《浅谈广电行业信息安全建设.doc》由会员分享,可在线阅读,更多相关《浅谈广电行业信息安全建设.doc(5页珍藏版)》请在三一办公上搜索。
1、沈传宝北京捷成世纪科技股份有限公司摘要整合和优化提供了必要和宝贵的多方面基础信息,如技术、运行、保障、管理和服务,以至于到技术层面的业务规则、接 口关系、实现手段等。同时,AV 与 IT 技术融合,分布式数据库体系,多级存 储体系,超实时打包合成、剪辑整理、转码、关键帧提取、技 审、图像识别、声音识别等多媒体处理等应用技术的发展,都 进一步推近了行业需求的实现。另一方面,信息技术的进步也推动了全台网的发展。因 为各种数字化网络应用的不断深入,使得应用类型更加专业, 应用间的通信也越来越重要。如专业的节目制播网、媒资系 统、播出系统、演播网络系统、广告编播系统等的形成与互 通,特别是互联基础应用
2、架构如企业服务总线(ESB,Enter- prise Services Bus)以及基于媒体业务特点的企业媒体总线(EMB,Enterprise Media Bus)技术的应用,使全台业务互 联成为现实。本文分析了当前广播电视行业的数字化及网络化的趋势,以及在这种趋势之下隐藏的网络与信息安全问题。同时提出 一个在国家信息安全等级保护制度之下的完整的信息安全解 决方案,包括信息安全管理体系的建设和信息安全技术体系 的建设。并结合捷成世纪公司在广电、媒体行业多年的经验, 介绍了广电行业信息安全解决方案的实践案例。关键词等级保护 信息安全 安全域 身份认证 访问控制一 广电行业的数字化发展进入21
3、世纪以来,信息技术的发展给广电行业带来了巨大而深远的影响。其表现主要在两个方面,一方面是数字化 技术的普及,另外一个方面是全台网技术的发展。数字技术的普及是现代信息领域的一次技术革命,这 次革命在 20 世纪末迅速席卷全球。在广播电视领域,数字 技术带来了革命性的变化,为推动广播影视业自身的发展 和牵动市场,世界发达国家都在实施数字电视广播计划。从 广播电视媒体行业的数字化发展来看,当前行业内大部分 电台、电视台已经基本完成设备的数字化,大部分开始或 已完成局部的数字化建设,部分电视台已经开始实践全台 生产网络、甚至开始实践包括生产、办公、互联网于一体的 全台信息网络。这种数字化飞发展,往往是
4、行业需求和应用技术的双向 互动、互相促进的结果。在当前的数字化发展的情况下,多 业务类型、多应用场景的丰富实践经验为全台网技术发展、二 信息化网络安全的现状和趋势随着电台、电视台的数字化进程的加快,数字技术在节目制作、播出、传输等环节的广泛应用,提高了节目制作的 质量和效率。全面采用计算机网络技术和非线性编辑网络系 统进行节目制作、播出一体化,利用全台网技术接入Internet 业务也已形成相当规模。而众所周知,作为全球使用范围最大的信息网,Internet 自身协议的开放性极大地方便了各种计算机连网,拓宽了共 享资源。但是,由于在早期网络协议设计上对安全问题的忽 视,以及在使用和管理上的无政
5、府状态,逐渐使Internet 自身 的安全受到严重威胁,与它有关的安全事故屡有发生。对网络安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线 路窃听等方面。这就要求我们对与Internet互联所带来的安全 性问题予以足够重视。根据美国联邦调查局对2066家公司和组织进行了调查1, 发生概率排在前四位的是: 病毒; 笔记本电脑或移动设备被窃; 内部网络资源滥用; 未授权访问。 其中在安全事件中受到的损失: 病毒感染导致最大损失; 未授权的访问排名第二; 笔记本电脑等移动设备失窃和重要数据被窃取则列居 三四位。视行业来讲,其首要问题是落实国家的
6、信息安全等级保护制度。2003 年,由国务院国际信息化领导小组发布国家 信息化领导小组关于加强信息安全保障工作的意见(中 办发200327 号),明确指出实行信息安全等级保护,“要 重点保护基础信息网络和关系国家安全、经济命脉、社会 稳定等方面的重要信息系统,抓紧建立信息安全等级保 护制度”。随后四部委(公安部、国家保密局、国家密码管理局和 国务院信息化工作办公室)发布的关于信息安全等级保护 工作的实施意见(公通字200466 号)和信息安全等级保 护管理办法(公通字200743 号)确定了实施信息安全等级 保护制度的原则、工作职责划分、实施要求和实施计划,明 确了开展信息安全等级保护工作的基
