◎廣州珠江數(shù)碼集團有限公司 劉明亮

關(guān)于有線電視運營商信息安全的思考

◎廣州珠江數(shù)碼集團有限公司 劉明亮

從有線電視運營商的角度，分析了現(xiàn)階段業(yè)界三網(wǎng)融合的大環(huán)境以及信息安全現(xiàn)狀。隨后對現(xiàn)階段有線電視運營商的信息安全工作中制度建設(shè)、前端管理、內(nèi)容安全等方面所存在的主要問題進行了分析和研究，并且針對這些問題，提出了包括建立專職管理機構(gòu)、建設(shè)高效運維體系及推進工作等建議。

有線電視；運營；信息安全；等級保護

2014年2月28日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣布正式成立，由國家主席習(xí)近平任小組組長，李克強和劉云山擔(dān)任副組長。國家整體的網(wǎng)絡(luò)與信息安全建設(shè)都在小組領(lǐng)導(dǎo)下進行。小組的成立正式標(biāo)志著網(wǎng)絡(luò)與信息安全成為事關(guān)國家發(fā)展的重要戰(zhàn)略工作。有線電視運營商，作為國家重要的廣播電視網(wǎng)絡(luò)運營機構(gòu)，其信息安全的建設(shè)直接關(guān)乎國家的利益、人民的利益。本文就有線電視運營商在三網(wǎng)融合、互聯(lián)網(wǎng)高速發(fā)展的大背景下，對信息安全建設(shè)上存在的問題進行分析，并提出相關(guān)建議[1-3]。

背景分析

1.三網(wǎng)融合與IP化

“三網(wǎng)融合”概念，自2001年3月國家“十五”規(guī)劃綱要提出以來，直至2010年第一批12個三網(wǎng)融合試點城市的方案上報，到2014年3月5日，李克強總理在政府工作報告上提出今年要在全國推行三網(wǎng)融合。三網(wǎng)融合一直是影響各大通信運營商，尤其是傳統(tǒng)廣播電視運營商的重要工作主題。廣播電視運營商也一直抱以積極的態(tài)度進行參與。

而經(jīng)過多年的發(fā)展，三網(wǎng)融合早已確定了其物理網(wǎng)絡(luò)不進行整合，而是在業(yè)務(wù)方面互相滲透、融合、交叉，且沒有爭議的是在網(wǎng)絡(luò)層上都是趨同地采用了IP協(xié)議，通過IP協(xié)議的通用性實現(xiàn)資源的互聯(lián)網(wǎng)共享，提供通用的、維護性強的低成本多媒體信息服務(wù)平臺。

由于協(xié)議的絕對普及性以及出色的靈活性，IP化的網(wǎng)絡(luò)以及平臺早已成為所有通信運營商的各種業(yè)務(wù)平臺。但是IP協(xié)議本身在信息安全性上也存在一定的缺陷，包括IP網(wǎng)絡(luò)端到端的透明性、統(tǒng)一網(wǎng)絡(luò)下業(yè)務(wù)互相影響、各種針對IP的安全攻擊層出不窮等。

2.國內(nèi)外信息安全現(xiàn)狀

2013年，“棱鏡門”從根本上改變了整個世界對待信息安全的認(rèn)識，全球所有政府人人自危，也為我國信息安全保護敲響了警鐘。信息安全的最大敵人，已經(jīng)從原來大家意識中的病毒、黑客，轉(zhuǎn)變?yōu)樗麌?、商業(yè)間諜。尤其是美國政府，要承認(rèn)的是，美國政府在信息和通信技術(shù)領(lǐng)域占據(jù)絕對優(yōu)勢，其不但掌握芯片、操作系統(tǒng)、數(shù)據(jù)庫等核心技術(shù)，并且掌握了因特網(wǎng)的基礎(chǔ)資源。中國的通信運營商，包括廣電運營商，90%以上的核心網(wǎng)絡(luò)及系統(tǒng)軟、硬件為進口產(chǎn)品，尤其是美國“八大金剛”的產(chǎn)品（思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟），可以說無處不在。

