王曉杭

一、引言

計算機及信息技術為代表第三次工業(yè)革命，使得信息技術成為各個行業(yè)運行的基石。信息技術越來越重要，由信息安全所產(chǎn)生的損失和影響也日益加劇。信息安全保障體系建設已經(jīng)成為信息系統(tǒng)建設中的重要組成部分。無線電臺的發(fā)展離不開信息技術，近年來，我臺通過信息技術的運用，達到了辦公無紙化，值班無人化，控制自動化。信息技術已經(jīng)全面覆蓋我臺工作的各個部分，如何做好信息安全防護工作，建設完善合規(guī)的信息安全保護體系，保障信息系統(tǒng)的平穩(wěn)運行，也就成為電臺信息化日常工作的一項重要任務。

二、當前我臺信息建設現(xiàn)狀以及安全隱患

進過幾年信息化建設，我臺擁有核心機房一間，3個節(jié)點機房，各類服務器40多臺，30多個網(wǎng)絡節(jié)點，各類信息系統(tǒng)20多套，通過VLAN劃分不同業(yè)務層，實現(xiàn)傳輸發(fā)射自動化及日常工作信息化。信息技術已經(jīng)全面有效支撐我臺的日常工作，具有便捷職工日常辦公、規(guī)范工作流程、優(yōu)化資源管理、保障設備安全穩(wěn)定運行等特點，使我臺的安全播出保障能力和業(yè)務管理水平大幅提升。信息化已經(jīng)成為我臺日常工作的重要基石。

在完善信息化系統(tǒng)過程中，信息安全問題也隨之產(chǎn)生。信息安全問題多種多樣，常見的有黑客入侵，拒絕服務攻擊，蠕蟲病毒，勒索病毒等方式。電臺常見的網(wǎng)絡問題有網(wǎng)絡邊界的攻擊，病毒木馬攻擊，未授權的訪問，通信線路故障，員工的不正確操作，硬件設備故障引起的系統(tǒng)異常等等。近年來又陸續(xù)建設了辦公系統(tǒng)云桌面系統(tǒng)，服務器虛擬化，增加了物聯(lián)網(wǎng)設備等，新技術運用對于傳統(tǒng)信息安全防護方法提出新的挑戰(zhàn)。如何有效建設信息安全保障系統(tǒng)，既能保證信息系統(tǒng)平穩(wěn)不間斷運行，又能及時響應新技術，新挑戰(zhàn)，是我們信息工作人員需要關注的問題。

三、信息安全定義和工作策略

（一） 信息安全定義

信息安全是主要是指信息系統(tǒng)中的硬件、軟件及其中的數(shù)據(jù)受到保護，不受意外的或者故意的原因而遭到破壞、更改或泄露，系統(tǒng)能夠不中斷，持續(xù)正常地運行。想要全面徹底解決信息安全問題就需要綜合考慮，構建完整合規(guī)的信息安全保障體系。

（二） 電臺的信息安全工作概述

發(fā)射電臺信息安全防護策略首先應嚴格根據(jù)局端進行統(tǒng)一規(guī)劃，統(tǒng)一部署，參考廣播電視相關信息系統(tǒng)安全等級保護基本要求，制定信息安全工作的總體方針和安全策略，明確工作總體目標，范圍，原則和安全框架等。發(fā)射臺站應成立臺站信息安全工作的小組，設立相應的職能部門。然后制定相關制度和規(guī)程，明確信息安全管理各項要求，形成由安全方針、管理制度、工作流程等構成的全面的信息安全保障體系，使得臺站信息安全保護工作常態(tài)化，制度化。

（1）信息安全風險評估

在信息安全防護過程中，信息安全風險評估應放在第一位，是電臺信息安全工作的基礎和前提。信息安全的風險評估是指在信息系統(tǒng)中，統(tǒng)計每一種資源缺失或遭到破壞對整個系統(tǒng)造成的預計損失，是對威脅、脆弱點以及由此帶來的風險大小的評估。對系統(tǒng)進行風險分析和評估的目的就是：了解系統(tǒng)當前與未來的風險所在，評估這些風險帶來的可能安全威脅與影響程度，為安全保障策略的制定、信息系統(tǒng)的建設及系統(tǒng)平穩(wěn)運行提供依據(jù)。

AHP層次分析法，是一種定性與定量相結合的多目標決策分析方法。其核心是量化決策者的經(jīng)驗，為決策依據(jù)提供定量依據(jù)。在實際工作中，可以參考層次分析法，以《廣播電視相關信息系統(tǒng)安全等級保護基本要求》為標準，組織全體信息化工作人員，對臺站信息系統(tǒng)進行風險評估，對各個系統(tǒng)進行打分統(tǒng)計，最終確定信息系統(tǒng)的脆弱點，以及由此產(chǎn)生的風險，為以后的信息系統(tǒng)的改造升級和運行提供判斷依據(jù)。

