淺談發(fā)射電臺信息安全防護(hù)策略

王曉杭

一、引言

計算機(jī)及信息技術(shù)為代表第三次工業(yè)革命，使得信息技術(shù)成為各個行業(yè)運(yùn)行的基石。信息技術(shù)越來越重要，由信息安全所產(chǎn)生的損失和影響也日益加劇。信息安全保障體系建設(shè)已經(jīng)成為信息系統(tǒng)建設(shè)中的重要組成部分。無線電臺的發(fā)展離不開信息技術(shù)，近年來，我臺通過信息技術(shù)的運(yùn)用，達(dá)到了辦公無紙化，值班無人化，控制自動化。信息技術(shù)已經(jīng)全面覆蓋我臺工作的各個部分，如何做好信息安全防護(hù)工作，建設(shè)完善合規(guī)的信息安全保護(hù)體系，保障信息系統(tǒng)的平穩(wěn)運(yùn)行，也就成為電臺信息化日常工作的一項重要任務(wù)。

二、當(dāng)前我臺信息建設(shè)現(xiàn)狀以及安全隱患

進(jìn)過幾年信息化建設(shè)，我臺擁有核心機(jī)房一間，3個節(jié)點機(jī)房，各類服務(wù)器40多臺，30多個網(wǎng)絡(luò)節(jié)點，各類信息系統(tǒng)20多套，通過VLAN劃分不同業(yè)務(wù)層，實現(xiàn)傳輸發(fā)射自動化及日常工作信息化。信息技術(shù)已經(jīng)全面有效支撐我臺的日常工作，具有便捷職工日常辦公、規(guī)范工作流程、優(yōu)化資源管理、保障設(shè)備安全穩(wěn)定運(yùn)行等特點，使我臺的安全播出保障能力和業(yè)務(wù)管理水平大幅提升。信息化已經(jīng)成為我臺日常工作的重要基石。

在完善信息化系統(tǒng)過程中，信息安全問題也隨之產(chǎn)生。信息安全問題多種多樣，常見的有黑客入侵，拒絕服務(wù)攻擊，蠕蟲病毒，勒索病毒等方式。電臺常見的網(wǎng)絡(luò)問題有網(wǎng)絡(luò)邊界的攻擊，病毒木馬攻擊，未授權(quán)的訪問，通信線路故障，員工的不正確操作，硬件設(shè)備故障引起的系統(tǒng)異常等等。近年來又陸續(xù)建設(shè)了辦公系統(tǒng)云桌面系統(tǒng)，服務(wù)器虛擬化，增加了物聯(lián)網(wǎng)設(shè)備等，新技術(shù)運(yùn)用對于傳統(tǒng)信息安全防護(hù)方法提出新的挑戰(zhàn)。如何有效建設(shè)信息安全保障系統(tǒng)，既能保證信息系統(tǒng)平穩(wěn)不間斷運(yùn)行，又能及時響應(yīng)新技術(shù)，新挑戰(zhàn)，是我們信息工作人員需要關(guān)注的問題。

三、信息安全定義和工作策略

（一） 信息安全定義

信息安全是主要是指信息系統(tǒng)中的硬件、軟件及其中的數(shù)據(jù)受到保護(hù)，不受意外的或者故意的原因而遭到破壞、更改或泄露，系統(tǒng)能夠不中斷，持續(xù)正常地運(yùn)行。想要全面徹底解決信息安全問題就需要綜合考慮，構(gòu)建完整合規(guī)的信息安全保障體系。

（二） 電臺的信息安全工作概述

發(fā)射電臺信息安全防護(hù)策略首先應(yīng)嚴(yán)格根據(jù)局端進(jìn)行統(tǒng)一規(guī)劃，統(tǒng)一部署，參考廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求，制定信息安全工作的總體方針和安全策略，明確工作總體目標(biāo)，范圍，原則和安全框架等。發(fā)射臺站應(yīng)成立臺站信息安全工作的小組，設(shè)立相應(yīng)的職能部門。然后制定相關(guān)制度和規(guī)程，明確信息安全管理各項要求，形成由安全方針、管理制度、工作流程等構(gòu)成的全面的信息安全保障體系，使得臺站信息安全保護(hù)工作常態(tài)化，制度化。

（1）信息安全風(fēng)險評估

在信息安全防護(hù)過程中，信息安全風(fēng)險評估應(yīng)放在第一位，是電臺信息安全工作的基礎(chǔ)和前提。信息安全的風(fēng)險評估是指在信息系統(tǒng)中，統(tǒng)計每一種資源缺失或遭到破壞對整個系統(tǒng)造成的預(yù)計損失，是對威脅、脆弱點以及由此帶來的風(fēng)險大小的評估。對系統(tǒng)進(jìn)行風(fēng)險分析和評估的目的就是：了解系統(tǒng)當(dāng)前與未來的風(fēng)險所在，評估這些風(fēng)險帶來的可能安全威脅與影響程度，為安全保障策略的制定、信息系統(tǒng)的建設(shè)及系統(tǒng)平穩(wěn)運(yùn)行提供依據(jù)。

AHP層次分析法，是一種定性與定量相結(jié)合的多目標(biāo)決策分析方法。其核心是量化決策者的經(jīng)驗，為決策依據(jù)提供定量依據(jù)。在實際工作中，可以參考層次分析法，以《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求》為標(biāo)準(zhǔn)，組織全體信息化工作人員，對臺站信息系統(tǒng)進(jìn)行風(fēng)險評估，對各個系統(tǒng)進(jìn)行打分統(tǒng)計，最終確定信息系統(tǒng)的脆弱點，以及由此產(chǎn)生的風(fēng)險，為以后的信息系統(tǒng)的改造升級和運(yùn)行提供判斷依據(jù)。

