楊建國 張祎博 北京市房山區(qū)融媒體中心

一、廣播電視業(yè)務信息安全現(xiàn)狀

廣播電視的輸出平臺多為電視臺，確保節(jié)目的安全播出也一直是電視臺工作的核心任務之一。隨著互聯(lián)網(wǎng)時代的到來，由于傳統(tǒng)的廣播電視機構(gòu)缺乏專業(yè)的信息安全保護部門，經(jīng)常出現(xiàn)被其他外來網(wǎng)絡攻擊的情況，廣播電視機構(gòu)內(nèi)部的信息安全問題也受到了極大的挑戰(zhàn)。

目前廣播電視機構(gòu)遭受到的網(wǎng)絡攻擊呈現(xiàn)出了組織化且攻擊方式多種多樣，這更使得機構(gòu)內(nèi)部非專業(yè)的信息安全維護人員的工作完成得十分艱辛。因此，在國家網(wǎng)絡安全和相關信息安全等級保護法律的推動下，行業(yè)內(nèi)各大機構(gòu)紛紛開設了機構(gòu)內(nèi)部的信息安全管理部門，雖然成立了信息安全保護部門，但其中的人員大多都是從其他部門調(diào)任過去的，他們并沒有信息安全維護的經(jīng)驗和能力，有的甚至還在兼任兩個部門的工作，這更加使得信息安全保護項目難以被繼續(xù)向前推行。

一方面在于廣電機構(gòu)人員是否具有具備專業(yè)技術的信息安全工程師，另一方面在于機構(gòu)內(nèi)部十分老舊的基礎設施。有的基礎設施十分老舊，帶寬完全不能承載大量數(shù)據(jù)負荷，再加上工作人員的不專業(yè)，還會出現(xiàn)原有系統(tǒng)卡頓、不流暢的情況。

要想解決上述問題，勢必要引進先進的計算機技術和專業(yè)的網(wǎng)絡安全工程師，同時還應該建立完善的信息安全等級制度，明確內(nèi)部員工的職責所在，創(chuàng)建一個相互協(xié)作又在統(tǒng)一管理之下的信息安全等級保護體系和組織。

二、信息安全等級保護制度及系統(tǒng)定級

我國信息安全等級保護是對信息和信息載體的信息安全保障體系中的關鍵一環(huán)。目前，等級安全保護是在中國和美國等多個國家都存在的一種信息安全工作。在我國，信息安全等級保護在廣義上一般涉及該工作的執(zhí)行標準、產(chǎn)品特性以及系統(tǒng)自身等方面的等級保護思想的安全工作，在狹義上一般就是指通常意義上的信息系統(tǒng)安全等級保護。信息安全等級保護工作包括五個階段的工作，分別是定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查階段。

在我國對信息安全系統(tǒng)的定級主要是依照國家級《信息系統(tǒng)安全等級保護定級指南》為依據(jù)來進行的，此外還有廣播電視行業(yè)的《廣播電視相關信息系統(tǒng)安全等級保護定級指南》為依據(jù)。

國家對于信息安全的定級的標準主要來源于兩個方面，第一個方面是等級保護所保護的對象受到攻擊時對其造成破壞的第三方，第二個方面是其對第三方造成破壞的程度。但是人們在判別破壞程度的時候通常會出現(xiàn)主觀判斷情況，因為一個人對一件事物的看法都不會是一成不變的，所以為了公平這一原則，就有了屬于廣播電視行業(yè)的信息系統(tǒng)安全等級保護標準。它主要是關于廣播電視的制作、編輯、傳播等方面來制定的。如表1 中，就可以直觀地定義出應該屬于是哪一級，例如如果是國家級的播出系統(tǒng)就是第四級。

