關(guān)于有線電視運(yùn)營(yíng)商信息安全的思考

◎廣州珠江數(shù)碼集團(tuán)有限公司 劉明亮

關(guān)于有線電視運(yùn)營(yíng)商信息安全的思考

◎廣州珠江數(shù)碼集團(tuán)有限公司 劉明亮

從有線電視運(yùn)營(yíng)商的角度，分析了現(xiàn)階段業(yè)界三網(wǎng)融合的大環(huán)境以及信息安全現(xiàn)狀。隨后對(duì)現(xiàn)階段有線電視運(yùn)營(yíng)商的信息安全工作中制度建設(shè)、前端管理、內(nèi)容安全等方面所存在的主要問(wèn)題進(jìn)行了分析和研究，并且針對(duì)這些問(wèn)題，提出了包括建立專(zhuān)職管理機(jī)構(gòu)、建設(shè)高效運(yùn)維體系及推進(jìn)工作等建議。

有線電視；運(yùn)營(yíng)；信息安全；等級(jí)保護(hù)

2014年2月28日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣布正式成立，由國(guó)家主席習(xí)近平任小組組長(zhǎng)，李克強(qiáng)和劉云山擔(dān)任副組長(zhǎng)。國(guó)家整體的網(wǎng)絡(luò)與信息安全建設(shè)都在小組領(lǐng)導(dǎo)下進(jìn)行。小組的成立正式標(biāo)志著網(wǎng)絡(luò)與信息安全成為事關(guān)國(guó)家發(fā)展的重要戰(zhàn)略工作。有線電視運(yùn)營(yíng)商，作為國(guó)家重要的廣播電視網(wǎng)絡(luò)運(yùn)營(yíng)機(jī)構(gòu)，其信息安全的建設(shè)直接關(guān)乎國(guó)家的利益、人民的利益。本文就有線電視運(yùn)營(yíng)商在三網(wǎng)融合、互聯(lián)網(wǎng)高速發(fā)展的大背景下，對(duì)信息安全建設(shè)上存在的問(wèn)題進(jìn)行分析，并提出相關(guān)建議[1-3]。

背景分析

1.三網(wǎng)融合與IP化

“三網(wǎng)融合”概念，自2001年3月國(guó)家“十五”規(guī)劃綱要提出以來(lái)，直至2010年第一批12個(gè)三網(wǎng)融合試點(diǎn)城市的方案上報(bào)，到2014年3月5日，李克強(qiáng)總理在政府工作報(bào)告上提出今年要在全國(guó)推行三網(wǎng)融合。三網(wǎng)融合一直是影響各大通信運(yùn)營(yíng)商，尤其是傳統(tǒng)廣播電視運(yùn)營(yíng)商的重要工作主題。廣播電視運(yùn)營(yíng)商也一直抱以積極的態(tài)度進(jìn)行參與。

而經(jīng)過(guò)多年的發(fā)展，三網(wǎng)融合早已確定了其物理網(wǎng)絡(luò)不進(jìn)行整合，而是在業(yè)務(wù)方面互相滲透、融合、交叉，且沒(méi)有爭(zhēng)議的是在網(wǎng)絡(luò)層上都是趨同地采用了IP協(xié)議，通過(guò)IP協(xié)議的通用性實(shí)現(xiàn)資源的互聯(lián)網(wǎng)共享，提供通用的、維護(hù)性強(qiáng)的低成本多媒體信息服務(wù)平臺(tái)。

由于協(xié)議的絕對(duì)普及性以及出色的靈活性，IP化的網(wǎng)絡(luò)以及平臺(tái)早已成為所有通信運(yùn)營(yíng)商的各種業(yè)務(wù)平臺(tái)。但是IP協(xié)議本身在信息安全性上也存在一定的缺陷，包括IP網(wǎng)絡(luò)端到端的透明性、統(tǒng)一網(wǎng)絡(luò)下業(yè)務(wù)互相影響、各種針對(duì)IP的安全攻擊層出不窮等。

