廣電網(wǎng)絡(luò)信息安全現(xiàn)狀及未來發(fā)展

《電視技術(shù)》編輯部

廣電網(wǎng)絡(luò)信息安全現(xiàn)狀及未來發(fā)展

《電視技術(shù)》編輯部

【編者按】

隨著廣電有線網(wǎng)絡(luò)雙向化改造的不斷推進(jìn)及雙向互動(dòng)業(yè)務(wù)的開展，在開放的網(wǎng)絡(luò)環(huán)境中如何保障安全播出成為有線網(wǎng)絡(luò)共同面臨的重大課題。2014年8月1日，溫州有線電視網(wǎng)絡(luò)被攻擊案在全國(guó)有線網(wǎng)絡(luò)行業(yè)引起巨大反響，為了更好地幫助有線網(wǎng)絡(luò)解決信息安全問題，2014年8月，由“友好網(wǎng)聯(lián)盟”承辦的“廣播電視安全播出經(jīng)驗(yàn)交流會(huì)”在西安順利舉辦，來自全國(guó)近20家有線網(wǎng)絡(luò)公司運(yùn)維部的管理人員根據(jù)各地的情況，針對(duì)信息安全的方方面面進(jìn)行了深度溝通與探討。本刊將交流內(nèi)容整理成文，以期為信息安全建設(shè)提供有意的借鑒。文章根據(jù)交流會(huì)資料整理，未經(jīng)本人審閱。

貴州：廣電網(wǎng)絡(luò)安全播出概況

貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司由省公司、9個(gè)市州公司、75個(gè)縣級(jí)分公司、497個(gè)鄉(xiāng)鎮(zhèn)服務(wù)站組成，是全省廣電網(wǎng)絡(luò)整合、資產(chǎn)重組轉(zhuǎn)制成立的文化企業(yè)。作為全省唯一的廣電網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)，目前貴州廣電網(wǎng)絡(luò)擁有420萬(wàn)用戶，其中高清互動(dòng)覆蓋用戶為250萬(wàn)。運(yùn)營(yíng)平臺(tái)采用唯一的總系統(tǒng)前端，雙向網(wǎng)改采用PON+EoC技術(shù)，及IPQAM互動(dòng)模式。

1.貴州省廣電網(wǎng)絡(luò)播出平臺(tái)情況

單向直播播出平臺(tái)：可覆蓋全省420萬(wàn)有線電視用戶，主要業(yè)務(wù)包括高清、標(biāo)清、數(shù)據(jù)，在傳輸模式上采用骨干傳輸、本地插入模式，接入模式為有線、無(wú)線相結(jié)合。

雙向互動(dòng)平臺(tái)：覆蓋全省220萬(wàn)雙向有線網(wǎng)絡(luò)用戶，其中雙向高清終端為70萬(wàn)戶。在傳輸方面采用統(tǒng)一核心平臺(tái)、專用推流網(wǎng)絡(luò)，在接入方面采用IPQAM推流、雙向網(wǎng)絡(luò)接入方式。

其他外聯(lián)網(wǎng)絡(luò)：主要包括互聯(lián)網(wǎng)接入、門戶網(wǎng)站、網(wǎng)絡(luò)視頻門戶（多屏看）、BOSS系統(tǒng)、信息發(fā)布系統(tǒng)及媒資系統(tǒng)。

2.威脅安全播出的因素

從歷史上看，廣電網(wǎng)絡(luò)遭受安全攻擊主要有以下兩種方式：從分配網(wǎng)非法插入及衛(wèi)星干擾。

隨著廣電網(wǎng)絡(luò)的日益復(fù)雜及新業(yè)務(wù)的不斷推出，廣電網(wǎng)絡(luò)將面臨眾多新的安全威脅，主要包括：來自外部互聯(lián)網(wǎng)絡(luò)對(duì)系統(tǒng)的入侵；內(nèi)部用戶接入網(wǎng)絡(luò)的安全；企業(yè)內(nèi)網(wǎng)的用網(wǎng)安全；關(guān)鍵崗位的管控；相關(guān)信息發(fā)布管理的合理流程。

3.技術(shù)應(yīng)對(duì)策略

貴州廣電的安全應(yīng)對(duì)策略主要包括：直播系統(tǒng)確保不與外網(wǎng)物理連接；增加網(wǎng)絡(luò)防護(hù)設(shè)施，加大入侵難度；對(duì)門戶類網(wǎng)站進(jìn)行實(shí)時(shí)內(nèi)容監(jiān)控；根據(jù)用戶智能卡號(hào)和對(duì)應(yīng)密碼確定用戶身份；互聯(lián)網(wǎng)運(yùn)用與點(diǎn)播信令回傳通道進(jìn)行隔離；對(duì)整個(gè)互動(dòng)內(nèi)容和系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)等（見圖1、圖2）。

圖1 貴州省網(wǎng)業(yè)務(wù)安全體系

圖2 貴州互動(dòng)電視綜監(jiān)測(cè)系統(tǒng)

4.管理應(yīng)對(duì)策略

首先，規(guī)范關(guān)鍵崗位職能和內(nèi)容發(fā)布流程。主要工作包括：發(fā)布和內(nèi)容修改的崗位，嚴(yán)格執(zhí)行雙人操作制度；對(duì)信息發(fā)布流程進(jìn)行嚴(yán)格的管控；增設(shè)各地信息發(fā)布內(nèi)容監(jiān)控點(diǎn)。

其次，加強(qiáng)一線工作人員的選擇和甄別、主要工作包括：發(fā)布和內(nèi)容修改的崗位，嚴(yán)格執(zhí)行雙人操作制度；對(duì)信息發(fā)布流程進(jìn)行嚴(yán)格的管控；增設(shè)各地信息發(fā)布內(nèi)容監(jiān)控點(diǎn)。

5.近期進(jìn)行的工作

主要工作包括：增加防火墻，嚴(yán)格實(shí)施內(nèi)外網(wǎng)隔離；對(duì)相關(guān)管理制度進(jìn)行完善及修改等。

河北：網(wǎng)絡(luò)安全播技術(shù)與管理

河北廣電信息網(wǎng)絡(luò)集團(tuán)的安全防護(hù)主要包括以下三方面的內(nèi)容，即加強(qiáng)頂層結(jié)構(gòu)，構(gòu)建強(qiáng)有力的領(lǐng)導(dǎo)小組；其次是提升人員綜合素質(zhì)，以應(yīng)對(duì)各種日常和突發(fā)事件；第三是基礎(chǔ)層面的安全防護(hù)。

1.構(gòu)建安全小組

當(dāng)前，信息技術(shù)革命日新月異，對(duì)國(guó)際政治、經(jīng)濟(jì)、文化、社會(huì)、軍事等領(lǐng)域的發(fā)展已產(chǎn)生了深刻影響?；ヂ?lián)網(wǎng)已融入社會(huì)生活的方方面面，深刻地改變著人們的生產(chǎn)和生活方式。網(wǎng)絡(luò)安全和信息化對(duì)于一個(gè)國(guó)家很多領(lǐng)域都是牽一發(fā)而動(dòng)全身，因此，要充分認(rèn)識(shí)做好網(wǎng)絡(luò)安全和信息化工作的重要性和緊迫性。中共中央總書記、國(guó)家主席、中央軍委主席、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長(zhǎng)習(xí)近平2月27日下午在主持召開的中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上發(fā)表重要講話，強(qiáng)調(diào)網(wǎng)絡(luò)安全和信息化是事關(guān)國(guó)家安全和國(guó)家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題，要從國(guó)際國(guó)內(nèi)大勢(shì)出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)。

互聯(lián)網(wǎng)文化與廣電網(wǎng)文化已經(jīng)產(chǎn)生了接觸、碰撞，挑戰(zhàn)和機(jī)遇不斷出現(xiàn)?；诖?，河北廣電信息網(wǎng)絡(luò)集團(tuán)網(wǎng)絡(luò)組成了由高管任組長(zhǎng)，各部室主任為成員的安全小組。在企業(yè)安全戰(zhàn)略運(yùn)籌上提高決策支撐能力、統(tǒng)籌協(xié)調(diào)能力、應(yīng)急反應(yīng)能力及綜合施策能力。深入學(xué)習(xí)貫徹習(xí)近平總書記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上的重要講話精神，研究我們小組工作規(guī)則，部署公司網(wǎng)絡(luò)安全工作規(guī)則。同時(shí)，嚴(yán)格按照《廣播電視安全播出管理規(guī)定實(shí)施細(xì)則》編制要求內(nèi)容。對(duì)突發(fā)事件及時(shí)做出響應(yīng)和處置，避免突發(fā)事件擴(kuò)大或升級(jí)，以最大限度減少突發(fā)事件造成的損失。

2.提升員工綜合素質(zhì)