表1 廣播電視相關信息安全保護等級

如表1 所示，國家級的播出系統(tǒng)就屬于第四級，省級、省會城市、地市級以下的都屬于是第三級。而我國現(xiàn)有的信息安全保護等級總共是被劃分成了五個級別。第一級是指對公民和法人或其他機構(gòu)造成破壞，但沒有損害國家和公共利益的情況；第二級是對公民和法人或其他機構(gòu)造成嚴重破壞或者是其對社會利益會造成一定程度的影響，但不存在危害國家的情況；第三級是指對社會秩序和公共利益造成嚴重破壞的，或是關乎國家的情況；第四級是指社會和公共秩序都受到了特別嚴重的破壞，對國家層面也造成了嚴重影響的情況；第五級是指直接對國家造成嚴重破壞的情況，這五個等級的利害關系程度是依次遞增的。

三、等級保護工作的實行

在信息等級安全保護工作實行的過程中，可以發(fā)現(xiàn)，其主要涵蓋部門管理、技術人員的思想意識以及技術三大層面，以下將對這三個方面進行詳細的論述。

（一）管理層面

廣播電視要做好信息安全的保護工作，擁有一個強有力的團隊是必不可少的。我國廣電總局也明確指出了在開展信息安全保護工作的過程中，組織中管理人員應該統(tǒng)籌好人員安全、系統(tǒng)安全以及系統(tǒng)維護管理各個方面的工作，而目前大多數(shù)的廣播電視機構(gòu)都沒有屬于自己的信息安全管理部門，在現(xiàn)有的人員中也沒有專業(yè)的信息安全管理人員。雖然說一些大型的廣播電視機構(gòu)有，但是其部門內(nèi)部的分工還不夠明確，員工對自己的職責也不夠清晰明確，還有很多進步的空間。

另外管理人員還應該對安全信息的組織架構(gòu)進行整體規(guī)劃，其中主要的就是安全系統(tǒng)領導組、安全系統(tǒng)管理部門，安全系統(tǒng)維護部門以及具體實施部門。從成員管理、系統(tǒng)運行以及維護等出發(fā)，來建設一個強有力的維護信息安全的專業(yè)隊伍。

（二）思想意識層面

由于廣播電視機構(gòu)的網(wǎng)絡大多屬于是內(nèi)部網(wǎng)絡，在進行信息傳輸?shù)臅r候也不需要連接外網(wǎng)，這也造成了很多員工的意識偏差。他們認為只有外來入侵才會對自身造成破壞，而自己用的是機構(gòu)的內(nèi)網(wǎng)，不會存在信息安全問題，然而他們并沒有意識到大多數(shù)的信息安全問題都是從機構(gòu)內(nèi)部產(chǎn)生的。所以只有糾正從業(yè)人員自身對于信息安全來源的思想意識偏差，才能改變他們的工作態(tài)度，提高信息安全的建設效率。

（三）技術層面

傳統(tǒng)的廣播電視行業(yè)都是通過電視向人們傳輸信息的，而從互聯(lián)網(wǎng)時代到來之后，傳統(tǒng)的廣播電視行業(yè)才逐步進軍向互聯(lián)網(wǎng)行業(yè)發(fā)展。正是如此，廣播電視行業(yè)現(xiàn)有的人員大多是具有廣播電視技術的專業(yè)人才，掌握互聯(lián)網(wǎng)技術的人才卻很稀薄。所以雖然廣播電視行業(yè)有自己的技術團隊在進行網(wǎng)絡信息安全相關方面的安全維護，但是與專業(yè)的互聯(lián)網(wǎng)團隊相比，還存在著一定的差距。

除了人員技術掌握程度方面的差距以外，還有基礎設施條件方面的差異，比如一些老舊的設施無法達到等級保護的標準，未及時更新的系統(tǒng)也無法承擔日志輸出和審計的功能。因此就需要利用加入網(wǎng)絡審計設備這樣的輔助手段來對網(wǎng)絡流量進行統(tǒng)計，實時記錄設備的狀況，以此完成審計目標。