2.國(guó)內(nèi)外信息安全現(xiàn)狀

2013年，“棱鏡門(mén)”從根本上改變了整個(gè)世界對(duì)待信息安全的認(rèn)識(shí)，全球所有政府人人自危，也為我國(guó)信息安全保護(hù)敲響了警鐘。信息安全的最大敵人，已經(jīng)從原來(lái)大家意識(shí)中的病毒、黑客，轉(zhuǎn)變?yōu)樗麌?guó)政府、商業(yè)間諜。尤其是美國(guó)政府，要承認(rèn)的是，美國(guó)政府在信息和通信技術(shù)領(lǐng)域占據(jù)絕對(duì)優(yōu)勢(shì)，其不但掌握芯片、操作系統(tǒng)、數(shù)據(jù)庫(kù)等核心技術(shù)，并且掌握了因特網(wǎng)的基礎(chǔ)資源。中國(guó)的通信運(yùn)營(yíng)商，包括廣電運(yùn)營(yíng)商，90%以上的核心網(wǎng)絡(luò)及系統(tǒng)軟、硬件為進(jìn)口產(chǎn)品，尤其是美國(guó)“八大金剛”的產(chǎn)品（思科、IBM、谷歌、高通、英特爾、蘋(píng)果、甲骨文、微軟），可以說(shuō)無(wú)處不在。

除了信息安全已經(jīng)上升到國(guó)家層面外，個(gè)人的信息安全也隨著信息化社會(huì)的高速發(fā)展而變得危機(jī)重重。在云計(jì)算、大數(shù)據(jù)等技術(shù)的高速發(fā)展下，搜索引擎、網(wǎng)絡(luò)銀行、在線交易、網(wǎng)絡(luò)廣告、網(wǎng)絡(luò)新聞、網(wǎng)絡(luò)游戲、即時(shí)通信、虛擬主機(jī)、無(wú)線增值等互聯(lián)網(wǎng)業(yè)務(wù)記錄了大量的個(gè)人隱私信息。而國(guó)內(nèi)信息系統(tǒng)的不完善，也導(dǎo)致這些信息或人為或無(wú)意地成為不良商家甚至不法分子謀取巨額利潤(rùn)的手段。如2014年的攜程網(wǎng)用戶銀行信息泄露事件，包括用戶姓名、身份證號(hào)碼、銀行卡類(lèi)別、銀行卡卡號(hào)、CVV碼等重要信息，在用戶不知情的情況下被信息系統(tǒng)記錄，并且系統(tǒng)還存在巨大的泄露漏洞，一旦泄露有很大風(fēng)險(xiǎn)，造成客戶的經(jīng)濟(jì)損失。

有線電視運(yùn)營(yíng)商存在的信息安全問(wèn)題

通過(guò)上文的背景分析可以看到，在三網(wǎng)融合的大背景下，隨著網(wǎng)絡(luò)IP化、數(shù)據(jù)信息化建設(shè)的深入，有線電視運(yùn)營(yíng)商將面對(duì)來(lái)自各個(gè)方面的信息安全挑戰(zhàn)。本節(jié)通過(guò)對(duì)有線電視運(yùn)營(yíng)商的信息安全情況分析，總結(jié)出現(xiàn)階段存在以下幾個(gè)重點(diǎn)問(wèn)題。

1.信息安全管理體系建設(shè)有待完善

常言道，“三分技術(shù)、七分管理”，有線電視運(yùn)營(yíng)商作為廣電行業(yè)的重要環(huán)節(jié)，一直將安全播出建設(shè)作為工作的重中之重，多年來(lái)也建立了較完善的安全播出及傳輸保障制度及技術(shù)體系。但現(xiàn)有運(yùn)營(yíng)商在搭建安全播出及傳輸保障體系的過(guò)程中，基本沒(méi)有專(zhuān)題將信息安全管理制度的建設(shè)作為重要工作來(lái)抓，存在下列幾種現(xiàn)象：

1）信息安全的管理中，各個(gè)部門(mén)各自為政，沒(méi)有統(tǒng)一的信息安全管理組織，無(wú)法實(shí)現(xiàn)跨部門(mén)的信息安全管理。

