智慧廣電視域下廣播電視網(wǎng)絡安全防護體系構建

常祖國

（青島西海岸新區(qū)職業(yè)中等專業(yè)學校，山東 青島 266000）

0 引言

《廣播電視技術迭代實施方案（2020—2022年）》提出智慧廣電“安全大腦”這一概念，強調充分運用網(wǎng)絡安全威脅情報、安全大數(shù)據(jù)與知識圖譜等，強化廣電網(wǎng)絡安全體系。根據(jù)媒體融合發(fā)展與智慧廣電網(wǎng)絡的服務需求，為了堅守廣播電視這一國家意識形態(tài)與思想文化傳播的陣地，現(xiàn)階段需深入研究廣電網(wǎng)絡安全防護體系。

1 智慧廣電視域下廣電網(wǎng)絡安全防護體系架構

1.1 整體框架

根據(jù)智慧廣電視域下的網(wǎng)絡安全需求，網(wǎng)絡安全防護體系可將大數(shù)據(jù)技術作為核心，提供多源異構的安全數(shù)據(jù)分析，以此綜合分析廣播電視系統(tǒng)中的各類安全數(shù)據(jù)[1]。防護平臺中大數(shù)據(jù)技術可采集來自不同設備、應用程序以及其他安全監(jiān)控系統(tǒng)的安全數(shù)據(jù)，同時進行存儲、處理和分析，檢測潛在的安全威脅和漏洞。該平臺的大數(shù)據(jù)技術核心部分可面向多個方面的安全威脅情報，在構建安全算法模型的基礎上，實現(xiàn)安全事件事前、事中、事后的預估、警告、協(xié)防和改進，確保廣播電視系統(tǒng)的安全運營[2]。

1.2 功能架構

智慧廣電視域下廣電網(wǎng)絡安全防護平臺，由云端安全平臺和本地安全組成功能架構。云端安全平臺是整個架構的核心部分，擁有強大的存儲和計算能力，負責接收、處理和分析廣播電視行業(yè)的各類安全數(shù)據(jù)，同時提供多種云端服務。云端安全平臺能夠從全局的視角對廣播電視機構的網(wǎng)絡環(huán)境進行監(jiān)控和分析，幫助機構及時發(fā)現(xiàn)和應對各類已知和未知的高級威脅[3]。

本地安全是部署在廣播電視機構內部的組件，具備全視化檢測和響應各類威脅的能力。本地安全可集成多個神經元，并使用先進的大數(shù)據(jù)處理技術，提供對安全全量數(shù)據(jù)的集中采集、處理、存儲、查詢和分析等功能。本地安全的核心能力體現(xiàn)在實時性、全面性上，一方面負責監(jiān)測和分析廣播電視機構網(wǎng)絡中的安全事件，另一方面評估安全體系、管理知識庫和維護安全培訓等功能，為廣播電視機構建立完善的安全運營體系。云端安全平臺與本地安全大腦之間的協(xié)同工作，實現(xiàn)數(shù)據(jù)交互和服務支持的方式，也形成完整的安全運營體系，促進評估、改進、監(jiān)測、分析、響應、止損、恢復及復盤全過程。

