广播电视业务信息安全等级保护工作探讨

杨建国 张祎博 北京市房山区融媒体中心

一、广播电视业务信息安全现状

广播电视的输出平台多为电视台，确保节目的安全播出也一直是电视台工作的核心任务之一。随着互联网时代的到来，由于传统的广播电视机构缺乏专业的信息安全保护部门，经常出现被其他外来网络攻击的情况，广播电视机构内部的信息安全问题也受到了极大的挑战。

目前广播电视机构遭受到的网络攻击呈现出了组织化且攻击方式多种多样，这更使得机构内部非专业的信息安全维护人员的工作完成得十分艰辛。因此，在国家网络安全和相关信息安全等级保护法律的推动下，行业内各大机构纷纷开设了机构内部的信息安全管理部门，虽然成立了信息安全保护部门，但其中的人员大多都是从其他部门调任过去的，他们并没有信息安全维护的经验和能力，有的甚至还在兼任两个部门的工作，这更加使得信息安全保护项目难以被继续向前推行。

一方面在于广电机构人员是否具有具备专业技术的信息安全工程师，另一方面在于机构内部十分老旧的基础设施。有的基础设施十分老旧，带宽完全不能承载大量数据负荷，再加上工作人员的不专业，还会出现原有系统卡顿、不流畅的情况。

要想解决上述问题，势必要引进先进的计算机技术和专业的网络安全工程师，同时还应该建立完善的信息安全等级制度，明确内部员工的职责所在，创建一个相互协作又在统一管理之下的信息安全等级保护体系和组织。

二、信息安全等级保护制度及系统定级

我国信息安全等级保护是对信息和信息载体的信息安全保障体系中的关键一环。目前，等级安全保护是在中国和美国等多个国家都存在的一种信息安全工作。在我国，信息安全等级保护在广义上一般涉及该工作的执行标准、产品特性以及系统自身等方面的等级保护思想的安全工作，在狭义上一般就是指通常意义上的信息系统安全等级保护。信息安全等级保护工作包括五个阶段的工作，分别是定级、备案、安全建设和整改、信息安全等级测评、信息安全检查阶段。

在我国对信息安全系统的定级主要是依照国家级《信息系统安全等级保护定级指南》为依据来进行的，此外还有广播电视行业的《广播电视相关信息系统安全等级保护定级指南》为依据。

国家对于信息安全的定级的标准主要来源于两个方面，第一个方面是等级保护所保护的对象受到攻击时对其造成破坏的第三方，第二个方面是其对第三方造成破坏的程度。但是人们在判别破坏程度的时候通常会出现主观判断情况，因为一个人对一件事物的看法都不会是一成不变的，所以为了公平这一原则，就有了属于广播电视行业的信息系统安全等级保护标准。它主要是关于广播电视的制作、编辑、传播等方面来制定的。如表1 中，就可以直观地定义出应该属于是哪一级，例如如果是国家级的播出系统就是第四级。

表1 广播电视相关信息安全保护等级

如表1 所示，国家级的播出系统就属于第四级，省级、省会城市、地市级以下的都属于是第三级。而我国现有的信息安全保护等级总共是被划分成了五个级别。第一级是指对公民和法人或其他机构造成破坏，但没有损害国家和公共利益的情况；第二级是对公民和法人或其他机构造成严重破坏或者是其对社会利益会造成一定程度的影响，但不存在危害国家的情况；第三级是指对社会秩序和公共利益造成严重破坏的，或是关乎国家的情况；第四级是指社会和公共秩序都受到了特别严重的破坏，对国家层面也造成了严重影响的情况；第五级是指直接对国家造成严重破坏的情况，这五个等级的利害关系程度是依次递增的。

三、等级保护工作的实行

在信息等级安全保护工作实行的过程中，可以发现，其主要涵盖部门管理、技术人员的思想意识以及技术三大层面，以下将对这三个方面进行详细的论述。

（一）管理层面

广播电视要做好信息安全的保护工作，拥有一个强有力的团队是必不可少的。我国广电总局也明确指出了在开展信息安全保护工作的过程中，组织中管理人员应该统筹好人员安全、系统安全以及系统维护管理各个方面的工作，而目前大多数的广播电视机构都没有属于自己的信息安全管理部门，在现有的人员中也没有专业的信息安全管理人员。虽然说一些大型的广播电视机构有，但是其部门内部的分工还不够明确，员工对自己的职责也不够清晰明确，还有很多进步的空间。

