1、OTT 业务 EPG 防篡改与应急机制的研究与实践【摘要】 为了提升 OTT TV 的信息安全防护与应急处理能力,根据OTT 业务网络特点对 EPG 的主动防篡改机制进行了设计,并提出了信息安全事件的应急处理思路与策略建议,最后在实际维护工作中对上述策略的有效性进行了实践,希望能为 OTT TV 运营与维护单位在安全建设中提供有益的参考。 【关键词】 OTT TV EPG 防篡改 应急处理 Research and Practices of EPG Tamper Resistance and Emergency System in OTT TV Wang Lei, Xu Jiaoqiang (
2、China Telecom Corporation Limited Jiangsu Branch ,Nanjing 210017, China) Abstract: In order to improve the information security and emergency management of OTT TV, an active tamper resistance mechanism of EPG based on characteristics of OTT network and emergency management method and Strategies unde
3、r the information security incidents are proposed. Finally, those mechanism and Strategy are proved to be effective in maintenance work , which hopes to provide useful reference for the OTT TV construction and maintenance. Key words: OTT TV, EPG tamper resistance, emergency system 一、引言 OTT TV(以下简称 O
4、TT)是“Over The Top TV”的缩写,是指基于开放互联网的视频服务,终端可以是电视机、电脑、机顶盒、PAD、智能手机等等。据统计,仅 2013 年中国 OTT 盒子的出货量就有 800-1000 万,在庞大规模用户的背后是日益严峻的安全形势。 OTT 直接承载于公共宽带互联网之上,面临着来自黑客攻击产生的安全风险,其中信息安全威胁是其中影响最恶劣的安全风险。 14 年 8 月,某市广电数字电视机顶盒遭黑客入侵,篡改了展示内容并以反动宣传内容替代,影响群众正常收看电视,造成严重不良影响。在此背景下,保障 OTT 内容安全、播放安全是 OTT 业务长期健康发展的重要保证。 二、EPG
5、防篡改机制研究 2.1 技术方案 EPG 是 Electronic Program Guide 的英文缩写,即电子节目菜单。EPG 系统因为其直面用户的特性处于 OTT 信息安全防护战线中至关重要的位置。针对内容防护的 EPG 内容防篡改机制是信息安全防护工作中的治本之法。EPG 系统采用 web 服务器架构建设,不同于通常的 web 服务器,其特殊性在于 EPG 服务器集群数量较大、模板文件(jsp/html/css/图片等)量巨大、模板更新频率较高。研究 EPG 的篡改发现和阻止策略需要充分考虑这些因素。 目前篡改防范和处置的技术方案主要有三类:文件比对、目录同步、IO 访问控制: (1)
6、文件比对:对可信源文件计算校验值并存储,并对目标文件定时计算校验值。这种方案的安全性最高,但在防护过程中的不断地校验值计算、存储和比对将造成巨大的资源消耗。 (2)目录同步:可信源目录和目标目录之间采用操作系统 rsync 技术进行监控和同步,一方面源目录的修改会即刻同步到目标目录,另一方面目标目录修改后会立刻被探测到并为源目录内容重新覆盖。 (3)I/O 访问控制:该方案用系统驱动对监控目标目录实施进程访问控制,通过规则设定只有可信进程(也就是实施 EPG 模板更新的进程)能够对目标目录实施写操作,其它进程的写操作被直接阻止。 其中第一种、第二种方案均属于事后恢复型方案,此类方案不能完全阻止
7、篡改发生,同时需要不断同步比对,除消耗系统资源外,也增加了一定的存储,适用于网页更新不频繁,静态页面等为主的场景。对于EPG 业务百万级数量小文件、动态页面更新频繁的特性,此类方案并不适用。第三种方案属于事前预防型的方案,资源消耗小,事前防篡改力度高。 综上考虑,对于百万级 OTT 业务,选用 I/O 访问控制方式来实现 EPG防篡改功能更加具备可行性,也能达到更为准确高效的防护效果。 2.2 功能逻辑 基于 I/O 访问控制技术的 EPG 防篡改机制利用操作系统的文件系统接口,在网页文件被修改调用文件系统接口时,进行合法性检查,对于非法操作进行告警和拒绝,对于合法的操作继续原有的文件操作。此
8、功能可细化为逻辑流程: (1)文件操作进入操作状态。 (2)操作状态首先判断要操作的文件是否在安全配置中,判定在安全配置中的条件主要包括是否在安全配置的指定目录下、是否是安全配置的指定文件类型、是否是安全配置的指定文件等。 (3)根据安全配置中设置的规则判断,此进程是否被允许对此文件做此操作,若允许,则继续文件操作,不做任何处理。 (4)若不允许操作,则记录日志,并拒绝文件操作,同时发告警,通知操作状态同时携带告警描述信息。 2.3 实现架构 基于 EPG 服务集群特点,EPG 防篡改机制设计用层级管理模式实现,从功能职责和部署上划分为管理和策略服务器、防篡改客户端 Agent。 防篡改客户端
