任國彪 于杰龍

1.2.內蒙古廣播電視網絡集團有限公司 內蒙古 呼和浩特市 010051

引 言

《中華人民共和國網絡安全法》明確了網絡運營者必須將網絡安全等級保護作為一項長期的基礎工作，為國家信息安全提供持續(xù)性的保障。

廣電行業(yè)高度重視網絡安全等級保護工作，2011年，《廣播電視相關信息系統(tǒng)安全等級保護定級指南》《廣播電視相關信息系統(tǒng)安全等級保護基本要求》《廣播電視相關信息系統(tǒng)安全等級保護測評要求》等行業(yè)標準發(fā)布，以指導廣播電視行業(yè)相關信息系統(tǒng)安全等級保護定級、規(guī)劃、建設、檢查、測試評估等工作。

1 網絡安全等級保護工作開展情況

內蒙古廣播電視網絡集團有限公司于2014年起開始開展信息系統(tǒng)定級、備案、等級測評等相關工作。測評信息系統(tǒng)涵蓋廣播電視傳輸網、寬帶互聯網系統(tǒng)、BOSS 系統(tǒng)、VOD 視頻點播及媒資系統(tǒng)、門戶網站系統(tǒng)、公共文化服務支撐系統(tǒng)、TVOS 前端系統(tǒng)等多個信息系統(tǒng)。

通過定期開展等級測評工作，內蒙古廣播電視網絡集團有限公司不斷分析信息系統(tǒng)存在的安全問題，結合行業(yè)標準、國家標準和國家政策法規(guī)的要求，逐步確立并實現了內蒙古廣播電視網絡集團有限公司信息系統(tǒng)安全建設整改需求。

2 網絡安全建設整改

網絡安全等級保護安全建設整改是網絡安全等級保護工作開展的后續(xù)情況，是對網絡安全的進一步加固、防護。內蒙古廣播電視網絡集團有限公司信息系統(tǒng)安全建設工作，是以國家信息基礎設施為核心，嚴格按照網絡安全等級保護基本要求，堅持管理和技術并重的原則，根據實際業(yè)務情況的安全等級，實行分階段、分等級保護和管理，保障了信息系統(tǒng)的正常運行，逐步推進了等級保護的整體防護工作。

構建分域的控制體系：系統(tǒng)的安全建設整改是以信息系統(tǒng)的整體架構為核心，依據定級時的業(yè)務信息安全等級和系統(tǒng)現狀劃分為不同的安全區(qū)域，以安全區(qū)域為單位進行安全防御技術措施的建設，各個安全區(qū)域內部還根據安全需求的不同進一步劃分子安全域和三級安全域，子安全域和三級安全域的邊界也采用了與同一級安全域相同的邊界安全防護措施，從而構成了分域的安全控制體系。

構建縱深的防御體系：系統(tǒng)為了實現網絡綜合防控體系，以技術組合和功能互補為思路，從外到內建立了一套網絡分區(qū)分域的多層次防御體系，采取不同安全域不同安全防護措施、同一安全區(qū)域統(tǒng)一化的防護原則，做到各安全域相互加強、補充，從整體上落實了信息系統(tǒng)網絡安全等級保護制度的要求，提升了被建設信息系統(tǒng)的整體防護能力。

基于上述建設要點，信息系統(tǒng)在建設整改過程中部署了安全防護、安全監(jiān)測、安全管理類設備：日志審計系統(tǒng)、運維審計系統(tǒng)、數據庫審計系統(tǒng)、數據安全運維系統(tǒng)、web 應用防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)等。上述設備的部署在達到行業(yè)、國家等級保護要求的同時，做到了《中華人民共和國網絡安全法》對網絡運營者提出的信息安全建設義務要求。網絡運營者應當依據信息安全技術網絡安全等級保護制度要求及安全保護義務，積極采取有利于網絡安全的技術措施：包括網絡安全產品的部署、監(jiān)測、運維和管理，數據的備份和機密等措施，防范病毒攻擊、數據被非授權竊取與篡改等網絡和數據危害。

