廣播電視業(yè)務(wù)信息安全等級保護工作探討

楊建國 張祎博 北京市房山區(qū)融媒體中心

一、廣播電視業(yè)務(wù)信息安全現(xiàn)狀

廣播電視的輸出平臺多為電視臺，確保節(jié)目的安全播出也一直是電視臺工作的核心任務(wù)之一。隨著互聯(lián)網(wǎng)時代的到來，由于傳統(tǒng)的廣播電視機構(gòu)缺乏專業(yè)的信息安全保護部門，經(jīng)常出現(xiàn)被其他外來網(wǎng)絡(luò)攻擊的情況，廣播電視機構(gòu)內(nèi)部的信息安全問題也受到了極大的挑戰(zhàn)。

目前廣播電視機構(gòu)遭受到的網(wǎng)絡(luò)攻擊呈現(xiàn)出了組織化且攻擊方式多種多樣，這更使得機構(gòu)內(nèi)部非專業(yè)的信息安全維護人員的工作完成得十分艱辛。因此，在國家網(wǎng)絡(luò)安全和相關(guān)信息安全等級保護法律的推動下，行業(yè)內(nèi)各大機構(gòu)紛紛開設(shè)了機構(gòu)內(nèi)部的信息安全管理部門，雖然成立了信息安全保護部門，但其中的人員大多都是從其他部門調(diào)任過去的，他們并沒有信息安全維護的經(jīng)驗和能力，有的甚至還在兼任兩個部門的工作，這更加使得信息安全保護項目難以被繼續(xù)向前推行。

一方面在于廣電機構(gòu)人員是否具有具備專業(yè)技術(shù)的信息安全工程師，另一方面在于機構(gòu)內(nèi)部十分老舊的基礎(chǔ)設(shè)施。有的基礎(chǔ)設(shè)施十分老舊，帶寬完全不能承載大量數(shù)據(jù)負(fù)荷，再加上工作人員的不專業(yè)，還會出現(xiàn)原有系統(tǒng)卡頓、不流暢的情況。

要想解決上述問題，勢必要引進先進的計算機技術(shù)和專業(yè)的網(wǎng)絡(luò)安全工程師，同時還應(yīng)該建立完善的信息安全等級制度，明確內(nèi)部員工的職責(zé)所在，創(chuàng)建一個相互協(xié)作又在統(tǒng)一管理之下的信息安全等級保護體系和組織。

二、信息安全等級保護制度及系統(tǒng)定級

我國信息安全等級保護是對信息和信息載體的信息安全保障體系中的關(guān)鍵一環(huán)。目前，等級安全保護是在中國和美國等多個國家都存在的一種信息安全工作。在我國，信息安全等級保護在廣義上一般涉及該工作的執(zhí)行標(biāo)準(zhǔn)、產(chǎn)品特性以及系統(tǒng)自身等方面的等級保護思想的安全工作，在狹義上一般就是指通常意義上的信息系統(tǒng)安全等級保護。信息安全等級保護工作包括五個階段的工作，分別是定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查階段。

在我國對信息安全系統(tǒng)的定級主要是依照國家級《信息系統(tǒng)安全等級保護定級指南》為依據(jù)來進行的，此外還有廣播電視行業(yè)的《廣播電視相關(guān)信息系統(tǒng)安全等級保護定級指南》為依據(jù)。

國家對于信息安全的定級的標(biāo)準(zhǔn)主要來源于兩個方面，第一個方面是等級保護所保護的對象受到攻擊時對其造成破壞的第三方，第二個方面是其對第三方造成破壞的程度。但是人們在判別破壞程度的時候通常會出現(xiàn)主觀判斷情況，因為一個人對一件事物的看法都不會是一成不變的，所以為了公平這一原則，就有了屬于廣播電視行業(yè)的信息系統(tǒng)安全等級保護標(biāo)準(zhǔn)。它主要是關(guān)于廣播電視的制作、編輯、傳播等方面來制定的。如表1 中，就可以直觀地定義出應(yīng)該屬于是哪一級，例如如果是國家級的播出系統(tǒng)就是第四級。

