501      阿裏雲  技術社區[雲棲]

《人民的名義》告訴我們：媒體安全不能少

安全君作為一個不太追劇的官微運營者，最近卻在《人民的名義》中看到了十五個感同身受的大字：

媒體安全要做好，人民的權益才能保！

在自傳播時代中，不管是官方媒體、直播平台還是自媒體，都能以超高速的方式傳播社會事件和政治熱點，引導輿論，並讓能解決問題的人迅速聽到風吹草動。

不管是在第四集中，大風服裝廠強拆的事件通過直播和網絡水軍傳開，高育良感歎傳統方式不管用，要重視自媒體；

還是第十一集中，鄭西坡深夜被捕，鄭勝利的發帖引起達康書記的注意……

都說明，媒體已經是人民的喉舌，輿論的燈塔，也擔負著社會的責任。連昨天的美聯航事件，也是“媒體力量無限大”的典型例子。

——畫風突轉分割線——

正因所扮演的角色越來越關鍵，媒體也成為網絡攻擊的重災區。

愚人節那一天，美國媒體“紐約郵報”的應用程式(App)當天突然一連推送9次，高唿總統“特朗普萬歲”，之後又指他“罪孽深重”。紐約郵報當晚就事件道歉，解釋其係統遭受攻擊。

在國內，某電視台旗下互聯網視頻平台遭受暗鏈攻擊，暗鏈為賭博內容；非法分子並以帶有電視台域名信息鏈接做推廣宣傳，影響惡劣。

也有某新聞傳媒網遭受黑客攻擊，登錄域名不但無法顯示官方主頁，還會彈出“打錢就給改回來”，並附上賬號和QQ號。約半小時以後，網頁恢複正常。

媒體安全，我們有建議

基於傳媒行業的特性，基本上會按照從客戶端的接入到網絡層，運營商的鏈路，到應用層，再到數據存儲的層麵。係統安全將涉及到前後係統端及傳輸鏈路，不同環節會有不同層次的安全挑戰，比如DDoS攻擊、CC攻擊、Web應用攻擊、主機弱點、數據泄漏、暴露破解、黑客入侵等等。根據不同層次分析，具體安全風險列舉如下：

• 網絡安全

風險分析：基於網絡層安全威脅，其最具有攻擊力的為DDoS/CC攻擊，造成直播等多媒體應用服務不可用。

安全建議：通過部署DDoS高防IP，能夠在遭受大流量的DDoS攻擊後，將攻擊流量引流到高防IP，防禦DDoS、CC攻擊，確保源站的穩定可靠，規避服務不可用的情況發生。

• 係統安全

風險分析：如若係統存在漏洞情況，且未能及時發現或得到及時修複；將導致攻擊者利用該途徑上傳後門、木馬等；

安全建議：需要加強主機係統的安全防護能力，使得具備有網站後門查殺、通用Web軟件0day漏洞修複、安全基線巡檢、主機訪問控製等功能，保障服務器安全。

• 應用安全

風險分析：應用安全根據不同業務場景，主要麵臨以下兩個安全威脅的挑戰：

•    APP前端：

攻擊者反編譯破解APP客戶端，基於破解後的APP客戶端惡意推送反動等違規言論信息；或通過獲得敏感代碼，進而偽造請求，製作仿冒應用；

•    應用係統：

服務後台作為應用係統的支撐，且存在了關鍵數據信息，其安全防護能力無疑是安全建設的重點；因此，需要對後端服務器和數據庫防入侵，以防非法分子竊取用戶賬戶或篡改數據（如官媒網站篡改）；

安全建議：

•    APP前端：

加強移動應用（APP）安全能力，主動挖掘發現應用的安全漏洞，惡意代碼，仿冒應用等安全風險；並通過APP應用加固，提高應用反逆向、反破解能力。

•    應用係統：

采用眾測模式對應用係統進行滲透測試，模擬黑客可能使用的攻擊技術及漏洞發現技術，發現係統最脆弱的環境，從而進行係統加固；同時，並對於係統前端部署相應的應用層安全防護設備，如web應用防火牆等產品。

