山东广播电视台,山东省 济南市 250000
摘要:当前,广播电视信息网络走上了融合开放的系统,这使得原来寄生在因特网中的病毒、攻击也延伸到了广电信息网络,单靠传统的管控手段无法有效抵御网络风险, 必须全面推进广播电视信息系统的网络安全系统建设, 以应对严峻的网络安全挑战。基于此,文章分析了广播电视信息和网络安全体系建设,以保证网络安全防护工作效果,推动广播电视领域的优化发展 。
关键词:广播电视信息;网络安全;风险问题;策略
1、广播电视信息系统网络安全问题
1.1 内部问题
在广播电视领域内,大部分配套系统均具备相应的网络安全防护系统,用以隔绝外部威胁。但事实上,由于管理员操作失误、错误,很容易导致广播电视系统
出现安全漏洞,据IBM Security 的调查,有55%以上的网络安全风险形成于内部因素。而由于这些操作是在内部开展的,因此,用以隔绝外部威胁的网络安全
防护系统通常难以对此进行察觉、警报、修复,形成了广播电视系统内部的网络安全风险。
1.2 互动问题
通信科技的发展,使得信息交互更加便捷,而在广播电视领域内,人们借助通信、信息科技,为广播电视系统塑造了互动投票、观众点播等互动功能,以期通过
这种信息交互,提高观众的参与度,获得更高的收视率。但互动功能在打破了传统收视的情况下,广播电视系统与外界形成隔离,例如利用扫二维码互动投票
中,电视系统就需要用信息系统获取终端用户,与观众的手机终端进行交互。而这种交互更容易导致外界恶意代码进入系统,形成网络安全风险。
1.3 软件设施问题
广播电视信息系统网络安全防护中防火墙、病毒查杀软件能够起到重要的网络安全防护作用。然而,伴随着网络非法攻击的形式多样化,广播电视信息系统的网
络风险层出不穷,如无法第一时间更新优化网络安全防护软件,则会出现网络安全漏洞,埋下网络安全风险。由于相关工作者大多不重视管理问题,使得网络安全问题频发。因此,要想解决网络安全问题,还需要加强对软件设施的管理优化。
1.4 系统边界、节点问题
由于各类网络安全防护软件的运行中,安全检测、安全漏洞修复等功能的覆盖范围仅为既定的系统部分,而网络安全防护系统与其他系统交互部分,经常不
在防护定义的范围中,同时,网络安全防护系统节点部分作为接收外部访问的关键点,恶意代码很容易通过节点进入到网络安全防护系统中,因此,边界、节点一直是广播电视系统网络安全防护的薄弱点。
2 建立网络安全防护体系建立
2.1 技术防护内容和手段
2.1.1 物理安全
作为国家重点行业的重要信息系统,三级广播电视信息系统机房在建设初期均已执行了较高的标准,在物理位置选择、物理访问控制、防盗窃和防破坏、防雷、防火、外电供应等方面绝大多数系统都满足基本要求条件。近些年来,随着机房标准化建设的大力推进,从机房设计布局、材料选用等方面都积累了相当经验,由物理安全问题引发的网络安全事件相对较少。即便如此,物理安全工作仍然不可掉以轻心,尤其是外来人员进入机房内的从事相关活动,要做好审批流程,同时要有内部技术人员陪同。
2.1.2网络安全
(1) 采用层次化的网络结构设计,形成网络纵深防护体系,重要网段与其他网段之间采取可靠的技术隔离手段。直播演播室系统、播出整备系统、播出系统等播出直接相关系统应确保位于纵深结构内部,避免与外网直接相连,同时,系统内部不应通过无线方式进行组网。对于有融媒体直播需求的播出系统,应确保融媒体与制播网、融媒体与互联网的边界安全,使用网闸、防火墙等安全设备对允许访问端口以及文件传输的格式进行限制。
(2) 保证主要网络设备的业务处理能力和网络带宽具备冗余空间,满足高峰业务需要;在网络设备选型时,要提前对业务在高峰期所在占用带宽进行评估,通常状况下,高峰期业务带宽应不超过网络设备吞吐能力的70%。
(3) 应为信息系统的核心交换机、汇聚交换机等关键网络设备配置冗余,避免关键节点存在单点故障。核心交换机、汇聚交换机等关键网络设备在网络结构中起着重要的支撑作用,一旦出现问题,整个系统会立即陷入瘫痪。为避免类似情况,需采用两条通信链路,并对关键网络设备进行热备,当某一网络设备出现故障时,可以快速进行自动切换,保证业务的连续性。
2.1.3边界安全