9、 Agent 用于检测及监控 EPG 服务器文件更新的变化,部署于 EPG 服务器,进行页面篡改事件感知预警和阻止。 实现特性主要有: (1)基于操作系统文件驱动,对页面篡改行为进行实时感知预警。 (2)在篡改事件时,阻止篡改并发起告警。 管理和策略服务器单独部署,负责将操作指令传达给监控和同步,同时负责实时接收和保存来自监控和同步的各种日志信息。实现特性主要有: (1)基于业务进行感知预警目录和策略的配置管理。 (2)对来自 Agent 的篡改告警进行统一处理。 (3)可与业务系统对接,触发业务对篡改的处理。 三、应急处理机制研究 信息安全事件的发生极易导致严重的影响,针对信息安全事件的应急
10、处置机制则就是安全防护工作的最后一道防线。基于此,本文提出信息安全事件应急处置的快速处置、暂时性修复、事后追溯三阶段处置模型。节目内容篡改等安全事件发生并被觉察到后,首先在快速处置阶段向主要受众切断播放源以消除影响,再使用预先准备好的默认内容进行播放业务的恢复(待数据恢复后切换为正常播放) ,最后进行溯源分析确定入侵源并实施对应的安全加固方案。 3.1 快速处置机制 发现内容篡改等影响恶劣的入侵事件后,经过事件影响面定位后需要快速处置,迅速切断内容源,避免造成更大范围的影响。 用户展示的最终效果涉及到节目源编码器、EPG、CDN 节点提供的展示服务,对于节目源被替换造成的影响可通过关停编码器进
11、行处置,对于 EPG 展示内容被篡改可通过关闭 EPG 服务器上 WEB 进程进行处置,对于 CDN 上媒体内容被篡改可通过删除媒体文件乃至关闭 CDN 服务等方式进行处置,实际应急处置中,可考虑将涉及到各环节的信息安全处置方案细化为各类应急处置模式。 根据安全事件影响范围、影响设备、影响业务对应急处置模式进行合理的组合配置,可形成全面高效的应急处置方案,有效针对各类安全突发事件进行处理,其核心逻辑为: 1.应急处置模型中设置若干种基础处置模式,如数据更换、服务停止、系统停机等。 2.根据实际的网元处置方式、流程将基础处置模式按顺序组合成处置模式组。 3.将目标设备按节点区域、网元、处置方式分
12、成若干群组,并关联上述处置模式。 4.发生入侵并确定实施应急处置时,对目标群组实施关联的处置模式组。 3.2 业务修复方案 在 OTT 业务系统遭遇入侵并采取快速处置机制进行处理后,可按正常业务及内容下发流程覆盖被篡改的内容或者文件以恢复业务。 但由于 OTT 业务具有受众广泛、影响扩散快的特点,对业务恢复的时间提出了更高的要求。基于此种要求,可将业务下发流程按上节应急处置模式组的方式制定业务恢复模块组,以实现业务的快速恢复,具体方式因具体 OTT 业务平台业务下发方式的不同故不再赘述。 3.3 事后追溯 入侵事件的追溯技术可分为入侵痕迹分析以及计算机取证方式。前者通过日志的关联性分析以及可疑
13、文件入手对入侵行为进行溯源。后者依据计算机证据易失性原理从目标设备获取磁盘信息传送到分析设备,用专业的计算机取证软件分析目标设备文件的读写状况,OTT 业务平台入侵追溯可依据平台的不同选择对应的方式。 四、江苏电信信息安全防护实践与总结展望 江苏电信 OTT 业务自正式开放以来一直保持规模发展的态势,也同样面临着严峻的网络与信息安全挑战,传统的安全运维手段和体系已无法满足日益严峻的互联网安全防护的需求。 根据 OTT 业务网络特点,江苏电信 OTT 维护人员经过持续多年的研究、探索和信息安全防护实践工作,逐步建立起一套完整的 EPG 内容防篡改防护思路与应急处理机制。在江苏电信 OTT 业务信
14、息安全维护工作中,EPG 内容防篡改策略目前已逐步在落实开发为防篡改系统,而应急处理机制也在逐步从人工操作向自动化、一键封装化道路演进。这些策略的部署与演进对 OTT 业务安全稳定运行在现在以至未来都将一直发挥重要作用。 EPG 防篡改与应急处理机制经过实践反映了策略的有效性,可以为OTT 业务安全提供一定的指导及参考价值,OTT 业务运营商可以根据平台自身的特性如平台与网络架构、业务量等的差异性采取不同的策略进行防护部署。随着互联网的高速发展,OTT 业务面临的安全形势会愈加严峻,关于信息安全防护与应急处置的策略研究仍要继续加强。后续江苏电信业务维护人员将继续在 EPG 内容防篡改以及应急响
15、应处理策略上进行深入研究与实践。 参 考 文 献 1洪钧.构建可管可控的 OTT 平台的探讨J.广播电视信息,2014(269):4951 Hong Jun, Research on the Construction of Controllable OTT PlatformJ.Broadcast Television Information,2014(269):4951 2黄亚超,谢卫华.IPTV 在信息安全的研究与展望J.电视技术,2011,35(20):5355 Huang Yachao, Xie Weihua.Research and Prospect of IPTV in Information SecurityJ.Video Engineering,2011,35(20):5355