淺談廣播制播系統(tǒng)信息安全等級保護(hù)工作的實施

朱羽 謝軍 蘇州市廣播電視總臺

1.引言

《中華人民共和國網(wǎng)絡(luò)安全法》自2017年6月1日起施行，此法令是網(wǎng)絡(luò)安全領(lǐng)域里基礎(chǔ)性的立法?！稄V播電視安全播出管理規(guī)定》（又稱62號令）經(jīng)國家廣播電影電視總局2009年12月4日局務(wù)會議審議通過，并從2010年2月6日起施行。為了貫徹落實國家信息安全等級保護(hù)制度，并嚴(yán)格落實廣電總局62號令實施安全播出管理規(guī)定，各級廣電部門必須結(jié)合自身情況，按照廣電總局頒布的《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級指南》(GD/J 037-2011) [1]對自身相關(guān)系統(tǒng)進(jìn)行定級，并根據(jù)相關(guān)細(xì)分要求，進(jìn)行信息安全等級保護(hù)加固改造。本文從五個方面介紹了蘇州廣電廣播制播系統(tǒng)等級保護(hù)工作實施過程。

2.等級保護(hù)工作的介紹

網(wǎng)絡(luò)安全等級保護(hù)的概念

（1）對國家、法人和其他組織與公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)；

（2）對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理；

（3）對信息系統(tǒng)中發(fā)生的網(wǎng)絡(luò)安全事件分等級響應(yīng)、處置。

3. 等級保護(hù)工作的實施步驟

表1 廣播中心播出相關(guān)信息系統(tǒng)等級安全保護(hù)等級

以蘇州廣播電視總臺制播系統(tǒng)信息安全等級保護(hù)改造工程為例，從系統(tǒng)定級、規(guī)劃設(shè)計、安全評測、安全整改、安全管理建設(shè)五個方面，探討如何針對廣播系統(tǒng)開展信息安全等級保護(hù)工作。

3.1 系統(tǒng)定級

系統(tǒng)的定級，應(yīng)按照廣電總局發(fā)布的定級指南要求，劃分播出相關(guān)信息系統(tǒng)的安全保護(hù)等級。

廣電總局于2011年5月發(fā)布了行業(yè)信息安全規(guī)范性技術(shù)文件：

《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級指南》（GD/J 037-2011）[1]

按照定級指南，廣播播出系統(tǒng)相關(guān)信息系統(tǒng)安全保護(hù)等級如表1所示。

蘇州市廣播電視總臺廣播制播系統(tǒng)（制作與播出系統(tǒng)，區(qū)別于表1中的新聞制播系統(tǒng)）定級為三級。三級系統(tǒng)需向公安部備案，獲得公安部發(fā)放的《信息系統(tǒng)安全等級保護(hù)備案證明》。

3.2 規(guī)劃設(shè)計

根據(jù)《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求》（GD/J 038-2011）[2]，制定符合自身系統(tǒng)定級情況的技術(shù)要求。

等級保護(hù)基本要求邏輯圖見圖1。

圖1 廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求

（1）基本技術(shù)要求

√關(guān)鍵網(wǎng)絡(luò)設(shè)備配置冗余

√信息系統(tǒng)合理劃分網(wǎng)絡(luò)安全域

√同一安全域內(nèi)重要網(wǎng)段與其他網(wǎng)段之間采取技術(shù)隔離手段，如防火墻。

√網(wǎng)絡(luò)設(shè)備要開啟審計功能，并有日志記錄。

√應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別

√網(wǎng)絡(luò)設(shè)備關(guān)閉不必要的端口

√繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

（2）邊界安全

√在網(wǎng)絡(luò)邊界部署訪問控制，配置安全策略。

√邊界的訪問控制——防火墻

邊界惡意代碼檢測與防范——防病毒網(wǎng)關(guān)

邊界入侵檢測與入侵防御——IDS/IPS/流量控制

邊界基于協(xié)議的網(wǎng)絡(luò)審計——網(wǎng)絡(luò)安全審計

√通過外部網(wǎng)絡(luò)對信息系統(tǒng)進(jìn)行訪問要根據(jù)需要采用數(shù)字證書等強認(rèn)證方式，并對用戶權(quán)限進(jìn)行管理。

（3）終端安全

√身份鑒別：用戶名、口令

√訪問控制：設(shè)定用戶和IP權(quán)限；禁用U盤；關(guān)閉不必要的服務(wù)和端口。

√入侵防范：系統(tǒng)最小化安裝；系統(tǒng)補丁及時更新。

√惡意代碼防范：安裝防病毒軟件，三級以上系統(tǒng)應(yīng)具備統(tǒng)一集中管理功能的防惡意代碼軟件。

√終端安全管理系統(tǒng)

（4）主機和應(yīng)用安全

與上述類似的，應(yīng)做到身份認(rèn)證、訪問控制、安全審計、入侵防范和惡意代碼、資源控制以及冗余配置。其中三級系統(tǒng)以上，要做到重要用戶雙因素認(rèn)證。

（5）數(shù)據(jù)安全與備份恢復(fù)

√數(shù)據(jù)完整性：應(yīng)能檢測到用戶身份鑒別信息、調(diào)度信息、播出節(jié)目等重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。

√備份與恢復(fù)：應(yīng)能對重要業(yè)務(wù)數(shù)據(jù)進(jìn)行備份和恢復(fù)。最好能異地備份。

（6）安全管理中心

針對三級以上系統(tǒng)，應(yīng)具備安全管理中心。安全管理中心具備運行監(jiān)測、安全管理、審計管理（安全審計日志的集中管理，對于90天以上的審計日志歸檔保存，至少保存一年以上）