2）信息安全的管理制度照搬相關(guān)文件，脫離實(shí)際，無(wú)法落實(shí)到現(xiàn)實(shí)工作中去。

3）沒(méi)有完善針對(duì)突發(fā)的信息安全事故的應(yīng)急預(yù)案。

2.電視前端的信息化帶來(lái)新的安全播出挑戰(zhàn)

電視前端的安全播出保障歷來(lái)是有線電視運(yùn)營(yíng)商乃至整個(gè)廣電的生命線，但隨著互動(dòng)電視前端逐漸成為有線電視運(yùn)營(yíng)商的標(biāo)配，電視前端的IP化、信息系統(tǒng)化逐漸成為主流，同時(shí)也帶來(lái)了新的信息安全問(wèn)題。

1）雙向網(wǎng)絡(luò)攻擊：雙向的電視前端意味著電視前端面向終端不再是單向不可溯，僅僅提供信息發(fā)布和視頻單向傳輸功能，而是用戶可以在一定范圍內(nèi)與前端進(jìn)行互動(dòng)，甚至可以上傳自己的共享內(nèi)容，這就意味著前端對(duì)終端用戶網(wǎng)絡(luò)上的開(kāi)發(fā)，而不法之徒或黑客則可以通過(guò)包括DDOS、欺騙攻擊等手段對(duì)前端進(jìn)行攻擊，如果前端的安全策略沒(méi)有充分實(shí)施，更可能被他人滲透后控制前端，其可以造成的惡劣影響遠(yuǎn)超傳統(tǒng)電視前端節(jié)目中斷造成的影響。

2）迅速擴(kuò)散的病毒威脅：計(jì)算機(jī)病毒是從計(jì)算機(jī)軟件誕生的那天起就一直存在。和人體病毒一樣，對(duì)計(jì)算機(jī)病毒的防治永遠(yuǎn)都是被動(dòng)以及滯后的。隨著電視前端引入大量傳統(tǒng)的直播電視之外的業(yè)務(wù)，如電視回看、視頻點(diǎn)播、電視游戲、智能家居等，以及IP化傳輸在電視前端的廣泛應(yīng)用，電視前端逐漸向數(shù)據(jù)中心形式發(fā)展。而數(shù)據(jù)中心式的前端強(qiáng)化的是設(shè)備之間的互聯(lián)互通，一個(gè)簡(jiǎn)單的病毒，就能夠快速地在前端之間形成擴(kuò)散，給予前端致命打擊，而傳統(tǒng)的電視前端往往是單節(jié)點(diǎn)故障，不影響其他節(jié)點(diǎn)。因此病毒擴(kuò)散式的威脅，也為傳統(tǒng)廣電運(yùn)營(yíng)商通過(guò)備份這種傳統(tǒng)手段來(lái)保障安全的做法，提出了新的挑戰(zhàn)。

3.內(nèi)容安全監(jiān)管困難

隨著雙向廣電業(yè)務(wù)的推進(jìn)以及廣電運(yùn)營(yíng)商運(yùn)營(yíng)思路的逐漸開(kāi)放，勢(shì)必將在電視的內(nèi)容服務(wù)商引入更多的第三方，海量的視頻點(diǎn)播及各類(lèi)視頻服務(wù)帶來(lái)的是如何對(duì)這些內(nèi)容進(jìn)行監(jiān)管，傳統(tǒng)的審片方式意味著高成本的人力投入。廣電運(yùn)營(yíng)商不同于互聯(lián)網(wǎng)或其他視頻服務(wù)提供商，可以允許“擦邊球”的存在，其擔(dān)負(fù)著黨的喉舌以及公眾信息平臺(tái)的社會(huì)責(zé)任，所以如何在激烈的市場(chǎng)競(jìng)爭(zhēng)下，既實(shí)現(xiàn)極大豐富內(nèi)容的目標(biāo)，又保證內(nèi)容的合法、安全，是廣電運(yùn)營(yíng)商的一個(gè)新的挑戰(zhàn)。

