【摘要】 隨著信息飛速發展，信息安全等級保護舉足輕重，根據系統特點和業務實際，按照安全等保建設要求，廣東廣播電視臺播出系統建設了三級等保。本文通過安全管理和安全技術兩個方面，簡要介紹了安全等級保護工作的建設過程，通過完善相關的管理流程和制度，構建安全系統的信息安全保護環境，從而提高重要系統的安全性，提升播出網絡的安全保障水平，達到強化安全播出的目的。

【關鍵詞】 等級保護  安全管理  安全技術

一．引言

近年來，信息化建設飛速發展，信息化技術廣泛應用，網絡信息系統逐漸成為了承載各行各業各領域業務的重要載體，隨著信息系統網絡日益龐大和系統結構日益復雜，信息安全方面帶來日益嚴峻的挑戰，信息安全等級保護在未來的發展中舉足輕重。

廣東廣播電視臺播出系統支撐著節目編播等核心業務，負責所有頻道的播出工作，是由計算機及其相關配套設備、設施構成，按照廣播技術播出標準部署和運維的一個局域網絡。播出系統建成較早，信息安全防護考慮較少，而隨著近年來網絡化建設，業務增加和邊界不斷拓展，網絡環境日趨復雜，網絡安全保障難度不斷提高。為了確保系統的安全性，信息安全等保建設迫在眉睫，通過對網絡基礎結構、安全基礎設施、安全防護措施和安全管理制度等方面的建設，有助于我們進行系統性規劃，防止非法入侵，對數據進行篡改和竊取，通過系統安全加固滿足播出網絡的安全防護的需求。

二．安全等級保護概述

1.信息系統安全等級保護等級情況

我國公安部2008年下發首部信息安全等級保護管理辦法，制定了定級指南，信息系統安全定級工作有了定級的方法和準則。該管理辦法中規定了信息系統等級劃分，明確了對信息系統的保護的相關的管理規定，推動了信息系統安全等級保護的發展。

2014年2月27日，中央網絡安全和信息化領導小組正式成立，體現了我國家保障網絡信息安全和大力推動信息化發展的決心。習近平總書記主持召開的小組第一次會議，指出“網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題”，提出“網絡安全和信息化是一體之兩翼，驅動之雙輪”，強調了網絡安全在國家安全體系中的重要戰略地位以及網絡安全和信息化的重要性和強迫性。

2016年下半年，相關政策發布速度顯著加快，多項政策密集出臺，其中《中華人民共和國網絡安全法》第21條明確提出國家實行網絡安全等級保護制度。自此，我國網絡安全建設進入了新時期。

2.系統定級的依據

信息安全基本制度的信息安全等級保護工作環節包括信息系統定級、等級保護實施、等級測評、系統安全運維等，其中首要環節是系統定級。按照《信息安全等級保護管理辦法》中的相關規定，信息系統的安全保護等級分為五個等級，一級最低，五級最高。

根據各行業和部門的信息系統類型和重要程度的不同，通過定級，確定信息安全保護的重點。信息系統的安全保護的等級由兩個定級要素決定，根據信息系統受到破壞后，等級保護對象受到破壞所侵害的客體類型以及對該客體造成侵害的嚴重程度，強化信息系統安全保護標準要求。根據《信息系統安全等級保護定級指南》，信息系統安全保護的等級和定級要素的關系如下表[1-2]所示。

由上表可見，等級保護對象受到破壞時受到侵害的客體包括：

Ø  （1）公民、法人和其他組織的合法權益；

Ø  （2）社會秩序、公共利益；

Ø  （3）國家安全。

對等級保護對象的破壞表現在通過危害方式、危害后果和危害程度三個方面，造成侵害的程度歸結為以下三種：

Ø  （1）一般損害； 

Ø  （2）嚴重損害；

Ø  （3）特別嚴重損害；

3.等級保護定級的流程

信息系統安全等級保護實施的基本流程如下圖[3]，在運行維護階段，如果因需求變化而導致局部調整，應進入安全設計與實施階段重新設計和調整安全措施以滿足等級保護的要求；如果重大變更則需要進入信息系統等級階段，重新開始新一輪信息安全等級保護的實施工作。

圖1 信息系統安全等級保護實施的基本流程

三．廣東廣播電視臺播出信息系統概況

對廣東廣播電視臺播出信息系統，我們根據安全等級保護的定級方法和實施相關流程，通過對系統定級、系統備案、建設整改、等級測評、監督檢查五個方面開展安全等級保護工作。

1.系統定級和備案

廣東廣播電視臺播出信息系統屬于廣電行業生產播出網絡，為封閉的內部局域網，該播出信息系統包括從磁帶信息、節目單信息錄入，節目素材編排和遷移、節目播出整個播出流程。該系統遭到破壞后（如信息被修改、增加、刪除等不明侵害），雖然不含涉密信息，不對國家安全構成危害；但該系統承載廣東廣播電視播出業務生產，播出系統發布節目內容,該信息若被篡改成非法信息或涉密敏感信息，可能造成播出事故，侵害社會公眾收看廣播電視節目的合法權益，可能引起社會秩序混亂，可能侵害公共利益。