除了信息安全已經(jīng)上升到國家層面外，個人的信息安全也隨著信息化社會的高速發(fā)展而變得危機重重。在云計算、大數(shù)據(jù)等技術(shù)的高速發(fā)展下，搜索引擎、網(wǎng)絡(luò)銀行、在線交易、網(wǎng)絡(luò)廣告、網(wǎng)絡(luò)新聞、網(wǎng)絡(luò)游戲、即時通信、虛擬主機、無線增值等互聯(lián)網(wǎng)業(yè)務(wù)記錄了大量的個人隱私信息。而國內(nèi)信息系統(tǒng)的不完善，也導(dǎo)致這些信息或人為或無意地成為不良商家甚至不法分子謀取巨額利潤的手段。如2014年的攜程網(wǎng)用戶銀行信息泄露事件，包括用戶姓名、身份證號碼、銀行卡類別、銀行卡卡號、CVV碼等重要信息，在用戶不知情的情況下被信息系統(tǒng)記錄，并且系統(tǒng)還存在巨大的泄露漏洞，一旦泄露有很大風(fēng)險，造成客戶的經(jīng)濟損失。

有線電視運營商存在的信息安全問題

通過上文的背景分析可以看到，在三網(wǎng)融合的大背景下，隨著網(wǎng)絡(luò)IP化、數(shù)據(jù)信息化建設(shè)的深入，有線電視運營商將面對來自各個方面的信息安全挑戰(zhàn)。本節(jié)通過對有線電視運營商的信息安全情況分析，總結(jié)出現(xiàn)階段存在以下幾個重點問題。

1.信息安全管理體系建設(shè)有待完善

常言道，“三分技術(shù)、七分管理”，有線電視運營商作為廣電行業(yè)的重要環(huán)節(jié)，一直將安全播出建設(shè)作為工作的重中之重，多年來也建立了較完善的安全播出及傳輸保障制度及技術(shù)體系。但現(xiàn)有運營商在搭建安全播出及傳輸保障體系的過程中，基本沒有專題將信息安全管理制度的建設(shè)作為重要工作來抓，存在下列幾種現(xiàn)象：

1）信息安全的管理中，各個部門各自為政，沒有統(tǒng)一的信息安全管理組織，無法實現(xiàn)跨部門的信息安全管理。

2）信息安全的管理制度照搬相關(guān)文件，脫離實際，無法落實到現(xiàn)實工作中去。

3）沒有完善針對突發(fā)的信息安全事故的應(yīng)急預(yù)案。

2.電視前端的信息化帶來新的安全播出挑戰(zhàn)

電視前端的安全播出保障歷來是有線電視運營商乃至整個廣電的生命線，但隨著互動電視前端逐漸成為有線電視運營商的標(biāo)配，電視前端的IP化、信息系統(tǒng)化逐漸成為主流，同時也帶來了新的信息安全問題。

1）雙向網(wǎng)絡(luò)攻擊：雙向的電視前端意味著電視前端面向終端不再是單向不可溯，僅僅提供信息發(fā)布和視頻單向傳輸功能，而是用戶可以在一定范圍內(nèi)與前端進行互動，甚至可以上傳自己的共享內(nèi)容，這就意味著前端對終端用戶網(wǎng)絡(luò)上的開發(fā)，而不法之徒或黑客則可以通過包括DDOS、欺騙攻擊等手段對前端進行攻擊，如果前端的安全策略沒有充分實施，更可能被他人滲透后控制前端，其可以造成的惡劣影響遠超傳統(tǒng)電視前端節(jié)目中斷造成的影響。

