楊建國(guó) 張祎博 北京市房山區(qū)融媒體中心

一、廣播電視業(yè)務(wù)信息安全現(xiàn)狀

廣播電視的輸出平臺(tái)多為電視臺(tái)，確保節(jié)目的安全播出也一直是電視臺(tái)工作的核心任務(wù)之一。隨著互聯(lián)網(wǎng)時(shí)代的到來，由于傳統(tǒng)的廣播電視機(jī)構(gòu)缺乏專業(yè)的信息安全保護(hù)部門，經(jīng)常出現(xiàn)被其他外來網(wǎng)絡(luò)攻擊的情況，廣播電視機(jī)構(gòu)內(nèi)部的信息安全問題也受到了極大的挑戰(zhàn)。

目前廣播電視機(jī)構(gòu)遭受到的網(wǎng)絡(luò)攻擊呈現(xiàn)出了組織化且攻擊方式多種多樣，這更使得機(jī)構(gòu)內(nèi)部非專業(yè)的信息安全維護(hù)人員的工作完成得十分艱辛。因此，在國(guó)家網(wǎng)絡(luò)安全和相關(guān)信息安全等級(jí)保護(hù)法律的推動(dòng)下，行業(yè)內(nèi)各大機(jī)構(gòu)紛紛開設(shè)了機(jī)構(gòu)內(nèi)部的信息安全管理部門，雖然成立了信息安全保護(hù)部門，但其中的人員大多都是從其他部門調(diào)任過去的，他們并沒有信息安全維護(hù)的經(jīng)驗(yàn)和能力，有的甚至還在兼任兩個(gè)部門的工作，這更加使得信息安全保護(hù)項(xiàng)目難以被繼續(xù)向前推行。

一方面在于廣電機(jī)構(gòu)人員是否具有具備專業(yè)技術(shù)的信息安全工程師，另一方面在于機(jī)構(gòu)內(nèi)部十分老舊的基礎(chǔ)設(shè)施。有的基礎(chǔ)設(shè)施十分老舊，帶寬完全不能承載大量數(shù)據(jù)負(fù)荷，再加上工作人員的不專業(yè)，還會(huì)出現(xiàn)原有系統(tǒng)卡頓、不流暢的情況。

要想解決上述問題，勢(shì)必要引進(jìn)先進(jìn)的計(jì)算機(jī)技術(shù)和專業(yè)的網(wǎng)絡(luò)安全工程師，同時(shí)還應(yīng)該建立完善的信息安全等級(jí)制度，明確內(nèi)部員工的職責(zé)所在，創(chuàng)建一個(gè)相互協(xié)作又在統(tǒng)一管理之下的信息安全等級(jí)保護(hù)體系和組織。

二、信息安全等級(jí)保護(hù)制度及系統(tǒng)定級(jí)

我國(guó)信息安全等級(jí)保護(hù)是對(duì)信息和信息載體的信息安全保障體系中的關(guān)鍵一環(huán)。目前，等級(jí)安全保護(hù)是在中國(guó)和美國(guó)等多個(gè)國(guó)家都存在的一種信息安全工作。在我國(guó)，信息安全等級(jí)保護(hù)在廣義上一般涉及該工作的執(zhí)行標(biāo)準(zhǔn)、產(chǎn)品特性以及系統(tǒng)自身等方面的等級(jí)保護(hù)思想的安全工作，在狹義上一般就是指通常意義上的信息系統(tǒng)安全等級(jí)保護(hù)。信息安全等級(jí)保護(hù)工作包括五個(gè)階段的工作，分別是定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查階段。

在我國(guó)對(duì)信息安全系統(tǒng)的定級(jí)主要是依照國(guó)家級(jí)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》為依據(jù)來進(jìn)行的，此外還有廣播電視行業(yè)的《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》為依據(jù)。

國(guó)家對(duì)于信息安全的定級(jí)的標(biāo)準(zhǔn)主要來源于兩個(gè)方面，第一個(gè)方面是等級(jí)保護(hù)所保護(hù)的對(duì)象受到攻擊時(shí)對(duì)其造成破壞的第三方，第二個(gè)方面是其對(duì)第三方造成破壞的程度。但是人們?cè)谂袆e破壞程度的時(shí)候通常會(huì)出現(xiàn)主觀判斷情況，因?yàn)橐粋€(gè)人對(duì)一件事物的看法都不會(huì)是一成不變的，所以為了公平這一原則，就有了屬于廣播電視行業(yè)的信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)。它主要是關(guān)于廣播電視的制作、編輯、傳播等方面來制定的。如表1 中，就可以直觀地定義出應(yīng)該屬于是哪一級(jí)，例如如果是國(guó)家級(jí)的播出系統(tǒng)就是第四級(jí)。

