首頁 > 投稿專欄 > 最新來稿 > 廣電雙向運營安全保障——有“技”可循

廣電雙向運營安全保障——有“技”可循

   作者:   來源:   評論:0  點擊:

 在三網(wǎng)業(yè)務(wù)融合大潮下,雙向網(wǎng)絡(luò)改造為運營商向綜合信息服務(wù)商轉(zhuǎn)型提供了絕佳機會。雙向網(wǎng)絡(luò)不僅使VOD、寬帶接入等幾乎所有數(shù)據(jù)、通信及娛樂業(yè)務(wù)成為可能;同時可以為增值業(yè)務(wù),如廣告、支付、股票、游戲等服務(wù)的開展提供便利通道。雙向網(wǎng)絡(luò)和新型增值業(yè)務(wù)將為廣電運營商帶來生存和發(fā)展空間。
  隨著技術(shù)的成熟和成本的下降,各地廣電部門對網(wǎng)絡(luò)的雙向改造正逐步展開。中國的數(shù)字電視已經(jīng)邁入雙向網(wǎng)改的快速發(fā)展階段,雙向互動業(yè)務(wù)將成為廣電“后整轉(zhuǎn)”時代主要收入來源之一,成為推動廣電經(jīng)濟增長的新晉力量。
  然而,隨著雙向網(wǎng)改和新業(yè)務(wù)的開展,廣電也對網(wǎng)絡(luò)安全提出了全新的要求。 
真正的廣電雙向網(wǎng)絡(luò)安全平臺應(yīng)具備四大功能:
 1.建立可信網(wǎng)絡(luò),對用戶進行統(tǒng)一的身份認證管理
  業(yè)務(wù)的開展在邏輯上是用戶和運營商之間的交互,所以安全問題是由網(wǎng)絡(luò)使用者主導(dǎo)的問題,業(yè)務(wù)的安全應(yīng)首先建立在網(wǎng)絡(luò)中主體的可信性之上。目前互聯(lián)網(wǎng)的安全問題泛濫,其主要成因在于網(wǎng)絡(luò)用戶的匿名性。由于互聯(lián)網(wǎng)自身的開放性和透明性,加上網(wǎng)絡(luò)使用者眾多,互聯(lián)網(wǎng)這樣一個虛擬社會缺乏有效的獎懲措施,并且很難對各種行為進行溯源。廣電網(wǎng)絡(luò)作為國家媒體發(fā)布和傳播的門楣,自建立之初國家就對其保持了極高的監(jiān)管和控制力度。從用戶的收視控制到終端的可管可控,廣電運營商能夠?qū)τ脩暨M行在冊實名性的統(tǒng)籌管理,這也是國情賦予廣電的一個特色優(yōu)勢。
  安全平臺應(yīng)基于廣電實名性的用戶管理機制,建立一套信任管理體系,將網(wǎng)絡(luò)主體納入到體系中;對用戶進行統(tǒng)一的身份認證管理,使得業(yè)務(wù)主體能夠?qū)换ο筮M行身份的認證;以此形成一張可信網(wǎng)絡(luò),為業(yè)務(wù)的開展提供基礎(chǔ)安全保障,并為廣電雙向網(wǎng)絡(luò)構(gòu)建全方位的安全框架。
2.業(yè)務(wù)接入管理,保障業(yè)務(wù)可控接入和進程安全
  業(yè)務(wù)的進行過程在形式上是終端與前端的通信,所以在業(yè)務(wù)進行時,業(yè)務(wù)接入的安全是保證業(yè)務(wù)安全的關(guān)鍵一步。三網(wǎng)融合和雙向互動網(wǎng)絡(luò)給廣電帶來了寬闊的業(yè)務(wù)拓展空間。隨著海量優(yōu)質(zhì)業(yè)務(wù)的涌入,業(yè)務(wù)將面臨越來越多的安全威脅,包括木馬、網(wǎng)絡(luò)欺騙、釣魚網(wǎng)站等。其原因在于網(wǎng)絡(luò)的信息不對稱性,所以要保證業(yè)務(wù)的安全進行,安全平臺就需要在業(yè)務(wù)接入時,對接入進行安全管理,實現(xiàn)新業(yè)務(wù)接入的可管可控。
  基于統(tǒng)一構(gòu)建的可信網(wǎng)絡(luò)安全架構(gòu),安全平臺應(yīng)具備業(yè)務(wù)接入管理機制:在業(yè)務(wù)接入時,能夠?qū)﹄p方主體的業(yè)務(wù)身份、業(yè)務(wù)權(quán)限、業(yè)務(wù)內(nèi)容和業(yè)務(wù)行為進行審核;在業(yè)務(wù)主體之間,建立安全鏈接;并能夠?qū)I(yè)務(wù)進行區(qū)分,為不同業(yè)務(wù)提供個性化的安全服務(wù),對新業(yè)務(wù)與互聯(lián)網(wǎng)接入邏輯隔離,杜絕安全問題滲透,從而全面保障業(yè)務(wù)接入和進程的安全。