互聯(lián)網(wǎng)拉近了人與人之間的距離，人與人之間的社會(huì)關(guān)系從現(xiàn)實(shí)社會(huì)移動(dòng)到虛擬社會(huì)。工作中收發(fā)郵件的兩個(gè)人，是同事或者上下級(jí)。博客之間互相評(píng)論的人，在現(xiàn)實(shí)中可能是親戚或者朋友。一個(gè)人在社會(huì)中的角色，會(huì)慢慢在社交網(wǎng)絡(luò)中浮現(xiàn)出來，有人會(huì)有疑問，這和互聯(lián)網(wǎng)信息安全有什么關(guān)系？互聯(lián)網(wǎng)信息安全不是反病毒嗎？互聯(lián)網(wǎng)信息安全不是靠漏洞發(fā)起攻擊的嗎？一臺(tái)電腦不上網(wǎng)，不連接任何外接設(shè)備不就永遠(yuǎn)不會(huì)感染病毒嗎？的確是這樣，但是有一個(gè)最重要的安全節(jié)點(diǎn)被忽視了，那就是人。你可以說服人把計(jì)算機(jī)的網(wǎng)線接上，把殺毒軟件卸載掉，打開所有的端口，因此人才是互聯(lián)網(wǎng)信息安全中最薄弱的環(huán)節(jié)。

最簡(jiǎn)單的例子：一個(gè)在身邊略懂電腦的同學(xué)每天在微博上面發(fā)一些360安全衛(wèi)士的負(fù)面消息，比如竊取用戶隱私，收集用戶電腦內(nèi)的文件信息等。當(dāng)然他也不知道360具體竊取了什么隱私，收集了哪些文件信息，那些文件是干什么的。潛移默化中，一些不懂網(wǎng)絡(luò)安全的朋友就相信了他所說的話，卸載掉了360，我們不討論360是否真的竊取了用戶隱私。但一個(gè)人在互聯(lián)網(wǎng)上或者計(jì)算機(jī)內(nèi)的行為，可能就因?yàn)槭艿搅艘恍┛陀^因素的影響而改變了。這就是個(gè)簡(jiǎn)單的、非主觀的利用自身社會(huì)角色來影響他人互聯(lián)網(wǎng)行為的社會(huì)工程學(xué)范疇的“攻擊”。360安全衛(wèi)士是被攻擊方，卸載360和散播360負(fù)面消息的人就成了攻擊方。

同時(shí)，微信等新型社交平臺(tái)的出現(xiàn)，大大提升了虛擬社會(huì)交往的速度及廣度，有一種理論叫做“六度分隔理論”，告訴我們只需要不超出6位中間人，就可以間接地與世界上任意一位先生或者女士相識(shí)。社交網(wǎng)絡(luò)上面，就有你完整的社會(huì)關(guān)系拓?fù)鋱D。

人們的個(gè)性化信息構(gòu)成了我們的大數(shù)據(jù)，通過手機(jī)的應(yīng)用軟件數(shù)據(jù)就能得知你是做什么的，興趣、愛好、身體狀況怎么樣。社會(huì)工程學(xué)的應(yīng)用越來細(xì)致，越來越精準(zhǔn)。

著名黑客凱文·米特尼克于2002年推出了一本關(guān)于社會(huì)工程學(xué)的公益性質(zhì)的暢銷書。目的是讓全球的網(wǎng)民們能夠懂得網(wǎng)絡(luò)安全，提高警惕，防止沒必要的個(gè)人損失。同時(shí)其也成為黑客們學(xué)習(xí)的高級(jí)教程。

2013年發(fā)布的《黑客社會(huì)工程學(xué)攻擊2》，作為國(guó)內(nèi)首本以案例為主、理論為輔的“社會(huì)工程學(xué)”參考書，沒有理論、沒有說教，直擊“社工尸”攻城現(xiàn)場(chǎng)，還原一個(gè)個(gè)經(jīng)典案例，令人汗毛倒豎，卻也大呼過癮。大家可以從里面了解和體會(huì)社會(huì)工程師的思維模式與enjoy hacking的方法。

基于此，對(duì)于廣電網(wǎng)絡(luò)公司來說，增強(qiáng)員工的互聯(lián)網(wǎng)安全意識(shí)，嚴(yán)防社會(huì)工程攻擊勢(shì)在必行。

此外，還要做到提升員工基本技能的熟練度、細(xì)致度、認(rèn)真度等。人員技術(shù)水平是科技公司的基礎(chǔ)，水平提高之后再討論運(yùn)營(yíng)維護(hù)，才會(huì)水到渠成。具體工作包括精細(xì)化人員、設(shè)備管理及專用的網(wǎng)絡(luò)部署。河北廣電網(wǎng)絡(luò)部署了很多系統(tǒng)，如VOD系統(tǒng)、時(shí)移系統(tǒng)、互聯(lián)網(wǎng)系統(tǒng)等，如果沒有精細(xì)化的管理，就沒有辦法發(fā)現(xiàn)問題，更無(wú)從去解決問題。我們通過值班日志、設(shè)備日志對(duì)比審查，來考核值機(jī)員的認(rèn)真度，從而提升值班質(zhì)量。通過經(jīng)常進(jìn)行局部篩查，定期進(jìn)行全網(wǎng)巡檢，定期、不定期組織實(shí)際演練等，把學(xué)到的內(nèi)容實(shí)實(shí)在在地應(yīng)用到工作中。

3.基礎(chǔ)層面安全保護(hù)

1）異地平臺(tái)備份

對(duì)于一家網(wǎng)絡(luò)運(yùn)營(yíng)商來說，在遭受如火災(zāi)、水災(zāi)、地震、戰(zhàn)爭(zhēng)等不可抗拒的自然災(zāi)難以及計(jì)算機(jī)犯罪、計(jì)算機(jī)病毒、掉電、網(wǎng)絡(luò)/通信失敗、硬件/軟件錯(cuò)誤和人為操作錯(cuò)誤等人為災(zāi)難時(shí)，容災(zāi)系統(tǒng)將保證用戶數(shù)據(jù)的安全性（數(shù)據(jù)容災(zāi)），甚至一個(gè)更加完善的容災(zāi)系統(tǒng)，還能提供不間斷的應(yīng)用服務(wù)（應(yīng)用容災(zāi)）。可以說，容災(zāi)系統(tǒng)是數(shù)據(jù)存儲(chǔ)備份的最高層次。

在異地平臺(tái)備份方面，河北廣電網(wǎng)絡(luò)主要采取了以下3種方式：

方式1：傳統(tǒng)的ASI-DS3方式。省級(jí)前端與傳輸對(duì)接方式見圖3。

圖3 傳統(tǒng)的ASI-DS3方式，DS3選路保護(hù)

其中，主機(jī)房、備機(jī)房、傳輸機(jī)房分別部署DS3選路保護(hù)，并配置DS3選路策略。

一般部署情況：A前端為主路、B前端為輔路，由傳輸端部署的選路器來選路。

問題1：A前端受到攻擊

問題2：A前端線路受到攻擊

方式2：組播承載方式。這是有線數(shù)字前端基于IP組播承載業(yè)務(wù)常規(guī)方式，省有線前端與傳輸對(duì)接方式見圖4。

圖4 IP組播承載方式

其中，A前端雙路并行播發(fā)，B前端單路播發(fā)，產(chǎn)生3路信號(hào)發(fā)往地市端，也就是說產(chǎn)生了3倍流量。

方式3：IP組播承載方式。IP選路保護(hù)。見圖5。

圖5 IP組播承載方式

其為基于IP組播承載業(yè)務(wù)方式。其中，主機(jī)房雙復(fù)用器雙路并行播發(fā)；備機(jī)房雙復(fù)用器單路播發(fā)；在傳輸機(jī)房采用IP選路保護(hù)器，將A前端一路IP與B前端IP信號(hào)形成2選1結(jié)構(gòu)，這樣就會(huì)去掉一路基本信號(hào)的傳輸成本，增加一路其他增值業(yè)務(wù)的能力。

2）路由器安全

主要策略包括：配置用戶名并開啟加密方式保存密碼；制訂路由器基本安全策略；防止ICMP重定向、外部源路由欺騙、盜用內(nèi)部IP、smurf；關(guān)閉Web管理功能等可以不用的服務(wù)；設(shè)備配置QoS策略和CAR策略功能及防范DoS等。

據(jù)《2013年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》報(bào)告稱，國(guó)家信息安全漏洞共享平臺(tái)在分析驗(yàn)證D-Link、Cisco、Linksys、Netgear、Tenda等多家廠商的路由器產(chǎn)品后，發(fā)現(xiàn)它們都存在后門，黑客可由此直接控制路由器，并進(jìn)一步發(fā)起DNS劫持、竊取信息、網(wǎng)絡(luò)釣魚等攻擊，直接威脅用戶網(wǎng)上交易和數(shù)據(jù)存儲(chǔ)安全，使得相關(guān)產(chǎn)品變成隨時(shí)可被引爆的安全“地雷”。以D-Link部分路由器產(chǎn)品為例，攻擊者利用后門可取得路由器的完全控制權(quán)。CNVD分析發(fā)現(xiàn)，受該后門影響的D-Link路由器在互聯(lián)網(wǎng)上對(duì)應(yīng)的IP地址至少有1.2萬(wàn)個(gè)，可影響大量用戶。這也同樣說明，黑客可以同時(shí)攻擊干線路由器?；诖?，河北廣電針對(duì)路由器安全采取了以下安全措施：