另外管理人员还应该对安全信息的组织架构进行整体规划，其中主要的就是安全系统领导组、安全系统管理部门，安全系统维护部门以及具体实施部门。从成员管理、系统运行以及维护等出发，来建设一个强有力的维护信息安全的专业队伍。

（二）思想意识层面

由于广播电视机构的网络大多属于是内部网络，在进行信息传输的时候也不需要连接外网，这也造成了很多员工的意识偏差。他们认为只有外来入侵才会对自身造成破坏，而自己用的是机构的内网，不会存在信息安全问题，然而他们并没有意识到大多数的信息安全问题都是从机构内部产生的。所以只有纠正从业人员自身对于信息安全来源的思想意识偏差，才能改变他们的工作态度，提高信息安全的建设效率。

（三）技术层面

传统的广播电视行业都是通过电视向人们传输信息的，而从互联网时代到来之后，传统的广播电视行业才逐步进军向互联网行业发展。正是如此，广播电视行业现有的人员大多是具有广播电视技术的专业人才，掌握互联网技术的人才却很稀薄。所以虽然广播电视行业有自己的技术团队在进行网络信息安全相关方面的安全维护，但是与专业的互联网团队相比，还存在着一定的差距。

除了人员技术掌握程度方面的差距以外，还有基础设施条件方面的差异，比如一些老旧的设施无法达到等级保护的标准，未及时更新的系统也无法承担日志输出和审计的功能。因此就需要利用加入网络审计设备这样的辅助手段来对网络流量进行统计，实时记录设备的状况，以此完成审计目标。

除了以上在管理、思想和技术方面的要求以外，在实施等级保护制度时还应该根据《信息系统安全等级保护实施指南》中明确的几个基本原则。首先是自主保护原则，广播电视机构内部应该制定自己的信息安全保护准则，自行对自身内部的信息安全进行保护；其次是重点保护准则，广播电视机构内部自行划分业务安全程度等级，将安全程度较高的项目应该予以重点保护；第三是同步建设保护原则，在机构内部建设系统的同时，应该同步增设相应的信息安全解决方案，要让建设和维护同时进行；第四是动态调整原则，广播电视机构内部要审时度势，根据时局的变化和技术的进步来变换自己的信息安全保护制度和技术标准。

四、信息安全体系结构

对于信息安全等级的保护体系，广电总局已在相关材料中明确指出安全等级所需要的技术要求和管理要求。详情见表2。

表2 广播电视信息安全等级保护相关要求

第一，对于基础网络安全方面的技术要求，首先需要能够掌握将处于同一局域网中的核心网段和其他不相关的网段相隔离开，也就是我们通常所说的防火墙。其次是能够开启网络设备中的审计功能和在线传输日志的功能，能够绘制系统的时实拓扑图，在用户登录时对用户的身份及时鉴别并做出应答。

第二，对于边界安全方面的技术要求，主要是对于边界的部署，能够防止外部病毒的入侵，及时检测出来边界恶意代码，并予以驱逐。同时也要提供防火墙，隔绝外来入侵。

第三，对于终端安全方面的技术要求，最主要的工作就是对登录用户的身份进行鉴别，控制访客的进入，除了用户本人，其他的IP 都禁止登陆。

第四，对于主机的安全应用方面的技术要求，与上述的几个技术要求相类似，处理用户登录，在运行的过程中检测外来恶意代码入侵，建立防火墙，阻止外来恶意代码入侵。在非用户IP 登陆时禁止进入，同时予以安装杀毒软件，与防火墙起到协同合作的作用。

第五，在数据安全与备份方面的技术要求，这一点从两个方面来入手，首先是确保信息传输的完整性，其次是信息的备份与恢复。当受到外界强烈攻击时，边界应建立起多个防火墙，以确保信息在传输过程中受到破坏，用户数据意外丢失时应留有备份。

