一场晚会直播背后的安全攻防

news2024/12/22 20:42:49

多姿多彩的数字世界中,“直播”扮演了不可或缺的角色。

刚刚结束的央视春晚,腾讯和中央广播电视总台一起打造了“竖屏春晚HDR及菁彩声”技术方案,并在“央视频”客户端上线。让广大用户“听”得更沉浸,“看”得更清晰。总台首次使用三维菁彩声+8K超高清来制作春晚的音频信号、直播春晚。

为了保障此次“不一样”的春晚顺利进行,腾讯还提供了WAF 、防火墙、主机安全、容器安全等能力支持,并专门制定了安全事件响应和突发故障应急处置流程。

而这只是腾讯护航各类直播活动安全的缩影。小到个人用户开启直播记录生活,电商企业发起一场直播带货,再到海量观众收看的赛事直播、晚会直播的背后,都有着腾讯提供的各类安全能力支持。

当一场直播活动具备超大型的规模,呈现出全球关注、亿级流量、复杂互动、多端放送等特点时,安全防护的挑战呈几何级上升,传统的安全防御手段是否还见效?

在采访了今年春节期间历经多次超大型直播活动安全保障支持团队的joe和gannon,我们梳理了以下几个重点。

Q1.与传统业态相比,直播活动的安全保障最大区别是什么?

A:最大的区别可能是“动”与“静”的不同。

传统业态的安全防护对象是企业内部资产、线上系统等,即使发生了安全威胁,用户的感知不那么明显,或者说有反应的窗口期,相对来说是静态的。

但直播业态实时面对用户的天然基因,导致一旦出现安全事件,即使是直播过程的短时卡顿也会造成用户的“强感知”,这就是动态的。动静的不同,导致直播业务对安全的底线要求尤其高。

Q2.直播业态以及大型直播活动一般面临什么样的安全风险?

A:直播系统源码的安全问题是直播系统运维的保障,所有的网站都有被黑客入侵的风险。例如,SQL注入会导致直播系统数据被泄露、用户的个人信息泄露。而直播平台在实际运营过程中完全依靠着网络通信,很容易遭到SMB会话劫持,DNS欺骗等中间人攻击。另外,在直播系统搭建时不法黑客也可以进行跨站攻击。

总体而言,直播也是一个线上应用,也会面临网络安全、数据安全、终端安全、应用安全等挑战。按照直播链路划分的话,要重点关注推流安全、播放安全、内容安全等等,主要是在基础的安全防护之外,需要格外关注直播内容的版权保护、违规内容识别等。

Q3.超大型直播活动的安全防护有什么特点和难点?

A:可以概括为“三高”,高量级、高并发、高级别。

  • 高量级指的是,安全防护的等级高,配备的安全防护资源和能力以及设置的安全策略会较为充沛,从而保障在应对突发事件时的应急响应能更加从容。

  • 高并发就是典型的流量同时涌入,一方面保证海量用户同时访问的顺畅体验,也要甄别大流量中的垃圾流量和虚假流量。

  • 高级别代表的是安全防护的目标是零事故,超大型直播活动出现安全事故可能不像网络勒索类的攻击导致的损失那么明显,但是带给企业以及品牌的声誉损失是无可估量也是很难挽回的。

直播的难点在于当下直播业态的不断丰富,相比直播初期线下替代的方式,如今的直播呈现出带货、抽奖、答题、VR等新颖技术和互动类型,安全防护的范围和重心都有所转移。

Q4.除了直播过程卡顿,直播活动一旦安全失守会有哪些后果?

A:全球范围内发生了不少直播过程中网络安全事件,除了导致直播中断以外,还有劫持直播画面,播放违法违规内容;以及窃取参与直播互动用户的个人隐私等等。

另外,如果直播过程出问题,不仅是用户侧损失,还有客户及品牌赞助方声誉和营销活动受损。

Q5.对于超大型直播的网络安全防护体系一般是怎样搭建的?

A:和一次重保任务一致,安全体系建设贯穿在直播活动的前中后期。

  • 前期结合直播系统的特性针对性制定安全框架,通过渗透测试模拟攻方视角发现隐匿的安全隐患;

  • 活动开始时通过线上线下的驻守,监测整体安全态势,并机动灵活调整安全策略;

  • 后期做好整体的安全服务复盘,将单次的得失抽象为长期防御加固的经验,指引可持续健康发展的安全建设思路。

Q6.渗透测试时,是发现安全隐患多了好还是少了好?

