廣播電視業務信息安全等級保護工作探討

楊建國 張祎博 北京市房山區融媒體中心

一、廣播電視業務信息安全現狀

廣播電視的輸出平臺多為電視臺，確保節目的安全播出也一直是電視臺工作的核心任務之一。隨著互聯網時代的到來，由于傳統的廣播電視機構缺乏專業的信息安全保護部門，經常出現被其他外來網絡攻擊的情況，廣播電視機構內部的信息安全問題也受到了極大的挑戰。

目前廣播電視機構遭受到的網絡攻擊呈現出了組織化且攻擊方式多種多樣，這更使得機構內部非專業的信息安全維護人員的工作完成得十分艱辛。因此，在國家網絡安全和相關信息安全等級保護法律的推動下，行業內各大機構紛紛開設了機構內部的信息安全管理部門，雖然成立了信息安全保護部門，但其中的人員大多都是從其他部門調任過去的，他們并沒有信息安全維護的經驗和能力，有的甚至還在兼任兩個部門的工作，這更加使得信息安全保護項目難以被繼續向前推行。

一方面在于廣電機構人員是否具有具備專業技術的信息安全工程師，另一方面在于機構內部十分老舊的基礎設施。有的基礎設施十分老舊，帶寬完全不能承載大量數據負荷，再加上工作人員的不專業，還會出現原有系統卡頓、不流暢的情況。

要想解決上述問題，勢必要引進先進的計算機技術和專業的網絡安全工程師，同時還應該建立完善的信息安全等級制度，明確內部員工的職責所在，創建一個相互協作又在統一管理之下的信息安全等級保護體系和組織。

二、信息安全等級保護制度及系統定級

我國信息安全等級保護是對信息和信息載體的信息安全保障體系中的關鍵一環。目前，等級安全保護是在中國和美國等多個國家都存在的一種信息安全工作。在我國，信息安全等級保護在廣義上一般涉及該工作的執行標準、產品特性以及系統自身等方面的等級保護思想的安全工作，在狹義上一般就是指通常意義上的信息系統安全等級保護。信息安全等級保護工作包括五個階段的工作，分別是定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查階段。

在我國對信息安全系統的定級主要是依照國家級《信息系統安全等級保護定級指南》為依據來進行的，此外還有廣播電視行業的《廣播電視相關信息系統安全等級保護定級指南》為依據。

國家對于信息安全的定級的標準主要來源于兩個方面，第一個方面是等級保護所保護的對象受到攻擊時對其造成破壞的第三方，第二個方面是其對第三方造成破壞的程度。但是人們在判別破壞程度的時候通常會出現主觀判斷情況，因為一個人對一件事物的看法都不會是一成不變的，所以為了公平這一原則，就有了屬于廣播電視行業的信息系統安全等級保護標準。它主要是關于廣播電視的制作、編輯、傳播等方面來制定的。如表1 中，就可以直觀地定義出應該屬于是哪一級，例如如果是國家級的播出系統就是第四級。

表1 廣播電視相關信息安全保護等級

如表1 所示，國家級的播出系統就屬于第四級，省級、省會城市、地市級以下的都屬于是第三級。而我國現有的信息安全保護等級總共是被劃分成了五個級別。第一級是指對公民和法人或其他機構造成破壞，但沒有損害國家和公共利益的情況；第二級是對公民和法人或其他機構造成嚴重破壞或者是其對社會利益會造成一定程度的影響，但不存在危害國家的情況；第三級是指對社會秩序和公共利益造成嚴重破壞的，或是關乎國家的情況；第四級是指社會和公共秩序都受到了特別嚴重的破壞，對國家層面也造成了嚴重影響的情況；第五級是指直接對國家造成嚴重破壞的情況，這五個等級的利害關系程度是依次遞增的。

三、等級保護工作的實行

在信息等級安全保護工作實行的過程中，可以發現，其主要涵蓋部門管理、技術人員的思想意識以及技術三大層面，以下將對這三個方面進行詳細的論述。

（一）管理層面

廣播電視要做好信息安全的保護工作，擁有一個強有力的團隊是必不可少的。我國廣電總局也明確指出了在開展信息安全保護工作的過程中，組織中管理人員應該統籌好人員安全、系統安全以及系統維護管理各個方面的工作，而目前大多數的廣播電視機構都沒有屬于自己的信息安全管理部門，在現有的人員中也沒有專業的信息安全管理人員。雖然說一些大型的廣播電視機構有，但是其部門內部的分工還不夠明確，員工對自己的職責也不夠清晰明確，還有很多進步的空間。