表1 廣播電視相關(guān)信息安全保護等級

如表1 所示，國家級的播出系統(tǒng)就屬于第四級，省級、省會城市、地市級以下的都屬于是第三級。而我國現(xiàn)有的信息安全保護等級總共是被劃分成了五個級別。第一級是指對公民和法人或其他機構(gòu)造成破壞，但沒有損害國家和公共利益的情況；第二級是對公民和法人或其他機構(gòu)造成嚴(yán)重破壞或者是其對社會利益會造成一定程度的影響，但不存在危害國家的情況；第三級是指對社會秩序和公共利益造成嚴(yán)重破壞的，或是關(guān)乎國家的情況；第四級是指社會和公共秩序都受到了特別嚴(yán)重的破壞，對國家層面也造成了嚴(yán)重影響的情況；第五級是指直接對國家造成嚴(yán)重破壞的情況，這五個等級的利害關(guān)系程度是依次遞增的。

三、等級保護工作的實行

在信息等級安全保護工作實行的過程中，可以發(fā)現(xiàn)，其主要涵蓋部門管理、技術(shù)人員的思想意識以及技術(shù)三大層面，以下將對這三個方面進行詳細(xì)的論述。

（一）管理層面

廣播電視要做好信息安全的保護工作，擁有一個強有力的團隊是必不可少的。我國廣電總局也明確指出了在開展信息安全保護工作的過程中，組織中管理人員應(yīng)該統(tǒng)籌好人員安全、系統(tǒng)安全以及系統(tǒng)維護管理各個方面的工作，而目前大多數(shù)的廣播電視機構(gòu)都沒有屬于自己的信息安全管理部門，在現(xiàn)有的人員中也沒有專業(yè)的信息安全管理人員。雖然說一些大型的廣播電視機構(gòu)有，但是其部門內(nèi)部的分工還不夠明確，員工對自己的職責(zé)也不夠清晰明確，還有很多進步的空間。

另外管理人員還應(yīng)該對安全信息的組織架構(gòu)進行整體規(guī)劃，其中主要的就是安全系統(tǒng)領(lǐng)導(dǎo)組、安全系統(tǒng)管理部門，安全系統(tǒng)維護部門以及具體實施部門。從成員管理、系統(tǒng)運行以及維護等出發(fā)，來建設(shè)一個強有力的維護信息安全的專業(yè)隊伍。

（二）思想意識層面

由于廣播電視機構(gòu)的網(wǎng)絡(luò)大多屬于是內(nèi)部網(wǎng)絡(luò)，在進行信息傳輸?shù)臅r候也不需要連接外網(wǎng)，這也造成了很多員工的意識偏差。他們認(rèn)為只有外來入侵才會對自身造成破壞，而自己用的是機構(gòu)的內(nèi)網(wǎng)，不會存在信息安全問題，然而他們并沒有意識到大多數(shù)的信息安全問題都是從機構(gòu)內(nèi)部產(chǎn)生的。所以只有糾正從業(yè)人員自身對于信息安全來源的思想意識偏差，才能改變他們的工作態(tài)度，提高信息安全的建設(shè)效率。

（三）技術(shù)層面

傳統(tǒng)的廣播電視行業(yè)都是通過電視向人們傳輸信息的，而從互聯(lián)網(wǎng)時代到來之后，傳統(tǒng)的廣播電視行業(yè)才逐步進軍向互聯(lián)網(wǎng)行業(yè)發(fā)展。正是如此，廣播電視行業(yè)現(xiàn)有的人員大多是具有廣播電視技術(shù)的專業(yè)人才，掌握互聯(lián)網(wǎng)技術(shù)的人才卻很稀薄。所以雖然廣播電視行業(yè)有自己的技術(shù)團隊在進行網(wǎng)絡(luò)信息安全相關(guān)方面的安全維護，但是與專業(yè)的互聯(lián)網(wǎng)團隊相比，還存在著一定的差距。

除了人員技術(shù)掌握程度方面的差距以外，還有基礎(chǔ)設(shè)施條件方面的差異，比如一些老舊的設(shè)施無法達到等級保護的標(biāo)準(zhǔn)，未及時更新的系統(tǒng)也無法承擔(dān)日志輸出和審計的功能。因此就需要利用加入網(wǎng)絡(luò)審計設(shè)備這樣的輔助手段來對網(wǎng)絡(luò)流量進行統(tǒng)計，實時記錄設(shè)備的狀況，以此完成審計目標(biāo)。

