昌邑市广播电视台网络安全等级保护三级建设方案

姜言同

昌邑市融媒体中心 山东潍坊 261300

摘要：随着我国科学技术的不断发展,计算机网络的应用也更加的广泛,在这个过程中,广播电视台整个系统在网络数据传输上也暴露出了一些问题,这些安全隐患,对于广播电视台的发展是一种潜在威胁,并且严重影响到广播电视台的安全播出。所以为了更好的保障广播电视台网络数据传输的安全性以及效率,确保节目的安全播出,我们应加强对于广播电视台网络数据安全传输相关技术的探讨。文章围绕广播电视台网络安全等级分析，建立网络安全等级保护方案。

关键词：广播电视台；网络；安全；保护

1、项目背景

作为信息技术与广电行业技术相结合的产物，广播电视台网络化制播环境有着明显的信息技术本身的特点，互联网既带来了传统系统未有的优势，也带来了传统系统没有的安全难题。因此网络安全工作的重要性日益彰显，根据公安部《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安［2010］303号）和《广播电视相关信息系统安全等级保护测评要求（GD/J 044-2012）》的相关要求以及国家广电总局于2011年颁发的《广播电视安全播出管理规定》(总局令第62号)，明确提出要开展信息系统等级保护工作。 2020年8月，山东省广播电视局为更好地贯彻落实网络安全管理责任，委托总局广播电视中心对我中心进行了网络安全现场检查，发现专业人员缺乏、资金保障不足，网络安全能力欠缺，因此完成网络安全等级保护迫在眉睫，需要尽快完成等级测评与网络安全的整改。

2、需求分析

2.1安全技术需求分析

2.1.1安全计算环境需求分析

计算环境的安全主要是主机以及应用层面的安全风险与需求分析，包括：身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面。

根据昌邑市广播电视台系统自评估结果，现网如要达到等级保护三级关于安全计算环境的要求，还需要改进以下几点：

数据库审计：昌邑市广播电视台电视制作播出系统和广播制作播出系统缺少针对数据审计监管技术，无法集中实现针对数据库的操作行为进行细粒度审计，发生网络攻击事件后，无法针对数据库的操作行为进行追踪溯源，需要部署专业的数据库审计设备。

运维堡垒机：昌邑市广播电视台现网系统的维护操作普遍没有利用堡垒机等运维工具实现集中管理，运维终端直接连接服务器实施操作，对异常登录和维护操作缺乏有效监管手段，管理维护操作没有实现全程记录。除此之外，昌邑市广播电视台现网系统都未实现管理员对网络设备和服务器管理时的双因素认证，计划通过部署堡垒机来实现。

主机审计：昌邑市广播电视台现网主机普遍存在“弱口令”漏洞，除普通口令设置简单外，普遍存在将键盘上连续的字符组合作为口令的情况，形式上满足口令多种组合的要求，但实质上极易被暴力破解密码字典覆盖，如 123qwe！@ #等。同时，也存在多个相关主机设置为同一个口令，口令被攻破后，造成多台主机轻易受控。昌邑市广播电视台现网系统主机自身安全策略配置不能符合要求，计划通过专业安全服务实现服务器整改加固。

在安全事件发生后，对攻击过程溯源时，主机系统日志是重要的依据。但是往往受损主机系统日志功能未被启用，产生的日志缺少集中备份处理和统一分析工具，造成有效日志缺失， 给事后分析带来了困难。

主机病毒防护：昌邑市广播电视台广播制作系统未安装主机防病毒软件，容易造成病毒、木马和蠕虫等攻击，所以，昌邑市广播电视台广播制作系统缺少主机防病毒的相关安全策略，需要配置主机防病毒系统。

2.1.2安全区域边界需求分析

区域边界的安全主要包括：边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。

根据昌邑市广播电视台系统自评估结果，现网如要达到等级保护三级关于安全区域边界的要求，还需要改进以下几点：

边界访问控制：需要优化网络结构，根据昌邑市广播电视台业务情况合理划分安全域，合理划分网段和VLAN；对于重要的信息系统的网络设施采取冗余措施；访问控制需要在构建安全计算环境的基础上，依托防火墙安全设备进行访问控制。昌邑广播电视台广播制作系统需要在边界部署下一代防火墙实现边界访问控制。

边界入侵防范：昌市邑广播电视台广播制作系统没有实现边界攻击防护，攻击行为包括端口扫描、暴力破解、远程登录和实施攻击破坏等多个环节，需要新增下一代防火墙IPS功能模块来实现边界应用层攻击。

恶意代码防范：主机恶意代码防护通过部署终端病毒查杀软件实现，网络边界恶意代码防护需要部署防毒墙或下一代防火墙开启AV防病毒功能进行恶意代码防护，并且要求网络层与主机的恶意代码库不同。