表1 廣播電視相關(guān)信息安全保護(hù)等級(jí)

如表1 所示，國(guó)家級(jí)的播出系統(tǒng)就屬于第四級(jí)，省級(jí)、省會(huì)城市、地市級(jí)以下的都屬于是第三級(jí)。而我國(guó)現(xiàn)有的信息安全保護(hù)等級(jí)總共是被劃分成了五個(gè)級(jí)別。第一級(jí)是指對(duì)公民和法人或其他機(jī)構(gòu)造成破壞，但沒有損害國(guó)家和公共利益的情況；第二級(jí)是對(duì)公民和法人或其他機(jī)構(gòu)造成嚴(yán)重破壞或者是其對(duì)社會(huì)利益會(huì)造成一定程度的影響，但不存在危害國(guó)家的情況；第三級(jí)是指對(duì)社會(huì)秩序和公共利益造成嚴(yán)重破壞的，或是關(guān)乎國(guó)家的情況；第四級(jí)是指社會(huì)和公共秩序都受到了特別嚴(yán)重的破壞，對(duì)國(guó)家層面也造成了嚴(yán)重影響的情況；第五級(jí)是指直接對(duì)國(guó)家造成嚴(yán)重破壞的情況，這五個(gè)等級(jí)的利害關(guān)系程度是依次遞增的。

三、等級(jí)保護(hù)工作的實(shí)行

在信息等級(jí)安全保護(hù)工作實(shí)行的過程中，可以發(fā)現(xiàn)，其主要涵蓋部門管理、技術(shù)人員的思想意識(shí)以及技術(shù)三大層面，以下將對(duì)這三個(gè)方面進(jìn)行詳細(xì)的論述。

（一）管理層面

廣播電視要做好信息安全的保護(hù)工作，擁有一個(gè)強(qiáng)有力的團(tuán)隊(duì)是必不可少的。我國(guó)廣電總局也明確指出了在開展信息安全保護(hù)工作的過程中，組織中管理人員應(yīng)該統(tǒng)籌好人員安全、系統(tǒng)安全以及系統(tǒng)維護(hù)管理各個(gè)方面的工作，而目前大多數(shù)的廣播電視機(jī)構(gòu)都沒有屬于自己的信息安全管理部門，在現(xiàn)有的人員中也沒有專業(yè)的信息安全管理人員。雖然說一些大型的廣播電視機(jī)構(gòu)有，但是其部門內(nèi)部的分工還不夠明確，員工對(duì)自己的職責(zé)也不夠清晰明確，還有很多進(jìn)步的空間。

另外管理人員還應(yīng)該對(duì)安全信息的組織架構(gòu)進(jìn)行整體規(guī)劃，其中主要的就是安全系統(tǒng)領(lǐng)導(dǎo)組、安全系統(tǒng)管理部門，安全系統(tǒng)維護(hù)部門以及具體實(shí)施部門。從成員管理、系統(tǒng)運(yùn)行以及維護(hù)等出發(fā)，來建設(shè)一個(gè)強(qiáng)有力的維護(hù)信息安全的專業(yè)隊(duì)伍。

（二）思想意識(shí)層面

由于廣播電視機(jī)構(gòu)的網(wǎng)絡(luò)大多屬于是內(nèi)部網(wǎng)絡(luò)，在進(jìn)行信息傳輸?shù)臅r(shí)候也不需要連接外網(wǎng)，這也造成了很多員工的意識(shí)偏差。他們認(rèn)為只有外來入侵才會(huì)對(duì)自身造成破壞，而自己用的是機(jī)構(gòu)的內(nèi)網(wǎng)，不會(huì)存在信息安全問題，然而他們并沒有意識(shí)到大多數(shù)的信息安全問題都是從機(jī)構(gòu)內(nèi)部產(chǎn)生的。所以只有糾正從業(yè)人員自身對(duì)于信息安全來源的思想意識(shí)偏差，才能改變他們的工作態(tài)度，提高信息安全的建設(shè)效率。

