待记者问到具体原因时,路总很谦虚地表示:“本人倒不是认为这些说法有问题,但是如果按照文章中的描述进行操作,不知道广电运营商的安全性能得到多大的提高”。
陆总表示,世界上没有绝对的安全,并从2个方面做了解释:
一方面安全的对抗技术总是出现在攻击之后,因为总是先有“魔”后有“道”。以广播电视领域智能卡的安全为例:智能卡在20世纪末期出现了DPA(Differential Power Attack)的方式,而芯片厂家提出了对参与运算的中间数据进行掩码、频率扰动等防范措施;随后攻击者改进了原有攻击方式提出了高阶DPA攻击,而芯片厂家采用了对运算功耗补偿的防范方法;随后攻击者由提出了DFA(Differential Fault Attack)的方式,而芯片厂家增加了各种传感器阻止错误的引入来防范。所以,技术的成熟是建立在反击各种攻击的基础上,换句话,安全技术永远处于“滞后”的状态:总是有了新的攻击技术,然后才有针对此攻击技术的安全方案。
另一方面,即便有成熟的安全技术,在实际部署实施的时候,各方面的工作都做到位了吗?安全设备和软件真的安装全了吗?补丁及时更新了吗?安全制度真的执行到位了吗?在实际情况下,上述问题的答案往往是一个“被妥协”的结果。资金的原因、工期的原因,在安全方案制定和执行的过程中常常因为这样那样的原因被修改、被裁减,所以最后实施安全都是“适度的”,并没有到达“理论的”。
安全,广电运营商高层必须参与其中
在谈到安全到底应该谁主抓的时候,路总毫不犹豫说到;“对于运营商来说,安全不应该是一锤子的买卖,而应该有一个长远的安全计划,每年都有相应的预算购买新的软硬件,每年都要重新梳理安全计划以适应现实的变化。”
安全是一个系统工程,它和运营商内的很多部门(甚至是全部)都有关系,会深入到运营商的生产、采购、销售、推广、维护等等流程中;同时安全不是一个软件、一个硬件可以解决的,任何单一的技术和产品都无法满足运营商对安全的需求。
在这种情况下,如何协调各个部门推进安全方案的实施,如何调配各种资源为安全服务,这些都是需要运营商的高层领导做决定的。如果仅仅是把安全工作安排给一个部门,或者是让所有的部门各自为战,那么可想而知安全必然存在很多漏洞。
安全,需要广电运营商与厂商齐心协力
随着一系列安全事件的发生,现在形势十分严峻,挑战更大。
一方面,运营商引入了互联网的内容和业务,终端形态从单一的机顶盒扩展到手机、PAD等移动设备,终端操作系统也扩展到了了Android、IOS、中间件等智能操作系统,这些变化都对运营商的安全提出了新的要求。
另一方面,广电运营商对于安全的需求又具有自己的特殊性(广电的政策环境、用户、网络、设备都和互联网有着巨大的区别),这就需要运营商和产品技术厂家一同制定适合与我们自己的安全解决方案,这些都需要运营商的深度参与。
所以,路总总结道,安全是由很多部门参与、由很多技术产品支撑的系统工程,是为运营商的战略目标服务的,运营商在其中扮演的角色至关重要。所以,广电运营商要与厂商齐心协议,共同把握好安全这道关。
附带:数字电视安全手册
安全基本原则
安全的核心目标是为关键资产提供可用性(availability)、完整性(integrity)、机密性(confidentiality),简称AIC(或者CIA)三元组。广电运营商所采取的所有安全机制、防护措施都是为了实现AIC中的一个或多个,但是在实际的实施过程中会因为种种限制因素,导致不能把AIC都做到很好,只能在AIC中平衡、取舍。至于平衡取舍的原则就是公司的战略目标,这个前面已经提到过了。