首先，配置用戶名并開啟加密方式保存密碼。

其次，制訂路由器基本安全策略。防止外部IP地址欺騙，外部網(wǎng)絡(luò)的用戶可能會(huì)使用內(nèi)部網(wǎng)的合法IP地址或者回環(huán)地址作為源地址，從而實(shí)現(xiàn)非法訪問；防止外部的非法探測(cè)。非法訪問者對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊前，往往會(huì)用ping或其他命令探測(cè)網(wǎng)絡(luò)，所以可以通過禁止從外部用ping、traceroute等探測(cè)網(wǎng)絡(luò)來進(jìn)行防范。路由器一般可以通過telnet或SNMP訪問，應(yīng)該確保Inter?net上沒有人能用這些協(xié)議攻擊路由器；阻止對(duì)關(guān)鍵端口的非法訪問。關(guān)鍵端口可能是內(nèi)部系統(tǒng)使用的端口或者是防火墻本身暴露的端口。對(duì)這些端口的訪問應(yīng)該加以限制，否則這些設(shè)備就很容易受到攻擊。此外，攻擊者有時(shí)會(huì)利用ICMP重定向來對(duì)路由器進(jìn)行重定向，將本應(yīng)送到正確目標(biāo)的信息重定向到它們指定的設(shè)備，從而獲得有用信息；防止外部源路由欺騙。源路由選擇是指使用數(shù)據(jù)鏈路層信息來為數(shù)據(jù)報(bào)進(jìn)行路由選擇。該技術(shù)跨越了網(wǎng)絡(luò)層的路由信息，使入侵者可以為內(nèi)部網(wǎng)的數(shù)據(jù)報(bào)指定一個(gè)非法的路由，這樣原本應(yīng)該送到合法目的地的數(shù)據(jù)報(bào)就會(huì)被送到入侵者指定的地址；防止盜用內(nèi)部IP地址，攻擊者可能會(huì)盜用內(nèi)部IP地址進(jìn)行非法訪問，開啟mak地址綁定功能；要在源站點(diǎn)防止smurf，關(guān)鍵是阻止所有的向內(nèi)回顯請(qǐng)求。這就要防止路由器將指向網(wǎng)絡(luò)廣播地址的通信映射到局域網(wǎng)廣播地址。

第三，路由器除了可以提供路徑選擇外，它還是一臺(tái)服務(wù)器，可以提供一些有用的服務(wù)。路由器運(yùn)行的這些服務(wù)可能會(huì)成為敵人攻擊的突破口，為了安全起見，最好關(guān)閉這些服務(wù)。

第四，拒絕服務(wù)（DoS）是目前黑客廣泛使用的一種手段，可通過獨(dú)占網(wǎng)絡(luò)資源、使其他主機(jī)不能進(jìn)行正常訪問，從而導(dǎo)致網(wǎng)絡(luò)癱瘓，我們可以通過在接入路由器上采用QoS和CAR限速策略來達(dá)到抵御的目的。QoS（Quality of Service）是網(wǎng)絡(luò)的一種安全機(jī)制，可解決網(wǎng)絡(luò)延遲和阻塞等問題，在路由器中主要是實(shí)現(xiàn)IP帶寬控制功能，防止部分IP占用大量帶寬。

3）組播安全防范

（1）IGMPv3

作為一種與單播（Unicast）和廣播（Broadcast）并列的通信方式，組播（Multicast）技術(shù)能夠有效地解決單點(diǎn)發(fā)送、多點(diǎn)接收的問題，從而實(shí)現(xiàn)網(wǎng)絡(luò)中點(diǎn)到多點(diǎn)的高效數(shù)據(jù)傳送，能夠節(jié)約大量網(wǎng)絡(luò)帶寬，降低網(wǎng)絡(luò)負(fù)載。

目前，河北廣電網(wǎng)絡(luò)利用組播技術(shù)來提供一些新的增值業(yè)務(wù)，包括在線直播、網(wǎng)絡(luò)電視、遠(yuǎn)程教育、遠(yuǎn)程醫(yī)療、網(wǎng)絡(luò)電臺(tái)、實(shí)時(shí)視頻會(huì)議等對(duì)帶寬和數(shù)據(jù)交互的實(shí)時(shí)性要求較高的信息服務(wù)。

IGMPv1：主機(jī)可以加入組播組，沒有離開信息（leavemessages），路由器使用基于超時(shí)的機(jī)制去發(fā)現(xiàn)其成員不關(guān)注的組。

IGMPv2：該協(xié)議包含了離開信息，允許迅速向路由協(xié)議報(bào)告組成員終止情況，其對(duì)高帶寬組播組或易變型組播組成員而言是非常重要的。

IGMPv3：與以上兩種協(xié)議相比，該協(xié)議的主要改動(dòng)為允許主機(jī)指定其要接收通信流量的主機(jī)對(duì)象，來自網(wǎng)絡(luò)中其他主機(jī)的流量是被隔離的。同時(shí)，IGMPv3也支持主機(jī)阻止那些來自于非要求的主機(jī)發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包，綜上所述，采用IGMPV3更為安全。

（2）ASM與SSM

ASM需要組地址的良好分配，在任何假定的時(shí)間，一個(gè)ASM組應(yīng)該通過一個(gè)單獨(dú)的應(yīng)用被使用。當(dāng)兩個(gè)應(yīng)用同時(shí)使用相同的ASM組播組時(shí)，接收設(shè)備從兩個(gè)應(yīng)用的源接收相同的應(yīng)用，這種模式可能導(dǎo)致網(wǎng)絡(luò)中意料之外的通信，或?qū)е戮W(wǎng)絡(luò)連接的擁塞與應(yīng)用接收設(shè)備的故障。ASM通常采用239/8的地址范圍。

SSM僅僅在每個(gè)源主機(jī)中進(jìn)行預(yù)先規(guī)劃，而不需要組地址在網(wǎng)絡(luò)中的預(yù)先規(guī)劃。當(dāng)運(yùn)行在相同源主機(jī)時(shí)，不同的應(yīng)用必須使用不同的SSM組。運(yùn)行在不同的源主機(jī)時(shí)，不同的應(yīng)用可以任意重新使用SSM組地址，這不會(huì)導(dǎo)致任何網(wǎng)絡(luò)流量的超出。默認(rèn)的SSM地址范圍為232/8，用戶也可以自由配置。

此外，還需要在相關(guān)路由器上建立嚴(yán)格的ACL，明確哪些組播信息可以通過，哪些不可以。組播邊界設(shè)置不僅可以減少路由器負(fù)擔(dān)，而且能保證內(nèi)容安全。邊界設(shè)置主要有兩種模式，一種是組播ttl，另一種是組播boundary。

江西：網(wǎng)絡(luò)安全的建設(shè)、管理經(jīng)驗(yàn)

江西廣電網(wǎng)絡(luò)現(xiàn)有用戶350萬(wàn)戶，建設(shè)有傳輸網(wǎng)、數(shù)字電視網(wǎng)、業(yè)務(wù)網(wǎng)、數(shù)據(jù)網(wǎng)等4張網(wǎng)絡(luò)。其中，傳輸網(wǎng)作為其他網(wǎng)絡(luò)的承載網(wǎng)，與其他系統(tǒng)進(jìn)行了物理隔離，網(wǎng)管系統(tǒng)只預(yù)留了遠(yuǎn)程維護(hù)接口，不用時(shí)斷開。數(shù)字電視網(wǎng)通過接口機(jī)與業(yè)務(wù)網(wǎng)連接，江西廣電網(wǎng)絡(luò)計(jì)劃在這部分增加一臺(tái)安全堡壘來實(shí)現(xiàn)安全保障。業(yè)務(wù)網(wǎng)通過接口機(jī)與銀行、短信提供商、雙向互動(dòng)平臺(tái)連接，連接均由防火墻保障安全。數(shù)據(jù)網(wǎng)將用戶與管理分為兩個(gè)網(wǎng)絡(luò)，并采取了相應(yīng)的安全措施。下面，筆者將網(wǎng)絡(luò)安全問題細(xì)分成四個(gè)層次分別進(jìn)行討論，分別為門禁、線路、用戶鑒權(quán)及監(jiān)測(cè)。

1.門禁

門禁是安全防護(hù)最外面的一層，它直接面對(duì)著外部各方面的沖擊。我們認(rèn)為門禁系統(tǒng)應(yīng)由各種規(guī)章制度以其執(zhí)行力組成，其是一個(gè)管理上的問題。目前，江西省廣電網(wǎng)絡(luò)公司的省中心機(jī)房設(shè)有五道門崗，進(jìn)大院一個(gè)，小院一個(gè)，進(jìn)大樓一個(gè)，進(jìn)設(shè)備區(qū)一個(gè)，每個(gè)機(jī)房單獨(dú)設(shè)門崗，其中前4個(gè)均為專人值守。在門禁管理制度方面，江西省廣電網(wǎng)絡(luò)制訂了一整套安全播出工作手冊(cè)，并嚴(yán)格執(zhí)行先申請(qǐng)?jiān)龠M(jìn)入的程序。且進(jìn)入機(jī)房后需要由機(jī)房工作人員全程陪同。這一層最危險(xiǎn)、最容易出的問題我們認(rèn)為是來自機(jī)房?jī)?nèi)部人員。為此，江西廣電采取了以下措施：

首先，是制訂完善的規(guī)章制度。

其次，是分項(xiàng)目，分機(jī)房，分權(quán)限。即每個(gè)工程師負(fù)責(zé)一個(gè)主項(xiàng)目和一個(gè)次項(xiàng)目，在主項(xiàng)目中他的權(quán)限最高，次項(xiàng)目確保在其主負(fù)責(zé)人不在時(shí)通過電話能夠解決問題。