边界安全需要考虑的内容顾名思义是指在做好与外部系统相连边界的网络安全工作。其主要内容包括边界完整性检查、入侵防范以及恶意代码防范等方面。边界完整性检查既包括对非授权设备或私自联到内部系统的行为进行检查,也包括对非授权设备或私自联到外部系统行为进行检查,即常说的非法内外联检查。一般对非法内联行为通过在网络设备配置802.1X 协议及认证服务器实现,而对非法外联则通过安装内网安全管理软件起到禁止主机登录互联网的功能。对于网络入侵防范则需借助防火墙、IPS (入侵防御系统)、IDS (入侵检测系统) 等安全设备,控制用户访问,并对网络非法入侵行为及时进行预警和阻断。网络恶意代码防范主要是通过防毒墙实现,也可选择带有防恶意代码功能模块的防火墙,如UTM (下一代防火墙) 等设备。值得注意的是,网络防恶意代码产品需要与主机防恶意代码软件具有不同的病毒库,并且三级以上系统在购买安全设备时,具有公安部销售许可证和信息安全产品强制性认证证书的产品才能购买,否则需要承担一定的法律责任。
2.1.4云数据中心安全
广播电视数据中心需要遵守国家信息安全等级保护三级要求,其安全需求除了满足合规性要求之外,也要维护业务服务的高可用性,同时也需维护作为生产资料的数据的完整性和保密性。因此,从物理安全、网络安全、主机安全、应用安全、
数据安全的角度进行技术措施的施加,从管理制度、管理组织、人员安全、建设安全、安全运维的角度进行管理措施的施加。同时,在引入云计算,尤其是各类计算资源虚拟化的背下,发掘云环境下新出现的安全风险的分析和处置,强调对虚拟化计算资源的保护(包括虚拟主机、虚拟网络、虚拟机平台以及相关的各类组件),强调云内安全的统一感知和管理。
2.1.5 终端安全
终端在系统中虽未占据核心位置,但由于使用的人员较多,其存在的安全风险仍然值得警惕。对于终端安全防护,应部署具有统一集中管理功能的防恶意代码软件和集中管理的内网管理
软件,对终端进行集中管控。
2.1.6应用安全
应用安全防护是对运行在系统之上的业务软件进行防护,其核心内容除了软件要具备身份鉴别、访问控制、安全审计功能外,还应保证在与外部系统通信时,通信的保密性和数据的完整性,以及对敏感字符的过滤,因上述3 条涉及到软件代码审计,故作为系统运营单位,应保存好系统源代码。另外,对于应用系统,在其投入运行后再进行更改通常会耗费很大的精力,故应用安全防护应做到与应用开发同步规划,同步开发。
2.2 监管安全保障措施
山东广播电台的网络组成复杂,构成的信息资产众多,运行的业务和服务牵涉广泛,因此也迫切的需要提升和加强运行维护和安全管理能力。为此,山东广播电台成立了专门的运维中心,通过平台级的软件系统辅助保障团队,有效进行安全监控、信息监控,提炼故障信息、设备信息、事件信息、可疑信息、业务信息、数据信息、流量信息,使管理团队能够有效获取运营网络中全局、各部分、各节点的业务连续性、安全态势,并能有据可依的、高效率的、有效的完成管理和运营工作。当系统发生重大安全事故时,安全监控平台也可为管理团队提供安全措施和应急处理措施。其中,安全措施包括:网络旁路监测、网络关断、流量清洗功能;应急处理措施包括:应急响应、容灾恢复功能。通过上述安全措施,能有效控制、防止安全事故进一步扩散。
3、结语
随着信息技术的快速发展及融媒体的兴起,广电行业对技术的依赖越来越强,各类信息系统的建设对广播电视业务的发展起到了重要的支撑作用。在传统媒体和新兴媒体融合过程中,要不断强化信息安全风险防控意识和信息安全防护水平,,从而增强广播电视系统运行的稳定性与可靠性。
参考文献:
[1] 高小清. 广播电视信息系统网络安全风险与策略[J]. 通讯世界,2019,26
(11):51-52.
[2] 赵晨. 浅谈广电网络信息系统网络安全工作的实施[J]. 有线电视技术,
2019,26(6):82-83.
[3] 宋建国. 网络广播电视信息安全风险及防范措施[J]. 中国高新区,2019(8):
254.
[4] 郑维,张珊珊,梁亚妮. 浅谈信息网络安全及风险防范策略[J]. 科学与信
息化,2017(7):47-48.
[5] 付鹏,姜贺南,史晓卓. 对信息网络安全风险防范模式的探讨[J]. 信息系
统工程,2015(3):72.