5G網(wǎng)絡背景下廣電網(wǎng)絡安全風險防范策略

■ 安徽廣播電視臺：薛標

1.5G網(wǎng)絡背景下廣電網(wǎng)絡安全風險分析

1.1 網(wǎng)絡技術風險

1.1.1 NFV安全風險

NFV即是網(wǎng)絡功能虛擬化，該技術能夠制定網(wǎng)絡安全策略，將業(yè)務負載進行隔離進而加強安全防護，但與此同時也面臨著一定的網(wǎng)絡安全風險，主要包括以下幾個方面：首先，虛擬化層作為NFV技術的核心與關鍵，一旦虛擬化層受到外界黑客攻擊，則會直接影響與其相關的虛擬機，使所有虛擬機均會面臨外界網(wǎng)絡安全風險。其次，虛擬化模式使得安全邊界弱化甚至消失，導致出現(xiàn)虛擬機隔離失效、逃逸，受感染主機動態(tài)遷移，虛擬機濫用資源拒絕服務，虛擬機鏡像資源在未授權的情況下非法訪問與篡改信息等。另外，5G網(wǎng)絡技術往往涵蓋了多個廠家的軟件、硬件等基礎設施，這就使得受分層解耦、多個廠商集成等因素的影響，導致了網(wǎng)絡安全問題快速定位與追溯成為難題。

1.1.2 SDN安全風險

SDN能夠分離控制層面與數(shù)據(jù)層面，進而使網(wǎng)絡流量的控制更加靈活，使網(wǎng)絡成為智能化通道。SDN技術大大提升了5G網(wǎng)絡的傳輸速率，使資源實現(xiàn)了更好的配置與應用，但同時也面臨著一定的網(wǎng)絡安全風險，主要表現(xiàn)為以下幾個方面：首先，虛擬SDN控制網(wǎng)元與傳輸節(jié)點所存在的安全隔離與安全管理問題，以及SDN流表的網(wǎng)絡安全部署與執(zhí)行問題。其次，SDN開源代碼也會造成相應的安全風險，例如因SDN控制器代碼可能存在一定的安全漏洞，而此情況下對于XML解析器的訪問又未禁用，使得黑客極易攻擊XML外部實體，并對相關配置數(shù)據(jù)進行滲透，進而引發(fā)網(wǎng)絡安全風險。

1.1.3 網(wǎng)絡切片安全風險

5G端到端網(wǎng)絡切片能夠靈活分配資源，為不同應用環(huán)境提供相對隔離的網(wǎng)絡空間，為不同業(yè)務提供針對性的安全服務，但也不同程度存在一些安全風險，主要包括以下幾點：一是，由于不同業(yè)務所需要的安全防護能力存在差異，對于安全防護較為薄弱的網(wǎng)絡切片，一旦被黑客分子攻陷，就會對其他網(wǎng)絡切片造成威脅，且最終的安全責任也難以確定，例如，對于認證授權能力較低的網(wǎng)絡切片，極易導致私密數(shù)據(jù)、敏感信息發(fā)生泄漏。二是，通過網(wǎng)絡切片模式為廣大用戶、企業(yè)提供網(wǎng)絡服務時，不同層域的安全責任不易區(qū)分。三是，網(wǎng)絡切片安全問題主要包括相似業(yè)務類型網(wǎng)絡切片間的隔離問題，以及防止本網(wǎng)絡切片的資源被其他切片的網(wǎng)絡節(jié)點非法訪問等。

1.1.4 MEC安全風險

MEC即邊緣計算技術，其是在網(wǎng)絡邊緣以及與用戶接近的位置，為其提供相應的技術服務以及云計算能力。該技術是將云計算能力下沉至網(wǎng)絡邊緣，其應用開放的API（應用程序編程接口）及NFV（網(wǎng)絡功能虛擬化技術），而這也導致MEC極易遭受外界黑客攻擊。同時，由于較為有限的網(wǎng)絡邊緣設施資源，使得其安全性能大打折扣，因此，往往會存在一定的網(wǎng)絡風險，主要包括：①第三方提供MEC服務時，若網(wǎng)絡間未進行認證授權，則就會導致所接入的第三方網(wǎng)絡可能提供非法服務，進而威脅自身網(wǎng)絡安全。②外界用戶經(jīng)中間人向部分MEC網(wǎng)絡設備發(fā)起惡意攻擊和控制，通過非法監(jiān)聽、流量劫持與篡改等進行入侵。③不同虛擬機間的安全隔離不到位，導致惡意虛擬機有機會獲取主機操作管理權限，并對其他虛擬機的計算任務進行篡改，竊取用戶私密數(shù)據(jù)及敏感信息，或發(fā)起DDoS攻擊，甚至在遷移時感染其他MEC主機。④惡意虛擬機通過對MEC系統(tǒng)進行資源占用來執(zhí)行惡意程序，進而濫用MEC系統(tǒng)的計算與存儲資源，威脅MEC系統(tǒng)的安全。⑤在惡意用戶對MEC系統(tǒng)設備進行惡意控制后，往往會導致用戶隱私數(shù)據(jù)、敏感信息發(fā)生泄漏，并通過惡意控制向其他網(wǎng)絡邊緣用戶發(fā)送虛假信息。

