浅谈广电关键信息基础设施安全防护工作

四川省遂宁市广播电视台唐好

关键词等级保护；关键信息；网络；安全

我国网络和信息安全在发展之初确实既是监管的重点又是难点，也不可否认法律有缺位的时候，直到《网络安全法》的颁布实施。《网络安全法》明确了安全义务、责任和处罚措施，在一定程度上，保护了个人，也保护了运营机构。然而，结合单位实际真正制定并实施好等级保护相关工作，特别是按照等级保护制度2.0时代的要求，把网络和信息安全管理形成制度和常态，勤抓不懈，才能真正为广电媒体筑起一道坚固的防火墙，全力保障网络信息安全。

1划定关键信息基础设施保护等级

关键基础设施是指社会经济运转所严重依赖的产品、服务、系统和资产总和，一旦这些设施遭到破坏，会对国家安全、经济稳定和公众安全产生严重影响。具体到关键信息基础设施，可以概括为信息基础设施中的关键部分和关键基础设施中的信息部分，前者通常包括电信网络、广播电视网络、域名系统、电子签名认证系统等，后者即我们通常所说的重要信息系统。

根据以上图例，广播电视的播出管控，包括新媒体平台的播出管控应属于关键信息基础设施，结合对客体的侵害程度，市级媒体的广播电视台网络和信息安全防护等级，应该按照三级等保的要求，不仅要做好等级保护备案、定级、测评、整改、复测直至获取证书的系列工作，也要根据关键信息基础设施履行的安全保护义务内容，做好包括网络安全教育、技术培训、容灾备份、应急演练、责任落实、日志审计管理等在内的常态管理工作。

2基于现有系统组成的分析

要针对现有系统和构架进行认真分析，根据业务和功能的安全边界、逻辑联系，对功能独立的系统、功能存在交集的系统以及混合业务系统进行区域划分。按照《广播电视相关信息系统安全等级保护基本要求》，构建起以安全策略为核心，管理体系、技术体系和运维体系共同支撑的信息安全保障体系，并且基于网络和系统进行安全检查和评估的基础上，划定系统边界，区分不同安全域，增强灾难发生时抑制点的作用，这既是有效的抗渗透的防护方式，也能有效防止影响的扩散。广电媒体安全域的划分可以有业务办公区、OA办公区、新媒体系统区、融媒体平台系统区，甚至包括媒体资产管理和网络平台播出等区域。在基于对现有系统组成的仔细分析的基础上，划定安全边界和安全域，有针对性地实施安全防护工作。

3信息安全分层防护

广播电视信息安全技术体系规划应结合信息系统现状、安全需求和业务发展实际需要，做好信息安全技术规划相关工作，也可以划分七个安全域进行管理：互联网接入域、网站服务器接入域、网站服务器管理域、网站服务器域、制作服务器接入域、制作服务器管理域和制作服务器域。还可以按照物理安全、网络安全、主机安全、应用安全、数据安全等多个层面进行安全防护。比如，按如下方式进行划分：

第一层面：核心业务数据、公民个人信息

第二层面：应用安全、网络安全

第三层面：物理安全（环境）、主机安全

所有层面安全管理同等重要，但是第三层面会影响一、二层面，尤其是第一层面是发生安全事件的最直接和核心的影响部分。该部分一旦受到安全影响，将造成严重威胁和重大影响。因此，在分层防护的过程中，尤其要加强重点防范，保障关键信息基础设施和系统信息的安全。

4具体安全防护措施及应用

地方电视台在完成系统安全风险分析的基础上，结合实际，加强重点区域和系统的有针对性的防范防护。包括非法访问、假冒、恶意代码、破坏信息完整性、抵赖、破坏网络的可用性、操作失误、信息泄露、盗取信息、修改信息、拒绝服务等。实现这些安全防护的方式，可以按一体式防护、多重防护、云端防护进行。

4.1一体式防护

通过堡垒机的方式，前置防护系统，进行一体式功能防护。

l运维协议全面

支持多种运维访问协议，能够充分满足日常运维需要。字符协议：SSHv1、SSHv2、TELNET；图形协议：RDP、VNC；文件传输协议：FTP、SFTP；数据库访问：Oracle、SQLServer、DB2、Sybase、Informix、Teradata、MySQL、PostgreSQL；通过应用发布进行协议和运维工具扩展，支持HTTP/HTTPS、X11、Radmin、VMvareclient客户端等。

l多种认证方式

认证方式包括：静态口令认证、USB-key认证、动态口令卡、短信认证（支持短信中间表和短信网关标准，短信网关包括中国移动CMPP2.0、中国联通SGIP1.2标准和中国电信SMGP3.0）、数字证书认证（包括吉大正元证书认证、北京数字证书认证、格尔证书认证）、Radius认证、LDAP认证、AD域认证。

l精细化审计

支持字符协议和文件传输协议的协议审计，审计详细的操作语句和操作语句的执行结果。

支持RDP、VNC图形操作过程中键盘输入操作记录、鼠标点击行为记录和窗口标题审计。

数据库协议深度解析、数据库返回行数记录、Oracle数据库变量绑定解析。

支持通过应用发布实现数据库、字符协议、文件传输协议命令和录像的双重审计效果。

l管控方式严格

命令限制与复核：对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核。

应用发布防跳转：防止通过应用发布服务器进行跳转登录未授权资源，进行

转载请注明：http://www.suiningshizx.com/snsms/15291.html