浅谈广电网络信息系统安全等级保护的实施

浅谈广电网络信息系统安全等级保护的实施

曹彦

天津广播电视网络有限公司滨海新区分公司天津300202

摘要：为加强重要网络与信息系统的安全防护，国家建立了信息系统安全等级保护制度，并在《网络安全法》中进一步明确固化。针对有线电视网络安全，原国家广播电影电视总局依据信息系统等级保护相关要求，先后编制了《广播电视相关信息系统安全等级保护定级指南》(GD/J037－2011)(以下简称“定级指南”)、《广播电视相关信息系统安全等级保护基本要求》(GD/J038－2011)(以下简称“基本要求”)、《广播电视相关信息系统安全等级保护测评要求》(GD/J044－2012)(以下简称“测评要求”)等系列文件，指导广播电视相关信息系统运营使用单位，做好信息系统信息安全等级保护(以下简称“等级保护”)工作。

关键词：广电网络；信息系统；安全等级；保护实施

1广电网络信息系统安全现状

1.1重应用，轻防护

很多网络运营单位建设有VOD点播、时移电视、宽带网络、数据广播等多种应用业务系统，但网络的安全设备仅部署防火墙，缺乏入侵防护、安全审计、网络防毒、准入控制等其他安全设备，同时安全策略配置简单，安全防护薄弱。

1.2重技术，轻管理

网络安全，三分技术，七分管理。但在实际运行中，很多单位只重视安全技术的应用，忽略人员安全管理、运维安全管理、建设安全管理、安全管理机构建设，造成安全管理漏洞百出，安全技术防范形同虚设。

1.3重形式，轻落实

在实际操作执行过程中，管理制度、技术措施留于表面，未真正贯彻落实。比如应急预案未演练、备份恢复措施未执行、安全配置策略未生效、访问控制覆盖不全面、安全管理制度执行打折扣，等等，给信息系统埋下严重安全隐患。

2等级保护的实施

2.1网络信息系统定级

2.1.1系统定级流程及依据

信息系统安全包括业务信息安全和系统服务安全，其安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。业务信息安全等级和系统服务安全等级根据信息和服务被破坏时所侵害的客体以及对相应客体的侵害程度进行判定。

2.1.2确定定级对象

有线电视网络信息系统主要涉及数据广播、EPG、EPG广告、VOD点播、SMS系统等多类业务应用系统。本文以地市SMS系统为定级对象，介绍其实施等级保护过程。

2.1.3系统定级

SMS系统采用数字技术、网络技术和数据库技术，对用户订购数字电视产品进行服务的运营管理信息系统，它集用户管理、结算、计费、账务管理、客户服务、经营分析、决策支持和客户关系管理等功能于一体，是广电网络运营商开展数字电视和其他增值业务不可缺少的工具。地市SMS系统业务信息安全遭到破坏时，受侵害客体主要为运营单位、有线电视用户。用户数据被篡改、遗失、窃取后，不会造成播出事故，但在经济损失方面会给运营单位和用户造成严重损害。地市SMS系统服务安全遭到破坏时，受侵害客体主要为运营单位、有线电视用户。系统服务遭到破坏后，影响运营单位正常经营活动，同时用户无法缴费收视，给运营单位和用户造成特别严重损害。根据上述确定的业务信息安全等级与系统服务安全等级，取较高者最终确定地市SMS系统的信息系统安全等级保护为二级。

2.2网络信息系统备案

根据公安部《信息安全等级保护备案实施细则》(公信安［2007］1360号)要求，第二级及以上的信息系统，由其运营、使用单位或者其主管部门到所在地设区的市级以上公安机关办理备案手续。在办理备案手续时，应当同时提交《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。

2.3网络信息系统建设整改

按照地市SMS系统确定的保护等级，结合“基本要求”中相应等级的保护要求，从技术、管理、物理机房3个层面开展建设整改工作。

2.3.1网络结构调整

在进行网络结构调整时，按照功能分区、横向隔离、纵向认证的原则，对前端机房的网络进行结构调整，如图2所示。网络共分为外联区、运维区、服务器区、核心区、组播码流调用区5个区域。各区之间适当部署由硬件防火墙组成的安全隔离层，实现各网络功能区之间安全可控的互连通信。其次，采用VLAN、ACL、路由过滤、IPS等安全技术，重点严控跨功能区(跨网段)的网络访问，强化安全审计功能，为前端机房各信息系统提供全面的安全防护。

核心区。网络核心区是各区业务高速交换核心，为各个功能分区提供高可靠性、高稳定性和支持快速愈合的第三层接入服务。网络核心区设计以高性能快速转发、高密度、高可靠性、高可用性为原则，支持不间断转发，可扩展性高，满足数据中心业务扩展，收敛比尽可能小，较高的稳定性为基础，提供100%的正常运行时间，最大限度地提高吞吐量。网络核心区由两台高性能交换机组成，对于更高要求可使用4台交换机组成双平面。为保证业务的不间断转发及避免网络突发大流量时数据丢包，实现两条链路备份与冗余，核心交换机与服务器区、运维区、外联区、组播码流调用区采用双行千兆链路聚合的方式组网，保证链路冗余性和增加链路总带宽。

服务器区。服务器区可细分为应用服务器区和数据库服务器区。应用服务器区主要用于放置EPG、SMS、CA、数据广播、门户网站等应用系统的服务器;数据库服务器区主要用于存放EPG、SMS、CA、数据广播、门户网站等数据。服务器区与网络核心区之间必须通过独立的硬件防火墙设备部署安全隔离层，服务器应位于安全层内。服务器区(接入交换机－防火墙－核心交换机)采用矩形组网方式，其中一条作为主用链路，其他作为备份链路。可以在网络中使用MSTP+VＲＲP部署方式，利用MSTP多实例特性，合理规划VLAN与实例映射关系，实现业务流量的负载分担。规划多个VＲＲP组，实现服务器网关的备份和负载分担。接入交换机与服务器之间的端口应开启“BPDU保护”功能，防止有人伪造配置消息恶意攻击设备，避免发生网络拓扑震荡。接入交换机上行端口开启“环路保护”功能。

外联区。外联区可细分SMS专网外联区和银行专网外联区。SMS专网外联区实现营业厅、服务网点与机房服务器的连接，银行专网外联区实现各银行单位接入，实现费用的代收代扣。外联区与网络核心区之间必须部署硬件防火墙和IPS进行安全隔离。防火墙应划分2个安全等级不同的区域，按高低之分，分别对应于网络核心区(高)、外联区(低)。在对外联单位提供服务时，防火墙应采用访问控制列表(ACL)以控制进入广电网络内部网的流量，限制到IP加端口的级别。控制IP地址转发，关闭所有未使用的端口。防火墙和路由器之间应部署IPS入侵检测设备，实现能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件等的攻击。

结论

在互联网时代，有线电视网络信息安全是一个新的课题，有线电视网的运营既要保障播出安全，又要跟上时代的步伐，提供线上线下服务，改善服务质量和用户体验，并为公众提供高质量的网络信息服务，安全播出将始终是广电机构最重要的工作任务。

参考文献：

[1]刘永杰.电视台网络系统的信息安全等级保护工作研讨[J].信息安全与通信保密,2014,(08):120-123.

[2]关丽霞.开展等级保护工作,提高广电行业信息安全水平[J].中国信息安全,2012,(06):78-80.

[3]黄跃欣.某广播电视网络运营商电视支付系统的设计与实现[D].中山大学,2015.