PDF《新一代视频业务安全解决方案》

2 传统视频业务安全方案 及其不足 传统视频业务安全解决方案是参照传统基础电信业务安全解决方 案来构建的.传统的基础电信业务 从网络层、 系统层、 应用层等方面实 施安全策略: (1)通过对组网实施安全域划分,将各类网元划分为Trust、 DMZ、 Un-Trust 等区域, 对不同等级区域实 施不同的安全策略,尽可能在安全性、 服务性能等要素间取得平衡. (2) 对系统和数据设备实施安全 加固, 包括安全补丁的安装、 合规配 置、 最小化服务、 访问控制设置等. (3)通过定期安全扫描、渗透测试等强化系统的安全评估, 通过安全 开发流程避免应用层漏洞. 上述基础手段有效地提升了系1D:\MAG\2017-04-133/VOL23\Wide2.VFT――4PPS/P 技术广角 华新海 等ZTE TECHNOLOGY JOURNAL 新一代视频业务安全解决方案

57 2017 年4月第23 卷第

2 期Apr.

2017 Vol.23 No.2 中兴通讯技术 统安全性, 降低系统被入侵的风险, 但对视频业务而言仍然存在如下不 足和风险: (1) 对视频业务中大量分布式主 机安全管理能力不足.由于视频业 务往往主机数量巨大且分布多个地 市, 某一个点出现某种安全弱点都有 可能造成不良后果. (2)对入侵行为响应缓慢,无法有效监测控制、 阻止、 告警. (3)无法对视频业务中直播、点播的码流实施有效监测控制, 防止码 流在传输时被篡改造成恶劣影响. (4)无法对设备中缓存的视频、海报模板等内容实施安全监管, 尤其 互联网应用服务(OTT)视频业务中的播放素材可能来源于不同的内容 提供商甚至个人用户, 其合法性需要 得到快速有效地鉴别. 针对上述问题, 我们提出了新一 代视频业务的安全解决方案.

3 新一代视频业务安全 解决方案 视频业务一般性的组网分层架构如图

1 所示, 其中机顶盒、 智能手 机等终端通过宽带、 移动网络等承载 网接入到边缘服务节点, 完成认证并 向用户提供视频业务;

边缘节点和中 心区域的网元进行交互, 实现如内容 注入等业务流程. 相应的业务安全解决方案体系结构如图

2 所示.其中, 各主要组成 部分为: ? 主机安全运维―― 对视频业务大量的服务节点和中心节点, 从日 志管理、 入侵检测、 合规管理等方面 提升系统基础安全性. ? 主机内容防篡改―― 在主机内核部署模块只允许指定进程对指 定目录进行写操作, 其他非法进程的 写操作则直接被阻断并告警. ? 码流防篡改―― 通过数字签名方式检测视频流端到端的传输是 否发生非法篡改. ? 业务安全云―― 对服务节点可能面临的Web 攻击、DDoS 攻击等安全威胁实施保护. ? 内容安全( 不良内容识别) ――对缓存在服务节点的视频、 图片、 文本等内容实施扫描, 识别其 中的不良内容 (如黄色、 暴力等) 以及 可能携带的系统病毒, 通知业务系统 采取进一步处置措施. 3.1 主机安全运维 视频业务往往需要在业务开展的地、 市区域部署大量服务节点和若 干中心节点.如前所述, 大量的设备 需要统一进行安全管理, 避免因某个 节点安全缺陷造成的风险.如图3所示,这里引入了主机安全运维方案,从进程管理、日志管理、设备管理、 安全合规管理等几个方面提升视 频业务节点的安全性. (1)进程和账号管理:监测控制主机进程和账号,如果出现异常变化, 如新增非系统以及非业务的进程 和账号, 立即生成日志并告警上报;