第三，機(jī)房負(fù)責(zé)人經(jīng)常與機(jī)房維護(hù)工程師聊天，以了解其思想動(dòng)態(tài)，確保其積極健康向上。

第四，每周二召開一次例會(huì)，既是一次技術(shù)交流，也是一次思想交流，增進(jìn)同事之間的和諧關(guān)系。

2.線路

這一層指的是各種光纜、電纜、有線、無(wú)線的接入機(jī)房的線路。保障鏈路安全首先是要對(duì)每條線路登記資料，主要包括光纜、電纜及衛(wèi)星天線等。其次，對(duì)每條線路做好標(biāo)記，標(biāo)記上注明線路來自那兒以及去那里。此外，設(shè)置攝像頭監(jiān)控這些線路并定期檢查。

在這一層中，最危險(xiǎn)的是電纜和衛(wèi)星天線，我們目前還沒有發(fā)現(xiàn)光纜被入侵的案例。

在電纜方面，江西廣電網(wǎng)絡(luò)采用了三路外電（高壓一路、低壓兩路），變壓器設(shè)置在公司的院子內(nèi)，目前較安全。

衛(wèi)星天線采用主備兩套，置于機(jī)房的兩側(cè)，同時(shí)與南昌市機(jī)房利用一套思科的DCM設(shè)備，可互相交換10路ASI信號(hào)，互為備份。

3.用戶鑒權(quán)

用戶鑒權(quán)是指外來信號(hào)通過各種手段進(jìn)入機(jī)房后，對(duì)設(shè)備進(jìn)行操作前需要鑒別該信號(hào)是否合法及權(quán)限是否足夠。其首先所有涉及到“廣播”設(shè)備與服務(wù)器，因此堅(jiān)決不能與互聯(lián)網(wǎng)連接，需維護(hù)或者設(shè)置時(shí)，一律申請(qǐng)?jiān)跈C(jī)房進(jìn)行操作；其次“廣播”與其他諸如“業(yè)務(wù)網(wǎng)”、“互動(dòng)網(wǎng)”之間通過接口機(jī)和安全網(wǎng)關(guān)互聯(lián)，權(quán)限設(shè)置必須為最小；最后，必須連接互聯(lián)網(wǎng)的地方，用防火墻連接。

這一層的危險(xiǎn)在于被非法入侵。

首先，我們對(duì)設(shè)備、服務(wù)器的密碼按照“大小寫字母+數(shù)字+特殊符號(hào)”的原則進(jìn)行設(shè)置。用戶名、密碼只以書面形式記錄，并存于機(jī)房負(fù)責(zé)人處，兩人才能開啟。

其次，防火墻、安全網(wǎng)關(guān)通過權(quán)限按照系統(tǒng)必須進(jìn)行最小設(shè)置。必須遠(yuǎn)程維護(hù)操作，必須經(jīng)過安全網(wǎng)關(guān)，安全網(wǎng)關(guān)會(huì)記錄所有操作，且全程有專人監(jiān)控，操作一般安排在晚上1點(diǎn)后進(jìn)行，維護(hù)完成后，我們會(huì)對(duì)相應(yīng)的系統(tǒng)進(jìn)行檢查。

4.監(jiān)測(cè)

江西廣電網(wǎng)絡(luò)建設(shè)了一套全省數(shù)字電視信號(hào)監(jiān)測(cè)系統(tǒng)，該系統(tǒng)目前已全面覆蓋全省10個(gè)設(shè)區(qū)市及80個(gè)縣市區(qū)前端機(jī)房。其中，省中心機(jī)房能夠?qū)Ω鞣止厩岸藱C(jī)房的節(jié)目監(jiān)測(cè)系統(tǒng)進(jìn)行管理，從而實(shí)現(xiàn)對(duì)所轄分前端有線數(shù)字廣播電視的播出情況進(jìn)行監(jiān)測(cè)、管理和考核。此外，監(jiān)測(cè)系統(tǒng)能做到信道層、碼流層實(shí)時(shí)監(jiān)測(cè)及報(bào)警、TR 101 290三級(jí)錯(cuò)誤實(shí)時(shí)監(jiān)測(cè)及報(bào)警，對(duì)所有信號(hào)的故障記錄及故障進(jìn)行錄像。

青海：安全播出應(yīng)急管理淺析

青海省轄區(qū)內(nèi)6個(gè)民族自治州，7個(gè)民族自治縣級(jí)34個(gè)民族鄉(xiāng)，從藏區(qū)和維穩(wěn)角度，青海有線網(wǎng)絡(luò)在安全播出上又多一層特殊性和重要性。

1.機(jī)房

雖然青海省有線網(wǎng)絡(luò)的整合工作已經(jīng)完成，但目前還存在三個(gè)相對(duì)獨(dú)立的前端機(jī)房：省公司、原西寧市公司（3個(gè)區(qū)）及格爾木分公司。其中，西分機(jī)房由于機(jī)頂盒的配合等問題，還有幾萬(wàn)臺(tái)單向機(jī)頂盒無(wú)法升級(jí)；各分機(jī)房個(gè)別光纜干線未通達(dá)到縣級(jí)分公司，如玉樹、果洛等。

省公司機(jī)房：

信源：主要包括中央臺(tái)節(jié)目。主用國(guó)干信源、環(huán)網(wǎng)、自動(dòng)切換；各地衛(wèi)視：指定的衛(wèi)星；本地節(jié)目：由當(dāng)?shù)仉娨暸_(tái)光纜環(huán)網(wǎng)傳送。

在新源安全方面，目前，本地前端有2個(gè)IP平臺(tái)互為備份，下一步將在玉樹、格爾木做異地信源備份；有信源預(yù)警監(jiān)測(cè)系統(tǒng)。

機(jī)房環(huán)境及安全：門禁、24小時(shí)值班；機(jī)房供電：兩路外電、兩路UPS（60、80KVA）、一路柴發(fā)（300 kW及完善的機(jī)房安全制度。

2.傳輸

城域網(wǎng)：有分前端的形成自愈環(huán)網(wǎng)。采用光點(diǎn)到樓的結(jié)構(gòu)。

長(zhǎng)途光纜干線：通過自建、租桿掛纜、租纖、形成1550環(huán)網(wǎng)，個(gè)別分公司有支鏈但未形成環(huán)網(wǎng)的，放清流的數(shù)字備份平臺(tái)。今年開通大部分地區(qū)OTN傳輸網(wǎng)。

3.數(shù)據(jù)環(huán)節(jié)的安全防范

1）公司數(shù)據(jù)業(yè)務(wù)方面：嚴(yán)格公司內(nèi)外網(wǎng)系統(tǒng)建設(shè)，局域網(wǎng)和互聯(lián)網(wǎng)要求獨(dú)立，做到物理隔離；在OA電子自動(dòng)化辦公系統(tǒng)和BOSS運(yùn)營(yíng)支撐系統(tǒng)方面，嚴(yán)格人員權(quán)限，規(guī)范上網(wǎng)和操作行為。員工個(gè)人賬號(hào)必須設(shè)置密碼，離開時(shí)要求及時(shí)退出，避免人為方面的安全隱患。

2）CAS條件接收系統(tǒng)方面：數(shù)字電視前端采用了永新視博CAS條件接收系統(tǒng)和數(shù)碼視訊CAS條件接收系統(tǒng)，并進(jìn)行了同密。OSD和郵件發(fā)布由公司專人進(jìn)行管理，做到了三級(jí)審核。該系統(tǒng)的安全性能通過公司嚴(yán)格的權(quán)限管理，尤其OSD和郵件發(fā)布工作由專人負(fù)責(zé)，并責(zé)任到人；各分公司營(yíng)業(yè)廳收費(fèi)電腦通過內(nèi)網(wǎng)與BOSS系統(tǒng)服務(wù)器連接，除CAS系統(tǒng)管理員外，其他人不得隨意進(jìn)入CAS系統(tǒng)進(jìn)行任何操作，以保證合法信息的正常播發(fā)，不給非法信息留有可乘之機(jī)。

3）高清互動(dòng)點(diǎn)播系統(tǒng)：目前，青海廣電網(wǎng)絡(luò)的華數(shù)互動(dòng)點(diǎn)播業(yè)務(wù)平臺(tái)為杭州華數(shù)的CDN分發(fā)中心，屬于分前端點(diǎn)播模式。高清互動(dòng)系統(tǒng)在杭州華數(shù)公司，系統(tǒng)的安全性也由華數(shù)公司來保障。

4）廣告系統(tǒng)方面：廣視易通廣告系統(tǒng)完全獨(dú)立運(yùn)行，青海廣電網(wǎng)絡(luò)公司局域網(wǎng)與互聯(lián)網(wǎng)沒有互聯(lián)。廣告公司發(fā)布的廣告由相關(guān)部門專人負(fù)責(zé)發(fā)布。

4.下一步工作

下一步工作包括：電子郵件顯示機(jī)制、策略的變更；部門之間職責(zé)的界定；內(nèi)部客戶端、網(wǎng)上營(yíng)業(yè)廳的管理；設(shè)備巡檢、升級(jí)，提供商應(yīng)現(xiàn)場(chǎng)進(jìn)行；機(jī)房操作有完整的記錄；外網(wǎng)連接端口的隔離、管理；補(bǔ)充進(jìn)《應(yīng)急預(yù)案》中。