2）迅速擴散的病毒威脅：計算機病毒是從計算機軟件誕生的那天起就一直存在。和人體病毒一樣，對計算機病毒的防治永遠都是被動以及滯后的。隨著電視前端引入大量傳統(tǒng)的直播電視之外的業(yè)務(wù)，如電視回看、視頻點播、電視游戲、智能家居等，以及IP化傳輸在電視前端的廣泛應(yīng)用，電視前端逐漸向數(shù)據(jù)中心形式發(fā)展。而數(shù)據(jù)中心式的前端強化的是設(shè)備之間的互聯(lián)互通，一個簡單的病毒，就能夠快速地在前端之間形成擴散，給予前端致命打擊，而傳統(tǒng)的電視前端往往是單節(jié)點故障，不影響其他節(jié)點。因此病毒擴散式的威脅，也為傳統(tǒng)廣電運營商通過備份這種傳統(tǒng)手段來保障安全的做法，提出了新的挑戰(zhàn)。

3.內(nèi)容安全監(jiān)管困難

隨著雙向廣電業(yè)務(wù)的推進以及廣電運營商運營思路的逐漸開放，勢必將在電視的內(nèi)容服務(wù)商引入更多的第三方，海量的視頻點播及各類視頻服務(wù)帶來的是如何對這些內(nèi)容進行監(jiān)管，傳統(tǒng)的審片方式意味著高成本的人力投入。廣電運營商不同于互聯(lián)網(wǎng)或其他視頻服務(wù)提供商，可以允許“擦邊球”的存在，其擔(dān)負著黨的喉舌以及公眾信息平臺的社會責(zé)任，所以如何在激烈的市場競爭下，既實現(xiàn)極大豐富內(nèi)容的目標(biāo)，又保證內(nèi)容的合法、安全，是廣電運營商的一個新的挑戰(zhàn)。

4.寬帶發(fā)展帶來的互聯(lián)網(wǎng)信息安全難題

在三網(wǎng)融合的大背景下，廣電運營商早已不再死守傳統(tǒng)的單向視頻業(yè)務(wù)，規(guī)模較大、實力較強的廣電運營商大多都進入了寬帶領(lǐng)域謀求發(fā)展?；ヂ?lián)網(wǎng)中充斥著大量的非法內(nèi)容及反動信息的傳播，這是傳統(tǒng)的寬帶運營商投入了大量精力都難以徹底解決的問題，廣電運營商在這個領(lǐng)域作為新進者，對互聯(lián)網(wǎng)的信息內(nèi)容監(jiān)管與信息安全防護手段都未能滿足新形勢下的安全威脅?；ヂ?lián)網(wǎng)時代下，機頂盒、智能手機、PAD各種設(shè)備層出不窮，終端無法授權(quán)也無法追溯，任何人都可以通過偽造MAC或IP地址聯(lián)入互聯(lián)網(wǎng)，發(fā)布負面信息；也可以通過互聯(lián)網(wǎng)竊取其他用戶的信息。作為寬帶業(yè)務(wù)服務(wù)提供商，通過技術(shù)手段去監(jiān)測、保障網(wǎng)內(nèi)信息安全，是不可推卸的責(zé)任與義務(wù)。

針對有線電視運營商的信息安全建議

根據(jù)上文，廣電運營商面臨著新技術(shù)、新業(yè)務(wù)發(fā)展帶來的巨大挑戰(zhàn)。如何應(yīng)對這些挑戰(zhàn)，下文提出幾點建議。

1.成立專職的管理機構(gòu)，完善信息安全管理制度建設(shè)

信息安全問題已經(jīng)滲透到了廣電運營商的每一個業(yè)務(wù)和整個技術(shù)體系之中，要高效地推進信息安全工作，必須效仿中央，建立專職的決策機構(gòu)，負責(zé)宏觀的信息安全決策，由企業(yè)一把手或高管掛帥，從行政級別上提高信息安全工作在公司整體工作中的重要性。此外，必須設(shè)置常設(shè)的機構(gòu)，負責(zé)信息安全的日常管理工作。在各個部門要設(shè)置信息安全員，具體落實規(guī)章制度和技術(shù)規(guī)范。