（三）技術(shù)層面

傳統(tǒng)的廣播電視行業(yè)都是通過電視向人們傳輸信息的，而從互聯(lián)網(wǎng)時(shí)代到來之后，傳統(tǒng)的廣播電視行業(yè)才逐步進(jìn)軍向互聯(lián)網(wǎng)行業(yè)發(fā)展。正是如此，廣播電視行業(yè)現(xiàn)有的人員大多是具有廣播電視技術(shù)的專業(yè)人才，掌握互聯(lián)網(wǎng)技術(shù)的人才卻很稀薄。所以雖然廣播電視行業(yè)有自己的技術(shù)團(tuán)隊(duì)在進(jìn)行網(wǎng)絡(luò)信息安全相關(guān)方面的安全維護(hù)，但是與專業(yè)的互聯(lián)網(wǎng)團(tuán)隊(duì)相比，還存在著一定的差距。

除了人員技術(shù)掌握程度方面的差距以外，還有基礎(chǔ)設(shè)施條件方面的差異，比如一些老舊的設(shè)施無法達(dá)到等級(jí)保護(hù)的標(biāo)準(zhǔn)，未及時(shí)更新的系統(tǒng)也無法承擔(dān)日志輸出和審計(jì)的功能。因此就需要利用加入網(wǎng)絡(luò)審計(jì)設(shè)備這樣的輔助手段來對(duì)網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)，實(shí)時(shí)記錄設(shè)備的狀況，以此完成審計(jì)目標(biāo)。

除了以上在管理、思想和技術(shù)方面的要求以外，在實(shí)施等級(jí)保護(hù)制度時(shí)還應(yīng)該根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》中明確的幾個(gè)基本原則。首先是自主保護(hù)原則，廣播電視機(jī)構(gòu)內(nèi)部應(yīng)該制定自己的信息安全保護(hù)準(zhǔn)則，自行對(duì)自身內(nèi)部的信息安全進(jìn)行保護(hù)；其次是重點(diǎn)保護(hù)準(zhǔn)則，廣播電視機(jī)構(gòu)內(nèi)部自行劃分業(yè)務(wù)安全程度等級(jí)，將安全程度較高的項(xiàng)目應(yīng)該予以重點(diǎn)保護(hù)；第三是同步建設(shè)保護(hù)原則，在機(jī)構(gòu)內(nèi)部建設(shè)系統(tǒng)的同時(shí)，應(yīng)該同步增設(shè)相應(yīng)的信息安全解決方案，要讓建設(shè)和維護(hù)同時(shí)進(jìn)行；第四是動(dòng)態(tài)調(diào)整原則，廣播電視機(jī)構(gòu)內(nèi)部要審時(shí)度勢(shì)，根據(jù)時(shí)局的變化和技術(shù)的進(jìn)步來變換自己的信息安全保護(hù)制度和技術(shù)標(biāo)準(zhǔn)。

四、信息安全體系結(jié)構(gòu)

對(duì)于信息安全等級(jí)的保護(hù)體系，廣電總局已在相關(guān)材料中明確指出安全等級(jí)所需要的技術(shù)要求和管理要求。詳情見表2。

表2 廣播電視信息安全等級(jí)保護(hù)相關(guān)要求

第一，對(duì)于基礎(chǔ)網(wǎng)絡(luò)安全方面的技術(shù)要求，首先需要能夠掌握將處于同一局域網(wǎng)中的核心網(wǎng)段和其他不相關(guān)的網(wǎng)段相隔離開，也就是我們通常所說的防火墻。其次是能夠開啟網(wǎng)絡(luò)設(shè)備中的審計(jì)功能和在線傳輸日志的功能，能夠繪制系統(tǒng)的時(shí)實(shí)拓?fù)鋱D，在用戶登錄時(shí)對(duì)用戶的身份及時(shí)鑒別并做出應(yīng)答。

第二，對(duì)于邊界安全方面的技術(shù)要求，主要是對(duì)于邊界的部署，能夠防止外部病毒的入侵，及時(shí)檢測(cè)出來邊界惡意代碼，并予以驅(qū)逐。同時(shí)也要提供防火墻，隔絕外來入侵。