7、本内容、工作流程、工 作方法等。信息安全等级保护制度成为我国信息安全的一项 基本制度。因此,建设和落实信息安全等级保护是广电行业 信息安全建设的基础。2. 信息安全管理体系一个完善的信息安全体系由信息安全管理体系和信息安 全技术体系组成,而信息安全管理体系又是由信息安全组织 体系和信息安全策略体系组成。信息安全组织体系的建设是确保信息安全决策落实、支持信息安全工作开展的基础。在开始信息安全建设过程中,信息安全制度规范的建立、日常安全管理、具体控制措施的贯彻执行、以及对信息安全管理方针贯彻落实情况的监督等工作的开展都需要一个完善有效的信息安全组织架构来支撑。这四种类型的损失占了所有损失总数的80
8、% 左右。仅仅是病毒这一项,在被调查的313家机构中,就造成了超过1500万美元的损失。 从这些数据可以看出,而随着数字化网络技术的发展,也同样面临着各种数字化的威胁。根据来自不同的报告,数字世 界的安全威胁也出现了多样性,一些混合型威胁以多种威胁行 为进行入侵破坏,造成的危害非常巨大。由于网络传播的快速 性,利用网络传播的混合型威胁也更加难以防范,影响的范围 也更大,这些互联网世界的不和谐因素已经严重威胁到广播电 视及媒体行业用户信息的完整性、机密性和可用性。信息安全组织建设的目的主要是通过构建和完善信息安全组织架构,明确不同安全组织、不同安全角色的定位、职责以 及相互关系,强化信息安全的专
9、业化管理,实现对安全风险 的有效控制。信息安全管理体系建设实际上是一个系统工程,因此,实现信息安全是一个需要完整的体系来保证的持续过程,这个体系我们称之为信息安全管理体系(ISMS2: Information Security Management System),它是组织在整体或特定范围 内建立的信息安全总纲和目标,以及完成这些目标所用的方 法和体系。应当在重视安全技术的同时,加强对信息安全进 行管理,对信息系统的各个环节进行统一的综合考虑、规划 和构架,并要时时兼顾组织内不断发生的变化,任何环节上 的安全缺陷都会对系统构成威胁。保障组织安全的正确做法 应当是遵循国内外相关信息安全标准与最佳
10、实践过程,完整 的信息安全保障体系建设,通常将充分遵照国内、国际的信三 广电行业的信息安全建设1. 信息安全等级保护如何建设一个有效的信息安全解决方案?对于广播电安全事件损失报告息安全规范、标准、政策要求进行改进,不能一劳永逸,一成不变。3. 信息安全技术体系信息安全技术体系建设涉及业务领域的各个环节,因为 系统瘫痪而造成业务流程的停顿,带来的损失和波及的范围 可能会非常巨大,必须建立完整的安全防护系统保证信息系 统的安全、稳定运行。在信息安全总体规划的基础上,结合 电台、电视台实际业务应用,科学、合理地划分“安全域”, 是整个信息安全技术体系建设首要工作。首先进行安全域的划分,其次针对安全域
11、的边界及安 全域内部进行重点安全防护,最终形成完整的信息安全技 术体系。(1)安全域划分安全域划分的目标是把一个大规模复杂系统的安全问题, 化解为更小区域的安全保护问题,是实现大规模复杂信息系 统安全等级保护的有效方法。通常来说安全域是指同一系统内有相同的安全保护需 求,相互信任,并具有相同的安全访问控制和边界控制策 略的子网或网络,且相同的网络安全域共享一样的安全策 略。广义的安全域概念是具有相同业务要求和安全要求的 IT 系统要素的集合。这些 IT 系统要素包括网络区域、主 机和系统、人和组织、物理环境、策略和流程、业务和使 命等。安全域划分是对系统实施分级安全保护的前提条件,通 过划分安
12、全域,明确网络边界,才 能便于实现网络区域、物理区域 之间的有效隔离和访问控制。(2)安全域防护技术设计划分安全域的目的是对安全 域进行等级化的安全防护。信息 安全技术体系是利用各种安全技 术、产品以及工具作为安全管理 和运行落实的重要手段,最终支 撑信息安全体系的建设。 身份认证是技术体系的前提 保障。主要用在执行有关操作之 前对操作者的身份进行证明; 访问控制是用来实施对资源 访问加以限制的策略和机制,这 种策略把对资源的访问只限于那 内容安全是指各个层面使用不同的安全技术来确保数据的机密性与完整性; 监控审计是对信息资产和网络资源状态和信息安全状 况的分析,客观地验证了安全措施的有效性;
13、 备份恢复是保持业务的运行和业务的连续性的关键。 备份是对数据进行可用性保护的前提,其最终目的是为了当 数据被破坏时能够快速地恢复,而恢复则是保护数据可用性 的最后一道防线。(3)等级保护基本要求落实基于信息安全的总体设计,通过安全域的划分,进一步 明确了各个安全域之间需要采用的安全防护技术。而在选择 安全防护技术时,应该充分考虑各个安全域防护应遵循信息些被授权用户;3信息安全等级保护基本要求2信息安全技术体系电、媒体行业整体解决方案,构建完整的信息安全保障体系。 一个完整的信息安全保障体系包括:信息安全架构设计、信息 安全管理策略体系和安全组织体 系建设、信息安全技术体系建设 中的网络安全、
