OTT業(yè)務EPG防篡改與應急機制的研究與實踐

【摘要】為了提升otttv的信息安全防護與應急處理能力，根據ott業(yè)務網絡特點對epg的主動防篡改機制進行了設計，并提出了信息安全事件的應急處理思路與策略建議，最后在實際維護工作中對上述策略的有效性進行了實踐，希望能為otttv運營與維護單位在安全建設中提供有益的參考?！娟P鍵詞】otttvepg 防篡改應急處理researchandpracticesofepgtamperresistanceandemergencysysteminotttv一、引言otttv（以下簡稱ott）是“overthetoptv”的縮寫，是指基于開放互聯(lián)網的視頻服務，終端可以是電視機、電腦、機頂盒、 pad、智能手機等等。據統(tǒng)計，僅2013年中國ott盒子的出貨量就有800-1000萬，在龐大規(guī)模用戶的背后是日益嚴峻的安全形勢。ott直接承載于公共寬帶互聯(lián)網之上，面臨著來自黑客攻擊產生的安全風險，其中信息安全威脅是其中影響最惡劣的安全風險。14年8月，某市廣電數字電視機頂盒遭黑客入侵，篡改了展示內容并以反動宣傳內容替代，影響群眾正常收看電視，造成嚴重不良影響。在此背景下，保障 ott內容安全、播放安全是ott業(yè)務長期健康發(fā)展的重要保證。二、 epg防篡改機制研究技術方案目前篡改防范和處置的技術方案主要有三類：文件比對、目錄同步、 io訪問控制：（1） 文件比對：對可信源文件計算校驗值并存儲，并對目標文件定時計算校驗值。這種方案的安全性最高，但在防護過程中的不斷地校驗值計算、存儲和比對將造成巨大的資源消耗。（2）目錄同步：可信源目錄和目標目錄之間采用操作系統(tǒng) rsync技術進行監(jiān)控和同步，一方面源目錄的修改會即刻同步到目標目錄，另一方面目標目錄修改后會立刻被探測到并為源目錄內容重新覆蓋。（3） i/o訪問控制：該方案用系統(tǒng)驅動對監(jiān)控目標目錄實施進程訪問控制，通過規(guī)則設定只有可信進程（也就是實施epg模板更新的進程）能夠對目標目錄實施寫操作，其它進程的寫操作被直接阻止。其中第一種、第二種方案均屬于事后恢復型方案，此類方案不能完全阻止篡改發(fā)生，同時需要不斷同步比對，除消耗系統(tǒng)資源外，也增加了一定的存儲，適用于網頁更新不頻繁，靜態(tài)頁面等為主的場景。對于epg業(yè)務百萬級數量小文件、動態(tài)頁面更新頻繁的特性，此類方案并不適用。第三種方案屬于事前預防型的方案，資源消耗小，事前防篡改力度高。綜上考慮，對于百萬級ott業(yè)務，選用i/o訪問控制方式來實現(xiàn)epg防篡改功能更加具備可行性，也能達到更為準確高效的防護效果。功能邏輯基于i/o訪問控制技術的epg防篡改機制利用操作系統(tǒng)的文件系統(tǒng)接口，在網頁文件被修改調用文件系統(tǒng)接口時，進行合法性檢查，對于非法操作進行告警和拒絕，對于合法的操作繼續(xù)原有的文件操作。此功能可細化為邏輯流程：（1）文件操作進入操作狀態(tài)。（2）操作狀態(tài)首先判斷要操作的文件是否在安全配置中，判定在安全配置中的條件主要包括是否在安全配置的指定目錄下、是否是安全配置的指定文件類型、是否是安全配置的指定文件等。（3）根據安全配置中設置的規(guī)則判斷，此進程是否被允許對此文件做此操作，若允許，則繼續(xù)文件操作，不做任何處理。（4）若不允許操作，則記錄日志，并拒絕文件操作，同時發(fā)告警，通知操作狀態(tài)同時攜帶告警描述信息。實現(xiàn)架構基于epg服務集群特點，epg防篡改機制設計用層級管理模式實現(xiàn)，從功能職責和部署上劃分為管理和策略服務器、防篡改客戶端agent。防篡改客戶端agent用于檢測及監(jiān)控epg服務器文件更新的變化，部署于epg服務器，進行頁面篡改事件感知預警和阻止。 