2 智慧廣電網(wǎng)絡安全體系關鍵技術

2.1 多源異構海量安全大數(shù)據(jù)處理技術

多源異構海量安全大數(shù)據(jù)處理技術涉及數(shù)據(jù)的采集、存儲、處理和分析等環(huán)節(jié)，需要綜合運用大數(shù)據(jù)存儲、計算和分析技術，以及異構數(shù)據(jù)源對接和數(shù)據(jù)清洗等關鍵技術[4]。廣播電視機構需要從各個數(shù)據(jù)源中獲取相關的安全數(shù)據(jù)，包括網(wǎng)絡設備產生的日志、應用程序的運行數(shù)據(jù)以及用戶行為數(shù)據(jù)等。安全數(shù)據(jù)通常以不同的格式和協(xié)議存在，形成異構的數(shù)據(jù)源。因此，技術人員需要設計和開發(fā)適用的采集器，實現(xiàn)與不同數(shù)據(jù)源的對接、數(shù)據(jù)清洗、字段映射等功能，以此確保數(shù)據(jù)的準確性和完整性。考慮到廣播電視行業(yè)的特點，安全數(shù)據(jù)通常具有高速和大容量的特征，需要使用高效的數(shù)據(jù)存儲技術來滿足存儲需求。在構建網(wǎng)絡安全平臺方面，可采用分布式存儲系統(tǒng)，將數(shù)據(jù)按照熱度和訪問頻率進行劃分，實現(xiàn)數(shù)據(jù)的高效存儲和訪問。在數(shù)據(jù)處理和分析環(huán)節(jié)，廣播電視機構需運用大數(shù)據(jù)處理和分析技術，對海量的安全數(shù)據(jù)進行實時和批量處理，即使用流式和批示一體化分析的復雜事件處理（Complex Event Processing，CEP）引擎，建立規(guī)則和模型，實現(xiàn)實時的威脅檢測和告警。數(shù)據(jù)可視化和報告呈現(xiàn)是多源異構海量安全大數(shù)據(jù)處理的補充環(huán)節(jié)。該環(huán)節(jié)可運用可視化技術，將復雜的安全數(shù)據(jù)轉化為直觀、易于理解的圖表和報告，幫助安全運營人員快速分析和識別威脅，并進行相應的應對。

2.2 本地和全局關聯(lián)分析優(yōu)化技術

本地和全局關聯(lián)分析優(yōu)化技術主要面向安全大數(shù)據(jù)的處理和分析需求，采用一系列的策略和算法來提升關聯(lián)分析的效率和性能。本地關聯(lián)分析優(yōu)化技術主要對關聯(lián)分析引擎的邏輯計劃進行優(yōu)化，以提高查詢效率[5]。類似于結構化查詢語言（Structured Query Language，SQL）的優(yōu)化流程，依賴大量啟發(fā)式規(guī)則來重新安排邏輯計劃，以消除不必要的計算步驟、減少資源開銷和提高執(zhí)行速度。本地關聯(lián)分析優(yōu)化技術還可采用條件前置技術，將CEP分析過濾語句前置，篩除不符合條件的數(shù)據(jù)，減少不必要的計算和數(shù)據(jù)傳輸開銷，提高查詢性能。

全局關聯(lián)分析優(yōu)化技術通過合并具有相似條件的CEP語句，減少過濾語句的執(zhí)行次數(shù)，以達到減少計算和提高效率的目的。具體來說，如果存在多個CEP語句具有相似的條件，可以將這些語句合并為一個過濾項，對數(shù)據(jù)進行多次篩選，以此優(yōu)化查詢計劃。

本地和全局關聯(lián)分析優(yōu)化技術包括字段裁剪和數(shù)據(jù)存儲的優(yōu)化。字段裁剪指的是對CEP語句中不使用的字段進行裁剪，在邏輯計劃中避免不必要的內存消耗和計算開銷，從而提高執(zhí)行效率。數(shù)據(jù)存儲方面，可采用壓縮算法和數(shù)據(jù)分層等技術，減少存儲空間的占用和敏感數(shù)據(jù)的風險，提高數(shù)據(jù)的存儲和查詢效率。本地和全局關聯(lián)分析優(yōu)化技術還包括對事件處理和調整的優(yōu)化，如對重復統(tǒng)計只存儲標識符而非原始數(shù)據(jù)、使用概率數(shù)據(jù)結構做近似統(tǒng)計、高速的JSON解析、TI信息匹配用內存緩存、高速無鎖化RingBuffer事件緩存隊列以及低開銷的亂序事件調整等。

2.3 多級告警收斂聚合技術

多級告警收斂聚合技術一般運用多種手段降低告警數(shù)量，實現(xiàn)跨設備、跨攻擊階段、跨攻擊鏈的告警聚合效果。在廣電安全運營平臺中，告警產生的初級階段可從網(wǎng)絡設備、應用程序等多個數(shù)據(jù)源采集告警信息，并對這些告警信息進行預處理和清洗，以排除重復和噪聲告警，提高告警的可信度和質量。在告警聚合的中級階段，采用多種聚合手段聚合相關的告警，可基于時間窗口、設備標識、攻擊特征等多個維度進行聚合，將同一行為或事件產生的多個告警聚合成一個安全事件，以此減少重復告警，提高告警的可讀性和理解性。在告警處理的高級階段，將聚合后的安全事件與已知的攻擊模式或威脅情報進行關聯(lián)，可通過建立規(guī)則庫、使用機器學習算法、參考第三方威脅情報等方式來實現(xiàn)。值得注意的是，多級告警收斂聚合技術具有一定的自動化和智能化特點。