隨著信息技術的發(fā)展，等級保護2.0 安全建設提出以“一個中心”管理、“三重防護”體系為核心，實現從不同層次、不同區(qū)域設計縱深防御體系，分別對所測信息系統(tǒng)分布在不同安全域的功能層面和組件的物理環(huán)境、計算環(huán)境、區(qū)域邊界、通信網絡體系進行集中技術管理，實施多層隔離和防護，避免單點失效以及某一個薄弱環(huán)節(jié)對整體防護安全的影響。同時，等級保護2.0 提出了以密碼為基因的主動免疫可信計算，從可信計算環(huán)境、可信邊界、可信網絡通信方面構建主動免疫的安全可信防護體系。內蒙古廣播電視網絡集團有限公司將緊跟前沿技術要求，遵循新的安全技術框架、采取新的安全技術措施，確保關鍵信息基礎設施安全。

3 網絡安全服務

在對內蒙古廣播電視網絡集團有限公司網絡信息系統(tǒng)進行整體安全建設時，除了要通過部署各區(qū)域的安全產品保障網絡的安全性外，也要提出安全管理建設要求。等級保護2.0 中，也提出要把安全管理建設和安全技術建設結合起來，利用網絡安全等級保護綜合工作平臺，更高效的維護網絡安全，做到防止信息系統(tǒng)被非法訪問、破壞，重要數據被非法竊取、篡改的可能。在網絡安全新時代下，選擇網絡安全服務供應商提供的專業(yè)安全服務成為網絡運營者保障網絡安全的一種趨勢。

內蒙古廣播電視網絡集團有限公司在信息日常運維過程中，引入安全漏洞評估、滲透測試、源代碼審計、安全配置評估、安全策略定制、安全加固支持、網絡架構優(yōu)化、惡意樣本分析、日志安全分析、協(xié)議分析、系統(tǒng)安全事件的實時監(jiān)測、互聯網應用安全監(jiān)測、應急響應等服務，將管理、技術、運維有機結合在安全服務里，使等級保護工作日?；?、常態(tài)化。圍繞系統(tǒng)全生命周期提供安全管理類服務、安全技術類服務和安全運行類服務，通過安全建設服務，實現以下防護目標：

同步建設：采購網絡安全服務，從軟件開發(fā)、系統(tǒng)建設階段即實現“同步規(guī)劃、同步設計、同步實施”的三同步原則，將安全建設工作與信息化建設工作結合，逐步實現安全常態(tài)化，從而提升廣電網絡整體信息安全水平。

動態(tài)調整：采購網絡安全服務，定期開展各類測試評估，及時進行策略配置調整、漏洞修復、補丁升級等，確保防護措施的有效性、合規(guī)性。

持續(xù)監(jiān)測：通過開展系統(tǒng)安全監(jiān)測、系統(tǒng)日志、協(xié)議等數據定期分析，實現網絡主動發(fā)現、主動防護、應急處置、整體防護的能力，變靜態(tài)防護為動態(tài)防護，變被動防御為主動防御，變多個單點防護為綜合防控、整體防護，建設事前感知、監(jiān)測、預警、處置的網絡安全防控體系。

4 結束語

網絡安全等級保護工作是有效促進國民信息安全的基礎，積極開展等級測評工作，依據等級保護制度提出的一整套安全要求，是推進網絡安全整體防護水平的有效措施。網絡安全等級保護安全建設整改工作是網絡安全等級保護工作的體現和目的。通過網絡安全建設服務，可為網絡安全工作持續(xù)發(fā)展注入活力，同時對廣電行業(yè)關鍵信息基礎設施的正常、穩(wěn)定、可靠運行，乃至更好維護國家網絡安全將起到重要作用。