A:其实和我们做完一张考卷检查的时候心态类似,发现问题多了说明前期工作做的不细致,没发现问题的话也会心底打鼓,就像安全行业的名言“世界上只有已经发现的安全漏洞和没发现的安全漏洞”。

渗透测试我们更看重的是过程和流程,是一次校准多方协作、多维防御、多方沟通的过程,梳理清楚之后我们更有自信和底气面对到来的直播活动。

Q7.事前长期的安全检验,一般做到了什么地步会觉得“有底了”或者“胸有成竹”了?

A:其实很长一段时间都是保持紧绷状态。安全的工作永远不存在100分满分。打个比方,从0-60分是比较容易的,但是从80分之后每提升1分都是需要倾注巨大的心血。所以我们前期的工作都在查漏补缺,筑高“城墙”。

Q8.从技术架构上而言,应对超大型直播的复杂安全挑战是否有最优解?

A:首要的还是厘清企业本身的技术架构,基于自身架构再制定针对性的解法。对于大部分上云的企业而言,云原生的安全思路在解决安全问题时有明显的时效优势,基于弹性扩容、灵活配置、不同的安全能力在云上一键调用和组合的特点,能很好地应对超大型直播的突发性和高标准要求。

Q9.超大型直播活动过程中,腾讯安全团队的安全服务保障有什么特色?

A:服务方面,前方的服务团队和后方技术团队、产品团队的沟通路径之外,我们还会拉起一个线上会议,会议时长从活动开始前一个小时到结束后一个小时,这个会作为整体直播安全作战的总指挥部,主要是让问题的呈现和解决效率更高,我们布防的安全产品会实时同步攻击态势和异常告警。

安全相伴,“兔”飞猛进

更多安全故事,请关注「腾讯安全重点行业·春节值守特辑」

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/185924.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

无刷电机驱动器

0.0参考: FOC?看这篇文章就够了 志辉君——【自制FOC驱动器】深入浅出讲解FOC算法与SVPWM技术 SPWM基本原理详解(图文并茂公式推导C程序实现) 1、开源的FOC方案 1、SmipleFOC是比较常见的无刷驱动方案,因为其便宜的制造成本…

高级Spring之Scope 详解

在当前版本的 Spring 和 Spring Boot 程序中,支持五种 Scope singleton,容器启动时创建(未设置延迟),容器关闭时销毁 prototype,每次使用时创建,不会自动销毁,需要调用 DefaultList…

使用Plotly和Python进行交互式数据可视化

使用Plotly和Python进行交互式数据可视化 Python是数据探索和数据分析的好帮手,这都要归功于numpy、pandas、matplotlib等神奇库的支持。在我们的数据探索和数据分析阶段,理解我们正在处理的数据是非常重要的,为此,数据的可视化表…

Swin-Transformer算法解析

本文参考: SwinTransformer:使用shifted window的层级Transformer(ICCV2021)_tzc_fly的博客-CSDN博客 https://zhuanlan.zhihu.com/p/430047908 目录 1 为什么在视觉中使用Transformer 2 Swin-Transformer算法总体架构 3 Swin-Transformer Block详述…

C# 源码 等值线(等高线)云图绘制 ,图上含等高线数值

C# 源码 数据格式为XYZ数据,XY为坐标,Z为对应的值 X Y Z -0.671053 -0.850000 83.330742 -0.671053 -0.850000 85.469604 -0.671053 -0.760526 89.225899 -0.671053 -0.760526 86.994576 -0.671053 -0.760526 86.994576 -0.671053 -0.760526 89.225899 -…

【解读】《云事件响应框架》:云服务用户响应和管理事件首选指南

微信搜索”国际云安全联盟“,回复关键词“云事件”下载本报告 当今互联时代,全面的事件响应策略对于需要管理与降低风险的组织必不可少。然而,在基于云的基础设施和系统的事件响应策略方面,部分由于云的责任共担特性,…

sql的四种连接——左外连接、右外连接、内连接、全连接

一、内连接 满足条件的记录才会出现在结果集中。 二、 左外连接(left outer join,outer可省略) 左表全部出现在结果集中,若右表无对应记录,则相应字段为NULL 举例说明: 客户表: 订单表&#x…

