OTT业务EPG防篡改与应急机制的研究与实践

【摘要】为了提升otttv的信息安全防护与应急处理能力，根据ott业务网络特点对epg的主动防篡改机制进行了设计，并提出了信息安全事件的应急处理思路与策略建议，最后在实际维护工作中对上述策略的有效性进行了实践，希望能为otttv运营与维护单位在安全建设中提供有益的参考。【关键词】otttvepg 防篡改应急处理researchandpracticesofepgtamperresistanceandemergencysysteminotttv一、引言otttv（以下简称ott）是“overthetoptv”的缩写，是指基于开放互联网的视频服务，终端可以是电视机、电脑、机顶盒、 pad、智能手机等等。据统计，仅2013年中国ott盒子的出货量就有800-1000万，在庞大规模用户的背后是日益严峻的安全形势。ott直接承载于公共宽带互联网之上，面临着来自黑客攻击产生的安全风险，其中信息安全威胁是其中影响最恶劣的安全风险。14年8月，某市广电数字电视机顶盒遭黑客入侵，篡改了展示内容并以反动宣传内容替代，影响群众正常收看电视，造成严重不良影响。在此背景下，保障 ott内容安全、播放安全是ott业务长期健康发展的重要保证。二、 epg防篡改机制研究技术方案目前篡改防范和处置的技术方案主要有三类：文件比对、目录同步、 io访问控制：（1） 文件比对：对可信源文件计算校验值并存储，并对目标文件定时计算校验值。这种方案的安全性最高，但在防护过程中的不断地校验值计算、存储和比对将造成巨大的资源消耗。（2）目录同步：可信源目录和目标目录之间采用操作系统 rsync技术进行监控和同步，一方面源目录的修改会即刻同步到目标目录，另一方面目标目录修改后会立刻被探测到并为源目录内容重新覆盖。（3） i/o访问控制：该方案用系统驱动对监控目标目录实施进程访问控制，通过规则设定只有可信进程（也就是实施epg模板更新的进程）能够对目标目录实施写操作，其它进程的写操作被直接阻止。其中第一种、第二种方案均属于事后恢复型方案，此类方案不能完全阻止篡改发生，同时需要不断同步比对，除消耗系统资源外，也增加了一定的存储，适用于网页更新不频繁，静态页面等为主的场景。对于epg业务百万级数量小文件、动态页面更新频繁的特性，此类方案并不适用。第三种方案属于事前预防型的方案，资源消耗小，事前防篡改力度高。综上考虑，对于百万级ott业务，选用i/o访问控制方式来实现epg防篡改功能更加具备可行性，也能达到更为准确高效的防护效果。功能逻辑基于i/o访问控制技术的epg防篡改机制利用操作系统的文件系统接口，在网页文件被修改调用文件系统接口时，进行合法性检查，对于非法操作进行告警和拒绝，对于合法的操作继续原有的文件操作。此功能可细化为逻辑流程：（1）文件操作进入操作状态。（2）操作状态首先判断要操作的文件是否在安全配置中，判定在安全配置中的条件主要包括是否在安全配置的指定目录下、是否是安全配置的指定文件类型、是否是安全配置的指定文件等。（3）根据安全配置中设置的规则判断，此进程是否被允许对此文件做此操作，若允许，则继续文件操作，不做任何处理。（4）若不允许操作，则记录日志，并拒绝文件操作，同时发告警，通知操作状态同时携带告警描述信息。实现架构基于epg服务集群特点，epg防篡改机制设计用层级管理模式实现，从功能职责和部署上划分为管理和策略服务器、防篡改客户端agent。防篡改客户端agent用于检测及监控epg服务器文件更新的变化，部署于epg服务器，进行页面篡改事件感知预警和阻止。 实现特性主要有：（1） 基于操作系统文件驱动，对页面篡改行为进行实时感知预警。（2） 在篡改事件时，阻止篡改并发起告警。管理和策略服务器单独部署，负责将操作指令传达给监控和同步，同时负责实时接收和保存来自监控和同步的各种日志信息。实现特性主要有：（1） 基于业务进行感知预警目录和策略的配置管理。（2） 对来自agent的篡改告警进行统一处理。（3） 可与业务系统对接，触发业务对篡改的处理。三、应急处理机制研究信息安全事件的发生极易导致严重的影响，针对信息安全事件的应急处置机制则就是安全防护工作的最后一道防线。基于此，本文提出信息安全事件应急处置的快速处置、暂时性修复、事后追溯三阶段处置模型。节目内容篡改等安全事件发生并被觉察到后，首先在快速处置阶段向主要受众切断播放源以消除影响，再使用预先准备好的默认内容进行播放业务的恢复（待数据恢复后切换为正常播放），最后进行溯源分析确定入侵源并实施对应的安全加固3.1快速处置机制发现内容篡改等影响恶劣的入侵事件后，经过事件影响面定位后需要快速处置，迅速切断内容源，避免造成更大范围的影响。根据安全事件影响范围、影响设备、影响业务对应急处置模式进行合理的组合配置，可形成全面高效的应急处置方案，有效针对各类安全突发事件进行处理，其核心逻辑为：应急处置模型中设置若干种基础处置模式，如数据更换、服务停止、系统停机等。根据实际的网元处置方式、流程将基础处置模式按顺序组合成处置模式组。将目标设备按节点区域、网元、处置方式分成若干群组，并关联上述处置模式。发生入侵并确定实施应急处置时，对目标群组实施关联的处置模式组。业务修复方案在ott业务系统遭遇入侵并采取快速处置机制进行处理后，可按正常业务及内容下发流程覆盖被篡改的内容或者文件以恢复业务。但由于ott业务具有受众广泛、影响扩散快的特点，对业务恢复的时间提出了更高的要求。基于此种要求，可将业务下发流程按上节应急处置模式组的方式制定业务恢复模块组，以实现业务的快速恢复，具体方式因具体ott业务平台业务下发方式的不同故不再赘述。事后追溯入侵事件的追溯技术可分为入侵痕迹分析以及计算机取证方式。前者通过日志的关联性分析以及可疑文件入手对入侵行为进行溯源。后者依据计算机证据易失性原理从目标设备获取磁盘信息传送到分析设备，用专业的计算机取证软件分析目标设备文件的读写状况， ott业务平台入侵追溯可依据平台的不同选择对应的方式。四、江苏电信信息安全防护实践与总结展望江苏电信ott业务自正式开放以来一直保持规模发展的态势，也同样面临着严峻的网络与信息安全挑战，传统的安全运维手段和体系已无法满足日益严峻的互联网安全防护的需求。根据ott业务网络特点，江苏电信ott维护人员经过持续多年的研究、探索和信息安全防护实践工作，逐步建立起一套完整的epg内容防篡改防护思路与应急处理机制。在江苏电信ott业务信息安全维护工作中，epg内容防篡改策略目前已逐步在落实开发为防篡改系统，而应急处理机制也在逐步从人工操作向自动化、一键封装化道路演进。这些策略的部署与演进对ott业务安全稳定运行在现在以至未来都将一直发挥重要作用。epg防篡改与应急处理机制经过实践反映了策略的有效性，可以为ott业务安全提供一定的指导及参考价值，