1.2 業(yè)務應用風險

5G網(wǎng)絡背景下，廣電節(jié)目內容制播面臨的風險如圖1所示。

1.2.1 采集終端接入風險

5G廣電制播能夠充分應用5G的高帶寬、高速率，進而實現(xiàn)視頻內容的多通道多碼率采集、智能化采集等，但同時也面臨的相應的采集終端接入風險，當前，互信交互安全認證方式不夠完善，缺乏基于零信任架構的身份認證與管理，如視頻信令接入認證、終端及用戶身份認證等。

圖1：廣電節(jié)目內容制播安全風險

1.2.2 遠程協(xié)作安全風險

以5G技術為依托，廣電制播體系能夠實現(xiàn)融媒體內容統(tǒng)一制作、遠程協(xié)同編輯，而在這些業(yè)務應用時往往會存在相應的遠程協(xié)作風險，主要包括以下幾個方面：一是，攻擊者利用應用軟件安全漏洞，在短時間內發(fā)送大量請求資源占用或消耗服務資源，進而形成應用軟件的拒絕服務攻擊。二是，該技術可能會造成SQL注入、XSS攻擊、跨站請求偽造、非法上傳下載、爬蟲攻擊、暴力破解等眾多安全威脅。三是，業(yè)務應用系統(tǒng)的應用過程中，可能會跨物理邊界，進而使系統(tǒng)可能會面臨惡意代碼攻擊、網(wǎng)絡延遲等安全風險。四是，在遠程協(xié)同制編的過程中，還可能會使數(shù)據(jù)信息面臨被竊取、節(jié)目視頻源內容被惡意篡改以及采集源內容被偽造等風險。

1.2.3 高新內容安全風險

利用5G廣電制播的高效率、高準確率等特性，能夠實現(xiàn)節(jié)目內容的遠程協(xié)同及AI機器人審核，但這也使得高新內容會面臨相應的安全風險，主要表現(xiàn)為以下幾個方面：首先，對于4K/8K、AR/VR等高新視頻內容，尚缺乏較為有效的內容監(jiān)管手段，使得高新視頻內容的安全風險顯著增加。其次，高新視頻內容由于文件大、實時性要求高等特點，使得被動防護的傳統(tǒng)殺毒軟件掃描的時間長，對于媒體文件無法實現(xiàn)實時防御，因此，使得高新視頻內容信息面臨一定的安全風險。

1.2.4 互聯(lián)互通安全風險

5G廣電制播能夠利用高速率、高帶寬等特點，使高新視頻文件實現(xiàn)高碼率播放以及低時延發(fā)布，但在監(jiān)管方面還面臨一定的安全風險。主要包括：首先，在對跨廣電網(wǎng)、5G互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等視頻內容傳輸監(jiān)管時的難度往往較大，安全風險提升，對于車載終端、移動終端等各類終端上的視頻內容監(jiān)管與受眾行為輿情監(jiān)管的難度也較大。其次，新媒體演播室等融媒體技術的使用，使得演播類業(yè)務系統(tǒng)在與互聯(lián)網(wǎng)交互時，其核心服務器IP對外暴露后，將會面臨外界DDoS攻擊、入侵攻擊，以及因網(wǎng)絡安全漏洞而導致的數(shù)據(jù)信息被竊取的風險。另外，對于不同網(wǎng)絡的業(yè)務應用系統(tǒng)，均需提供與系統(tǒng)相互兼容的身份認證機制，而這實際操作不僅難度大而且跨域身份認證的風險也往往較高。

2.5G網(wǎng)絡背景下廣電網(wǎng)絡安全風險防范策略

2.1 完善廣電網(wǎng)絡安全體系

完善的網(wǎng)絡安全監(jiān)管體系能夠促使廣電網(wǎng)絡運營與管理部門等人員，在廣電網(wǎng)絡安全信息的數(shù)據(jù)采集、整合分析以及應急處置方面開展合作，進而有效提升網(wǎng)絡運營人員的安全防護能力。其次，成立廣電網(wǎng)絡安全保障小組，對網(wǎng)絡運行狀況予以安全監(jiān)控、信息監(jiān)控、數(shù)據(jù)監(jiān)測等，并進一步提煉可能威脅網(wǎng)絡安全的故障信息、設備信息、事件信息、可疑信息以及流量信息等，以確保運營管理小組能夠及時有效地獲取廣電運營網(wǎng)絡中全局、各點的安全態(tài)勢，并能夠高效完成網(wǎng)絡的運營與管理工作。另外，一旦廣電網(wǎng)絡系統(tǒng)出現(xiàn)威脅其自身安全的事故時，通過完善的網(wǎng)絡安全體系能夠確保安全技術措施及處置措施的進一步落實，確保廣電網(wǎng)絡及時恢復正常運營。