除了以上在管理、思想和技術(shù)方面的要求以外，在實施等級保護制度時還應(yīng)該根據(jù)《信息系統(tǒng)安全等級保護實施指南》中明確的幾個基本原則。首先是自主保護原則，廣播電視機構(gòu)內(nèi)部應(yīng)該制定自己的信息安全保護準(zhǔn)則，自行對自身內(nèi)部的信息安全進行保護；其次是重點保護準(zhǔn)則，廣播電視機構(gòu)內(nèi)部自行劃分業(yè)務(wù)安全程度等級，將安全程度較高的項目應(yīng)該予以重點保護；第三是同步建設(shè)保護原則，在機構(gòu)內(nèi)部建設(shè)系統(tǒng)的同時，應(yīng)該同步增設(shè)相應(yīng)的信息安全解決方案，要讓建設(shè)和維護同時進行；第四是動態(tài)調(diào)整原則，廣播電視機構(gòu)內(nèi)部要審時度勢，根據(jù)時局的變化和技術(shù)的進步來變換自己的信息安全保護制度和技術(shù)標(biāo)準(zhǔn)。

四、信息安全體系結(jié)構(gòu)

對于信息安全等級的保護體系，廣電總局已在相關(guān)材料中明確指出安全等級所需要的技術(shù)要求和管理要求。詳情見表2。

表2 廣播電視信息安全等級保護相關(guān)要求

第一，對于基礎(chǔ)網(wǎng)絡(luò)安全方面的技術(shù)要求，首先需要能夠掌握將處于同一局域網(wǎng)中的核心網(wǎng)段和其他不相關(guān)的網(wǎng)段相隔離開，也就是我們通常所說的防火墻。其次是能夠開啟網(wǎng)絡(luò)設(shè)備中的審計功能和在線傳輸日志的功能，能夠繪制系統(tǒng)的時實拓?fù)鋱D，在用戶登錄時對用戶的身份及時鑒別并做出應(yīng)答。

第二，對于邊界安全方面的技術(shù)要求，主要是對于邊界的部署，能夠防止外部病毒的入侵，及時檢測出來邊界惡意代碼，并予以驅(qū)逐。同時也要提供防火墻，隔絕外來入侵。

第三，對于終端安全方面的技術(shù)要求，最主要的工作就是對登錄用戶的身份進行鑒別，控制訪客的進入，除了用戶本人，其他的IP 都禁止登陸。

第四，對于主機的安全應(yīng)用方面的技術(shù)要求，與上述的幾個技術(shù)要求相類似，處理用戶登錄，在運行的過程中檢測外來惡意代碼入侵，建立防火墻，阻止外來惡意代碼入侵。在非用戶IP 登陸時禁止進入，同時予以安裝殺毒軟件，與防火墻起到協(xié)同合作的作用。

第五，在數(shù)據(jù)安全與備份方面的技術(shù)要求，這一點從兩個方面來入手，首先是確保信息傳輸?shù)耐暾裕浯问切畔⒌膫浞菖c恢復(fù)。當(dāng)受到外界強烈攻擊時，邊界應(yīng)建立起多個防火墻，以確保信息在傳輸過程中受到破壞，用戶數(shù)據(jù)意外丟失時應(yīng)留有備份。

對于不同的安全等級危害應(yīng)該用不同的方案進行處理，對于三級以上的就應(yīng)該給予重點防護，以保證信息安全系統(tǒng)的整體安全，不被破壞。所以我們需要掌握以下幾個重要技術(shù)：

（1）加密解密技術(shù)，在安全的載體中傳輸時可以不需要對傳輸?shù)膬?nèi)容進行加密，但在有的時候也存在著處于信息安全危機的網(wǎng)絡(luò)環(huán)境中，在這種環(huán)境下，為了使傳輸?shù)膬?nèi)容不會被盜竊，就需要對傳輸?shù)男畔?nèi)容進行加密。不僅需要對內(nèi)容進行加密，而且還要加強密匙的保護，以防止加密內(nèi)容被竊取。

（2）VPN 技術(shù)，VPN 一般是指機構(gòu)內(nèi)部的網(wǎng)絡(luò)，一般只有已被授權(quán)信任的網(wǎng)絡(luò)地址才能連接，如果外部人員想要或是內(nèi)部人員在外部成功地用某一個機構(gòu)的內(nèi)部網(wǎng)絡(luò)，就需要通過VPN 之后進行授權(quán)之后才能成功地使用。

（3）防火墻技術(shù)，防火墻通常情況下被認(rèn)為是對外來網(wǎng)絡(luò)的隔斷，事實上防火墻對于內(nèi)部網(wǎng)絡(luò)與內(nèi)部非法訪問也存在一定的隔斷作用，主要就是從內(nèi)到外的保護系統(tǒng)主機不受破壞。