• 內容安全

風險分析：傳媒行業具備廣泛傳播的影響力及，一旦出現惡意人員篡改數據，有目的的上傳黃色圖片；或是聊天互動普通中發布垃圾廣告，甚至發布涉黃、涉政、涉恐信息；將會給單位帶來社會及政治影響，因此，對於內容安全的自動化監管，是傳媒行業安全建設的重中之重。

安全建議：

通過自動化識別工具，提供圖片、視頻，文字等多媒體的內容風險智能識別服務，不僅能幫助用戶降低色情、暴恐、涉政等違規風險，解決廣告推廣，謾罵等用戶體驗痛點，而且能大幅度降低人工審核成本。

阿裏雲如何幫用戶做媒體安全？

網絡現狀

需求分析

本次最佳實踐以直播架構為背景，其安全風險主要存在“雲、管、端”三個不同層麵內容。具體如下

雲：基於雲端的後台係統，需要加強服務器安全防護能力，防範被黑客非法入侵，竊取用戶賬戶或篡改數據；同時，加強內容安全的監管，控製及識別上傳和發布信息和圖片；

管：基於業務的鏈路傳輸管道，需要加強DDoS流量型攻擊，CC連接型攻擊及常見的OWASP攻擊。

端：基於移動應用APP端，加強應用程序安全性，防範攻擊者反編譯破解APP客戶端。

安全設計

在安全設計中，需要全麵考慮整體架構的安全性，統一部署安全防護產品（DDoS、WAF、反業務欺詐、主機安全、APP安全、反數據泄露、綠網、態勢感知），建盾防護攻擊風險的基礎。

再輔助以安全眾測（先知計劃）為矛，去試探盾的防護能力，嚐試發現深藏的防護缺陷，修複缺陷。使得防護體係螺旋向上，降低業務係統架構的整體安全風險。

如何選購適合你的媒體安全解決方案？

APP安全：為移動應用（APP）提供全生命周期的安全服務，其能夠準確發現應用的安全漏洞，惡意代碼，仿冒應用等安全風險；通過應用加固和安全組件等功能，大幅提高應用反逆向、反破解能力。

反欺詐：解決賬號、活動、交易等關鍵業務環節存在的欺詐威脅，降低經濟損失。

DDoS高防：針對互聯網服務器（包括非阿裏雲主機）在遭受大流量的DDoS攻擊後導致服務不可用的情況下，用戶可以通過配置高防IP，將攻擊流量引流到高防IP進行清洗，回注正常流量，確保源站的穩定可靠。

Web應用防火牆：提升係統對應用防護的能力，使得功能防禦OWASP常見威脅：針對GET、POST常見HTTP請求，給不同的網站業務提供不同的規則策略。針對對SQL注入、XSS跨站、Webshell上傳、後門隔離保護、命令注入、非法HTTP協議請求、常見Web服務器漏洞攻擊、核心文件非授權訪問、路徑穿越、掃描防護等安全防護及專家策略定製，實現精準化防護。

先知：提供私密的安全眾測服務，在黑客之前找到可導致單位數據泄露、資損、業務被篡改等危機的漏洞，單位可對漏洞進行應急響應、及時修複；避免對單位的業務、用戶及資金造成損害。

態勢感知：通過大數據安全分析平台，能對雲上業務係統所有資產進行安全告警可視化，並用機器學習來發現潛在的入侵和高隱蔽性攻擊，回溯攻擊曆史，預測即將發生的安全事件。

專家服務：通過對在雲上的業務係統進行實時監控，及時發現和預警可能出現的安全事件，並製定相應的安全解決方案，協助事件的解決；如若服務器被入侵，將提供分析排查和修複，協助事件的解決，並生成事件的處理報告；保障服務器業務恢複正常，並對服務器進行加固內容。

最後更新：2017-04-17 15:31:11

  上一篇： PostgreSQL 證券行業數據庫需求分析與應用

  下一篇： 奔跑吧，大屏 - 時間+空間 實時四維數據透視