除了以上在管理、思想和技術方面的要求以外，在實施等級保護制度時還應該根據(jù)《信息系統(tǒng)安全等級保護實施指南》中明確的幾個基本原則。首先是自主保護原則，廣播電視機構(gòu)內(nèi)部應該制定自己的信息安全保護準則，自行對自身內(nèi)部的信息安全進行保護；其次是重點保護準則，廣播電視機構(gòu)內(nèi)部自行劃分業(yè)務安全程度等級，將安全程度較高的項目應該予以重點保護；第三是同步建設保護原則，在機構(gòu)內(nèi)部建設系統(tǒng)的同時，應該同步增設相應的信息安全解決方案，要讓建設和維護同時進行；第四是動態(tài)調(diào)整原則，廣播電視機構(gòu)內(nèi)部要審時度勢，根據(jù)時局的變化和技術的進步來變換自己的信息安全保護制度和技術標準。

四、信息安全體系結(jié)構(gòu)

對于信息安全等級的保護體系，廣電總局已在相關材料中明確指出安全等級所需要的技術要求和管理要求。詳情見表2。

表2 廣播電視信息安全等級保護相關要求

第一，對于基礎網(wǎng)絡安全方面的技術要求，首先需要能夠掌握將處于同一局域網(wǎng)中的核心網(wǎng)段和其他不相關的網(wǎng)段相隔離開，也就是我們通常所說的防火墻。其次是能夠開啟網(wǎng)絡設備中的審計功能和在線傳輸日志的功能，能夠繪制系統(tǒng)的時實拓撲圖，在用戶登錄時對用戶的身份及時鑒別并做出應答。

第二，對于邊界安全方面的技術要求，主要是對于邊界的部署，能夠防止外部病毒的入侵，及時檢測出來邊界惡意代碼，并予以驅(qū)逐。同時也要提供防火墻，隔絕外來入侵。

第三，對于終端安全方面的技術要求，最主要的工作就是對登錄用戶的身份進行鑒別，控制訪客的進入，除了用戶本人，其他的IP 都禁止登陸。

第四，對于主機的安全應用方面的技術要求，與上述的幾個技術要求相類似，處理用戶登錄，在運行的過程中檢測外來惡意代碼入侵，建立防火墻，阻止外來惡意代碼入侵。在非用戶IP 登陸時禁止進入，同時予以安裝殺毒軟件，與防火墻起到協(xié)同合作的作用。

第五，在數(shù)據(jù)安全與備份方面的技術要求，這一點從兩個方面來入手，首先是確保信息傳輸?shù)耐暾?，其次是信息的備份與恢復。當受到外界強烈攻擊時，邊界應建立起多個防火墻，以確保信息在傳輸過程中受到破壞，用戶數(shù)據(jù)意外丟失時應留有備份。

對于不同的安全等級危害應該用不同的方案進行處理，對于三級以上的就應該給予重點防護，以保證信息安全系統(tǒng)的整體安全，不被破壞。所以我們需要掌握以下幾個重要技術：

（1）加密解密技術，在安全的載體中傳輸時可以不需要對傳輸?shù)膬?nèi)容進行加密，但在有的時候也存在著處于信息安全危機的網(wǎng)絡環(huán)境中，在這種環(huán)境下，為了使傳輸?shù)膬?nèi)容不會被盜竊，就需要對傳輸?shù)男畔?nèi)容進行加密。不僅需要對內(nèi)容進行加密，而且還要加強密匙的保護，以防止加密內(nèi)容被竊取。

（2）VPN 技術，VPN 一般是指機構(gòu)內(nèi)部的網(wǎng)絡，一般只有已被授權(quán)信任的網(wǎng)絡地址才能連接，如果外部人員想要或是內(nèi)部人員在外部成功地用某一個機構(gòu)的內(nèi)部網(wǎng)絡，就需要通過VPN 之后進行授權(quán)之后才能成功地使用。

（3）防火墻技術，防火墻通常情況下被認為是對外來網(wǎng)絡的隔斷，事實上防火墻對于內(nèi)部網(wǎng)絡與內(nèi)部非法訪問也存在一定的隔斷作用，主要就是從內(nèi)到外的保護系統(tǒng)主機不受破壞。