（4）入侵檢測技術(shù)，也是對防火墻起到加輔作用，提高了信息安全系統(tǒng)結(jié)構(gòu)的完整性。配置入侵檢測設(shè)備的基本信息主要包括：攻擊趨勢圖、系統(tǒng)監(jiān)視、系統(tǒng)狀態(tài)、流量趨勢圖、檢測統(tǒng)計、網(wǎng)絡(luò)接口信息組成，顯示設(shè)備運行的整體情況，設(shè)備配置等信息

（5）安全審計技術(shù)，審計為了加強網(wǎng)絡(luò)安全審計能力，有效追溯信息安全事件，應(yīng)啟用全部網(wǎng)頁瀏覽、網(wǎng)絡(luò)言論、數(shù)據(jù)庫訪問等安全審計策略。配置安全審計系統(tǒng)的狀態(tài)信息包括：系統(tǒng)狀態(tài)、設(shè)備引擎信息、設(shè)備版本信息、接口配置等內(nèi)容。

在建立完善的信息安全體系結(jié)構(gòu)之前，應(yīng)該做好每個環(huán)節(jié)的預(yù)備工作，將每個細(xì)節(jié)重視起來，才能確保安全體系的完美搭建。

五、信息安全系統(tǒng)的測試

為了確保信息安全系統(tǒng)能夠達到預(yù)期的理想效果，就需要對系統(tǒng)進行提前測試。一方面，是進一步確保設(shè)備運行正常；另一方面，也是進一步驗證設(shè)備集成調(diào)試實施工作的正確性、可靠性和穩(wěn)定性。

測試內(nèi)容主要包括本項目集成實施的設(shè)備包括：交換機、防火墻、防病毒網(wǎng)關(guān)、入侵檢測設(shè)備、網(wǎng)絡(luò)安全審計等，各類設(shè)備將逐一按照測試內(nèi)容、測試步驟以及測試預(yù)期，進行設(shè)備配置測試。

1.交換機測試，交換機的測試內(nèi)容包括加電測試，即給設(shè)備通電啟動測試；配置測試，即配置接口、策略等之后再重新啟動系統(tǒng)；接口測試，即測試任意接口簡介終端設(shè)備，端口狀態(tài)指示燈、速率等正常；口令測試，即修改為復(fù)雜口令，保存并重啟。

2.防火墻測試，防火墻測試內(nèi)容包括給設(shè)備通電啟動測試、配置測試、接口測試以及口令測試。其測試的內(nèi)容和方式都和交換機的測試內(nèi)容相一致。

3.防毒網(wǎng)關(guān)測試，防毒網(wǎng)關(guān)測試內(nèi)容包括加電測試，即通電、啟動設(shè)備；配置測試，將配置接口、策略等配置后，保存并重啟設(shè)備；接口測試，即將設(shè)備斷電，檢驗交接端口組BYPASS 功能；策略測試，即配置防病毒策略，保存、配置導(dǎo)出操作正常；口令測試，修改為復(fù)雜口令，保存并重啟。

4.入侵檢測系統(tǒng)測試，入侵檢測系統(tǒng)測試內(nèi)容包括加電測試，即通電、啟動設(shè)備；配置測試；即配置接口、策略等配置后，保存并重啟設(shè)備；接口測試，即配置監(jiān)聽接口、保存配置后，保存并重啟設(shè)備；策略測試，即配置、啟用入侵檢測策略；口令測試，即修改為復(fù)雜口令，保存并重啟。

5.安全審計系統(tǒng)測試，安全審計系統(tǒng)測試內(nèi)容包括加電測試，配置測試，接口測試以及策略測試和口令測試。具體的測試步驟也都是和入侵檢測系統(tǒng)測試相一致。

經(jīng)過上述的測試之后，要使得系統(tǒng)達到預(yù)期成果，就需要設(shè)備啟動正常，配置保存成功，端口BYPASS 正常，設(shè)備配置正常，口令驗證正常。

六、結(jié)語

在對于廣播電視信息安全等級系統(tǒng)建立初期，應(yīng)該明確每個階段的任務(wù)以及需要的基礎(chǔ)設(shè)備、而在建立了完善的信息安全等級制度之后應(yīng)該做好相應(yīng)的系統(tǒng)安全維護工作。相信在未來，廣播電視行業(yè)會擁有自己專業(yè)的網(wǎng)絡(luò)安全工程師，完整的網(wǎng)絡(luò)安全等級體系，將在互聯(lián)網(wǎng)中面臨的信息安全危險程度降到最低。