陜西：構(gòu)建開放、安全的廣電網(wǎng)絡(luò)

1.《廣播電視安全播出管理規(guī)定》（總局62號(hào)令）解讀

1）三項(xiàng)重要工作

日常管理：在日常情況下，對(duì)廣播電視播出、傳輸、覆蓋等活動(dòng)的管理規(guī)定；

重要保障期管理：在重要保障期，對(duì)廣播電視播出、傳輸、覆蓋等活動(dòng)的管理規(guī)定；

應(yīng)急管理：應(yīng)急管理指對(duì)突發(fā)事件的管理，突發(fā)事件分為破壞侵?jǐn)_事件、自然災(zāi)害事件、技術(shù)安全事件、其他事件四類，級(jí)別分為特大、重大、較大三級(jí)。

解讀：

日常管理：為保證用戶日常收看廣播電視節(jié)目而制訂的管理規(guī)定；安全保障級(jí)別相對(duì)較低；

重要保障期管理：在重要保障期（如重要會(huì)議、賽事的直播），為保證用戶收看到安全、高質(zhì)量的廣播電視節(jié)目而制訂的管理規(guī)定；安全保障級(jí)別相對(duì)較高；

應(yīng)急管理：不管是日常播出還是重要保障期播出，都可能發(fā)生突發(fā)事件，而突發(fā)事件造成的負(fù)面影響往往較為嚴(yán)重，尤其是在重要保障期，因此，應(yīng)急管理是安全播出管理中的重中之重，必須予以高度重視。

2）三個(gè)核心要素

人員：對(duì)保障安全播出的各級(jí)人員、組織架構(gòu)提出了規(guī)定和要求；

制度：對(duì)保障安全播出的有關(guān)制度、標(biāo)準(zhǔn)、規(guī)范和流程提出了規(guī)定和要求；

技術(shù)：對(duì)播出系統(tǒng)的技術(shù)配置、技術(shù)標(biāo)準(zhǔn)以及運(yùn)維技術(shù)管理等方面都提出了明確的規(guī)定和要求。

解讀：

人員：人員是三大要素中最核心、最活躍的要素，要做好安全播出工作，首先要解決好人的問題（思想端正、心理健康、技術(shù)熟練、有責(zé)任心）；有很多安全播出事故案例都是由于內(nèi)部人員出問題而引發(fā)的，所以內(nèi)部人員的心理疏導(dǎo)、技術(shù)培訓(xùn)、增強(qiáng)責(zé)任心等方面的工作不容忽視；

制度：其實(shí)，62號(hào)令就是一個(gè)有關(guān)安全播出的大的管理制度，62號(hào)令所涉及的制度、標(biāo)準(zhǔn)、規(guī)范和流程將有關(guān)要素組織成一個(gè)有機(jī)的體系，從而實(shí)現(xiàn)對(duì)安全播出強(qiáng)大的支撐和保障；

技術(shù)：安全播出工作與技術(shù)越來越密切了，尤其在廣電網(wǎng)絡(luò)向互聯(lián)網(wǎng)轉(zhuǎn)型的進(jìn)程當(dāng)中，技術(shù)的發(fā)展為廣電網(wǎng)絡(luò)注入了新的活力，同時(shí)也帶來了諸多安全的隱患，對(duì)于廣電網(wǎng)絡(luò)公司來說，加強(qiáng)技術(shù)防范是今后安播工作的一個(gè)新趨勢(shì)、新動(dòng)向。

3）安全播出是一個(gè)系統(tǒng)工程

總局62號(hào)令其實(shí)是一個(gè)有關(guān)安全播出的系統(tǒng)工程的管理規(guī)定。62號(hào)令對(duì)安全播出的日常管理、重要保障期管理、應(yīng)急管理等各項(xiàng)重要工作均做出了明確的規(guī)定和要求，將人員、制度、技術(shù)等核心要素有機(jī)地融合進(jìn)各項(xiàng)規(guī)定條款中，構(gòu)建出一個(gè)立體的廣播電視安全播出保障體系。

2.“三網(wǎng)融合”給廣電網(wǎng)絡(luò)帶來的安全新挑戰(zhàn)

1）三網(wǎng)融合的特點(diǎn)

開放平臺(tái)：云；其次是IP網(wǎng)絡(luò)：管；第三是融合終端：端。

2）當(dāng)今運(yùn)營(yíng)網(wǎng)絡(luò)的特點(diǎn)

越來越開放的網(wǎng)絡(luò)。開放性給用戶帶來了靈活、便捷的個(gè)性化服務(wù)和體驗(yàn)，同時(shí)，讓運(yùn)營(yíng)商能夠快速部署各種應(yīng)用以應(yīng)對(duì)市場(chǎng)競(jìng)爭(zhēng)；越來越具有挑戰(zhàn)性的網(wǎng)絡(luò)安全。技術(shù)的開放、設(shè)備的開放、系統(tǒng)漏洞的開放、黑客攻擊手段的開放，讓保證網(wǎng)絡(luò)的安全工作變得越來越具有挑戰(zhàn)性。

3）廣電網(wǎng)絡(luò)在“三網(wǎng)融合”進(jìn)程中共性

雙向化改造；IP化演進(jìn)；開放性平臺(tái)；與互聯(lián)網(wǎng)對(duì)接。由此帶來的安全隱患主要包括通過用戶端攻擊系統(tǒng)；通過互聯(lián)網(wǎng)攻擊系統(tǒng)；通過遠(yuǎn)程VPN撥號(hào)攻擊系統(tǒng)；“不攻自破”。

4）認(rèn)識(shí)和建議

廣電網(wǎng)絡(luò)的開放性是不可逆轉(zhuǎn)的趨勢(shì)，并且會(huì)越來越開放；開放帶來的安全隱患必須予以高度重視，這些隱患已經(jīng)成為安全播出面臨的新問題和新挑戰(zhàn)；建議從技術(shù)層面對(duì)網(wǎng)絡(luò)安全問題進(jìn)行深入研究和討論，集各方智慧研究適合廣電網(wǎng)絡(luò)的安全標(biāo)準(zhǔn)和規(guī)范，推進(jìn)安全播出工作向更高臺(tái)階邁進(jìn)。

3.構(gòu)建開放、安全的廣電網(wǎng)絡(luò)

1）網(wǎng)絡(luò)安全的概念

網(wǎng)絡(luò)安全是指保護(hù)網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞、篡改和泄露，保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、網(wǎng)絡(luò)服務(wù)不中斷。其主要包括以下五個(gè)屬性：可用性、機(jī)密性、完整性、可靠性和不可抵賴性。

2）傳統(tǒng)通信過程中安全所受到的威脅

傳統(tǒng)通信過程中所受到的安全威脅主要分為以下四大類：中斷、截獲、篡改及偽造。其原理如圖6所示。

圖6 傳統(tǒng)通信四大安全問題

3）計(jì)算機(jī)網(wǎng)絡(luò)安全所受到的威脅

傳統(tǒng)通信過程安全所受到的威脅在計(jì)算機(jī)網(wǎng)絡(luò)中依然存在，由于加密技術(shù)、認(rèn)證技術(shù)、數(shù)字簽名技術(shù)等領(lǐng)域的發(fā)展和成熟，這方面的威脅得到了一定的控制。

計(jì)算機(jī)網(wǎng)絡(luò)安全所受到的更大的威脅來自：網(wǎng)絡(luò)攻擊和病毒侵害。

4）對(duì)于目前廣電網(wǎng)絡(luò)的數(shù)字電視直播系統(tǒng)、互動(dòng)點(diǎn)播系統(tǒng)而言，安全威脅主要來自網(wǎng)絡(luò)攻擊，這是一個(gè)新動(dòng)向，也是安全播出工作的一個(gè)新課題。

無(wú)論是何種動(dòng)機(jī)，攻擊者實(shí)際上是希望完成以下四件事中的一件或多件：破壞目標(biāo)正常工作、竊取目標(biāo)信息、控制目標(biāo)計(jì)算機(jī)、利用假消息欺騙對(duì)方，而這四件事的本質(zhì)就是破壞與入侵。

破壞：所謂破壞，指的是破壞攻擊目標(biāo)，使之不能正常工作，但不能隨意控制目標(biāo)系統(tǒng)。

入侵：以入侵為目的的攻擊方式，需要獲得一定的權(quán)限來達(dá)到控制攻擊目標(biāo)的目的。這類攻擊通常是利用服務(wù)器操作系統(tǒng)、應(yīng)用軟件或者網(wǎng)絡(luò)協(xié)議存在的漏洞進(jìn)行的。

5）網(wǎng)絡(luò)攻擊的動(dòng)機(jī)和目的

網(wǎng)絡(luò)攻擊的動(dòng)機(jī)和目的包括：政治和軍事目的；集體或個(gè)人的商業(yè)目的；以惡意破壞為目的；無(wú)惡意的惡作劇。

6）推薦

P2DR網(wǎng)絡(luò)安全模型，是美國(guó)ISS公司提出的動(dòng)態(tài)網(wǎng)絡(luò)安全模型。P2DR模型（見圖7）包括四個(gè)主要部分：Pol?icy（安全策略）、Protection（防護(hù)）、De?tection（檢測(cè)）和Response（響應(yīng)）。