对于AIC的解释这里就不赘述了。只是提醒注意系统的可用性,实际上在涉及安全问题时,运营商往往只针对机密性做各种考虑,而可用性威胁常常被忽略,除非他们遭到破坏。很多人都知道AIC的概念,但却可能并不完全理解实施必要的控制措施为所有这些概念所覆盖的领域提供保护的复杂性。例如在关键的政治时刻,黑客是否可以通过攻击设备网管系统,从而控制修改传输设备参数,导致整个系统停止工作,这就是对系统可用性造成破坏,从而造成影响。
1.1 安全定义
对于多数人来说,“脆弱性”、“威胁”、“风险”、“暴露”这些安全术语表达的是同一个意思,然而,他们实际上有不同的含义,相互之间也有不同的关系。
脆弱性(vulnerability)是指缺少安全措施或者说采用的安全措施有缺陷。它是一种软件、硬件、过程或认为缺陷。例如未安装补丁的操作系统、没有限制的无线访问点、防火墙上的某个开放端口、服务器上未实施的密码管理等等。
威胁(threat)是指利用脆弱性而带来的潜在危险。利用脆弱性的实体称为威胁主体。威胁主体可能是通过防火墙上的某个端口访问内网的入侵者,也可能是某位员工犯下的、可能泄露机密信息或破坏文件完整性的意外错误。后面的连接就是一个例子:俄士兵军事设备中大玩自拍疑暴露俄军越境乌克兰。
风险(risk)是威胁主体利用脆弱性的可能性以及相应的业务影响。如果某个防火墙有几个开放端口,那么入侵者利用其中一个端口对网络进行未授权访问的可能性就会较大;如果没有对员工进行相关培训教育,那么雇员由于无意犯错而破坏数据的可能性就会较大。
控制(control)或对策(countermeasure)能够消除或降低潜在的风险。对策可以是软件系统、硬件设备或规章制度。
如果某个运营商不能及时更新病毒特征库,那么这就是一种脆弱性。该运营商就很容易遭受病毒攻击。威胁是指病毒将出现在系统环境中并破坏系统的工作能力。病毒出现在系统环境中并形成危害的可能性就是风险。如果病毒渗透入运营商的系统环境,那么脆弱性就被利用了,公司也将遭受损失。这种情况下的对策就是更新病毒特征库。下图说明了风险、脆弱性、威胁和对策之间的关系。
控制类型
到此为止,已经描述了安全目标和安全术语。那么下面说一下可以实现的对策类型及其相关的功能。
正确运用控制措施能够降低运营商面临的风险,控制措施包含3种类型:管理控制(administrative control,也称为软控制)、技术控制(technical control,也称为逻辑控制)和物理控制(physical control)。例如安全文档、风险管理、人员安全和培训都属于管理控制;防火墙、入侵检测系统、加密、身份识别和认证机制都属于技术控制;保安、锁、围墙和照明都属于物理控制。
安全框架
所有的运营商都不想把安全建立在虚无缥缈上,这就要求我们建立一个安全计划。一个安全计划是由很多实体构成的框架:逻辑、管理和物理的保护机制,程序、业务过程和人,这一切一起工作将为环境提供一个保护级别。每个实体在框架中都有一个重要位置,如果一个缺失或者不完整,那么整个框架将会受到影响。
在做安全计划的时候,IT部门关注安全技术方案,人员安全工作由人力部门负责,物理安全由工程部门负责,业务连续性由运营部门负责;我们需要纵览所有事项并以全盘方式将它们周密结合,而公开的一些安全框架能满足这种要求。例如BS7799描述了控制目标和为实现目标可使用的控制措施范围,及如何建立和维护安全计划。它主要包括10个模块:组织信息安全策略、信息安全框架建立、资产分类和控制、人员安全、物理和环境安全、通信和运营管理、访问控制、系统开发和维护、业务连续性管理、合规。
运营商在制定安全计划时,应该从战略、战术、操作角度来解决各种问题,如下图。安全管理包括必要的行政管理和过程化活动。它包括安全策略及其支持机制(措施、标准、基准和原则)的开发和实施,涵盖了风险管理、安全意识培训以及合理的对策选择和实现。人员(雇用、解雇、培训以及管理层结构)与运作(工作轮换和责任分离)活动也必须合理执行,从而保证一个安全的环境。
