浅议广电网络安全等级保护

任国彪 于杰龙

1.2.内蒙古广播电视网络集团有限公司 内蒙古 呼和浩特市 010051

引 言

《中华人民共和国网络安全法》明确了网络运营者必须将网络安全等级保护作为一项长期的基础工作，为国家信息安全提供持续性的保障。

广电行业高度重视网络安全等级保护工作，2011年，《广播电视相关信息系统安全等级保护定级指南》《广播电视相关信息系统安全等级保护基本要求》《广播电视相关信息系统安全等级保护测评要求》等行业标准发布，以指导广播电视行业相关信息系统安全等级保护定级、规划、建设、检查、测试评估等工作。

1 网络安全等级保护工作开展情况

内蒙古广播电视网络集团有限公司于2014年起开始开展信息系统定级、备案、等级测评等相关工作。测评信息系统涵盖广播电视传输网、宽带互联网系统、BOSS 系统、VOD 视频点播及媒资系统、门户网站系统、公共文化服务支撑系统、TVOS 前端系统等多个信息系统。

通过定期开展等级测评工作，内蒙古广播电视网络集团有限公司不断分析信息系统存在的安全问题，结合行业标准、国家标准和国家政策法规的要求，逐步确立并实现了内蒙古广播电视网络集团有限公司信息系统安全建设整改需求。

2 网络安全建设整改

网络安全等级保护安全建设整改是网络安全等级保护工作开展的后续情况，是对网络安全的进一步加固、防护。内蒙古广播电视网络集团有限公司信息系统安全建设工作，是以国家信息基础设施为核心，严格按照网络安全等级保护基本要求，坚持管理和技术并重的原则，根据实际业务情况的安全等级，实行分阶段、分等级保护和管理，保障了信息系统的正常运行，逐步推进了等级保护的整体防护工作。

构建分域的控制体系：系统的安全建设整改是以信息系统的整体架构为核心，依据定级时的业务信息安全等级和系统现状划分为不同的安全区域，以安全区域为单位进行安全防御技术措施的建设，各个安全区域内部还根据安全需求的不同进一步划分子安全域和三级安全域，子安全域和三级安全域的边界也采用了与同一级安全域相同的边界安全防护措施，从而构成了分域的安全控制体系。

构建纵深的防御体系：系统为了实现网络综合防控体系，以技术组合和功能互补为思路，从外到内建立了一套网络分区分域的多层次防御体系，采取不同安全域不同安全防护措施、同一安全区域统一化的防护原则，做到各安全域相互加强、补充，从整体上落实了信息系统网络安全等级保护制度的要求，提升了被建设信息系统的整体防护能力。

基于上述建设要点，信息系统在建设整改过程中部署了安全防护、安全监测、安全管理类设备：日志审计系统、运维审计系统、数据库审计系统、数据安全运维系统、web 应用防火墙、入侵检测系统、入侵防御系统等。上述设备的部署在达到行业、国家等级保护要求的同时，做到了《中华人民共和国网络安全法》对网络运营者提出的信息安全建设义务要求。网络运营者应当依据信息安全技术网络安全等级保护制度要求及安全保护义务，积极采取有利于网络安全的技术措施：包括网络安全产品的部署、监测、运维和管理，数据的备份和机密等措施，防范病毒攻击、数据被非授权窃取与篡改等网络和数据危害。

随着信息技术的发展，等级保护2.0 安全建设提出以“一个中心”管理、“三重防护”体系为核心，实现从不同层次、不同区域设计纵深防御体系，分别对所测信息系统分布在不同安全域的功能层面和组件的物理环境、计算环境、区域边界、通信网络体系进行集中技术管理，实施多层隔离和防护，避免单点失效以及某一个薄弱环节对整体防护安全的影响。同时，等级保护2.0 提出了以密码为基因的主动免疫可信计算，从可信计算环境、可信边界、可信网络通信方面构建主动免疫的安全可信防护体系。内蒙古广播电视网络集团有限公司将紧跟前沿技术要求，遵循新的安全技术框架、采取新的安全技术措施，确保关键信息基础设施安全。

3 网络安全服务

在对内蒙古广播电视网络集团有限公司网络信息系统进行整体安全建设时，除了要通过部署各区域的安全产品保障网络的安全性外，也要提出安全管理建设要求。等级保护2.0 中，也提出要把安全管理建设和安全技术建设结合起来，利用网络安全等级保护综合工作平台，更高效的维护网络安全，做到防止信息系统被非法访问、破坏，重要数据被非法窃取、篡改的可能。在网络安全新时代下，选择网络安全服务供应商提供的专业安全服务成为网络运营者保障网络安全的一种趋势。

内蒙古广播电视网络集团有限公司在信息日常运维过程中，引入安全漏洞评估、渗透测试、源代码审计、安全配置评估、安全策略定制、安全加固支持、网络架构优化、恶意样本分析、日志安全分析、协议分析、系统安全事件的实时监测、互联网应用安全监测、应急响应等服务，将管理、技术、运维有机结合在安全服务里，使等级保护工作日常化、常态化。围绕系统全生命周期提供安全管理类服务、安全技术类服务和安全运行类服务，通过安全建设服务，实现以下防护目标：

同步建设：采购网络安全服务，从软件开发、系统建设阶段即实现“同步规划、同步设计、同步实施”的三同步原则，将安全建设工作与信息化建设工作结合，逐步实现安全常态化，从而提升广电网络整体信息安全水平。

动态调整：采购网络安全服务，定期开展各类测试评估，及时进行策略配置调整、漏洞修复、补丁升级等，确保防护措施的有效性、合规性。

持续监测：通过开展系统安全监测、系统日志、协议等数据定期分析，实现网络主动发现、主动防护、应急处置、整体防护的能力，变静态防护为动态防护，变被动防御为主动防御，变多个单点防护为综合防控、整体防护，建设事前感知、监测、预警、处置的网络安全防控体系。

4 结束语

网络安全等级保护工作是有效促进国民信息安全的基础，积极开展等级测评工作，依据等级保护制度提出的一整套安全要求，是推进网络安全整体防护水平的有效措施。网络安全等级保护安全建设整改工作是网络安全等级保护工作的体现和目的。通过网络安全建设服务，可为网络安全工作持续发展注入活力，同时对广电行业关键信息基础设施的正常、稳定、可靠运行，乃至更好维护国家网络安全将起到重要作用。