圖7 P2DR模型示意圖

安全策略：根據(jù)風(fēng)險(xiǎn)分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等。策略是模型的核心，所有的防護(hù)、檢測(cè)和響應(yīng)都是依據(jù)安全策略實(shí)施的。網(wǎng)絡(luò)安全策略一般包括總體安全策略和具體安全策略兩個(gè)部分。

Protection（防護(hù)）：通過修復(fù)系統(tǒng)漏洞、正確設(shè)計(jì)開發(fā)和安裝系統(tǒng)來預(yù)防安全事件的發(fā)生；通過定期檢查來發(fā)現(xiàn)可能存在的系統(tǒng)脆弱性；通過教育等手段，使用戶和操作員正確使用系統(tǒng)，防止意外威脅；通過訪問控制、監(jiān)視等手段來防止惡意威脅。采用的防護(hù)技術(shù)通常包括數(shù)據(jù)加密、身份認(rèn)證、訪問控制、授權(quán)和虛擬專用網(wǎng)（VPN）技術(shù)、防火墻、安全掃描和數(shù)據(jù)備份等。

Detection（檢測(cè)）：檢測(cè)是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)，通過不斷地檢測(cè)和監(jiān)控網(wǎng)絡(luò)系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過循環(huán)反饋來及時(shí)做出有效的響應(yīng)。當(dāng)攻擊者穿透防護(hù)系統(tǒng)時(shí)，檢測(cè)功能就開始發(fā)揮作用，與防護(hù)系統(tǒng)形成互補(bǔ)。

Response（響應(yīng)）：系統(tǒng)一旦檢測(cè)到被攻擊，響應(yīng)系統(tǒng)就開始工作，進(jìn)行事件處理。響應(yīng)包括緊急響應(yīng)和恢復(fù)處理，恢復(fù)處理又包括系統(tǒng)恢復(fù)和信息恢復(fù)。

理論解釋見圖8。

圖8 P2DR理論解釋

其中，Pt代表系統(tǒng)為了保護(hù)安全目標(biāo)設(shè)置各種保護(hù)后的防護(hù)時(shí)間，或者理解為在這樣的保護(hù)方式下，攻擊者攻擊安全目標(biāo)所花費(fèi)的時(shí)間。Dt代表從攻擊者發(fā)動(dòng)攻擊開始，到系統(tǒng)能夠檢測(cè)到攻擊行為所花費(fèi)的時(shí)間。Rt代表從檢測(cè)到攻擊行為開始，系統(tǒng)能夠做出足夠的響應(yīng)，將系統(tǒng)調(diào)整到正常狀態(tài)的時(shí)間。

公式1：Pt＞Dt+Rt

對(duì)于需要保護(hù)的安全目標(biāo)，如果公式1成立，即滿足防護(hù)時(shí)間大于檢測(cè)時(shí)間加上響應(yīng)時(shí)間，也就是說，在攻擊者危害安全目標(biāo)之前就能被檢測(cè)到并及時(shí)處理，即達(dá)到了對(duì)安全目標(biāo)的防護(hù)目的。

公式2：Et=Dt+Rt-Pt。

Et為安全目標(biāo)系統(tǒng)的暴露時(shí)間，Et越小目標(biāo)系統(tǒng)越安全。

通過上面兩個(gè)公式的描述，實(shí)際上給出了一個(gè)安全的全新定義：及時(shí)的檢測(cè)和響應(yīng)就是安全。

這樣的定義也為安全問題的解決指明了方向：即提高系統(tǒng)的防護(hù)時(shí)間Pt，降低檢測(cè)時(shí)間Dt和響應(yīng)時(shí)間Rt。

希望P2DR模型能夠?yàn)闃?gòu)建開放的廣電網(wǎng)絡(luò)提供堅(jiān)實(shí)的安全保障。

中國(guó)有線海南分公司：廣電網(wǎng)絡(luò)的安全播出

對(duì)于中國(guó)有線海南分公司來說，廣電完全播出的目標(biāo)主要為保障播出系統(tǒng)的安全。即拒絕非授權(quán)用戶的訪問，避免出現(xiàn)篡改播出內(nèi)容或者插入其他內(nèi)容等非法操作。播出系統(tǒng)（含外圍系統(tǒng)）主要包括CA系統(tǒng)、BOSS系統(tǒng)（CA外圍系統(tǒng)）IVR系統(tǒng)（CA外圍系統(tǒng)）、雙向互動(dòng)系統(tǒng)及EPG廣告系統(tǒng)。在防護(hù)方面，最重要的原則為：盡可能少的服務(wù)=盡可能多的安全。

1.CA和BOSS防護(hù)

（1）采用天栢CA部署兩臺(tái)防火墻（主備冗余）進(jìn)行防護(hù)，只允許特定源（BOSS接口機(jī)）到CA特定端口的訪問，過濾其他訪問；NDSCA2部署一臺(tái)防火墻進(jìn)行防護(hù)，只允許特定源（BOSS接口機(jī)）到NDSCA特定端口的訪問，過濾其他訪問（見圖9）。

圖9 CA和BOSS防護(hù)架構(gòu)圖

（2）BOSS系統(tǒng)部署兩臺(tái)防火墻（主備冗余）進(jìn)行防護(hù)。

所有業(yè)務(wù)終端（含外圍系統(tǒng)）只允許訪問BOSS系統(tǒng)特定服務(wù)器特定端口，業(yè)務(wù)終端綁定IP地址和MAC地址；

現(xiàn)場(chǎng)維護(hù)終端到BOSS的訪問權(quán)限較大，要求現(xiàn)場(chǎng)維護(hù)終端專機(jī)專用并綁定IP地址和MAC地址，不能訪問互聯(lián)網(wǎng)。

遠(yuǎn)程維護(hù)通過SSL VPN對(duì)傳輸數(shù)據(jù)進(jìn)行加密保護(hù)，在需要對(duì)BOSS系統(tǒng)進(jìn)行遠(yuǎn)程維護(hù)時(shí)，網(wǎng)管人員在SSL VPN服務(wù)器上臨時(shí)激活登錄帳號(hào)。

2.綜合區(qū)域防護(hù)

綜合區(qū)域防護(hù)架構(gòu)如圖10所示。

圖10 綜合區(qū)域防護(hù)架構(gòu)圖

綜合區(qū)域部署一臺(tái)防火墻進(jìn)行防護(hù)。

遠(yuǎn)程維護(hù)終端只能訪問外網(wǎng)SSL VPN的登錄端口，過濾其他訪問。

內(nèi)網(wǎng)維護(hù)終端只能訪問內(nèi)網(wǎng)SSL VPN的登錄端口，過濾其他訪問。

根據(jù)需要，開通綜合區(qū)域內(nèi)服務(wù)器到特定目標(biāo)的訪問，過濾其他訪問。

3.辦公網(wǎng)接入防護(hù)

辦公室防護(hù)架構(gòu)如圖11所示。

圖11 辦公室防護(hù)架構(gòu)圖

部署上網(wǎng)行為管理系統(tǒng)，限制非授權(quán)用戶（特別是專機(jī)專用操作終端）訪問互聯(lián)網(wǎng)。

部署一臺(tái)防火墻，實(shí)現(xiàn)OA用戶到OA服務(wù)器的訪問控制，根據(jù)需要開通特定OA用戶到特定OA服務(wù)器特定應(yīng)用端口的訪問，過濾其他訪問。

4.外部接入防護(hù)

外部接入防護(hù)架構(gòu)如圖12所示。

圖12 外部接入防護(hù)架構(gòu)圖

部署兩臺(tái)防火墻（一主一備）組建統(tǒng)一的外聯(lián)網(wǎng)絡(luò)，用于控制內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接，根據(jù)需要只放特定源（外部用戶）到特定目標(biāo)服務(wù)器特定目標(biāo)端口的訪問。

每個(gè)業(yè)務(wù)分配單獨(dú)VLAN，各個(gè)業(yè)務(wù)之間完全隔離，實(shí)現(xiàn)在一個(gè)平臺(tái)上多業(yè)務(wù)復(fù)用。

5.雙向互動(dòng)系統(tǒng)防護(hù)

雙向互動(dòng)系統(tǒng)防擴(kuò)架構(gòu)如圖13所示。

圖13 雙向互動(dòng)系統(tǒng)防護(hù)架構(gòu)圖

維護(hù)操作終端專機(jī)專用，綁定IP地址和MAC地址，只能訪問特定服務(wù)器的特定應(yīng)用。

雙向互動(dòng)系統(tǒng)通過兩臺(tái)防火墻（一主一備）進(jìn)行防護(hù)，每個(gè)系統(tǒng)（雙向互動(dòng)、媒資系統(tǒng)A、媒資系統(tǒng)B等）一個(gè)區(qū)域，通過防火墻對(duì)各個(gè)區(qū)域之間的互訪做控制，只開通最小訪問需求；

機(jī)頂盒通過雙向網(wǎng)訪問各個(gè)系統(tǒng)的Portal服務(wù)器，通過防火墻進(jìn)行控制，只能訪問特定Portal服務(wù)器的特定端口；

6.EPG廣告系統(tǒng)防護(hù)