14、业务安全、终端安 全等。如图 4 所示。捷成世纪作为广电、媒体行业的专业供应商,在广电、媒体行业 有多年的信息系统建设经验,从制 作系统、媒资管理系统到全台网建 设,以及基于全台网的信息安全体 系建设,都积累了丰富的经验。全网架构下的信息安全体系建 设是一个全方位的信息安全建设与 防护过程,包含了策略、防护、监 控、应急、审计等多个方面。为保安全等级保护等相关标准。通常参照等级保护基本要求3和设计要求4。图 3 为等级保护二、三、四级技术要求(图中技 术要求内容根据等级保护基本要求进行设计,结合用户环境 进行了归纳。黄色为等级保护二级基本要求,蓝色为三级新 增要求,红色为四级新增要求)。业务系
15、统的安全建设规范是建立在安全域划分以及业 务系统定级的基础之上,根据信息系统等级保护基本要 求,结合信息安全最佳实践,在 针对电台、电视台信息系统详细 分析的基础上,最终定义出各业务系统的安全建设规范。障客户的物理、网络、系统、应用、终端等各 IT 层面的安全要求,必须进行信息安全体系的整体规划。整体规划是整个信 息安全体系的建设起指导性作用,每个方面的建设必须符合整体规划的设计,这样才能保证整个信息安全体系的正常运转。由于广电、媒体行业的特殊性,在信息安全建设过程中,信息安全体系设计的结果往往需要进行业务系统适用性的验证,才能确定是否可以落实安全体系的设计。四 捷成世纪的广电行业安全建设经验
16、捷成世纪根据对广电、媒体行业和信息安全建设需求和业务 特点的深刻理解,以 ISO/IEC 27001(ISO/IEC 27001:2005 Infor-mation technology - Security tech- niques - Information security man- agement systems)为总指导方针,以我国信息安全等级保护制度为 建设依据,提出数字化时代的广5电视台业务安全域划分示意4信息安全保障体系捷成世纪在广电行业的信息系统安全体系的验证性测试方面积累了丰富的经验,能够确保信息安全体系的设计以及信息安 全产品和技术的选择能够满足电视台业务系统的需求,做到
17、安全 设计的有效落地。通过最近几年为构建中央电视台信息安全系统 的验证性测试,捷成世纪与国际、国内一流的信息安全厂商建立 了良好的合作关系,并且达到了对其产品深层次的掌握。图 5 是捷成世纪根据对电视台业务系统的理解,结合等 级保护的设计要求,规划的电视台业务系统安全域体系。根据电视台业务系统的需求分析,结合当前业务系统的安 全现状,经过对等级保护业务系统定级分析,最终设计的基于 业务系统的安全域设计,相应的安全防护技术设计如下:安全防护主要包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。3. 终端接入域安全防护设计终端接入域主要包括应用系统的专用终端
18、和办公区终端。 终端安全防护手段主要有:身份鉴别、恶意代码防范、资源控制。4. 边界接入域安全防护设计电视台边界接入域主要包括互联网边界和台外互联及节目 交换平台等。其中来自于互联网的安全风险最大,也是需要重 点防护的区域。网络安全防护手段:结构安全、访问控制、安全审计、边 界完整性检查、入侵防范、恶意代码防范、网络设备防护。 信息安全体系的建设,需要遵循相关的标准和规范、制 度,在符合单位的信息安全策略总纲要求下,充分继承现有 的信息安全基础设施,避免重复投资,同时充分考虑单位现 有核心应用系统的实际情况,构建合理、规范、有效的信息安全管理体系与信息安全技术体系。1. 核心资源域安全防护设计
19、核心资源域是组织体系中应用的核心,其包含了重要应 用系统的核心主机或服务器、数据库服务器、存储系统等,因 此需要重点防护。 主机安全防护手段:身份鉴别、访问控制、安全审计、 剩余信息保护、入侵防范、恶意代码防范、资源控制; 应用安全防护手段:身份鉴别、访问控制、安全审 计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软 件容错、资源控制; 数据安全及备份恢复:数据完整性、数据保密性、备份 和恢复。2. 网络设施域安全防护设计网络设施域主要包括网络骨干区、网络接入区。根据 等级保护对于网络的安全要求,我们针对网络设施域的资料索引号:GC019参考文献1 Computer Security Institute, CSI/FBI 2006 Computer Crime and SecuritySurvey2 ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems3 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求4 信息安全技术信息系统等级保护安全设计技术要求(国标报批稿)