2.2 制定網(wǎng)絡安全技術措施

2.2.1 NFV安全技術措施

首先，對VNF軟件包的完整性予以校驗，并根據(jù)網(wǎng)絡安全要求對其敏感數(shù)據(jù)進行保護，對其權限進行管理。另外，加強VNF間的雙向認證、數(shù)據(jù)加密、完整性保護等通信安全部署，同時，通過對虛擬機形態(tài)的安全功能進行部署，以實現(xiàn)對主機內的數(shù)據(jù)流量進行安全監(jiān)控。

2.2.2 SDN安全技術措施

首先，加入安全審計機制，對訪問控制器的用戶進行檢查，保證訪問的安全性、合法性。其次，在控制器與底層交換設備間設置加密通道，以防止中間人造成的安全攻擊。另外，運行在控制器的應用軟件，應對其進行安全性能測試，以免應用軟件被植入惡意代碼，并對其進行應用隔離與權限隔離，進而限制底層資源的訪問權限。最后，對于底層交換設備，應通過相應安全防護措施進行主動攻擊檢測，并采取流量控制、擁塞丟包、超時調整等進行外部攻擊防御。

2.2.3 網(wǎng)絡切片安全技術措施

做好不同網(wǎng)絡切片間的有效隔離，避免其他切片有意或無意訪問本切片的私密數(shù)據(jù)。其次，為確保網(wǎng)絡切片使用的安全性，切片中的服務及資源的隔離效果與現(xiàn)有私有網(wǎng)絡較為接近。另外，5G技術背景下，應提供具有高效、一致的切片認證形式，以保證終端對不同切片的接入認證與權限。

2.2.4 MEC安全技術措施

首先，保證MEC應用來自較為可靠的第三方平臺，可通過對鏡像進行簽名認證予以實現(xiàn)。其次，對于上傳的MEC鏡像應保證安全性，且未經(jīng)過非法篡改，對此可通過校驗其完整性予以實現(xiàn)。另外，在沙箱中對MEC應用的安全性進行檢測，保證其不存在攻擊行為，進而保證廣電網(wǎng)絡的安全性。

2.3 引進新興網(wǎng)絡安全技術

廣播電視行業(yè)較為注重安全播出與網(wǎng)絡安全，因此，為有效提升廣電網(wǎng)絡5G數(shù)據(jù)傳輸過程中的安全性與可靠性，務須要積極學習、掌握新的網(wǎng)絡安全技術，將先進的科學技術轉換為保障數(shù)據(jù)傳輸?shù)闹匾獎恿?。例如，對于廣電網(wǎng)絡的異常行為可采用AI技術予以檢測，并對網(wǎng)絡流量內外所有無數(shù)元數(shù)據(jù)的海量關聯(lián)予以分析，以實現(xiàn)對廣電網(wǎng)絡異常情況的及時檢測與處理，同時，其還能夠對上百萬數(shù)據(jù)點進行處理及預測分析，以獲取更好更準確的網(wǎng)絡風險評估依據(jù)。其次，加強對防火墻技術、入侵檢測、數(shù)字加密等網(wǎng)絡安全技術的應用，立足數(shù)據(jù)傳輸?shù)陌踩浴⒖煽啃赃M行防火墻設置，提升網(wǎng)絡安全入侵檢測的命中率，并借助量子加密技術為5G環(huán)境下的數(shù)據(jù)傳輸提供更加安全可靠的環(huán)境支持，以充分應對網(wǎng)絡攻擊、系統(tǒng)漏洞而造成的安全風險。此外，通過合理調整網(wǎng)絡安全應用架構，能夠有效規(guī)避各類網(wǎng)絡風險。而優(yōu)化網(wǎng)絡安全應用架構可從以下幾個方面入手：首先，從廣播電視無線網(wǎng)絡為切入點，為廣播電視節(jié)目內容的制作、傳輸以及播出提供技術支撐，進而降低廣電網(wǎng)絡所面臨的安全風險；其次，在實際的應用過程中，應將UPCF作為系統(tǒng)關鍵模塊，以保證與廣大受眾建立安全、良好的溝通交流平臺，保證視頻節(jié)目制播的交互性。

3.結語

機遇與風險共存，5G技術的愈發(fā)成熟與日漸深入應用，為廣電行業(yè)注入新活力帶來新發(fā)展空間，但也給廣電行業(yè)帶來新的安全風險與安全問題。為促使傳統(tǒng)廣電媒體于5G時代下蓬勃發(fā)展、再現(xiàn)輝煌，應重視5G所帶來的新機遇，直面風險迎頭而上，全面、客觀分析，及時、妥當應對，破舊迎新，順勢改革，從而穩(wěn)抓機遇并掌控風險，促使傳統(tǒng)廣電媒體煥發(fā)新春、再攀新峰。