EPG廣告系統(tǒng)單獨(dú)組網(wǎng)，不與其他網(wǎng)絡(luò)互通，只有專機(jī)專用的操作終端可以訪問到EGP廣告系統(tǒng)，通過在EGP廣告系統(tǒng)和維護(hù)操作終端之間部署防火墻，控制從操作終端到特定服務(wù)器的特定應(yīng)用端口的訪問，以過濾其他訪問。

EPG廣告系統(tǒng)防護(hù)見圖14。

山東：針對(duì)安全開展8方面工作

圖14 EPG廣告系統(tǒng)防護(hù)架構(gòu)圖

1.基本情況

山東省廣電有線網(wǎng)始建于1995年，1997年12月份完成省中心濟(jì)南市連接山東17個(gè)地市的一期工程，2005、2012年先后實(shí)施第二期、第三期擴(kuò)容擴(kuò)建，形成了目前拓?fù)浣Y(jié)構(gòu)為“一大環(huán)五支線環(huán)”總長(zhǎng)度為3 800 km的省一級(jí)干線網(wǎng)，承載華為SDH2.5 GHz和OTN 40×40 Gbit/s兩個(gè)數(shù)字傳輸平臺(tái)。2012年5月,山東廣電網(wǎng)絡(luò)重組，在省委宣傳部的直接推動(dòng)下，網(wǎng)絡(luò)公司利用一年時(shí)間完成全省的整合，以山東廣電網(wǎng)絡(luò)有限公司為母公司，組建了山東廣電網(wǎng)絡(luò)集團(tuán)，下轄17家地市分公司、126家縣級(jí)分公司及5家子公司。

截至2014年6月份，山東有線網(wǎng)絡(luò)已擁有1 960多萬(wàn)有線電視用戶，其中，數(shù)字電視用戶1 400多萬(wàn)，互動(dòng)電視用戶120多萬(wàn)，互聯(lián)網(wǎng)用戶65萬(wàn)。2012年公司整合之后，按照“統(tǒng)一建設(shè)、統(tǒng)一規(guī)劃、統(tǒng)一管理、統(tǒng)一運(yùn)營(yíng)”的原則，開始建設(shè)全省數(shù)字電視IP播出平臺(tái)。2013年初平臺(tái)建成使用，其主要設(shè)備DCM、編解碼器、交換機(jī)等都是業(yè)界高端的具有品質(zhì)保證的主流產(chǎn)品。而各分公司原有自建平臺(tái)作為備用平臺(tái)，在省網(wǎng)平臺(tái)信號(hào)出現(xiàn)中斷等意外情況下可實(shí)現(xiàn)本地切換播出。

目前，山東省網(wǎng)播出平臺(tái)集成的節(jié)目主要分為三類：央視和各省市衛(wèi)視節(jié)目，主要是通過衛(wèi)星及國(guó)干網(wǎng)這兩個(gè)通道傳輸，分別有濟(jì)南和濰坊兩個(gè)信源；第二，以山東臺(tái)為主的本地自辦節(jié)目；第三，在此基礎(chǔ)上山東有線還采購(gòu)了華數(shù)、上海文廣等各種類型的優(yōu)秀高清視頻節(jié)目，以打造“山東有線”這一品牌。

目前主打產(chǎn)品“高清暢享館”以二級(jí)菜單呈現(xiàn)，共容納31套高清電視節(jié)目。這也是夯實(shí)電視大屏的重要措施之一，目前來看，效果很好。8月1號(hào)溫州事件發(fā)生之后，山東廣電領(lǐng)導(dǎo)非常重視，及時(shí)部署安排，針對(duì)安全問題，山東有線主要開展了以下8個(gè)方面的工作。

1.成立聯(lián)絡(luò)小組，建立安全播出匯報(bào)制度

首先，成立了山東省全省安全播出管理工作領(lǐng)導(dǎo)小組，直接歸省公司安委會(huì)領(lǐng)導(dǎo)。省公司技術(shù)部總監(jiān)擔(dān)任領(lǐng)導(dǎo)小組組長(zhǎng)，省公司戰(zhàn)略規(guī)劃部、運(yùn)維中心、數(shù)據(jù)中心等部門的一線骨干力量和各分公司播出負(fù)責(zé)人兼任小組成員。各單位、各分公司定期將安全工作匯總上報(bào)。

其次，在重要時(shí)期，啟動(dòng)安全播出零報(bào)告制度。省公司運(yùn)維中心等單位收集本部同時(shí)對(duì)口收集分公司安全播出情況，每天準(zhǔn)時(shí)向技術(shù)部報(bào)送信息。技術(shù)部整理后上報(bào)安委會(huì)負(fù)責(zé)領(lǐng)導(dǎo)。

2.加強(qiáng)各類技術(shù)系統(tǒng)的安全防范

山東省公司統(tǒng)一描述符播發(fā)系統(tǒng)、分公司EPG廣告播出系統(tǒng)、省市公司的EPG和CA系統(tǒng)等等，以上各平臺(tái)服務(wù)器和VPN管理客戶端一概不準(zhǔn)外接互聯(lián)網(wǎng)，以確保物理隔離。

所有內(nèi)容播出系統(tǒng)，均實(shí)施專人負(fù)責(zé)、專人審核簽字通過負(fù)責(zé)制。

進(jìn)一步落實(shí)各類系統(tǒng)平臺(tái)網(wǎng)管管理，嚴(yán)格按照流程，專人負(fù)責(zé)。

市縣分公司新上廣告插播系統(tǒng)，均需上一級(jí)公司批準(zhǔn)；內(nèi)容核實(shí)及插播操作一概由公司正式員工在授權(quán)后實(shí)施。

3.加強(qiáng)嚴(yán)格規(guī)范各平臺(tái)遠(yuǎn)程操控

首先，對(duì)設(shè)備廠家遠(yuǎn)程操控人員實(shí)施政審登記，并限制人數(shù)；操作前由省網(wǎng)具體業(yè)務(wù)負(fù)責(zé)人通知播出值班員工，將端口人為插接，操作完畢后再手動(dòng)斷開。值班員工應(yīng)及時(shí)匯報(bào)操作效果；在特殊時(shí)期，業(yè)務(wù)負(fù)責(zé)人須現(xiàn)場(chǎng)監(jiān)看操作流程。

其次，加強(qiáng)登錄保密意識(shí)，遠(yuǎn)程登錄賬號(hào)與密碼定期更換。重要時(shí)期，一次一換。

4.引入節(jié)目審查機(jī)制，加強(qiáng)內(nèi)容監(jiān)督

首先，建立省網(wǎng)對(duì)第三方引入節(jié)目?jī)?nèi)容的審查機(jī)制。安排專人通過節(jié)目?jī)?nèi)容審查客戶端、預(yù)覽節(jié)目信息數(shù)據(jù)（標(biāo)題、導(dǎo)演、簡(jiǎn)介等），通過內(nèi)嵌播放器抽樣或者整體審看外來節(jié)目包。

其次，Portal等業(yè)務(wù)頁(yè)面可以繼續(xù)使用第三方提供的頁(yè)面，但對(duì)其遠(yuǎn)程修改權(quán)限做出限制，具體流程與上類似。

5.確保直播平臺(tái)通道安全、內(nèi)容安全

目前，山東省有線平臺(tái)播出的絕大部分節(jié)目通過國(guó)有衛(wèi)星和國(guó)干光纜網(wǎng)這兩條信息鏈路傳輸，只有華數(shù)和上海文廣提供的共8套節(jié)目的傳輸通過某互聯(lián)網(wǎng)基礎(chǔ)設(shè)施供應(yīng)商提供數(shù)據(jù)鏈路，相對(duì)來講，這8套節(jié)目存在鏈路環(huán)節(jié)的隱患可能更大。基于此，山東省網(wǎng)對(duì)這條傳輸鏈路采取了嚴(yán)盯死防的策略，一旦節(jié)目有異常，即時(shí)切換墊片，為實(shí)現(xiàn)長(zhǎng)治久安，省網(wǎng)公司必須加快節(jié)目審核平臺(tái)的建設(shè)。

此外，山東省網(wǎng)配備了各分公司節(jié)目分發(fā)專用的高端交換機(jī)（CIS?CO4948），其閑置端口全部關(guān)閉，同時(shí)不可劃出VLAN接入公網(wǎng)挪作其他用途。閑置端口啟用需要上報(bào)備案。

6.強(qiáng)化BOSS系統(tǒng)的安全管理

首先，省市縣各級(jí)在用的BOSS服務(wù)器一概不得與外網(wǎng)相連，營(yíng)業(yè)廳客戶端通過專線與BOSS服務(wù)器鏈接。各級(jí)設(shè)施均不可插接外來U盤、手機(jī)等數(shù)字終端。

其次，建立健全BOSS使用規(guī)范，BOSS系統(tǒng)的操作員賬號(hào)專人專用。在分公司BOSS系統(tǒng)中，屏顯和郵件發(fā)送有三項(xiàng)功能，分別為“訂制屏顯和郵件”、“審核屏顯和郵件”、“維護(hù)催費(fèi)信息模板”，山東省網(wǎng)要求將以上三項(xiàng)功能分開授權(quán)，尤其前兩項(xiàng)：信息訂制和審核兩個(gè)環(huán)節(jié)的安排由兩人完成，以保證技審和政審到位。

7.建設(shè)安全可靠的全省IP骨干網(wǎng)絡(luò)平臺(tái)

