浅谈发射电台信息安全防护策略

王晓杭

一、引言

计算机及信息技术为代表第三次工业革命，使得信息技术成为各个行业运行的基石。信息技术越来越重要，由信息安全所产生的损失和影响也日益加剧。信息安全保障体系建设已经成为信息系统建设中的重要组成部分。无线电台的发展离不开信息技术，近年来，我台通过信息技术的运用，达到了办公无纸化，值班无人化，控制自动化。信息技术已经全面覆盖我台工作的各个部分，如何做好信息安全防护工作，建设完善合规的信息安全保护体系，保障信息系统的平稳运行，也就成为电台信息化日常工作的一项重要任务。

二、当前我台信息建设现状以及安全隐患

进过几年信息化建设，我台拥有核心机房一间，3个节点机房，各类服务器40多台，30多个网络节点，各类信息系统20多套，通过VLAN划分不同业务层，实现传输发射自动化及日常工作信息化。信息技术已经全面有效支撑我台的日常工作，具有便捷职工日常办公、规范工作流程、优化资源管理、保障设备安全稳定运行等特点，使我台的安全播出保障能力和业务管理水平大幅提升。信息化已经成为我台日常工作的重要基石。

在完善信息化系统过程中，信息安全问题也随之产生。信息安全问题多种多样，常见的有黑客入侵，拒绝服务攻击，蠕虫病毒，勒索病毒等方式。电台常见的网络问题有网络边界的攻击，病毒木马攻击，未授权的访问，通信线路故障，员工的不正确操作，硬件设备故障引起的系统异常等等。近年来又陆续建设了办公系统云桌面系统，服务器虚拟化，增加了物联网设备等，新技术运用对于传统信息安全防护方法提出新的挑战。如何有效建设信息安全保障系统，既能保证信息系统平稳不间断运行，又能及时响应新技术，新挑战，是我们信息工作人员需要关注的问题。

三、信息安全定义和工作策略

（一） 信息安全定义

信息安全是主要是指信息系统中的硬件、软件及其中的数据受到保护，不受意外的或者故意的原因而遭到破坏、更改或泄露，系统能够不中断，持续正常地运行。想要全面彻底解决信息安全问题就需要综合考虑，构建完整合规的信息安全保障体系。

（二） 电台的信息安全工作概述

发射电台信息安全防护策略首先应严格根据局端进行统一规划，统一部署，参考广播电视相关信息系统安全等级保护基本要求，制定信息安全工作的总体方针和安全策略，明确工作总体目标，范围，原则和安全框架等。发射台站应成立台站信息安全工作的小组，设立相应的职能部门。然后制定相关制度和规程，明确信息安全管理各项要求，形成由安全方针、管理制度、工作流程等构成的全面的信息安全保障体系，使得台站信息安全保护工作常态化，制度化。

（1）信息安全风险评估

在信息安全防护过程中，信息安全风险评估应放在第一位，是电台信息安全工作的基础和前提。信息安全的风险评估是指在信息系统中，统计每一种资源缺失或遭到破坏对整个系统造成的预计损失，是对威胁、脆弱点以及由此带来的风险大小的评估。对系统进行风险分析和评估的目的就是：了解系统当前与未来的风险所在，评估这些风险带来的可能安全威胁与影响程度，为安全保障策略的制定、信息系统的建设及系统平稳运行提供依据。

AHP层次分析法，是一种定性与定量相结合的多目标决策分析方法。其核心是量化决策者的经验，为决策依据提供定量依据。在实际工作中，可以参考层次分析法，以《广播电视相关信息系统安全等级保护基本要求》为标准，组织全体信息化工作人员，对台站信息系统进行风险评估，对各个系统进行打分统计，最终确定信息系统的脆弱点，以及由此产生的风险，为以后的信息系统的改造升级和运行提供判断依据。

（2）新技术，新问题，新应对

信息技术带来日新月异的变化，各类安全攻击层出不穷，根据《广播电视相关信息系统安全等级保护基本要求》进行信息安全防护，也只能做到基本覆盖。因为制度建立的滞后性，对新技术新威胁还未涉及，这就为信息安全防护工作提出新要求。信息安全防护也需要突破创新。如近年来虚拟化技术的使用，就对传统信息安全防护模式提出了挑战。虚拟化技术使信息资源虚拟化，集中管理模糊了信息系统之间的边界，增加了维护复杂度，使得传统信息安全防护措施失去作用。针对虚拟机技术，我台通过虚拟机管理平台，配置策略设置终端最小访问权限，架设亚信云防护系统，对虚拟机进行病毒查杀。

面对新技术，新情况，应以数据安全为核心，以应用安全为第一要务的原则，保证业务不间断，高质量运行。根据之前信息安全风险评估内容，在现有的信息安全防护体系下，对相应薄弱环节和新问题进行相应改造。在电台信息安全保护工作中，应做到基本合规，重点强化。根据等保要求，完成符合定级标准的信息安全防护措施，并视信息安全系统的重要程度，参考之前的风险评估，确立重点强化对象，提高信息安全总体防护水平。

（3）编制信息安全应急预案

完善发射台站的信息安全防护功能，应制定信息安全应急预案，并定期演练，强化部门的应急相应能力。随着信息安全防护水平逐步提高，在构建覆盖全台信息系统的信息安全防护机制后，信息安全事件相应减少，甚至几乎不发生。如何应对突发信息安全事件，保持并提升信息化工作人员应急水平是摆在电台信息工作中的又一个问题。我们的思路是制定详细周密的信息安全应急预案，通过定期演练学习，确保部门的信息安全应急响应能力。

（4）强化内部管理，提升全员安全防护意识

加强信息安全工作管理能力，强调信息安全建设过程中的人为因素。据不完全统计，信息安全事件中，近一半由单位内部员工引起的。发射台站的信息系统一般为全封闭、不对外公开的系统，针对内部信息安全防护应作为重点工作来抓。内部信息安全防范，应提升信息安全工作的管理能力，加强信息安全防护的宣传工作，增强工作人员的信息安全防护意识。在实际工作中，台站应定期开展信息安全培训，宣传信息安全事例，常念信息安全经，强化员工树立信息安全防护意识，也便于信息安全保障工作的开展。

（5）信息安全动态管理过程

信息安全是一门综合学科，即涉及科学技术，也强调管理运作。单方面的安全措施无法提供真正完整的信息安全。信息系统安全问题的解决更应该站在系统工程的角度构建一整套信息安全保障体系。这一体系建设应该是一个动态的逐步完善的过程。即在现有的安全保障体系的基础上，加强创新，统筹规划，不断改进，应对新挑战。电台的信息安全建设可以参考“戴明环”的管理模式：计划、实施、检查、行动。PDCA循环又叫戴明环，是全面质量管理所应遵循的科学程序。它包含有四个部分：计划Plan、实施Do、检查Check、行动Action。通过戴明环管理方式，整合单位所有信息系统资源，逐步分阶段改进信息安全防护体系，形成一个动态的，螺旋上升的信息安全防护闭环。

四、小结

信息安全防护伴随着信息系统发展而发展，并逐渐成为信息系统建设的一个重要组成部分。信息安全防护是一个系统工程，要全盘考虑。本文主要介绍我台信息系统的遇到的信息安全问題，应对这些问题的策略，以及在实施过程中需要考虑的注意事项。