根據《信息系統安全等級保護定級指南》（GB/T 22240-2008）和《廣播電視相關信息系統安全等級保護定級指南》（GD/J 037-2011），廣東廣播電視臺播出信息系統確定為三級等保系統，并按照《信息安全等級保護備案實施細則》的相關要求辦理信息系統備案工作。

2.等保項目的總體規劃

根據《信息系統等級保護安全設計技術要求》（GBT 25070-2010）中第三級系統安全保護環境結構與流程（如下圖）[4]，主要分為安全計算環境、安全區域邊界、安全通行網絡和安全管理中心四個部分。在此技術要求的指導下，廣東廣播電視臺信息系統安全等級保護項目中主要對物理安全、主機安全、應用安全、 網絡安全、數據安全及備份恢復、安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理方面的入手，確立安全策略、制定安全規劃、開展安全建設，制定切實可行的項目實施方案，以保證廣東廣播電視臺播出系統信息安全等級保護建設。

圖2 第三級系統安全保護環境結構與流程

3.播出信息系統的計劃與實施

播出信息系統的建設主要分成安全管理子系統建設和安全技術子系統建設兩個部分。

安全管理子系統建設方面，播出信息系統建設多年，已經規劃和制定了較為完善的系統維護、流程管理、安全檢查、人員培訓等相關的制度以保障系統的安全，確保安全播出。但是隨著信息技術的不斷發展和系統的不斷更新改造，對于信息安全相關方面的制度和管理相對薄弱，因此，本次等保安全工作的實施中，我們根據完全信息安全的相關要求，明確了安全管理機構方面，安全管理機構職責和崗位分工，完善相關授權審批事項規定和相關流程規范，詳細制定了定期進行安全檢查并保存相關檢查結果和報告等相關管理制度，制定人員安全管理制度、人員安全意識教育和信息安全認知和技能的培訓考核等方面的人員安全管理制度，完善了軟件開發、工程實施和系統交付管理等系統建設管理方面相關制度和環境管理、資產管理、設備管理、網絡安全、系統安全、惡意代碼防范、備份與恢復管理等方面系統運維管理制度，建立安全管理制度體系，并確保認真貫徹和實行相關制度，為播出信息系統的安全穩定提供堅實基礎。

安全技術子系統建設方面，系統部署在電視中心大樓3樓機房，該區域基礎設施較齊全，安全狀況較為良好。網絡安全層面，為了確保系統的安全性，防止非法入侵，對數據進行篡改和竊取，按照信息系統安全等保三級標準規范安全的要求，完善了包含安全管理子系統、4K超高清電視播出邊界子系統，高標清電視播出邊界子系統等方面的安全系統，對主要網絡設備如邊界防火墻、核心交換機資源，根據實際情況部署了多種訪問控制策略，根據業務情況劃分不同的子網或網段；在主機安全層面，服務器身份鑒別、訪問控制安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制等安全配置；應用安全層面，提供訪間控制、安全審計、軟件容錯安全配置，制定了合理的備份策略，保證對服務器、應用系統的位置文件、日志記錄及核心業務數據等重要數據安全。

4.播出信息系統構架和邊界部署

廣東廣播電視臺播出信息系統根據廣東廣播電視臺播出的業務流程進行設計，主要包括三大模塊：標清播出系統、高清播出系統、4K播出系統。從磁帶信息、節目單信息的錄入，到節目素材的編排、節目單素材的遷移、節目的播出均使用播出信息系統完成，系統中的控制信息、數據信息、視音頻數據分開獨立進行傳輸，系統與外界的數據交換通過軟盤介質或移動硬盤完成，介質均由部署了殺毒軟件的設備殺毒后才連入系統進行使用。播出信息系統承擔著相對獨立的播出業務，與其他信息系統無連接，與外網完全隔離，是一個業務專用局域網，系統拓撲圖如下：

圖3 廣東廣播電視臺播出信息系統網絡拓撲圖

本次技術安全建設方面，主要建設了安全管理區域，并完善了網絡邊界安全區域。其中，安全管理區域的部署如下：

在安全管理交換機劃分一個安全管理區域的所屬VLAN用于建設安全管理設備，并作為該VLAN的網關設備；分別連接4K超高清播出系統和高標清播出系統的核心交換機，通過路由方式連通安全管理設備與各系統對應的設備，實現統一管理的操作。

入侵檢測系統（IDS）通過旁路模式部署在4K超高清播出系統和高標清播出系統的核心交換機，交換機上將外網出口的雙向流量鏡像到連接IDS的端口上，實現實時檢測所經外網出口的流量數據。

