàn)不可接受風(fēng)險。

最后，各層之間風(fēng)險和保護(hù)措施之間的關(guān)系進(jìn)行關(guān)聯(lián)分析，綜合評價資產(chǎn)面臨網(wǎng)絡(luò)安全風(fēng)險。例如還是那臺重要服務(wù)器，網(wǎng)絡(luò)層的保護(hù)措施為：網(wǎng)絡(luò)邊界已經(jīng)部署防火墻，服務(wù)器網(wǎng)絡(luò)區(qū)域部署了普通和高級可持續(xù)入侵檢測系統(tǒng)，管理員只能通過堡壘機(jī)在控制權(quán)限和操作日志記錄審計基礎(chǔ)上訪問服務(wù)器；物理層的保護(hù)措施是機(jī)房安裝門禁和出入登記制度。那么，綜合主機(jī)層、網(wǎng)絡(luò)層、物理層、應(yīng)用層、數(shù)據(jù)層風(fēng)險和保護(hù)措施，這臺重要服務(wù)器技術(shù)層風(fēng)險級別為中等。

3 數(shù)據(jù)中心運行風(fēng)險評價

根據(jù)影視行業(yè)關(guān)鍵業(yè)務(wù)和相關(guān)信息系統(tǒng)的特點和層次分析法風(fēng)險分析結(jié)果，建立影視業(yè)數(shù)據(jù)中心運行風(fēng)險評價模型。評價模型從環(huán)境風(fēng)險、安全保障、安全態(tài)勢三個方面進(jìn)行辨識、分析、評價，每方面又從不同層面、維度和要素進(jìn)行立體化全方位考量，具體如圖1所示。

圖1 數(shù)據(jù)中心運行風(fēng)險評價模型

第一層次風(fēng)險評價：環(huán)境風(fēng)險。

影視業(yè)自身及其信息化情況構(gòu)成網(wǎng)絡(luò)安全環(huán)境，通過對各環(huán)境因素度量反映影視業(yè)網(wǎng)絡(luò)安全風(fēng)險環(huán)境。

（1）網(wǎng)絡(luò)媒體所有權(quán)主要指在媒體融合背景下網(wǎng)絡(luò)意識形態(tài)安全，即是否能夠把握網(wǎng)絡(luò)輿論主導(dǎo)權(quán)，大力宣傳黨中央重大戰(zhàn)略部署和主流思想，弘揚中國優(yōu)秀傳統(tǒng)文化。

（2）網(wǎng)絡(luò)媒體環(huán)境清潔度考慮網(wǎng)絡(luò)媒體結(jié)構(gòu)復(fù)雜多樣背景下，數(shù)據(jù)中心對數(shù)字內(nèi)容的版權(quán)保護(hù)情況，以及對網(wǎng)絡(luò)媒體中垃圾信息有效處理能力。

（3）有效信息高效利用是指面對海量文本、圖像、音視頻等信息，是否從內(nèi)容敏感度、內(nèi)容防篡改、內(nèi)容影響和傾向等多維度建立信息安全保護(hù)機(jī)制，保障用戶高效利用。

（4）影視信息化風(fēng)險主要從信息化重視程度、信息化投入總額占固定資產(chǎn)投資比重、信息安全投資占信息化投資比重等方面考量風(fēng)險。

（5）信息化應(yīng)用狀況主要指信息化對影視業(yè)務(wù)支撐情況，主要包括決策信息化水平、辦公自動化系統(tǒng)應(yīng)用程度、經(jīng)營管理系統(tǒng)應(yīng)用程度、網(wǎng)絡(luò)營銷系統(tǒng)應(yīng)用程度、門戶網(wǎng)站建設(shè)水平等。

（6）人員及技術(shù)成熟度主要指關(guān)鍵崗位人員忠誠度水平、外聘專家可信度水平、云計算人工智能等網(wǎng)絡(luò)安全新技術(shù)應(yīng)用水平等。第二層次風(fēng)險評價：安全保障。

（1）構(gòu)建網(wǎng)絡(luò)安全保障體系，嚴(yán)格管控風(fēng)險才能保障影視業(yè)數(shù)據(jù)中心安全運行。

（2）管理保障。管理保障主要從網(wǎng)絡(luò)安全戰(zhàn)略、政策法規(guī)制度、安全組織、經(jīng)費保障等方面研究。

（3）技術(shù)保障主要從信息系統(tǒng)安全技術(shù)能力、安全基礎(chǔ)設(shè)施支撐能力、信息系統(tǒng)安全保護(hù)能力、應(yīng)用安全保障等方面研究。

（4）建設(shè)保障主要從信息化建設(shè)過程中是否建立完善網(wǎng)絡(luò)安全管理制度、是否同步建設(shè)網(wǎng)絡(luò)安全技術(shù)措施、是否同步完成網(wǎng)絡(luò)安全工程、信息化產(chǎn)品和服務(wù)是否國產(chǎn)化等方面研究是否存在網(wǎng)絡(luò)安全隱患。

（5）運維保障主要從運行管理和控制、變更管理和控制、系統(tǒng)安全狀態(tài)監(jiān)控、事件處置和應(yīng)急響應(yīng)、安全檢查和持續(xù)改進(jìn)、系統(tǒng)運行安全效能等方面研究。

第三層次風(fēng)險評價：安全態(tài)勢。

國內(nèi)外網(wǎng)絡(luò)安全和公司輿情安全態(tài)勢掌控能力直接影響公司信譽、業(yè)務(wù)、受眾和粉絲數(shù)量等。

（1）網(wǎng)絡(luò)安全態(tài)勢主要指是否具備技術(shù)手段，建立體制機(jī)制整合分析國內(nèi)外網(wǎng)絡(luò)安全信息，判斷當(dāng)前國際國內(nèi)安全狀況并預(yù)測未來的發(fā)展趨勢的能力。

（2）輿情安全態(tài)勢主要指網(wǎng)絡(luò)恐怖活動防控、內(nèi)部不良信息發(fā)布防控、網(wǎng)絡(luò)輿情防控、群體事件防控等能力。

總結(jié)：媒體融合需要網(wǎng)絡(luò)安全保駕護(hù)航，對影視業(yè)數(shù)據(jù)中心存在風(fēng)險進(jìn)行研究，建立數(shù)據(jù)中心運行風(fēng)險態(tài)勢指標(biāo)體系，指引影視業(yè)網(wǎng)絡(luò)安全保障媒體業(yè)務(wù)高效穩(wěn)定發(fā)展，實現(xiàn)萬物互聯(lián)時代的中國夢。