4.寬帶發(fā)展帶來(lái)的互聯(lián)網(wǎng)信息安全難題

在三網(wǎng)融合的大背景下，廣電運(yùn)營(yíng)商早已不再死守傳統(tǒng)的單向視頻業(yè)務(wù)，規(guī)模較大、實(shí)力較強(qiáng)的廣電運(yùn)營(yíng)商大多都進(jìn)入了寬帶領(lǐng)域謀求發(fā)展?；ヂ?lián)網(wǎng)中充斥著大量的非法內(nèi)容及反動(dòng)信息的傳播，這是傳統(tǒng)的寬帶運(yùn)營(yíng)商投入了大量精力都難以徹底解決的問(wèn)題，廣電運(yùn)營(yíng)商在這個(gè)領(lǐng)域作為新進(jìn)者，對(duì)互聯(lián)網(wǎng)的信息內(nèi)容監(jiān)管與信息安全防護(hù)手段都未能滿足新形勢(shì)下的安全威脅?；ヂ?lián)網(wǎng)時(shí)代下，機(jī)頂盒、智能手機(jī)、PAD各種設(shè)備層出不窮，終端無(wú)法授權(quán)也無(wú)法追溯，任何人都可以通過(guò)偽造MAC或IP地址聯(lián)入互聯(lián)網(wǎng)，發(fā)布負(fù)面信息；也可以通過(guò)互聯(lián)網(wǎng)竊取其他用戶的信息。作為寬帶業(yè)務(wù)服務(wù)提供商，通過(guò)技術(shù)手段去監(jiān)測(cè)、保障網(wǎng)內(nèi)信息安全，是不可推卸的責(zé)任與義務(wù)。

針對(duì)有線電視運(yùn)營(yíng)商的信息安全建議

根據(jù)上文，廣電運(yùn)營(yíng)商面臨著新技術(shù)、新業(yè)務(wù)發(fā)展帶來(lái)的巨大挑戰(zhàn)。如何應(yīng)對(duì)這些挑戰(zhàn)，下文提出幾點(diǎn)建議。

1.成立專(zhuān)職的管理機(jī)構(gòu)，完善信息安全管理制度建設(shè)

信息安全問(wèn)題已經(jīng)滲透到了廣電運(yùn)營(yíng)商的每一個(gè)業(yè)務(wù)和整個(gè)技術(shù)體系之中，要高效地推進(jìn)信息安全工作，必須效仿中央，建立專(zhuān)職的決策機(jī)構(gòu)，負(fù)責(zé)宏觀的信息安全決策，由企業(yè)一把手或高管掛帥，從行政級(jí)別上提高信息安全工作在公司整體工作中的重要性。此外，必須設(shè)置常設(shè)的機(jī)構(gòu)，負(fù)責(zé)信息安全的日常管理工作。在各個(gè)部門(mén)要設(shè)置信息安全員，具體落實(shí)規(guī)章制度和技術(shù)規(guī)范。

在信息安全管理制度的建設(shè)上，要完善以下幾個(gè)制度的建設(shè)：

1）人員安全管理制度。人是信息系統(tǒng)建設(shè)和運(yùn)用的主體，也是安全管理的對(duì)象，因此人員的安全管理至關(guān)重要。要確保信息系統(tǒng)安全，人員的安全管理制度必須完善。

2）信息數(shù)據(jù)安全管理制度。數(shù)據(jù)是現(xiàn)今整個(gè)信息安全管理中最為重要的資源，現(xiàn)在大部分的攻擊與泄密都是針對(duì)信息系統(tǒng)的數(shù)據(jù)，通過(guò)數(shù)據(jù)安全的管理制度，必須對(duì)系統(tǒng)中數(shù)據(jù)的輸入、存儲(chǔ)、處理及輸出進(jìn)行嚴(yán)格的安全規(guī)范，以確保數(shù)據(jù)的有據(jù)性、準(zhǔn)確性、完整性、及時(shí)性和保密性。