在信息安全管理制度的建設(shè)上，要完善以下幾個制度的建設(shè)：

1）人員安全管理制度。人是信息系統(tǒng)建設(shè)和運用的主體，也是安全管理的對象，因此人員的安全管理至關(guān)重要。要確保信息系統(tǒng)安全，人員的安全管理制度必須完善。

2）信息數(shù)據(jù)安全管理制度。數(shù)據(jù)是現(xiàn)今整個信息安全管理中最為重要的資源，現(xiàn)在大部分的攻擊與泄密都是針對信息系統(tǒng)的數(shù)據(jù)，通過數(shù)據(jù)安全的管理制度，必須對系統(tǒng)中數(shù)據(jù)的輸入、存儲、處理及輸出進行嚴(yán)格的安全規(guī)范，以確保數(shù)據(jù)的有據(jù)性、準(zhǔn)確性、完整性、及時性和保密性。

3）物理安全管理制度。物理安全是信息安全的基礎(chǔ)，物理安全制度是要保證計算機系統(tǒng)具備一個安全的物理環(huán)境，確保接觸計算機系統(tǒng)的人員有完善的技術(shù)控制手段，并充分考慮自然事件可能對信息系統(tǒng)造成的威脅，并加以規(guī)避。

4）設(shè)備管理制度。對設(shè)備的管理是保證信息系統(tǒng)安全的重要條件，整個安全設(shè)備管理制度的建設(shè)包括設(shè)備選型、設(shè)備檢測、設(shè)備安裝、設(shè)備資產(chǎn)管理、設(shè)備使用、設(shè)備維修、設(shè)備儲存管理等方面。

5）技術(shù)文檔安全管理制度。技術(shù)文檔的管理是信息安全管理制度建設(shè)中容易忽略的一個部分。技術(shù)文檔涵蓋了整個信息系統(tǒng)的設(shè)計、研制、開發(fā)、運行、維護的技術(shù)問題。技術(shù)文檔的管理程度直接關(guān)系到信息系統(tǒng)的安全。在相關(guān)制度的建設(shè)中，需要考慮到文檔密級管理、文檔登記和保管管理、文檔銷毀和監(jiān)毀管理，電子文檔安全管理與技術(shù)文檔備份管理制度。

6）軟件安全管理制度。各類軟件在廣電運營商已經(jīng)廣泛使用，其安全管理也是廣電運營商近年來工作中遇到的困難之一。要解決軟件安全管理的問題，就要在軟件的選型、購置、儲藏、驗收、安全跟蹤與報告、版本控制、使用和維護等各個方面建立標(biāo)準(zhǔn)和工作制度。

2.建設(shè)高效的信息安全運維體系

隨著近年前端信息化以及其他信息系統(tǒng)的建設(shè)，廣電運營商已經(jīng)進入了一個“建設(shè)與運維”并行的階段。在信息系統(tǒng)愈發(fā)龐大的現(xiàn)在，建設(shè)信息安全運維體系是必要的。在有線電視運營商的信息安全運維體系中需要以下幾個部分：

1）信息安全監(jiān)控與告警中心：通過先進的開發(fā)標(biāo)準(zhǔn)，對各個部門的所有信息系統(tǒng)資產(chǎn)進行不間斷監(jiān)控，監(jiān)控內(nèi)容包括基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫、通信、安全、主機、中間件等。監(jiān)控中心可以根據(jù)事件與規(guī)則的關(guān)聯(lián)關(guān)系，反映信息系統(tǒng)中發(fā)生的預(yù)警和告警事件，幫助運維管理人員快速定位，排查問題所在。同時告警中心通過告警響應(yīng)方式，內(nèi)置與事件響應(yīng)中心的工單和預(yù)案處理接口，根據(jù)相關(guān)規(guī)則來啟動相應(yīng)的處理預(yù)案，實現(xiàn)運維管理過程中突發(fā)事件和問題處理的自動化和智能化