对于不同的安全等级危害应该用不同的方案进行处理，对于三级以上的就应该给予重点防护，以保证信息安全系统的整体安全，不被破坏。所以我们需要掌握以下几个重要技术：

（1）加密解密技术，在安全的载体中传输时可以不需要对传输的内容进行加密，但在有的时候也存在着处于信息安全危机的网络环境中，在这种环境下，为了使传输的内容不会被盗窃，就需要对传输的信息内容进行加密。不仅需要对内容进行加密，而且还要加强密匙的保护，以防止加密内容被窃取。

（2）VPN 技术，VPN 一般是指机构内部的网络，一般只有已被授权信任的网络地址才能连接，如果外部人员想要或是内部人员在外部成功地用某一个机构的内部网络，就需要通过VPN 之后进行授权之后才能成功地使用。

（3）防火墙技术，防火墙通常情况下被认为是对外来网络的隔断，事实上防火墙对于内部网络与内部非法访问也存在一定的隔断作用，主要就是从内到外的保护系统主机不受破坏。

（4）入侵检测技术，也是对防火墙起到加辅作用，提高了信息安全系统结构的完整性。配置入侵检测设备的基本信息主要包括：攻击趋势图、系统监视、系统状态、流量趋势图、检测统计、网络接口信息组成，显示设备运行的整体情况，设备配置等信息

（5）安全审计技术，审计为了加强网络安全审计能力，有效追溯信息安全事件，应启用全部网页浏览、网络言论、数据库访问等安全审计策略。配置安全审计系统的状态信息包括：系统状态、设备引擎信息、设备版本信息、接口配置等内容。

在建立完善的信息安全体系结构之前，应该做好每个环节的预备工作，将每个细节重视起来，才能确保安全体系的完美搭建。

五、信息安全系统的测试

为了确保信息安全系统能够达到预期的理想效果，就需要对系统进行提前测试。一方面，是进一步确保设备运行正常；另一方面，也是进一步验证设备集成调试实施工作的正确性、可靠性和稳定性。

测试内容主要包括本项目集成实施的设备包括：交换机、防火墙、防病毒网关、入侵检测设备、网络安全审计等，各类设备将逐一按照测试内容、测试步骤以及测试预期，进行设备配置测试。

1.交换机测试，交换机的测试内容包括加电测试，即给设备通电启动测试；配置测试，即配置接口、策略等之后再重新启动系统；接口测试，即测试任意接口简介终端设备，端口状态指示灯、速率等正常；口令测试，即修改为复杂口令，保存并重启。

2.防火墙测试，防火墙测试内容包括给设备通电启动测试、配置测试、接口测试以及口令测试。其测试的内容和方式都和交换机的测试内容相一致。

3.防毒网关测试，防毒网关测试内容包括加电测试，即通电、启动设备；配置测试，将配置接口、策略等配置后，保存并重启设备；接口测试，即将设备断电，检验交接端口组BYPASS 功能；策略测试，即配置防病毒策略，保存、配置导出操作正常；口令测试，修改为复杂口令，保存并重启。

4.入侵检测系统测试，入侵检测系统测试内容包括加电测试，即通电、启动设备；配置测试；即配置接口、策略等配置后，保存并重启设备；接口测试，即配置监听接口、保存配置后，保存并重启设备；策略测试，即配置、启用入侵检测策略；口令测试，即修改为复杂口令，保存并重启。

5.安全审计系统测试，安全审计系统测试内容包括加电测试，配置测试，接口测试以及策略测试和口令测试。具体的测试步骤也都是和入侵检测系统测试相一致。

经过上述的测试之后，要使得系统达到预期成果，就需要设备启动正常，配置保存成功，端口BYPASS 正常，设备配置正常，口令验证正常。

六、结语

在对于广播电视信息安全等级系统建立初期，应该明确每个阶段的任务以及需要的基础设备、而在建立了完善的信息安全等级制度之后应该做好相应的系统安全维护工作。相信在未来，广播电视行业会拥有自己专业的网络安全工程师，完整的网络安全等级体系，将在互联网中面临的信息安全危险程度降到最低。