3）物理安全管理制度。物理安全是信息安全的基礎(chǔ)，物理安全制度是要保證計(jì)算機(jī)系統(tǒng)具備一個(gè)安全的物理環(huán)境，確保接觸計(jì)算機(jī)系統(tǒng)的人員有完善的技術(shù)控制手段，并充分考慮自然事件可能對(duì)信息系統(tǒng)造成的威脅，并加以規(guī)避。

4）設(shè)備管理制度。對(duì)設(shè)備的管理是保證信息系統(tǒng)安全的重要條件，整個(gè)安全設(shè)備管理制度的建設(shè)包括設(shè)備選型、設(shè)備檢測(cè)、設(shè)備安裝、設(shè)備資產(chǎn)管理、設(shè)備使用、設(shè)備維修、設(shè)備儲(chǔ)存管理等方面。

5）技術(shù)文檔安全管理制度。技術(shù)文檔的管理是信息安全管理制度建設(shè)中容易忽略的一個(gè)部分。技術(shù)文檔涵蓋了整個(gè)信息系統(tǒng)的設(shè)計(jì)、研制、開(kāi)發(fā)、運(yùn)行、維護(hù)的技術(shù)問(wèn)題。技術(shù)文檔的管理程度直接關(guān)系到信息系統(tǒng)的安全。在相關(guān)制度的建設(shè)中，需要考慮到文檔密級(jí)管理、文檔登記和保管管理、文檔銷(xiāo)毀和監(jiān)毀管理，電子文檔安全管理與技術(shù)文檔備份管理制度。

6）軟件安全管理制度。各類(lèi)軟件在廣電運(yùn)營(yíng)商已經(jīng)廣泛使用，其安全管理也是廣電運(yùn)營(yíng)商近年來(lái)工作中遇到的困難之一。要解決軟件安全管理的問(wèn)題，就要在軟件的選型、購(gòu)置、儲(chǔ)藏、驗(yàn)收、安全跟蹤與報(bào)告、版本控制、使用和維護(hù)等各個(gè)方面建立標(biāo)準(zhǔn)和工作制度。

2.建設(shè)高效的信息安全運(yùn)維體系

隨著近年前端信息化以及其他信息系統(tǒng)的建設(shè)，廣電運(yùn)營(yíng)商已經(jīng)進(jìn)入了一個(gè)“建設(shè)與運(yùn)維”并行的階段。在信息系統(tǒng)愈發(fā)龐大的現(xiàn)在，建設(shè)信息安全運(yùn)維體系是必要的。在有線電視運(yùn)營(yíng)商的信息安全運(yùn)維體系中需要以下幾個(gè)部分：

1）信息安全監(jiān)控與告警中心：通過(guò)先進(jìn)的開(kāi)發(fā)標(biāo)準(zhǔn)，對(duì)各個(gè)部門(mén)的所有信息系統(tǒng)資產(chǎn)進(jìn)行不間斷監(jiān)控，監(jiān)控內(nèi)容包括基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、通信、安全、主機(jī)、中間件等。監(jiān)控中心可以根據(jù)事件與規(guī)則的關(guān)聯(lián)關(guān)系，反映信息系統(tǒng)中發(fā)生的預(yù)警和告警事件，幫助運(yùn)維管理人員快速定位，排查問(wèn)題所在。同時(shí)告警中心通過(guò)告警響應(yīng)方式，內(nèi)置與事件響應(yīng)中心的工單和預(yù)案處理接口，根據(jù)相關(guān)規(guī)則來(lái)啟動(dòng)相應(yīng)的處理預(yù)案，實(shí)現(xiàn)運(yùn)維管理過(guò)程中突發(fā)事件和問(wèn)題處理的自動(dòng)化和智能化

