論廣播電視信息系統(tǒng)安全建設

摘 要：隨著廣播電視數(shù)字化、網絡化的高速發(fā)展，國民經濟與社會發(fā)展對信息系統(tǒng)的依賴程度也在逐漸增加，在國家安全和社會穩(wěn)定這兩方面信息安全占有越來越重要的地位。廣播電視作為國家主要信息源擁有者和提供者，具有豐富的信息資源，因此，如何加強廣播電視信息系統(tǒng)安全建設越來越重要。本文就廣播電視信息系統(tǒng)安全建設進行探討。

1 三網融合進程中的廣播電視信息安全考驗

1.1 三網融合面臨的信息安全問題

基于三網融合的大背景下，由于現(xiàn)有IP協(xié)議存在無法提供端到端的服務質量控制和安全機制這樣的缺陷，因此，未來網絡在使用現(xiàn)有的IP協(xié)議的情況下將會帶給網絡一定的安全隱患。與此同時，現(xiàn)有IP協(xié)議的這種缺陷將會讓網絡黑客通過網絡端口對用戶的安全信息造成威脅，給黑客有機可乘。比如，這些黑客可以利用IP地址欺騙、拒絕服務攻擊、后門入口等工具和技術對網絡進行侵入，從而達到破壞網絡、盜取用戶信息等不法目的，這些都是當下三網融合進程中的廣播電視信息安全將要面臨的問題。

1.2 當前廣播電視信息安全存在的問題

1.2.1 網絡開放性帶來安全考驗

在網絡安全方面，在三網融合的網絡背景下，傳統(tǒng)的封閉式廣播電視網將不斷開放，這樣的環(huán)境就讓外部攻擊者得到了破壞的機會，導致廣播電視網絡讓網絡黑客有機可乘，同時也讓廣播電視網絡受到病毒、木馬等感染的機會大大增加，這一系列威脅都會造成相當嚴重的后果，如曾經爆發(fā)過的蠕蟲病毒，又如我們經常會遇到的充斥網絡的各種垃圾流量，這些都回在一定程度上給廣播電視網絡帶來信息安全的威脅。

1.2.2 廣播電視發(fā)射場地及有線網絡安全無法保障

隨著城市化的進程不斷深入，我國的城市規(guī)模正在逐年擴大，這就出現(xiàn)高樓布滿城市的情況，而一旦廣播電視發(fā)射場地附近建有高樓，就會對廣播電視發(fā)射信號或發(fā)射效能產生一定的影響，甚至會導致廣播電視無法正常發(fā)射信號。另外，最近幾年來，也經常出現(xiàn)人為破壞廣播電視有線網絡的情況，比如人為盜割、蓄意破壞網絡設備，或一些施工單位施工過程中有意無意破壞網絡線路，導致網絡失效。這些情況就給廣播電視發(fā)射造成了一定的阻礙。

2 如何建設信息系統(tǒng)信息安全防護能力

2.1 結構化及縱深防御保護框架構建

在信息系統(tǒng)構建之前，首先要考慮到系統(tǒng)框架搭建必須建立在結構化保護的思想基礎之上，系統(tǒng)構建必須能覆蓋網絡整體、區(qū)域邊界，對系統(tǒng)計算環(huán)境的相關設備及部件本身要覆蓋到，要在保護這些部件的基礎上建立安全的系統(tǒng)框架，這樣才能使系統(tǒng)計算環(huán)境的內部和外部都得到保護，包括一些數(shù)據(jù)、數(shù)據(jù)庫及操作系統(tǒng)。同時，要明確定義所有訪問路徑中各關鍵保護設備及安全部件間接口，以及各個接口的安全協(xié)議和參數(shù)，這將保證主體訪問客體時，經過網絡和邊界訪問應用的路徑的關鍵環(huán)節(jié)，都受到框架中關鍵保護部件的有效控制。當然，系統(tǒng)的框架設計并不是隨意想象的，在進行框架設計時可以根據(jù)IATF（信息保護技術框架）防護戰(zhàn)略的思想來進行，IATF模型強調人、技術和操作三個重點要素，從防護戰(zhàn)略角度為出發(fā)點，以縱深防御架構為基本點構建系統(tǒng)的安全域和邊界保護設施，同時，以外層保護內層、各層協(xié)同的保護策略為實施點對框架進行系統(tǒng)全面的保護，這樣基于防護戰(zhàn)略的框架能攻破一層或一類保護的攻擊行為無法破壞整個信息基礎設施。這樣就可以使當一個保護機制受到攻擊和破壞的同時，其他保護機制能夠協(xié)同作戰(zhàn)，提供附件的保護功能。

另外，在對系統(tǒng)的安全保障體系進行設計時，必須對系統(tǒng)的整個核心業(yè)務的各層邊界進行全方位的分析，并在邊界間通過安全強隔離措施為核心業(yè)務系統(tǒng)建立一個在網絡層從而有效抵御外部通過網絡層和應用層發(fā)動的攻擊和入侵行為。

2.2 信息系統(tǒng)的分域保護機制建設

在對廣播電視信息系統(tǒng)建立保護機制時要明確的是，信息系統(tǒng)的保護設計并不是單一層級的保護，而是根據(jù)系統(tǒng)內業(yè)務重要程度的不同來進行不同級別的保護，這個時候就需要對業(yè)務級別進行安全區(qū)域的劃分，這是信息系統(tǒng)的分域保護機制建設十分重要的一個步驟。

控制大型網絡的安全的一種方法就是把網絡劃分成單獨的邏輯網絡域，如內部服務網絡域、外部服務網絡域及生產網絡域，每一個網絡域由所定義的安全邊界來保護，這種邊界的實施可通過在相連的兩個網絡之間的安全網關來控制其間訪問和信息流。網關要經過配置，以過濾兩個區(qū)域之間的通信量，并根據(jù)訪問控制方針來堵塞未授權訪問。

根據(jù)信息系統(tǒng)實際情況劃分不同的區(qū)域邊界，重點關注從互聯(lián)網→外部網絡→內部網絡→生產網絡，以及以應用系統(tǒng)為單元的從終端→服務器→應用→中間件→數(shù)據(jù)庫→存儲的縱向各區(qū)域的安全邊界，綜合采用可信安全域設計，從而做到縱深的區(qū)域邊界安全防護措施。

實現(xiàn)結構化的網絡管理控制要求的可行方法就是進行區(qū)域邊界的劃分和管理。在這種情況下，應考慮在網絡邊界和內部引入控制措施，來隔離信息服務組、用戶和信息系統(tǒng)，并對不同安全保護需求的系統(tǒng)實施縱深保護。

通常情況下，核心業(yè)務系統(tǒng)與其他

（下轉第253頁）