第三，對(duì)于終端安全方面的技術(shù)要求，最主要的工作就是對(duì)登錄用戶的身份進(jìn)行鑒別，控制訪客的進(jìn)入，除了用戶本人，其他的IP 都禁止登陸。

第四，對(duì)于主機(jī)的安全應(yīng)用方面的技術(shù)要求，與上述的幾個(gè)技術(shù)要求相類似，處理用戶登錄，在運(yùn)行的過程中檢測(cè)外來惡意代碼入侵，建立防火墻，阻止外來惡意代碼入侵。在非用戶IP 登陸時(shí)禁止進(jìn)入，同時(shí)予以安裝殺毒軟件，與防火墻起到協(xié)同合作的作用。

第五，在數(shù)據(jù)安全與備份方面的技術(shù)要求，這一點(diǎn)從兩個(gè)方面來入手，首先是確保信息傳輸?shù)耐暾裕浯问切畔⒌膫浞菖c恢復(fù)。當(dāng)受到外界強(qiáng)烈攻擊時(shí)，邊界應(yīng)建立起多個(gè)防火墻，以確保信息在傳輸過程中受到破壞，用戶數(shù)據(jù)意外丟失時(shí)應(yīng)留有備份。

對(duì)于不同的安全等級(jí)危害應(yīng)該用不同的方案進(jìn)行處理，對(duì)于三級(jí)以上的就應(yīng)該給予重點(diǎn)防護(hù)，以保證信息安全系統(tǒng)的整體安全，不被破壞。所以我們需要掌握以下幾個(gè)重要技術(shù)：

（1）加密解密技術(shù)，在安全的載體中傳輸時(shí)可以不需要對(duì)傳輸?shù)膬?nèi)容進(jìn)行加密，但在有的時(shí)候也存在著處于信息安全危機(jī)的網(wǎng)絡(luò)環(huán)境中，在這種環(huán)境下，為了使傳輸?shù)膬?nèi)容不會(huì)被盜竊，就需要對(duì)傳輸?shù)男畔?nèi)容進(jìn)行加密。不僅需要對(duì)內(nèi)容進(jìn)行加密，而且還要加強(qiáng)密匙的保護(hù)，以防止加密內(nèi)容被竊取。

（2）VPN 技術(shù)，VPN 一般是指機(jī)構(gòu)內(nèi)部的網(wǎng)絡(luò)，一般只有已被授權(quán)信任的網(wǎng)絡(luò)地址才能連接，如果外部人員想要或是內(nèi)部人員在外部成功地用某一個(gè)機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)，就需要通過VPN 之后進(jìn)行授權(quán)之后才能成功地使用。

（3）防火墻技術(shù)，防火墻通常情況下被認(rèn)為是對(duì)外來網(wǎng)絡(luò)的隔斷，事實(shí)上防火墻對(duì)于內(nèi)部網(wǎng)絡(luò)與內(nèi)部非法訪問也存在一定的隔斷作用，主要就是從內(nèi)到外的保護(hù)系統(tǒng)主機(jī)不受破壞。

（4）入侵檢測(cè)技術(shù)，也是對(duì)防火墻起到加輔作用，提高了信息安全系統(tǒng)結(jié)構(gòu)的完整性。配置入侵檢測(cè)設(shè)備的基本信息主要包括：攻擊趨勢(shì)圖、系統(tǒng)監(jiān)視、系統(tǒng)狀態(tài)、流量趨勢(shì)圖、檢測(cè)統(tǒng)計(jì)、網(wǎng)絡(luò)接口信息組成，顯示設(shè)備運(yùn)行的整體情況，設(shè)備配置等信息

（5）安全審計(jì)技術(shù)，審計(jì)為了加強(qiáng)網(wǎng)絡(luò)安全審計(jì)能力，有效追溯信息安全事件，應(yīng)啟用全部網(wǎng)頁瀏覽、網(wǎng)絡(luò)言論、數(shù)據(jù)庫訪問等安全審計(jì)策略。配置安全審計(jì)系統(tǒng)的狀態(tài)信息包括：系統(tǒng)狀態(tài)、設(shè)備引擎信息、設(shè)備版本信息、接口配置等內(nèi)容。

在建立完善的信息安全體系結(jié)構(gòu)之前，應(yīng)該做好每個(gè)環(huán)節(jié)的預(yù)備工作，將每個(gè)細(xì)節(jié)重視起來，才能確保安全體系的完美搭建。