（2）新技術，新問題，新應對

信息技術帶來日新月異的變化，各類安全攻擊層出不窮，根據(jù)《廣播電視相關信息系統(tǒng)安全等級保護基本要求》進行信息安全防護，也只能做到基本覆蓋。因為制度建立的滯后性，對新技術新威脅還未涉及，這就為信息安全防護工作提出新要求。信息安全防護也需要突破創(chuàng)新。如近年來虛擬化技術的使用，就對傳統(tǒng)信息安全防護模式提出了挑戰(zhàn)。虛擬化技術使信息資源虛擬化，集中管理模糊了信息系統(tǒng)之間的邊界，增加了維護復雜度，使得傳統(tǒng)信息安全防護措施失去作用。針對虛擬機技術，我臺通過虛擬機管理平臺，配置策略設置終端最小訪問權限，架設亞信云防護系統(tǒng)，對虛擬機進行病毒查殺。

面對新技術，新情況，應以數(shù)據(jù)安全為核心，以應用安全為第一要務的原則，保證業(yè)務不間斷，高質(zhì)量運行。根據(jù)之前信息安全風險評估內(nèi)容，在現(xiàn)有的信息安全防護體系下，對相應薄弱環(huán)節(jié)和新問題進行相應改造。在電臺信息安全保護工作中，應做到基本合規(guī)，重點強化。根據(jù)等保要求，完成符合定級標準的信息安全防護措施，并視信息安全系統(tǒng)的重要程度，參考之前的風險評估，確立重點強化對象，提高信息安全總體防護水平。

（3）編制信息安全應急預案

完善發(fā)射臺站的信息安全防護功能，應制定信息安全應急預案，并定期演練，強化部門的應急相應能力。隨著信息安全防護水平逐步提高，在構建覆蓋全臺信息系統(tǒng)的信息安全防護機制后，信息安全事件相應減少，甚至幾乎不發(fā)生。如何應對突發(fā)信息安全事件，保持并提升信息化工作人員應急水平是擺在電臺信息工作中的又一個問題。我們的思路是制定詳細周密的信息安全應急預案，通過定期演練學習，確保部門的信息安全應急響應能力。

（4）強化內(nèi)部管理，提升全員安全防護意識

加強信息安全工作管理能力，強調(diào)信息安全建設過程中的人為因素。據(jù)不完全統(tǒng)計，信息安全事件中，近一半由單位內(nèi)部員工引起的。發(fā)射臺站的信息系統(tǒng)一般為全封閉、不對外公開的系統(tǒng)，針對內(nèi)部信息安全防護應作為重點工作來抓。內(nèi)部信息安全防范，應提升信息安全工作的管理能力，加強信息安全防護的宣傳工作，增強工作人員的信息安全防護意識。在實際工作中，臺站應定期開展信息安全培訓，宣傳信息安全事例，常念信息安全經(jīng)，強化員工樹立信息安全防護意識，也便于信息安全保障工作的開展。

（5）信息安全動態(tài)管理過程

信息安全是一門綜合學科，即涉及科學技術，也強調(diào)管理運作。單方面的安全措施無法提供真正完整的信息安全。信息系統(tǒng)安全問題的解決更應該站在系統(tǒng)工程的角度構建一整套信息安全保障體系。這一體系建設應該是一個動態(tài)的逐步完善的過程。即在現(xiàn)有的安全保障體系的基礎上，加強創(chuàng)新，統(tǒng)籌規(guī)劃，不斷改進，應對新挑戰(zhàn)。電臺的信息安全建設可以參考“戴明環(huán)”的管理模式：計劃、實施、檢查、行動。PDCA循環(huán)又叫戴明環(huán)，是全面質(zhì)量管理所應遵循的科學程序。它包含有四個部分：計劃Plan、實施Do、檢查Check、行動Action。通過戴明環(huán)管理方式，整合單位所有信息系統(tǒng)資源，逐步分階段改進信息安全防護體系，形成一個動態(tài)的，螺旋上升的信息安全防護閉環(huán)。

四、小結

信息安全防護伴隨著信息系統(tǒng)發(fā)展而發(fā)展，并逐漸成為信息系統(tǒng)建設的一個重要組成部分。信息安全防護是一個系統(tǒng)工程，要全盤考慮。本文主要介紹我臺信息系統(tǒng)的遇到的信息安全問題，應對這些問題的策略，以及在實施過程中需要考慮的注意事項。