2.3.1 數(shù)據(jù)源可信度評估

數(shù)據(jù)源可信度評估是多級告警收斂聚合技術的一個重要環(huán)節(jié)，主要對數(shù)據(jù)源的可信度進行評估，判斷每個數(shù)據(jù)源提供的告警信息的準確性和可靠性，并根據(jù)評估結果進行告警的優(yōu)先級排序和處理。

2.3.2 場景化聚合指標

場景化聚合指標是在多級告警收斂聚合過程中使用的一種評估指標。定義合適的場景化聚合指標，可將相關的告警聚合成為具有實際意義和操作性的安全事件，以提高告警的可讀性和理解性。場景化聚合指標可根據(jù)特定行為、攻擊階段、攻擊鏈的各種情況進行定義。

2.4 自動化無損安全防御有效性驗證技術

自動化無損安全防御有效性驗證技術涉及南北、東西向攻擊評估，以及終端安全能力和郵件網(wǎng)關能力評估。在南北向攻擊評估中，主要模擬從互聯(lián)網(wǎng)側發(fā)起對Web應用的攻擊，涵蓋網(wǎng)站模擬攻擊、遠程漏洞模擬攻擊、黑客工具模擬等常見的安全場景。在東西向網(wǎng)絡攻擊評估中，主要模擬內網(wǎng)中主機之間的網(wǎng)絡攻擊行為，包括橫向移動攻擊模擬、中間件漏洞利用、內網(wǎng)黑客工具模擬等，以檢測和評估內網(wǎng)網(wǎng)絡安全設備對內部攻擊行為的防御能力。終端安全能力的評估，主要模擬各種惡意行為，如惡意執(zhí)行、駐留、提權、對抗、橫向移動和命令控制等，以評估終端安全設備的安全能力。在評估郵件網(wǎng)關的安全能力方面，主要以發(fā)送釣魚郵件給工作人員的方式，檢測該環(huán)節(jié)是否成功攔截，進而評估郵件網(wǎng)關對威脅郵件的檢測和攔截效果。

不同的評估場景中，可進行周期性調控（7×24 h的持續(xù)評估）與自動化評估，生成評估報告并與ATT&CK技術戰(zhàn)術進行映射和分析。報告中包含整體防護率、檢測率和阻斷率等指標，以及評估結果詳情和改進建議。

3 應用案例

廣東廣播電視臺在2021年國家廣播電視總局組織的實網(wǎng)攻防演習中，采用以大數(shù)據(jù)技術為核心的網(wǎng)絡安全防護體系，完美應對了演習考驗。廣東廣播電視臺的智慧廣電網(wǎng)絡安全體系除了依靠大數(shù)據(jù)技術實現(xiàn)檢測、偵察、追蹤溯源等安全防護以外，通過不同環(huán)節(jié)的本地和全局關聯(lián)分析優(yōu)化技術、多級告警收斂聚合技術、自動化無損安全防御有效性驗證技術提升了整體網(wǎng)絡安全水平?？梢姡⒅腔郯卜老到y(tǒng)有助于提高廣播電視網(wǎng)絡安全防御效能。

4 結語

在智慧廣電視域下，廣播電視網(wǎng)絡安全防護體系的構建對于保護關鍵信息資產、確保業(yè)務連續(xù)性、防范網(wǎng)絡攻擊和威脅、提升用戶信任和滿意度以及滿足法律法規(guī)要求至關重要。針對當下的發(fā)展需求與要求，廣播電視網(wǎng)絡安全防護體系還應結合自身發(fā)展情況、時代發(fā)展情況以及傳輸技術、網(wǎng)絡技術等迭代情況，合理構建網(wǎng)絡安全防護機制，保障業(yè)務穩(wěn)定發(fā)展并為用戶提供安全可靠的服務。