（2）新技術(shù)，新問題，新應(yīng)對

信息技術(shù)帶來日新月異的變化，各類安全攻擊層出不窮，根據(jù)《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求》進(jìn)行信息安全防護(hù)，也只能做到基本覆蓋。因為制度建立的滯后性，對新技術(shù)新威脅還未涉及，這就為信息安全防護(hù)工作提出新要求。信息安全防護(hù)也需要突破創(chuàng)新。如近年來虛擬化技術(shù)的使用，就對傳統(tǒng)信息安全防護(hù)模式提出了挑戰(zhàn)。虛擬化技術(shù)使信息資源虛擬化，集中管理模糊了信息系統(tǒng)之間的邊界，增加了維護(hù)復(fù)雜度，使得傳統(tǒng)信息安全防護(hù)措施失去作用。針對虛擬機(jī)技術(shù)，我臺通過虛擬機(jī)管理平臺，配置策略設(shè)置終端最小訪問權(quán)限，架設(shè)亞信云防護(hù)系統(tǒng)，對虛擬機(jī)進(jìn)行病毒查殺。

面對新技術(shù)，新情況，應(yīng)以數(shù)據(jù)安全為核心，以應(yīng)用安全為第一要務(wù)的原則，保證業(yè)務(wù)不間斷，高質(zhì)量運(yùn)行。根據(jù)之前信息安全風(fēng)險評估內(nèi)容，在現(xiàn)有的信息安全防護(hù)體系下，對相應(yīng)薄弱環(huán)節(jié)和新問題進(jìn)行相應(yīng)改造。在電臺信息安全保護(hù)工作中，應(yīng)做到基本合規(guī)，重點強(qiáng)化。根據(jù)等保要求，完成符合定級標(biāo)準(zhǔn)的信息安全防護(hù)措施，并視信息安全系統(tǒng)的重要程度，參考之前的風(fēng)險評估，確立重點強(qiáng)化對象，提高信息安全總體防護(hù)水平。

（3）編制信息安全應(yīng)急預(yù)案

完善發(fā)射臺站的信息安全防護(hù)功能，應(yīng)制定信息安全應(yīng)急預(yù)案，并定期演練，強(qiáng)化部門的應(yīng)急相應(yīng)能力。隨著信息安全防護(hù)水平逐步提高，在構(gòu)建覆蓋全臺信息系統(tǒng)的信息安全防護(hù)機(jī)制后，信息安全事件相應(yīng)減少，甚至幾乎不發(fā)生。如何應(yīng)對突發(fā)信息安全事件，保持并提升信息化工作人員應(yīng)急水平是擺在電臺信息工作中的又一個問題。我們的思路是制定詳細(xì)周密的信息安全應(yīng)急預(yù)案，通過定期演練學(xué)習(xí)，確保部門的信息安全應(yīng)急響應(yīng)能力。

（4）強(qiáng)化內(nèi)部管理，提升全員安全防護(hù)意識

加強(qiáng)信息安全工作管理能力，強(qiáng)調(diào)信息安全建設(shè)過程中的人為因素。據(jù)不完全統(tǒng)計，信息安全事件中，近一半由單位內(nèi)部員工引起的。發(fā)射臺站的信息系統(tǒng)一般為全封閉、不對外公開的系統(tǒng)，針對內(nèi)部信息安全防護(hù)應(yīng)作為重點工作來抓。內(nèi)部信息安全防范，應(yīng)提升信息安全工作的管理能力，加強(qiáng)信息安全防護(hù)的宣傳工作，增強(qiáng)工作人員的信息安全防護(hù)意識。在實際工作中，臺站應(yīng)定期開展信息安全培訓(xùn)，宣傳信息安全事例，常念信息安全經(jīng)，強(qiáng)化員工樹立信息安全防護(hù)意識，也便于信息安全保障工作的開展。

（5）信息安全動態(tài)管理過程

信息安全是一門綜合學(xué)科，即涉及科學(xué)技術(shù)，也強(qiáng)調(diào)管理運(yùn)作。單方面的安全措施無法提供真正完整的信息安全。信息系統(tǒng)安全問題的解決更應(yīng)該站在系統(tǒng)工程的角度構(gòu)建一整套信息安全保障體系。這一體系建設(shè)應(yīng)該是一個動態(tài)的逐步完善的過程。即在現(xiàn)有的安全保障體系的基礎(chǔ)上，加強(qiáng)創(chuàng)新，統(tǒng)籌規(guī)劃，不斷改進(jìn)，應(yīng)對新挑戰(zhàn)。電臺的信息安全建設(shè)可以參考“戴明環(huán)”的管理模式：計劃、實施、檢查、行動。PDCA循環(huán)又叫戴明環(huán)，是全面質(zhì)量管理所應(yīng)遵循的科學(xué)程序。它包含有四個部分：計劃Plan、實施Do、檢查Check、行動Action。通過戴明環(huán)管理方式，整合單位所有信息系統(tǒng)資源，逐步分階段改進(jìn)信息安全防護(hù)體系，形成一個動態(tài)的，螺旋上升的信息安全防護(hù)閉環(huán)。

四、小結(jié)

信息安全防護(hù)伴隨著信息系統(tǒng)發(fā)展而發(fā)展，并逐漸成為信息系統(tǒng)建設(shè)的一個重要組成部分。信息安全防護(hù)是一個系統(tǒng)工程，要全盤考慮。本文主要介紹我臺信息系統(tǒng)的遇到的信息安全問題，應(yīng)對這些問題的策略，以及在實施過程中需要考慮的注意事項。