2.1.3安全通信网络需求分析

通信网络的安全主要包括：网络结构安全、网络安全审计、网络设备防护、通信完整性与保密性等方面。

根据昌邑市广播电视台系统自评估结果，现网如要达到等级保护三级关于安全通信网络的要求，还需要改进以下几点：

网络审计：如果有些管理用户出现误操作，将给昌邑广播电视台信息系统带来致命的破坏。没有相应的审计记录将给事后追溯带来困难。有必要进行基于网络行为的审计。同时可以震慑有恶意企图的少部分用户，利于规范正常的网络应用行为。

关键网络设备冗余：针对线路或设备的单点故障问题，需要采取冗余设计来确保系统的可用性。

2.1.4安全管理中心需求分析

“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术措施外，安全管理是保障安全技术手段发挥具体作用的最有效手段，安全管理中心是实现安全管理的有力抓手。

根据昌邑市广播电视台系统自评估结果，现网如要达到等级保护三级关于安全管理中心的要求，还需要改进以下几点：

现网没有一个能对全网设备进行集中管控的能力，缺少对现网网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测，缺少对网络中的安全设备或安全组件进行管理，缺少对各个设备上的审计数据进行收集汇总和集中分析，不能保证审计记录的留存时间符合法律法规要求。

2.2安全管理需求分析

从等保思想出发，技术虽然重要，但人才是安全等级保护的重点，因此除了技术措施，昌邑市广播电视台还需要运用现代安全管理原理、方法和手段，从技术上、组织上和管理上采取有力的措施，解决和消除各种不安全因素，防止事故的发生。需要优化安全管理组织，完善安全管理制度，制定信息系统建设和安全运维管理的相关管理要求，规范人员安全管理。

3方案总体设计

3.1安全区域划分

昌邑市广播电视台系统的安全建设核心内容是将网络进行全方位的安全防护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护。因此，安全域划分是进行信息安全等级保护的首要步骤。需要通过合理的划分网络安全域，针对各自的特点而采取不同的技术及管理手段。从而构建一整套有针对性的安全防护体系。选择这些措施的主要依据是按照等级保护相关的要求。

安全域是具有相同或相似安全要求和策略的IT要素的集合，是同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。

3.2方案设计框架

本方案将严格根据技术与管理要求进行设计。首先应根据本级具体的基本要求设计本级系统的安全防护体系，根据《网络安全等级保护安全设计技术要求》，安全防护体系按照安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计，内容涵盖基本要求的5个方面。同时结合管理要求，形成如下图所示的保护环境模型：

4安全管理体系设计

安全体系管理层面设计主要是依据《网络安全等级保护基本要求》中的管理要求而设计。分别从以下方面进行设计，计划通过昌邑市广播电视台和专业安全服务共同实现：

4.1安全管理制度

根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是具有可操作性，且必须得到有效推行和实施的制度。

制定严格的制定与发布流程，方式，范围等，制度需要统一格式并进行有效版本控制；发布方式需要正式、有效并注明发布范围，对收发文进行登记。

信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定，定期或不定期对安全管理制度进行评审和修订，修订不足及进行改进。

4.2安全管理机构

根据基本要求设置安全管理机构的组织形式和运作方式，明确岗位职责；

设置安全管理岗位，设立系统管理员、网络管理员、安全管理员等岗位，根据要求进行人员配备，配备专职安全员；成立指导和管理信息安全工作的委员会或领导小组，其最高领导由监所主管领导委任或授权；制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。

建立授权与审批制度；

建立内外部沟通合作渠道；

定期进行全面安全检查，特别是系统日常运行、系统漏洞和数据备份等。

4.3人员安全管理

根据基本要求制定人员录用，离岗、考核、培训几个方面的规定，并严格执行；规定外部人员访问流程，并严格执行。

4.4系统建设管理

根据基本要求制定系统建设管理制度，包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面，从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。

4.5系统运维管理

根据基本要求进行信息系统日常运行维护管理，利用管理制度以及安全管理中心进行，包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等，使系统始终处于相应等级安全状态中。

结束语

目前我国针对广播电视台网络数据传输安全方面最重要的是实现安全和效率同在,同时充分利用内外网安全隔离传输技术以及相关的安全系统,为广播电视台行业建立起网络安全防控体系,只有这样,才能更好的加强对于网络数据传输的安全防控,尽可能的消除目前网络数据传输中的安全隐患,更好的保障广播电视台节目的顺利播出,为我国广播电视行业的稳定发展提供一定的支撑。

参考文献

[1]王健.融媒体平台网络安全体系建设实例浅析[J].中国有线电视,2021(05):500-504.

[2]祁江波,刘尚玖.重庆网络广播电视台网络安全攻防实战演习总结[J].广播电视信息,2021,28(04):59-61.

[3]郭廓.浅谈广播电视台网络数据的安全传输[J].数字通信世界,2021(01):212-213+225.