數據庫審計系統通過旁路模式部署在4K超高清播出系統和高標清播出系統的數據庫服務器所連接的交換機，添加各系統對應的數據庫信息，在交換機通過將連接數據庫服務器的端口雙向流量鏡像到連接數據庫審計系統的端口上，最終實現對數據庫的登錄、注銷、插入、刪除、存儲過程的執行等操作進行審計并記錄，還原SQL操作語句進行實時審計，對跟蹤數據庫訪問過程中的所有細節。

在IT運維審計系統中，添加4K超高清播出系統和高標清播出系統所需管理服務器、網絡設備、安全設備，并在內網防火墻上放通其相關策略，最終實現設備的統一管理及個人操作審計。

在安全管理系統（SOC）中添加4K超高清播出系統和高標清播出系統所需采集的設備日志，最終實現設備日志的收集、保存、及事件數據分析。

IT服務管理系統（網管系統）：部署在安全管理區，通過SNMP功能對接添加4K超高清播出系統和高標清播出系統所需管理的網絡安全設備及服務器，實現實時檢測設備的硬件狀態及鏈路狀態。

在4K超高清播出系統和高標清播出系統的各服務器上安裝終端防護優化系統（殺毒軟件）客戶端，并在終端防護優化系統上制定相對應的殺毒策略，定期推送殺毒指令及更新病毒庫指令。

在4K超高清播出系統和高標清播出系統的各服務器上安裝終端安全保護系統客戶端，并在終端安全保護系統上制定相對應的系統優化策略，執行推送策略到已安裝的客戶端上服務器上，實現終端的保護。

如拓撲圖，4K超高清播出系統的安全邊界區域和高標清系統的安全邊界區域基本相似，下面通過高標清系統的安全邊界區域介紹其具體部署情況。

邊界防火墻：部署在高清播出系統的素材導入區域、標清播出系統的素材導入區域與安全邊界區域，采用路由模式部署，作為區域邊界設備及對應高清、標清的素材導入區域各系統的網關，根據實際情況制定相對應的安全策略為高標清素材導入區域與高標清播出系統區域提供相對應的訪問控制。

入侵防御系統（IPS）：部署在邊界防火墻與防病毒網關之間，采用透明模式部署，串聯在安全邊界區域的鏈路之間，根據實際情況制定入侵防御策略，實時的監控及防護所經設備的流量，若檢測到有可疑的入侵流量，則自動攔截。

防病毒網關：部署在IPS與安全網閘之間，采用透明模式部署，串聯在安全邊界區域的鏈路之間，根據實際情況制定防毒策略，實時檢測及防護所經設備的流量，若檢測到有可疑的病毒流量，則自動攔截并清除。

安全網閘：部署在防病毒網關與內網核心交換機之間，采用路由模式部署，通過內外網的物理模塊將上載審片區域與4K超高清播出系統區域進行隔離，使用內外網的地址轉換功能實現制定業務的交互。

內網核心交換機：部署在安全網閘與高清內網防火墻、標清內網防火墻之間，作為邊界安全區域的數據轉發及對應數據的端口鏡像。

5.實施效果

通過對照信息系統安全等級保護的基本要求進行自查，對播出網絡等保建設后的播出網絡系統進行技術控制點測評檢查，大部分已經達到了安全等級保護的要求，仍然有部分未達到要求，主要是機房未部署紅外報警系統和電磁屏蔽保護、無異地備份，部分線路未提供冗余、對源代碼的審查、定期的漏洞掃描、系統補丁等方面，由于涉及到系統和機房的大規模改造，考慮到在線系統的安全播出需求，暫時難以整改以滿足要求。

通過安全等保建設，梳理和完善播出系統的安全管理和安全技術，通過制度和技術兩方面提高系統安全，明確安全責任，提升安全管理水平。

四．結束語

在播出系統等保建設中，我們從傳統的“應急為主”轉變為“預防為主”的安全播出保障模式，提升播出網絡的安全管控能力和運維管理水平。在等保實施過程中，播出系統作為24小時在線播出系統，承載著業務效率和實時播放的需求，因此在安全建設過程中，我們以確保業務正常運作為基本前提，遵循最小影響、先驗證后實施等原則，制定了完善的實施計劃，步步推進，逐步實施，并制定了完備的應急預案，確保播出安全。

本次安全等級改造建設中，我們意識到我們存在的不足，對信息安全的意識明顯提高，在即將到來的二期建設工程中，我們將綜合考慮相關的安全管理要求和安全技術要求，建設符合信息安全要求的系統。

參考文獻

[1]鄒茁.H省海事信息系統安全等級保護方案設計與優選[D]. 吉林：吉林大學, 2018.

[2] GB/T 22240-2008 信息安全技術信息系統安全等級保護定級指南[S]北京:中國標準出版社，2008

[3] GB/T 25058-2010 信息安全技術信息系統安全等級保護實施指南[S]北京:中國標準出版社，2010

[4] GB/T 25070-2010 信息安全技術信息系統等級保護安全設計技術要求[S]北京:中國標準出版社，2010