（7）物理安全

物理安全包括：物理位置選擇、物理訪問控制、防盜防破壞、防雷防火、防水防潮、溫濕度控制、電力供應(yīng)、電磁防護(hù)等方面。

（8）管理安全要求

管理安全要求涵蓋：管理制度、崗位設(shè)置、人員配備、人員考核、外部人員訪問管理、系統(tǒng)測試驗收、系統(tǒng)交付、系統(tǒng)備案、設(shè)備管理、應(yīng)急預(yù)案等多方面。

3.3 安全測評

廣電總局2012年11月發(fā)布了行業(yè)信息安全測試規(guī)范性技術(shù)文件，《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)測評要求》（GD/J 044-2012）[3]，按照要求招標(biāo)具備資質(zhì)的測評公司（具備信息安全等級保護(hù)測評機構(gòu)推薦證書）對系統(tǒng)進(jìn)行測評，如未通過等保測評，則由測評公司開具整改報告，根據(jù)整改實施方案進(jìn)行限期整改，整改完畢后進(jìn)行復(fù)測，直至通過測評（測評結(jié)果為符合、基本符合），測評公司出具測評報告，一式兩份，并蓋測評公司章。

評測結(jié)論：

√符合：等級評測結(jié)果中不存在部分符合或不符合項

√基本符合：等級評測結(jié)果中存在部分符合項或不符合項，但不會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險

√不符合：等級評測結(jié)果存在部分符合項或不符合項，導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險

測評結(jié)果必須在基本符合以上，蘇州廣播制播系統(tǒng)經(jīng)過測評存在以下問題：

（1）主機與終端安全方面：系統(tǒng)存在不必要的端口打開和不必要的服務(wù)開啟等問題、操作系統(tǒng)和數(shù)據(jù)庫未啟用登錄失敗處理功能、網(wǎng)絡(luò)設(shè)備未關(guān)閉不必要的端口；

（2）邊界安全方面：系統(tǒng)內(nèi)未部署入侵檢測與入侵防御設(shè)備（如IDS/IPS）、未配備網(wǎng)絡(luò)安全審計；

（3）主機與應(yīng)用安全：服務(wù)器端未為不同用戶分配不同權(quán)限的用戶名、未進(jìn)行服務(wù)器訪問的雙因素認(rèn)證、缺少服務(wù)器的登錄與操作記錄審計以及審計記錄保存時間不達(dá)標(biāo)；

（4）管理安全要求方面：安全管理制度需要繼續(xù)完善、記錄及證據(jù)類記錄不足。

3.4 安全整改

根據(jù)測評公司出具的《蘇州市廣播電視總臺播出信息安全等級保護(hù)整改實施方案》進(jìn)行整改。整改內(nèi)容分為兩個部分：

（1）第一部分是可以通過系統(tǒng)管理人員修改設(shè)置達(dá)到加固系統(tǒng)并符合測評要求的。蘇州廣播制播系統(tǒng)測評結(jié)果中，針對主機和終端安全、以及主機與運用安全上的未涉及到增加設(shè)備的不達(dá)標(biāo)項，整改過程由管理員根據(jù)測評公司出具的整改意見，按要求逐條整改。

（2）第二部分是針對系統(tǒng)測評需要增添設(shè)備項，如邊界安全中需要部署入侵檢測和入侵防御設(shè)備，以及需配置網(wǎng)絡(luò)安全審計，則在整改過程中通過招標(biāo)購買相關(guān)設(shè)備。蘇州廣播制播系統(tǒng)整改過程中添置了H3C的智能管理中心平臺（具備全網(wǎng)資源和設(shè)備管理、拓?fù)涔芾?、告警和性能管理等功能）如圖2、綠盟科技的入侵檢測系統(tǒng)IDS和安全審計系統(tǒng)（堡壘機）如圖3。

圖2 H3C智能管理中心平臺

圖3 安全審計系統(tǒng)（上）與入侵檢測系統(tǒng)（下）

圖4 信息安全管理體系架構(gòu)示意圖

3.5 安全管理建設(shè)

（1）安全管理體系框架

蘇州廣播根據(jù)信息系統(tǒng)安全等級保護(hù)的總體思想，結(jié)合信息系統(tǒng)管理的特點，提出信息系統(tǒng)安全管理體系框架，如圖4所示。

（2）安全管理制度匯編

安全管理制度是對安全管理活動進(jìn)行指導(dǎo)的基礎(chǔ)，是對安全管理行為的規(guī)范。在安全管理過程中，主要涉及到組織、人員、對象和活動等要素，因此，安全管理制度的制定，應(yīng)圍繞這些要素進(jìn)行。根據(jù)安全管理需求，結(jié)合等級保護(hù)要求，安全管理制度匯編應(yīng)該包括信息系統(tǒng)全生命周期中的如下方面：

√安全管理機構(gòu)、崗位及其安全管理職責(zé)文件

√人員安全管理方面的安全管理制度

√物理環(huán)境方面的安全管理制度

√資產(chǎn)管理制度

√信息系統(tǒng)建設(shè)過程的安全管理制度

√系統(tǒng)運行安全管理制度

√安全事件處置和應(yīng)急管理制度

4.總結(jié)

在網(wǎng)絡(luò)信息化快速發(fā)展的潮流下，信息網(wǎng)絡(luò)的安全愈加顯得重要，尤其從2017年出臺的網(wǎng)絡(luò)安全法來看，國家對信息安全的重視程度已經(jīng)上升到法律層面。廣電行業(yè)不僅要根據(jù)網(wǎng)絡(luò)安全法加固自身網(wǎng)絡(luò)信息系統(tǒng)，還要加強對信息安全重要性的認(rèn)識，提升自己的信息安全保障能力，以更好地為安全播出服務(wù)。