中兴通讯网页防篡改系统在江苏电信的应用

     IPTV作为互联网视频业务，已进入一个高速发展的时期。截至2015年4月，全国IPTV用户规模已达3000万。如此大的用户规模背后是日渐严峻的安全形势。在利益驱动下IPTV已经成为黑客攻击的重点目标，IPTV安全工作不断面临着新情况、新问题、新挑战。

　　IPTV EPG（Electronic Program Guide，电子节目指南）是IPTV业务面向用户的最直接的门户，所有用户都必须通过EPG访问IPTV业务系统的业务，EPG门户的安全，关系着IPTV业务系统整体的运营安全，EPG系统如果被攻击，比其他任何业务系统所带来的危害都要大，甚至会带来不良的社会影响。2014年8月，某市广电数字电视机顶盒遭黑客入侵，出现反动宣传内容，造成严重的不良影响，也给所有的IPTV运营商敲响了业务安全的警钟。

　　截至2015年8月，江苏电信IPTV用户已达到540万，保证这庞大的用户基数和上万的服务器数量的安全运营，是江苏电信IPTV平台建设EPG防篡改系统的目的。

IPTV EPG防篡改系统概述及建设意义

　　IPTV EPG防篡改系统是中兴通讯EPG防篡改系统在IPTV业务系统上的一个典型应用。中兴通讯EPG防篡改系统是中兴通讯产品安全团队为业务系统打造的一套基于操作系统内核的防篡改系统，其核心价值在于其基于操作系统内核层面，对所有的业务操作及应用进行访问控制，可以做到对非法防篡改操作的实时阻断与告警，且性能上影响非常小。IPTV EPG防篡改系统的建设，对于江苏电信IPTV平台的安全运营具有非常重大的意义：

　　首先，EPG系统因其直面用户的特性，处于IPTV信息安全防护战线中至关重要的位置，EPG上的文件一旦被篡改，将造成严重的负面影响；

　　其次，江苏电信IPTV平台原有安全防护体系包括网络地址限制、主机端口限制、异常流量检测等手段在如今愈加专业化、技术化、频繁化的攻击手段面前已经逐步处于弱势，特别是在文件防护上仍处于空白状态；EPG防篡改系统的建设填补了平台文件防护的空白，使IPTV平台安全防护体系实现由网络防护的“面防护”向文件防护的“点防护”的升华，体现出安全防护思路朝精细化方向演进的趋势，对未来IPTV平台防护体系研究与建设更有拓荒效果。

江苏电信IPTV EPG防篡改项目概述

项目建设目标

　　江苏电信IPTV EPG防篡改项目的建设目标是：

　　●   针对EPG关键业务目录的非法篡改的实时阻断，可面向EPG业务目录百万级小文件频繁更新的场景实施防护；

　　●   对防篡改客户端进行统一管理，包括网元管理、防篡改功能状态监测、配置下发、上报日志查看展示等，并且以EPG防篡改为起点，持续对业务能力平台、CDN防篡改进行研究，以期最终实现IPTV平台防篡改的目标。

　　IPTV EPG防篡改系统具体功能如下。

　　●   实现对文件的防篡改功能：防篡改agent部署在EPG上，实现EPG关键业务目录的非法篡改实时阻断，即在发生文件修改操作前，系统根据防篡改策略及业务更新通知判断该操作是否合规，非指定业务进程、非指定操作文件、非指定时间发生的操作均判断为异常篡改操作，agent将对该篡改操作进行阻止。

　　●   防篡改告警日志管理。防篡改agent将探测到的目标目录  非法篡改行为生成日志，并上传到防篡改管理端进行进一步的告警显示，在管理端对告警日志按照EPG服务器名称、IP、时间点、操作进程名、篡改目标文件等维度进行管理，并可根据具体的管控或告警派单要求对接网管系统、通用安全系统等外围系统或设备。

　　●   支持防篡改客户端的分布部署与集中运维。中兴通讯网页防篡改系统支持客户端的分布部署和远程集中监管。通过在分布式部署的EPG服务器上部署防篡改客户端，并且通过中央集中管理的方式，支持本地化的网站监测及管理维护能力，减少了系统维护人员的工作量。

EPG防篡改系统功能架构

　　EPG防篡改系统从总体架构上分为EPG防篡改管理服务器和EPG防篡改agent。

　　EPG防篡改管理服务器为独立部署的防篡改业务管理平台，包括防篡改业务统一管理模块（包括数据库）、日志告警模块。统一管理模块负责对防篡改agent进行管理，包括设备信息、防篡改策略配置与下发、防篡改进程的启动与关闭等，日志告警模块负责搜集防篡改客户端上报的告警信息，并且按统一格式处理后同步到统一管理模块进行告警分级及展示。