这就好比,在安全设计层面,不仅仅应该只考虑头痛医头,脚痛医脚,而应该站在全局的制高点上看待问题。软件平台出了事情,着眼点不应该仅仅放在软件平台,是不是也因该考虑硬件平台本身是否安全,是否应该建设灾备平台,一旦出了问题,直接从根源上切换到最安全的平台,先解决了问题,在分析出问题的环节,做到真正的彻底根治。
总结对比
看到这里,我想有些广电人已经可以看出广电运营商在安全方面的问题了吧!如果还没有,那我们做个对比。假设公司A制定了一个有效的安全计划,而公司B也制定了一个计划,但不是很有效。起初两个公司在外行人眼里似乎没有什么差别,因为他们都制定了安全策略、措施、标准、执行了相同的安全技术控制(防火墙、IDS、身份管理等),并且都拥有了一个由安全人员管理的安全团队。但是只要仔细观察,就会发现差异。
本篇文章给大家简单介绍了一下安全涉及的一些概念,安全涉及到的几个专题:物理和环境安全、通信与网络完全、访问控制、业务连续性(应急灾备平台建设)、应用程序安全、操作安全等,由于篇幅限制,这里就不一一阐述了。
为您推荐
在我国为迎接数字奥运做准备的最后一年,Sumavision(北京数码视讯科技有限公司)秉承“让每个人过上数字生活”的公司愿景,推出了马赛克导航系统10KH06,在2008年北京奥运会多场馆赛事等多项精彩节目的播放方面,可以为用户观看带来很大的便利。马赛克导航系统是将屏幕分割成若干个小区域,每个小区域实时显示不同数字电视节目的系统。用户可通过马赛克画面动态浏览各个节目情况,并且只需通过遥控器移动箭头,通过小画面的选择便可切换到想要收看的节目,充分体现了数字电视的交互性和友好性。较之前以文字形式导航的EPG信息的播发,基于多画面的马赛克图像导航方式更具有吸引力,它能够更直接地向用户动态展现出多节目
作为国内率先开展数字电视双向整转的城市,西宁市有线电视数字化步伐已经走在了全国前列。8月1日,来自国家广电总局、各地电视网络运营商、技术厂商、频道推广商等43家单位的代表聚集夏都,参加在青海西宁举行的双向整转西宁经验交流会。会上,西宁、淄博、北京歌华等全国各数字电视双向建设单位开展了卓有成效的交流讨论。 西宁市有线电视数字化整体转换工作于2006年底启动,并于今年3月16日正式推行,经过多轮的精心挑选,北京数码视讯科技有限公司成为了本次整体转换工程的前端软硬件设备提供商和系统集成商,创维公司为本次项目提供机顶盒终端设备。预计2008年该项目将全面完成。由于前期工作开展得扎实有序,市民对有线电
经过4年多的不懈努力,数码视讯针对欧洲各国和各地区不同的市场需求,持续更新产品功能并开展各种个性化开发与服务,使之能够适应欧洲市场需求的变化升级,并赢得了欧洲客户赞誉与支持。07年以来,数码视讯在欧洲市场的业绩较之06年同期增幅超过200%,如此辉煌的业绩正是通过数码视讯人不懈的努力换来的。相信本年度的IBC将会是数码视讯在欧洲甚至全球市场走向新的辉煌的又一个起点。数码视讯展位:1.400C,欢迎参观,莅临指导。
8月21日下午,由北京市工业促进局局长李平、中关村科技园区管理委员会主任戴卫等20多人组成的考察团,来到“国家数字电视前端系统产业化基地”、国内最大的数字电视软件及系统提供商——Sumavision(北京数码视讯科技股份有限公司)视察。Sumavision公司总裁郑海涛,向视察领导展示了公司自主研发的最新科技成果,汇报公司近年来在数字电视行业高速发展的情况,及Sumavision为数字奥运所开展的各项准备工作。 考察团一行在听取了行业和公司介绍后,来到Sumavision高科技产品展示厅中,饶有兴致的体验了