實現(xiàn)特性主要有：（1） 基于操作系統(tǒng)文件驅動，對頁面篡改行為進行實時感知預警。（2） 在篡改事件時，阻止篡改并發(fā)起告警。管理和策略服務器單獨部署，負責將操作指令傳達給監(jiān)控和同步，同時負責實時接收和保存來自監(jiān)控和同步的各種日志信息。實現(xiàn)特性主要有：（1） 基于業(yè)務進行感知預警目錄和策略的配置管理。（2） 對來自agent的篡改告警進行統(tǒng)一處理。（3） 可與業(yè)務系統(tǒng)對接，觸發(fā)業(yè)務對篡改的處理。三、應急處理機制研究信息安全事件的發(fā)生極易導致嚴重的影響，針對信息安全事件的應急處置機制則就是安全防護工作的最后一道防線?；诖?，本文提出信息安全事件應急處置的快速處置、暫時性修復、事后追溯三階段處置模型。節(jié)目內容篡改等安全事件發(fā)生并被覺察到后，首先在快速處置階段向主要受眾切斷播放源以消除影響，再使用預先準備好的默認內容進行播放業(yè)務的恢復（待數據恢復后切換為正常播放），最后進行溯源分析確定入侵源并實施對應的安全加固3.1快速處置機制發(fā)現(xiàn)內容篡改等影響惡劣的入侵事件后，經過事件影響面定位后需要快速處置，迅速切斷內容源，避免造成更大范圍的影響。根據安全事件影響范圍、影響設備、影響業(yè)務對應急處置模式進行合理的組合配置，可形成全面高效的應急處置方案，有效針對各類安全突發(fā)事件進行處理，其核心邏輯為：應急處置模型中設置若干種基礎處置模式，如數據更換、服務停止、系統(tǒng)停機等。根據實際的網元處置方式、流程將基礎處置模式按順序組合成處置模式組。將目標設備按節(jié)點區(qū)域、網元、處置方式分成若干群組，并關聯(lián)上述處置模式。發(fā)生入侵并確定實施應急處置時，對目標群組實施關聯(lián)的處置模式組。業(yè)務修復方案在ott業(yè)務系統(tǒng)遭遇入侵并采取快速處置機制進行處理后，可按正常業(yè)務及內容下發(fā)流程覆蓋被篡改的內容或者文件以恢復業(yè)務。但由于ott業(yè)務具有受眾廣泛、影響擴散快的特點，對業(yè)務恢復的時間提出了更高的要求?；诖朔N要求，可將業(yè)務下發(fā)流程按上節(jié)應急處置模式組的方式制定業(yè)務恢復模塊組，以實現(xiàn)業(yè)務的快速恢復，具體方式因具體ott業(yè)務平臺業(yè)務下發(fā)方式的不同故不再贅述。事后追溯入侵事件的追溯技術可分為入侵痕跡分析以及計算機取證方式。前者通過日志的關聯(lián)性分析以及可疑文件入手對入侵行為進行溯源。后者依據計算機證據易失性原理從目標設備獲取磁盤信息傳送到分析設備，用專業(yè)的計算機取證軟件分析目標設備文件的讀寫狀況， ott業(yè)務平臺入侵追溯可依據平臺的不同選擇對應的方式。四、江蘇電信信息安全防護實踐與總結展望江蘇電信ott業(yè)務自正式開放以來一直保持規(guī)模發(fā)展的態(tài)勢，也同樣面臨著嚴峻的網絡與信息安全挑戰(zhàn)，傳統(tǒng)的安全運維手段和體系已無法滿足日益嚴峻的互聯(lián)網安全防護的需求。根據ott業(yè)務網絡特點，江蘇電信ott維護人員經過持續(xù)多年的研究、探索和信息安全防護實踐工作，逐步建立起一套完整的epg內容防篡改防護思路與應急處理機制。在江蘇電信ott業(yè)務信息安全維護工作中，epg內容防篡改策略目前已逐步在落實開發(fā)為防篡改系統(tǒng)，而應急處理機制也在逐步從人工操作向自動化、一鍵封裝化道路演進。這些策略的部署與演進對ott業(yè)務安全穩(wěn)定運行在現(xiàn)在以至未來都將一直發(fā)揮重要作用。epg防篡改與應急處理機制經過實踐反映了策略的有效性，可以為ott業(yè)務安全提供一定的指導及參考價值，