2023年2月系统集成项目管理工程师认证【报名入口】

系统集成项目管理工程师是全国计算机技术与软件专业技术资格(水平)考试(简称软考)项目之一,是由国家人力资源和社会保障部、工业和信息化部共同组织的国家级考试,既属于国家职业资格考试,又是职…

Qt 根据参数 自动生成vs 工程

一,需求 给算法部门提供一套代码框架,让其写算法dll。为了使dll能融入主工程,其框架对格式有一定要求,为了增加算法部门的快发效率,因此开发一个小工具,用于自动生成这套框架。 运行后,只需要…

cdh+dolphinscheduler开启kerberos

搭建环境多台linux主机搭建集群CDH 6.3.2 (Parcel)版本dolphinscheduler 1.3.2版本本流程在CDH已搭建完成并可正常使用后,开启kerberos功能dolphinscheduler用于大数据任务管理与执行,是很不错的任务调度平台,是否提前部署均可开启kerberos目…

数据结构与算法:二叉树的学习

1.了解树形结构 1.概念 树是一种非线性的数据结构,它是由n(n>0)个有限结点组成一个具有层次关系的集合。把它叫做树是因为它看起来像一棵倒挂的树,也就是说它是根朝上,而叶朝下的。它具有以下的特点: …

《Unity Shader 入门精要》 第7章 基础纹理

第7章 基础纹理 纹理最初的目的就是使用一张图片来控制模型的外观。使用纹理映射技术(texture mapping),我们可以把一张图黏在模型表面,逐纹素(texel)(纹素的名字是为了和像素进行区分)地控制模型的颜色。…

爱了爱了,这是什么神仙级Apache Dubbo实战资料,清晰!齐全!已跪!

都2026年了 还没有用过Dubbo? Dubbo是国内最出名的分布式服务框架,也是 Java 程序员必备的必会的框架之一。Dubbo 更是中高级面试过程中经常会问的技术,面试的时候是不是经常不能让面试官满意?无论你是否用过,你都必须…

Postman(2): postman发送带参数的GET请求

发送带参数的GET请求示例:微信公众号获取access_token接口,业务操作步骤1、打开微信公众平台,微信扫码登录:https://mp.weixin.qq.com/debug/cgi-bin/sandbox?tsandbox/login2、打开微信开放文档,找到获取access_toek…

运放电路中各种电阻的计算-运算放大器

运放电路中各种电阻的计算 在学习运算放大器电路的时候,经常需要计算电路的: 输入阻抗Ri, 输出阻抗Ro, 同相端对地等效电阻RP, 反相端对地等效电阻RN, 这些参数很重要,在学习运放相关电路的时候经常要用到&#…

mysql8+mybatis-plus 查询json格式数据

sql 测试json表CREATE TABLE testjson (id int NOT NULL AUTO_INCREMENT,json_obj json DEFAULT NULL,json_arr json DEFAULT NULL,json_str varchar(100) DEFAULT NULL,PRIMARY KEY (id) ) ENGINEInnoDB AUTO_INCREMENT2 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4_0900_ai_ci;IN…

API 网关策略二三事

作者暴渊,API7.ai 技术工程师,Apache APISIX Committer。 近些年随着云原生和微服务架构的日趋发展,API 网关以流量入口的角色在技术架构中扮演着越来越重要的作用。API 网关主要负责接收所有请求的流量并进行处理转发至上游服务,…

【数据结构和算法】认识队列,并实现循环队列

上接前文,我们学习了栈的相关知识内容,接下来,来认识一个与栈类似的,另一种特殊的线性表,队列,本文目的是了解并认识队列这一概念,并实现循环队列 目录 一、认识队列 1.队列的概念 2.队列的实…

入门力扣自学笔记232 C++ (题目编号:1669)

1669. 合并两个链表 题目: 给你两个链表 list1 和 list2 ,它们包含的元素分别为 n 个和 m 个。 请你将 list1 中下标从 a 到 b 的全部节点都删除,并将list2 接在被删除节点的位置。 下图中蓝色边和节点展示了操作后的结果: 请…

Docker-harbor私有仓库部署与管理

目录 前言 一、Harbor概述 二、Harbor的特性 三、Harbor的构成 四、Harbor构建Docker私有仓库 环境配置 部署Harbor服务 物理机访问server IP 添加项目并填写项目名称 通过127.0.0.1来登陆和推送镜像 其他客户端上传镜像到Harbor 维护管理Harbor 创建Harbor用户 …