2）信息安全運維響應(yīng)中心：監(jiān)控與報警是整個安全體系的第一步，當(dāng)報警傳達到響應(yīng)中心時，工作人員能夠迅速根據(jù)中心已配置的預(yù)案對事件進行及時響應(yīng)。中心必須包括全程的事件處理監(jiān)控，實現(xiàn)對事件響應(yīng)處理全過程的跟蹤記錄和監(jiān)控，根據(jù)ITIL管理建議和用戶運維要求，對事件處理的響應(yīng)時限和處理時限監(jiān)督和催辦，同時實現(xiàn)事件處理經(jīng)驗的積累，對事件處理過程備案和綜合查詢，幫助用戶在處理事件時查找歷史處理記錄和流程，為運維管理工作積累經(jīng)驗。

3）信息安全運維審核評估中心：除了日常的信息安全問題監(jiān)控、報警與響應(yīng)，整個信息系統(tǒng)的安全水平包括運行質(zhì)量、服務(wù)水平以及運維管理工作績效的綜合評估、考核、審計。

3.積極推進信息系統(tǒng)等級保護工作

2011年國家廣電總局科技司印發(fā)了《關(guān)于開展廣播電視相關(guān)信息系統(tǒng)安全等級保護定級工作的通知》，出臺了《廣播電視相關(guān)信息系統(tǒng)安全等級保護定級指南》和《廣播電視相關(guān)信息系統(tǒng)安全等級保護基本要求》，以作為行業(yè)的信息系統(tǒng)等保行業(yè)標(biāo)準(zhǔn)。信息系統(tǒng)的定級，公安部在2007年就開始在全國推廣，廣播電視行業(yè)的定級已經(jīng)比較滯后，這也和信息安全在廣電行業(yè)，尤其是有線電視運營商缺乏重視有關(guān)。

信息系統(tǒng)等級保護工作的目的，就是為了幫助各個行業(yè)建立和完善信息系統(tǒng)的綜合防護體系，提高信息系統(tǒng)的安全防護能力，幫助各個行政主體從制度、技術(shù)等各個方面去落實具體的信息安全工作，雖然有些半強制性，但這也同樣保證了各個企事業(yè)單位能夠投入足夠的成本與精力在信息安全工作上。

推進信息系統(tǒng)等保工作，不但保證了自身符合國家的行政要求，又能夠提高自身的信息安全防護水平，是一舉多得的好事。

總結(jié)

信息化是當(dāng)今社會發(fā)展的必然趨勢，有線電視運營商在三網(wǎng)融合的背景下，勢必在信息化這條道路上一直走下去，因此信息安全工作任重而道遠，只有不斷強化整個行業(yè)對信息安全重要性的認(rèn)識，尋找自身信息安全存在的問題，提高信息安全保障能力，加快信息安全專業(yè)人員培養(yǎng)，始終堅持信息安全建設(shè)，才能在信息時代更快、更穩(wěn)地發(fā)展下去。

[1] 關(guān)力霞.談廣播電視信息安全[J].廣播與電視技術(shù)，2012（4）：24-26.

[2]柳玉海.淺談網(wǎng)絡(luò)環(huán)境下廣電信息安全問題[J].科技創(chuàng)新導(dǎo)報，2011（30）：217.

[3]羅蘊軍.基于USB數(shù)據(jù)傳輸技術(shù)的信息高安全區(qū)建設(shè)[J].電視技術(shù)，2010，34（5）：91-93.

劉明亮，碩士，珠江數(shù)碼集團副總裁。

TN943

A

【本文獻信息】劉明亮.關(guān)于有線電視運營商信息安全的思考[J].電視技術(shù)，2014，38（12）.