2）信息安全運(yùn)維響應(yīng)中心：監(jiān)控與報(bào)警是整個(gè)安全體系的第一步，當(dāng)報(bào)警傳達(dá)到響應(yīng)中心時(shí)，工作人員能夠迅速根據(jù)中心已配置的預(yù)案對(duì)事件進(jìn)行及時(shí)響應(yīng)。中心必須包括全程的事件處理監(jiān)控，實(shí)現(xiàn)對(duì)事件響應(yīng)處理全過(guò)程的跟蹤記錄和監(jiān)控，根據(jù)ITIL管理建議和用戶運(yùn)維要求，對(duì)事件處理的響應(yīng)時(shí)限和處理時(shí)限監(jiān)督和催辦，同時(shí)實(shí)現(xiàn)事件處理經(jīng)驗(yàn)的積累，對(duì)事件處理過(guò)程備案和綜合查詢(xún)，幫助用戶在處理事件時(shí)查找歷史處理記錄和流程，為運(yùn)維管理工作積累經(jīng)驗(yàn)。

3）信息安全運(yùn)維審核評(píng)估中心：除了日常的信息安全問(wèn)題監(jiān)控、報(bào)警與響應(yīng)，整個(gè)信息系統(tǒng)的安全水平包括運(yùn)行質(zhì)量、服務(wù)水平以及運(yùn)維管理工作績(jī)效的綜合評(píng)估、考核、審計(jì)。

3.積極推進(jìn)信息系統(tǒng)等級(jí)保護(hù)工作

2011年國(guó)家廣電總局科技司印發(fā)了《關(guān)于開(kāi)展廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》，出臺(tái)了《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》和《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，以作為行業(yè)的信息系統(tǒng)等保行業(yè)標(biāo)準(zhǔn)。信息系統(tǒng)的定級(jí)，公安部在2007年就開(kāi)始在全國(guó)推廣，廣播電視行業(yè)的定級(jí)已經(jīng)比較滯后，這也和信息安全在廣電行業(yè)，尤其是有線電視運(yùn)營(yíng)商缺乏重視有關(guān)。

信息系統(tǒng)等級(jí)保護(hù)工作的目的，就是為了幫助各個(gè)行業(yè)建立和完善信息系統(tǒng)的綜合防護(hù)體系，提高信息系統(tǒng)的安全防護(hù)能力，幫助各個(gè)行政主體從制度、技術(shù)等各個(gè)方面去落實(shí)具體的信息安全工作，雖然有些半強(qiáng)制性，但這也同樣保證了各個(gè)企事業(yè)單位能夠投入足夠的成本與精力在信息安全工作上。

推進(jìn)信息系統(tǒng)等保工作，不但保證了自身符合國(guó)家的行政要求，又能夠提高自身的信息安全防護(hù)水平，是一舉多得的好事。

總結(jié)

信息化是當(dāng)今社會(huì)發(fā)展的必然趨勢(shì)，有線電視運(yùn)營(yíng)商在三網(wǎng)融合的背景下，勢(shì)必在信息化這條道路上一直走下去，因此信息安全工作任重而道遠(yuǎn)，只有不斷強(qiáng)化整個(gè)行業(yè)對(duì)信息安全重要性的認(rèn)識(shí)，尋找自身信息安全存在的問(wèn)題，提高信息安全保障能力，加快信息安全專(zhuān)業(yè)人員培養(yǎng)，始終堅(jiān)持信息安全建設(shè)，才能在信息時(shí)代更快、更穩(wěn)地發(fā)展下去。

[1] 關(guān)力霞.談廣播電視信息安全[J].廣播與電視技術(shù)，2012（4）：24-26.

[2]柳玉海.淺談網(wǎng)絡(luò)環(huán)境下廣電信息安全問(wèn)題[J].科技創(chuàng)新導(dǎo)報(bào)，2011（30）：217.

[3]羅蘊(yùn)軍.基于USB數(shù)據(jù)傳輸技術(shù)的信息高安全區(qū)建設(shè)[J].電視技術(shù)，2010，34（5）：91-93.

劉明亮，碩士，珠江數(shù)碼集團(tuán)副總裁。

TN943

A

【本文獻(xiàn)信息】劉明亮.關(guān)于有線電視運(yùn)營(yíng)商信息安全的思考[J].電視技術(shù)，2014，38（12）.