另外管理人員還應該對安全信息的組織架構進行整體規劃，其中主要的就是安全系統領導組、安全系統管理部門，安全系統維護部門以及具體實施部門。從成員管理、系統運行以及維護等出發，來建設一個強有力的維護信息安全的專業隊伍。

（二）思想意識層面

由于廣播電視機構的網絡大多屬于是內部網絡，在進行信息傳輸的時候也不需要連接外網，這也造成了很多員工的意識偏差。他們認為只有外來入侵才會對自身造成破壞，而自己用的是機構的內網，不會存在信息安全問題，然而他們并沒有意識到大多數的信息安全問題都是從機構內部產生的。所以只有糾正從業人員自身對于信息安全來源的思想意識偏差，才能改變他們的工作態度，提高信息安全的建設效率。

（三）技術層面

傳統的廣播電視行業都是通過電視向人們傳輸信息的，而從互聯網時代到來之后，傳統的廣播電視行業才逐步進軍向互聯網行業發展。正是如此，廣播電視行業現有的人員大多是具有廣播電視技術的專業人才，掌握互聯網技術的人才卻很稀薄。所以雖然廣播電視行業有自己的技術團隊在進行網絡信息安全相關方面的安全維護，但是與專業的互聯網團隊相比，還存在著一定的差距。

除了人員技術掌握程度方面的差距以外，還有基礎設施條件方面的差異，比如一些老舊的設施無法達到等級保護的標準，未及時更新的系統也無法承擔日志輸出和審計的功能。因此就需要利用加入網絡審計設備這樣的輔助手段來對網絡流量進行統計，實時記錄設備的狀況，以此完成審計目標。

除了以上在管理、思想和技術方面的要求以外，在實施等級保護制度時還應該根據《信息系統安全等級保護實施指南》中明確的幾個基本原則。首先是自主保護原則，廣播電視機構內部應該制定自己的信息安全保護準則，自行對自身內部的信息安全進行保護；其次是重點保護準則，廣播電視機構內部自行劃分業務安全程度等級，將安全程度較高的項目應該予以重點保護；第三是同步建設保護原則，在機構內部建設系統的同時，應該同步增設相應的信息安全解決方案，要讓建設和維護同時進行；第四是動態調整原則，廣播電視機構內部要審時度勢，根據時局的變化和技術的進步來變換自己的信息安全保護制度和技術標準。

四、信息安全體系結構

對于信息安全等級的保護體系，廣電總局已在相關材料中明確指出安全等級所需要的技術要求和管理要求。詳情見表2。

表2 廣播電視信息安全等級保護相關要求

第一，對于基礎網絡安全方面的技術要求，首先需要能夠掌握將處于同一局域網中的核心網段和其他不相關的網段相隔離開，也就是我們通常所說的防火墻。其次是能夠開啟網絡設備中的審計功能和在線傳輸日志的功能，能夠繪制系統的時實拓撲圖，在用戶登錄時對用戶的身份及時鑒別并做出應答。

第二，對于邊界安全方面的技術要求，主要是對于邊界的部署，能夠防止外部病毒的入侵，及時檢測出來邊界惡意代碼，并予以驅逐。同時也要提供防火墻，隔絕外來入侵。

第三，對于終端安全方面的技術要求，最主要的工作就是對登錄用戶的身份進行鑒別，控制訪客的進入，除了用戶本人，其他的IP 都禁止登陸。

第四，對于主機的安全應用方面的技術要求，與上述的幾個技術要求相類似，處理用戶登錄，在運行的過程中檢測外來惡意代碼入侵，建立防火墻，阻止外來惡意代碼入侵。在非用戶IP 登陸時禁止進入，同時予以安裝殺毒軟件，與防火墻起到協同合作的作用。

第五，在數據安全與備份方面的技術要求，這一點從兩個方面來入手，首先是確保信息傳輸的完整性，其次是信息的備份與恢復。當受到外界強烈攻擊時，邊界應建立起多個防火墻，以確保信息在傳輸過程中受到破壞，用戶數據意外丟失時應留有備份。