3.信息數(shù)據(jù)安全,保護用戶私密信息
  業(yè)務(wù)涉及到用戶信息交換。特別金融支付,游戲類業(yè)務(wù),往往涉及用戶的帳號,密碼等敏感信息。對信息數(shù)據(jù)的保護一直是網(wǎng)絡(luò)安全的重點內(nèi)容。
  信息數(shù)據(jù)安全主要涉及信息的以下幾個方面:完整性,即在信息傳輸、交換、存儲和處理過程中,保持信息的原樣性,防止信息被篡改;保密性,即杜絕有用信息泄漏給非授權(quán)個人或?qū)嶓w;可用性,指保證信息可被授權(quán)主體正確訪問;不可否認性,即通信各方在信息交互過程中不能否認或抵賴真實身份;可控性,即能夠有效控制信息的傳播及具體內(nèi)容。安全平臺應(yīng)能夠從上述五方面全面保護信息數(shù)據(jù)安全。
4.終端安全,保障終端不受安全入侵
  許多用戶的重要私密文件都存儲在終端,用戶終端一直是安全中非常重要的環(huán)節(jié)。目前,互聯(lián)網(wǎng)更多地將網(wǎng)絡(luò)安全應(yīng)用推向終端,而其自身的安全保護能力有限。由于廣電終端能力不能獨立支撐安全防護軟件,所以安全平臺的應(yīng)充分考慮終端能力,避免互聯(lián)網(wǎng)安全依賴終端的模式,將安全應(yīng)用壓力合理均勻分布,并形成終端與鏈路、前端的統(tǒng)一安全聯(lián)動。這樣,安全平臺僅需要保證終端用戶關(guān)鍵信息實施,就能夠在終端方面保證業(yè)務(wù)的安全進行。
綜上所述,廣電雙向網(wǎng)絡(luò)安全平臺是一個以可信網(wǎng)絡(luò)為安全框架,并在此之上提供面向業(yè)務(wù)需求的安全服務(wù),為數(shù)字電視綜合業(yè)務(wù)系統(tǒng)提供全方位的安全支撐。
實現(xiàn)廣電雙向網(wǎng)絡(luò)安全的有效解決方案
    雖然互聯(lián)網(wǎng)的安全解決方案不能夠直接應(yīng)用于廣電環(huán)境中,但其中應(yīng)用的、成熟的、已經(jīng)過實際檢驗的信息安全技術(shù)可以被用到廣電雙向網(wǎng)絡(luò)安全平臺上來實現(xiàn)上面模型中的安全需求。
1.以PKI體系為安全框架
公共密鑰體系(PKI, Public Key Infrastructure)是目前應(yīng)用廣泛的一種信息安全技術(shù),通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全,并負責驗證數(shù)字證書持有者身份的一種體系,主要應(yīng)用于電子郵件、WEB安全、電子商務(wù)和金融業(yè)務(wù)等對安全性要求很高的領(lǐng)域。PKI的功能是通過簽發(fā)數(shù)字證書來綁定證書持有者的身份和相關(guān)的公開密鑰,為用戶獲取證書、訪問證書和宣告證書作廢提供了方便的途徑。同時利用數(shù)字證書及相關(guān)的各種服務(wù)(證書發(fā)布、黑名單發(fā)布等)實現(xiàn)通信過程中各實體的身份認證,保證了通信數(shù)據(jù)的機密性、完整性和不可否認性。
安全平臺應(yīng)以PKI體系為安全基礎(chǔ),構(gòu)建一張包括用戶終端,前端和第三方的可信網(wǎng)絡(luò),并利用公共密鑰算法的特點,建立一套證書的發(fā)放、管理和使用體和網(wǎng)絡(luò)主體間的信任機制,使平臺能夠完成對用戶的身份認證和統(tǒng)籌管理,為業(yè)務(wù)的安全開展提供基礎(chǔ)保障。平臺引入CA中心之后,通過權(quán)威第三方認證,使用戶能夠更加方便安全地獲得銀行等金融機構(gòu)的認可,保障業(yè)務(wù)的安全進行。并且,可信網(wǎng)絡(luò)可以作為安全平臺的框架,支持和完成網(wǎng)絡(luò)系統(tǒng)中的身份認證、信息加密、保證數(shù)據(jù)完整性和抗抵賴性等安全功能。