五、信息安全系統(tǒng)的測(cè)試

為了確保信息安全系統(tǒng)能夠達(dá)到預(yù)期的理想效果，就需要對(duì)系統(tǒng)進(jìn)行提前測(cè)試。一方面，是進(jìn)一步確保設(shè)備運(yùn)行正常；另一方面，也是進(jìn)一步驗(yàn)證設(shè)備集成調(diào)試實(shí)施工作的正確性、可靠性和穩(wěn)定性。

測(cè)試內(nèi)容主要包括本項(xiàng)目集成實(shí)施的設(shè)備包括：交換機(jī)、防火墻、防病毒網(wǎng)關(guān)、入侵檢測(cè)設(shè)備、網(wǎng)絡(luò)安全審計(jì)等，各類設(shè)備將逐一按照測(cè)試內(nèi)容、測(cè)試步驟以及測(cè)試預(yù)期，進(jìn)行設(shè)備配置測(cè)試。

1.交換機(jī)測(cè)試，交換機(jī)的測(cè)試內(nèi)容包括加電測(cè)試，即給設(shè)備通電啟動(dòng)測(cè)試；配置測(cè)試，即配置接口、策略等之后再重新啟動(dòng)系統(tǒng)；接口測(cè)試，即測(cè)試任意接口簡(jiǎn)介終端設(shè)備，端口狀態(tài)指示燈、速率等正常；口令測(cè)試，即修改為復(fù)雜口令，保存并重啟。

2.防火墻測(cè)試，防火墻測(cè)試內(nèi)容包括給設(shè)備通電啟動(dòng)測(cè)試、配置測(cè)試、接口測(cè)試以及口令測(cè)試。其測(cè)試的內(nèi)容和方式都和交換機(jī)的測(cè)試內(nèi)容相一致。

3.防毒網(wǎng)關(guān)測(cè)試，防毒網(wǎng)關(guān)測(cè)試內(nèi)容包括加電測(cè)試，即通電、啟動(dòng)設(shè)備；配置測(cè)試，將配置接口、策略等配置后，保存并重啟設(shè)備；接口測(cè)試，即將設(shè)備斷電，檢驗(yàn)交接端口組BYPASS 功能；策略測(cè)試，即配置防病毒策略，保存、配置導(dǎo)出操作正常；口令測(cè)試，修改為復(fù)雜口令，保存并重啟。

4.入侵檢測(cè)系統(tǒng)測(cè)試，入侵檢測(cè)系統(tǒng)測(cè)試內(nèi)容包括加電測(cè)試，即通電、啟動(dòng)設(shè)備；配置測(cè)試；即配置接口、策略等配置后，保存并重啟設(shè)備；接口測(cè)試，即配置監(jiān)聽接口、保存配置后，保存并重啟設(shè)備；策略測(cè)試，即配置、啟用入侵檢測(cè)策略；口令測(cè)試，即修改為復(fù)雜口令，保存并重啟。

5.安全審計(jì)系統(tǒng)測(cè)試，安全審計(jì)系統(tǒng)測(cè)試內(nèi)容包括加電測(cè)試，配置測(cè)試，接口測(cè)試以及策略測(cè)試和口令測(cè)試。具體的測(cè)試步驟也都是和入侵檢測(cè)系統(tǒng)測(cè)試相一致。

經(jīng)過上述的測(cè)試之后，要使得系統(tǒng)達(dá)到預(yù)期成果，就需要設(shè)備啟動(dòng)正常，配置保存成功，端口BYPASS 正常，設(shè)備配置正常，口令驗(yàn)證正常。

六、結(jié)語

在對(duì)于廣播電視信息安全等級(jí)系統(tǒng)建立初期，應(yīng)該明確每個(gè)階段的任務(wù)以及需要的基礎(chǔ)設(shè)備、而在建立了完善的信息安全等級(jí)制度之后應(yīng)該做好相應(yīng)的系統(tǒng)安全維護(hù)工作。相信在未來，廣播電視行業(yè)會(huì)擁有自己專業(yè)的網(wǎng)絡(luò)安全工程師，完整的網(wǎng)絡(luò)安全等級(jí)體系，將在互聯(lián)網(wǎng)中面臨的信息安全危險(xiǎn)程度降到最低。