（4）入侵檢測技術，也是對防火墻起到加輔作用，提高了信息安全系統(tǒng)結(jié)構(gòu)的完整性。配置入侵檢測設備的基本信息主要包括：攻擊趨勢圖、系統(tǒng)監(jiān)視、系統(tǒng)狀態(tài)、流量趨勢圖、檢測統(tǒng)計、網(wǎng)絡接口信息組成，顯示設備運行的整體情況，設備配置等信息

（5）安全審計技術，審計為了加強網(wǎng)絡安全審計能力，有效追溯信息安全事件，應啟用全部網(wǎng)頁瀏覽、網(wǎng)絡言論、數(shù)據(jù)庫訪問等安全審計策略。配置安全審計系統(tǒng)的狀態(tài)信息包括：系統(tǒng)狀態(tài)、設備引擎信息、設備版本信息、接口配置等內(nèi)容。

在建立完善的信息安全體系結(jié)構(gòu)之前，應該做好每個環(huán)節(jié)的預備工作，將每個細節(jié)重視起來，才能確保安全體系的完美搭建。

五、信息安全系統(tǒng)的測試

為了確保信息安全系統(tǒng)能夠達到預期的理想效果，就需要對系統(tǒng)進行提前測試。一方面，是進一步確保設備運行正常；另一方面，也是進一步驗證設備集成調(diào)試實施工作的正確性、可靠性和穩(wěn)定性。

測試內(nèi)容主要包括本項目集成實施的設備包括：交換機、防火墻、防病毒網(wǎng)關、入侵檢測設備、網(wǎng)絡安全審計等，各類設備將逐一按照測試內(nèi)容、測試步驟以及測試預期，進行設備配置測試。

1.交換機測試，交換機的測試內(nèi)容包括加電測試，即給設備通電啟動測試；配置測試，即配置接口、策略等之后再重新啟動系統(tǒng)；接口測試，即測試任意接口簡介終端設備，端口狀態(tài)指示燈、速率等正常；口令測試，即修改為復雜口令，保存并重啟。

2.防火墻測試，防火墻測試內(nèi)容包括給設備通電啟動測試、配置測試、接口測試以及口令測試。其測試的內(nèi)容和方式都和交換機的測試內(nèi)容相一致。

3.防毒網(wǎng)關測試，防毒網(wǎng)關測試內(nèi)容包括加電測試，即通電、啟動設備；配置測試，將配置接口、策略等配置后，保存并重啟設備；接口測試，即將設備斷電，檢驗交接端口組BYPASS 功能；策略測試，即配置防病毒策略，保存、配置導出操作正常；口令測試，修改為復雜口令，保存并重啟。

4.入侵檢測系統(tǒng)測試，入侵檢測系統(tǒng)測試內(nèi)容包括加電測試，即通電、啟動設備；配置測試；即配置接口、策略等配置后，保存并重啟設備；接口測試，即配置監(jiān)聽接口、保存配置后，保存并重啟設備；策略測試，即配置、啟用入侵檢測策略；口令測試，即修改為復雜口令，保存并重啟。

5.安全審計系統(tǒng)測試，安全審計系統(tǒng)測試內(nèi)容包括加電測試，配置測試，接口測試以及策略測試和口令測試。具體的測試步驟也都是和入侵檢測系統(tǒng)測試相一致。

經(jīng)過上述的測試之后，要使得系統(tǒng)達到預期成果，就需要設備啟動正常，配置保存成功，端口BYPASS 正常，設備配置正常，口令驗證正常。

六、結(jié)語

在對于廣播電視信息安全等級系統(tǒng)建立初期，應該明確每個階段的任務以及需要的基礎設備、而在建立了完善的信息安全等級制度之后應該做好相應的系統(tǒng)安全維護工作。相信在未來，廣播電視行業(yè)會擁有自己專業(yè)的網(wǎng)絡安全工程師，完整的網(wǎng)絡安全等級體系，將在互聯(lián)網(wǎng)中面臨的信息安全危險程度降到最低。