對于不同的安全等級危害應該用不同的方案進行處理，對于三級以上的就應該給予重點防護，以保證信息安全系統的整體安全，不被破壞。所以我們需要掌握以下幾個重要技術：

（1）加密解密技術，在安全的載體中傳輸時可以不需要對傳輸的內容進行加密，但在有的時候也存在著處于信息安全危機的網絡環境中，在這種環境下，為了使傳輸的內容不會被盜竊，就需要對傳輸的信息內容進行加密。不僅需要對內容進行加密，而且還要加強密匙的保護，以防止加密內容被竊取。

（2）VPN 技術，VPN 一般是指機構內部的網絡，一般只有已被授權信任的網絡地址才能連接，如果外部人員想要或是內部人員在外部成功地用某一個機構的內部網絡，就需要通過VPN 之后進行授權之后才能成功地使用。

（3）防火墻技術，防火墻通常情況下被認為是對外來網絡的隔斷，事實上防火墻對于內部網絡與內部非法訪問也存在一定的隔斷作用，主要就是從內到外的保護系統主機不受破壞。

（4）入侵檢測技術，也是對防火墻起到加輔作用，提高了信息安全系統結構的完整性。配置入侵檢測設備的基本信息主要包括：攻擊趨勢圖、系統監視、系統狀態、流量趨勢圖、檢測統計、網絡接口信息組成，顯示設備運行的整體情況，設備配置等信息

（5）安全審計技術，審計為了加強網絡安全審計能力，有效追溯信息安全事件，應啟用全部網頁瀏覽、網絡言論、數據庫訪問等安全審計策略。配置安全審計系統的狀態信息包括：系統狀態、設備引擎信息、設備版本信息、接口配置等內容。

在建立完善的信息安全體系結構之前，應該做好每個環節的預備工作，將每個細節重視起來，才能確保安全體系的完美搭建。

五、信息安全系統的測試

為了確保信息安全系統能夠達到預期的理想效果，就需要對系統進行提前測試。一方面，是進一步確保設備運行正常；另一方面，也是進一步驗證設備集成調試實施工作的正確性、可靠性和穩定性。

測試內容主要包括本項目集成實施的設備包括：交換機、防火墻、防病毒網關、入侵檢測設備、網絡安全審計等，各類設備將逐一按照測試內容、測試步驟以及測試預期，進行設備配置測試。

1.交換機測試，交換機的測試內容包括加電測試，即給設備通電啟動測試；配置測試，即配置接口、策略等之后再重新啟動系統；接口測試，即測試任意接口簡介終端設備，端口狀態指示燈、速率等正常；口令測試，即修改為復雜口令，保存并重啟。

2.防火墻測試，防火墻測試內容包括給設備通電啟動測試、配置測試、接口測試以及口令測試。其測試的內容和方式都和交換機的測試內容相一致。

3.防毒網關測試，防毒網關測試內容包括加電測試，即通電、啟動設備；配置測試，將配置接口、策略等配置后，保存并重啟設備；接口測試，即將設備斷電，檢驗交接端口組BYPASS 功能；策略測試，即配置防病毒策略，保存、配置導出操作正常；口令測試，修改為復雜口令，保存并重啟。

4.入侵檢測系統測試，入侵檢測系統測試內容包括加電測試，即通電、啟動設備；配置測試；即配置接口、策略等配置后，保存并重啟設備；接口測試，即配置監聽接口、保存配置后，保存并重啟設備；策略測試，即配置、啟用入侵檢測策略；口令測試，即修改為復雜口令，保存并重啟。

5.安全審計系統測試，安全審計系統測試內容包括加電測試，配置測試，接口測試以及策略測試和口令測試。具體的測試步驟也都是和入侵檢測系統測試相一致。

經過上述的測試之后，要使得系統達到預期成果，就需要設備啟動正常，配置保存成功，端口BYPASS 正常，設備配置正常，口令驗證正常。

六、結語

在對于廣播電視信息安全等級系統建立初期，應該明確每個階段的任務以及需要的基礎設備、而在建立了完善的信息安全等級制度之后應該做好相應的系統安全維護工作。相信在未來，廣播電視行業會擁有自己專業的網絡安全工程師，完整的網絡安全等級體系，將在互聯網中面臨的信息安全危險程度降到最低。