　　EPG防篡改agent部署在基于特定内核版本的EPG服务器上，实现对EPG服务器上文件操作的监测处置的业务模块，包括防篡改内核模块、防篡改告警模块、告警监测模块以及消息接口模块。当EPG服务器上的文件被更新或者修改时，防篡改客户端启动对操作者或者操作进程的权限校验，以区分是否是允许更新进程更新文件。

　　EPG防篡改系统的功能架构如图1所示。

项目先进性

　　建设EPG防篡改系统之前，江苏电信IPTV平台防护体系以网络隔离、端口限制、设置堡垒机、异常流量、进程检测为主。但是所有防护策略均停留在对系统的“面”防护上，均不能完全避免攻击者的入侵及入侵后的文件篡改操作，也即缺乏针对文件的“点”防护，并且也只有攻击发生后才能预警。而EPG防篡改系统建成后，可以做到阻拦已入侵至服务器的攻击者的文件篡改行为，通过有效的主动阻止及实时告警实现主动防御的能力。

目前网页防篡改技术已发展至第三代，EPG防篡改系统正采用了以文件过滤驱动技术为核心的第三代防篡改技术。文件过滤驱动技术可以将篡改检测程序嵌入到Web等应用服务器中，通过操作系统底层文件过滤驱动接口拦截并分析IRP流，预判写操作的目标文件，一旦发现试图改写受保护的网站目录下的文件即立即进行截断。这种技术最大的优点来自于其与操作系统的紧密结合，可以检测任意类型的文件，无论是一个html文件还是一段动态代码，执行准确率高。不仅完全避免了时间轮询技术扫描时间间隔的问题，而且相对核心内嵌式技术大大降低了对系统资源的占用，增加了服务器的效率。

系统建设方案

　　EPG防篡改系统从功能职责和部署上划分为管理服务器和防篡改agent。在项目实施中，需要新增EPG防篡改管理专用设备用以实现设备信息、防篡改策略配置与下发、防篡改进程的启动与关闭、告警展示与上传等；而防篡改agent则部署在EPG服务器中实施对文件操作的监测处置。在防篡改agent与防篡改管理平台之间设有心跳链路，实现对系统运行状态的监测。

　　EPG防篡改系统实施方案简图如图2所示。

　　防篡改业务端部署在省中心位置，设立安全防护隔离区（Demilitarized Zone，DMZ），根据服务器端设备业务流的方向，需要服务器设备能够与全网EPG主机实现互通，因此部署在防火墙的DMZ区，并可根据需要增加防火墙。EPG端agent部署在目前现网804台EPG服务器上。

　　防篡改平台服务器端主要由以下设备构成：管理服务器（数据库）、管理服务器（Web门户），策略服务器以及网络设备。

　　管理服务器（数据库）用于保存系统的各类运营数据，包括防篡改业务相关的策略信息、设备信息等。

　　管理服务器（Web门户）兼具管理及门户功能，用于实现防篡改相关业务的管理、设备信息管理、账户管理等功能。

　　策略服务器（也叫日志/告警模块）负责搜集防篡改客户端上报的日志及告警信息，并且按统一格式处理后同步到管理服务器（Web门户）。

　　防篡改系统服务器端部署方案如图3所示。

项目效益

　　IPTV EPG安全是整个IPTV信息安全的核心，一旦EPG发生信息安全事件将带来恶劣的社会影响和严重的后果。在当前严峻的网络安全与视频安全形势下，江苏IPTV平台通过建设EPG防篡改系统，以更进一步的精细化安全防护体系让IPTV平台的安全性实现了质的提升，能够对篡改行为进行主动防御，杜绝了文件被篡改的可能性，实现了IPTV平台由网络防护的“面防护”向文件防护的“点防护”的转变，保障了平台的安全稳定运营，树立起IPTV领域安全防御典范，能够创造积极的社会效益。

　　江苏电信IPTV平台在规模、覆盖、服务质量等诸多方面与其他运营商相比有一定的优势，但随着互联网视频业务的成熟以及OTT等新技术的引入，江苏省宽带类视频业务市场竞争日趋激烈，各运营商均在投入建设。江苏电信IPTV平台通过建设EPG防篡改系统提升IPTV安全防御能力，为用户提供差异化的服务能力，能够进一步巩固和提升用户占有率，打造良好口碑，进而创造长期稳定的经济效益。