2.采用SSL技術(shù)保障業(yè)務(wù)接入的可管可控
    SSL(Secure Sockets Layer 安全套接層)技術(shù)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全通信協(xié)議,它在傳輸層對網(wǎng)絡(luò)連接進行加密,提供使用 TCP/IP 的通信應(yīng)用程序間的隱私與完整性。SSL技術(shù)靈活地采用對稱加密和非對稱加密技術(shù),不僅保證了連接和通信的安全,而且能夠提高數(shù)據(jù)傳輸?shù)捻憫?yīng)效率,并且能夠靈活地應(yīng)用于多個領(lǐng)域,如HTTP協(xié)議、VPN和金融業(yè)務(wù)等。
安全平臺應(yīng)該在安全框架的基礎(chǔ)上采用SSL技術(shù)實現(xiàn)適用于平臺需要的安全連接技術(shù)。這樣,安全連接技術(shù)能夠使通信雙方對彼此身份進行認證,確保數(shù)據(jù)發(fā)送到正確的客戶端和服務(wù)器;同時對加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取;并且能夠維護數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變,保障信息數(shù)據(jù)的安全性。同時,基于公共密鑰體系,安全連接技術(shù)能夠?qū)τ脩舻臉I(yè)務(wù)證書進行發(fā)放和管理,并以此完成業(yè)務(wù)接入審核,內(nèi)容過濾和業(yè)務(wù)邏輯分離。平臺在終端與前端之間形成一道SSL網(wǎng)關(guān),融入了安全策略協(xié)商技術(shù),能夠適應(yīng)不同級別的安全需求,提供平臺性的安全連接服務(wù),全面保障業(yè)務(wù)接入和進程安全。
3.靈活的信息安全技術(shù),全面保障信息數(shù)據(jù)安全
在信息數(shù)據(jù)安全方面,安全平臺應(yīng)采用對稱和非對稱加密相融合的先進安全體系結(jié)構(gòu),支持預(yù)加密和實時加密服務(wù),并針對不同的安全需求提供安全方案:采用加密、HMAC、綜合校驗等技術(shù)保證信息的完整性;采用完善的認證和鑒權(quán)以及安全連接技術(shù)保證數(shù)據(jù)的保密性;采用數(shù)字簽名保證信息的不可否認性和抗抵賴性;采用基于PKI體系的CA中心保證了信息的可控性。同時,平臺可以針對用戶私密數(shù)據(jù),提供個人數(shù)據(jù)服務(wù)器,為終端提供個性化數(shù)據(jù)服務(wù),全面保障信息數(shù)據(jù)安全。
4. 終端安全模塊,完善體系安全
在終端防入侵方面,安全平臺可以針對機頂盒提供專業(yè)的終端安全模塊,以提供身份認證、SSL建立、口令輸入安全等的密碼和證書的功能支持,同時配合前端服務(wù)器完成安全功能。針對,用戶在終端的密鑰信息安全,模塊可以采用目前在終端安全方面較為有效和廣泛的技術(shù)為OTP(一次性編程)防篡改硬件技術(shù)和基于硬件的可信任根,保證終端存儲不受侵犯。
面對全新的廣電網(wǎng)絡(luò)安全需求,廣電雙向網(wǎng)絡(luò)安全平臺應(yīng)該能夠為數(shù)字電視綜合業(yè)務(wù)系統(tǒng)提供全方位的安全支撐和信息共享服務(wù),為廣電運營商雙向業(yè)務(wù)的順利開展提供堅實基礎(chǔ)和可靠保障,成為廣電雙向網(wǎng)絡(luò)的安全衛(wèi)士,幫助運營商在三網(wǎng)競爭中贏得先機。 
(來源:中廣互聯(lián))

相關(guān)熱詞搜索: 廣電 雙向 運營

上一篇:企業(yè)文檔安全需要全方位防護

下一篇:最后一頁

分享到: 收藏

推薦閱讀

專題