首先，將原有互聯(lián)網(wǎng)業(yè)務(wù)從IP播出平臺(tái)中分離開來，以確保播出平臺(tái)專網(wǎng)專用；細(xì)化防火墻策略，保證核心平臺(tái)的安全，比如通過IP層的包過濾和訪問控制列表，針對(duì)業(yè)務(wù)內(nèi)容與其他訪問限制隔離。

其次，制訂緊急情況處理預(yù)案，做好意外攻擊或者突發(fā)故障導(dǎo)致系統(tǒng)崩潰的應(yīng)對(duì)，從硬件冗余和人員響應(yīng)等多方面做好準(zhǔn)備。

8.跟蹤探索新的技防措施

著手開發(fā)機(jī)頂盒內(nèi)存強(qiáng)制清空的功能軟件，搭建響應(yīng)系統(tǒng)，以實(shí)現(xiàn)數(shù)字電視在出現(xiàn)被插入非法畫面的情況時(shí)，可迅速通過指令由機(jī)頂盒實(shí)現(xiàn)快速清除。

研究制訂如何防范內(nèi)網(wǎng)用戶利用雙向通道侵入業(yè)務(wù)系統(tǒng)的方案。

加強(qiáng)網(wǎng)上營(yíng)業(yè)廳的安全防范。

研發(fā)BOSS系統(tǒng)敏感字眼過濾乃至摒棄敏感字眼字條的功能。

湖南：加強(qiáng)信息安全管理筑牢安全播出防線

溫州事件給廣電行業(yè)帶來的教訓(xùn)，第一是信息安全問題和安全播出工作必須常抓不懈。第二是必須嚴(yán)格執(zhí)行信息安全管理制度。第三是要不斷提高安全播出保障能力。第四是要全面排查、分析安全隱患。第五是積極采取防護(hù)措施。

溫州事件之后，湖南有線主要開展了以下四個(gè)方面的工作，一是做了安全隱患全面的分析，二是做了安全風(fēng)險(xiǎn)等級(jí)分析，三是梳理了一下安全防護(hù)技術(shù)措施，四是制訂了信息安全管理制度。

1.安全隱患分析。對(duì)于有線網(wǎng)絡(luò)公司來說，可能直接或間接受到攻擊的系統(tǒng)和設(shè)備，一個(gè)是數(shù)字電視節(jié)目平臺(tái)的衛(wèi)星信源和視頻核心交換機(jī)；第二個(gè)是EPG/CA系統(tǒng)、廣告業(yè)務(wù)系統(tǒng)、數(shù)據(jù)廣播系統(tǒng)；第三個(gè)是交互電視系統(tǒng)及各業(yè)務(wù)PORTAL系統(tǒng)；第四個(gè)是BOSS系統(tǒng)及其應(yīng)用終端；第五個(gè)是新業(yè)務(wù)系統(tǒng)，如電視營(yíng)業(yè)廳、OTT、Portal管理系統(tǒng)、新媒體廣告系統(tǒng)等；第六個(gè)是媒資生產(chǎn)與管理系統(tǒng)、硬盤播出系統(tǒng)、網(wǎng)站制作與網(wǎng)站W(wǎng)eb服務(wù)器等；第七個(gè)是IP數(shù)據(jù)網(wǎng)，包括辦公網(wǎng)、寬帶網(wǎng)、雙向網(wǎng)等子網(wǎng)。

2.風(fēng)險(xiǎn)等級(jí)分析。按影響范圍可分為：省級(jí)安全事件，即影響范圍同時(shí)波及全省大部分用戶，涉及范圍大、影響惡劣；市級(jí)安全事件，影響范圍同時(shí)波及全市范圍內(nèi)的大部分用戶，影響比較大；縣級(jí)安全事件，影響波及全縣范圍內(nèi)的大部分用戶。

按影響性質(zhì)可分為：特大安全事件、重大安全事件、一般安全事件，其劃分主要是根據(jù)單個(gè)業(yè)務(wù)、單個(gè)節(jié)目、單個(gè)界面的使用率、收視率、點(diǎn)擊率和事故處理的時(shí)長(zhǎng)來區(qū)分，但如果業(yè)務(wù)使用率高，節(jié)目收視率高，界面點(diǎn)擊率高，處理時(shí)間過長(zhǎng)，就會(huì)導(dǎo)致安全事件升級(jí)。

3.安全防護(hù)技術(shù)措施。首先，應(yīng)嚴(yán)防死守核心關(guān)鍵系統(tǒng)和設(shè)備，如核心交換機(jī)、BOSS系統(tǒng)等，主要措施是斷開所有非必要的連接端口、部署防火墻和隔離設(shè)備等。第二，是建設(shè)部署防護(hù)系統(tǒng)和設(shè)備。主要工作包括：搭建業(yè)務(wù)監(jiān)控系統(tǒng)，監(jiān)測(cè)各地的碼流，一旦發(fā)現(xiàn)攻擊，緊急采取措施；部署廣告應(yīng)墊播系統(tǒng)，替換非法信息；部署安全信息發(fā)布系統(tǒng)，及時(shí)通知并預(yù)警；部署堡壘機(jī)系統(tǒng)，加強(qiáng)各業(yè)務(wù)系統(tǒng)的安全防護(hù)，管理記錄所有操作行為。第三，是加強(qiáng)技術(shù)管理和安全管理，需要加強(qiáng)的方面主要有：各系統(tǒng)身份管理、權(quán)限管理以及密碼管理；所有服務(wù)器及其終端安全防病毒、木馬軟件；數(shù)據(jù)加密、備份、保存、維護(hù)工作；遠(yuǎn)程維護(hù)VPN連接；機(jī)房門禁和系統(tǒng)終端現(xiàn)場(chǎng)管理和保衛(wèi)；內(nèi)容發(fā)布和播放的審核流程。

4.制訂信息安全管理制度。建立健全信息安全管理各項(xiàng)制度和安全操作規(guī)范。首先，應(yīng)筑牢安全播出防線的重要舉措。在具體實(shí)施方面，各單位、各部門首要是指定一位信息安全員，專門負(fù)責(zé)信息安全工作和制度建設(shè)；其次，長(zhǎng)效落實(shí)信息安全管理制度，定期組織應(yīng)急演練和自查自糾。第三，應(yīng)長(zhǎng)期堅(jiān)持安全意識(shí)宣傳教育和培訓(xùn)工作，培養(yǎng)員工安全行為和習(xí)慣，還有是建立信息安全獎(jiǎng)懲制度和安全播出責(zé)任制，設(shè)立安全播出獎(jiǎng)。

酷開榮耀A55智慧屏幕發(fā)布

10月13日，酷開榮耀暨暢玩品牌發(fā)布會(huì)在京舉行，華為榮耀事業(yè)部總裁劉江峰、酷開網(wǎng)絡(luò)董事長(zhǎng)王志國(guó)出席該發(fā)布會(huì)并進(jìn)行了“榮耀系列產(chǎn)品”和“酷開榮耀A55智慧屏幕”的解說，同時(shí)京東、天貓等合作商城相關(guān)負(fù)責(zé)人也出席了該發(fā)布會(huì)，當(dāng)然該發(fā)布會(huì)更離不開眾多的“花粉”。

華為榮耀掌門人劉江峰先生提到，在榮耀成立10個(gè)月之際，希望能夠打造一個(gè)生態(tài)圈去經(jīng)營(yíng)用戶。此次發(fā)布會(huì)產(chǎn)品包括華為榮耀6、榮耀至尊版、榮耀手環(huán)，當(dāng)然也開啟了榮耀的大屏計(jì)劃，就是其與酷開合作推出的“酷開榮耀A55智慧屏幕”。

酷開網(wǎng)絡(luò)董事長(zhǎng)王志國(guó)先生介紹，酷開要做最優(yōu)秀的產(chǎn)品，做到別人遙不可及。同時(shí)也介紹了A55的頂級(jí)硬件配置：LGD頂級(jí)55 in 4K屏幕，4核CPU、2核VPU、8核GPU，60GHz WiHD無(wú)線高清模組，可支持Mac OS X，iOS，Win?dows和Android系統(tǒng)手機(jī)遙控。

市場(chǎng)上已有眾多的使用手機(jī)遙控的智能電視，而A55的亮點(diǎn)在于其實(shí)現(xiàn)了只需簡(jiǎn)單的看內(nèi)容，也就是當(dāng)用戶在玩手機(jī)時(shí)，可隨時(shí)使用手機(jī)將電視開機(jī)，而開機(jī)時(shí)間僅需1 s，看完后就會(huì)自動(dòng)關(guān)機(jī)。A55也配置了無(wú)線耳機(jī)，當(dāng)用戶希望在晚上看電視而不想打擾家人時(shí)，只需在手機(jī)上插上耳機(jī)，電視就可靜音。A55的出現(xiàn)讓眾多用戶可以更好地用手機(jī)“玩”電視，而這樣一款具有頂級(jí)硬件配置的電視銷售價(jià)格為6 999元，于10月15日在酷開官網(wǎng)、華為商城首發(fā)預(yù)定，于11月11日正式發(fā)售。

【本文獻(xiàn)信息】《電視技術(shù)》編輯部.廣電網(wǎng)絡(luò)信息安全現(xiàn)狀及未來發(fā)展[J].電視技術(shù)，2014，38（20）.