王睿

摘要：維護(hù)網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)工程，除了做好技術(shù)防護(hù)以外，還需系統(tǒng)管理，科學(xué)運(yùn)維。本文以南京廣電集團(tuán)為例，對(duì)網(wǎng)絡(luò)安全重點(diǎn)工作進(jìn)行分析，從網(wǎng)絡(luò)安全工作責(zé)任制落實(shí)、分區(qū)域技術(shù)保護(hù)體系和網(wǎng)絡(luò)安全管理體系三個(gè)方面進(jìn)行建設(shè)，從而實(shí)現(xiàn)整體網(wǎng)絡(luò)安全。

關(guān)鍵詞：網(wǎng)絡(luò)安全; 責(zé)任制; 技術(shù)保護(hù)體系; 安全管理體系

一、前言

近年來(lái)，廣播電視行業(yè)一直致力于媒體融合轉(zhuǎn)型發(fā)展，媒體行業(yè)除傳統(tǒng)新聞制作和廣播電視播出業(yè)務(wù)以外，以網(wǎng)絡(luò)直播/慢直播和短視頻為代表的融播互動(dòng)業(yè)務(wù)逐步增長(zhǎng)，傳統(tǒng)制播系統(tǒng)邊界被打通，網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻是行業(yè)共識(shí)。

維護(hù)網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)工程，在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的總體標(biāo)準(zhǔn)下，廣播電視臺(tái)網(wǎng)絡(luò)安全工作主要參考網(wǎng)信辦下發(fā)的《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》和廣電總局62號(hào)令《廣播電視安全播出管理規(guī)定》。

南京廣電集團(tuán)通過(guò)落實(shí)相關(guān)規(guī)定要求著手，從管理、運(yùn)維、技術(shù)保障等多個(gè)角度構(gòu)建了網(wǎng)絡(luò)安全體系，保障全集團(tuán)范圍的網(wǎng)絡(luò)安全。

二、網(wǎng)絡(luò)安全重點(diǎn)工作分析

網(wǎng)絡(luò)安全工作的主線是處理技術(shù)和管理兩方面的問(wèn)題，兩個(gè)方面都要在合規(guī)性、政策性依據(jù)下開(kāi)展，涉及的各個(gè)安全節(jié)點(diǎn)要環(huán)環(huán)相扣，形成完整網(wǎng)絡(luò)安全體系。

1、做好網(wǎng)絡(luò)安全工作責(zé)任制落實(shí)。重點(diǎn)是責(zé)任落實(shí)、專項(xiàng)會(huì)議、宣傳教育、應(yīng)急演練，做好專項(xiàng)檢查等工作;

2、分區(qū)域技術(shù)保護(hù)體系建設(shè)。一是做好各個(gè)系統(tǒng)的基礎(chǔ)安全保障，二是構(gòu)建安全管理中心，實(shí)現(xiàn)全域網(wǎng)絡(luò)安全集中管理、集中審計(jì)和集中運(yùn)維;把握好個(gè)體和整體之間的關(guān)系，從而實(shí)現(xiàn)融合互補(bǔ)的技術(shù)保護(hù)體系。

3、網(wǎng)絡(luò)安全管理體系建設(shè)。重點(diǎn)做好機(jī)房、傳輸線路安全管理，加強(qiáng)安全建設(shè)和安全運(yùn)維管理。

三、網(wǎng)絡(luò)安全工作責(zé)任制落實(shí)

1、明確網(wǎng)絡(luò)安全責(zé)任

南京廣電集團(tuán)網(wǎng)絡(luò)安全責(zé)任分三個(gè)層級(jí)落實(shí)，網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組，專職網(wǎng)絡(luò)安全部門(mén)（網(wǎng)絡(luò)安全辦公室），各個(gè)部門(mén)的網(wǎng)絡(luò)安全責(zé)任人、管理人和重點(diǎn)系統(tǒng)網(wǎng)絡(luò)安全員。如圖1所示。

充分發(fā)揮各級(jí)部門(mén)（單位）的職能作用，將網(wǎng)絡(luò)安全工作分解到各個(gè)層面進(jìn)行決策、部署和執(zhí)行，改變了原先只有信息化管理部門(mén)負(fù)責(zé)網(wǎng)絡(luò)安全的局限性，壓實(shí)了主體責(zé)任，做到了責(zé)權(quán)統(tǒng)一。

2、網(wǎng)絡(luò)安全專項(xiàng)會(huì)議

每年定期召開(kāi)網(wǎng)絡(luò)安全專項(xiàng)工作會(huì)議，會(huì)議一是匯報(bào)工作開(kāi)展情況和申報(bào)網(wǎng)絡(luò)安全費(fèi)用;二是領(lǐng)導(dǎo)班子集體學(xué)習(xí)政策法規(guī)，提高網(wǎng)絡(luò)安全政治意識(shí)。

3、網(wǎng)絡(luò)安全宣傳教育

（1）浸入式網(wǎng)絡(luò)安全宣貫。編制簡(jiǎn)單、短小的碎片化知識(shí)點(diǎn)，組合運(yùn)用微信消息推送、OA平臺(tái)網(wǎng)絡(luò)安全欄目、理論培訓(xùn)和實(shí)操培訓(xùn)等渠道和方式傳遞知識(shí)，便于記憶并不斷加深理解。

（2）網(wǎng)絡(luò)安全專業(yè)人才培養(yǎng)。充分利用技術(shù)交流、技術(shù)競(jìng)賽、外出培訓(xùn)、等保測(cè)評(píng)等機(jī)會(huì)，推進(jìn)網(wǎng)絡(luò)安全技術(shù)支撐團(tuán)隊(duì)的專業(yè)化建設(shè)，培養(yǎng)具備攻防能力的專業(yè)人才。

4、應(yīng)急預(yù)案和應(yīng)急演練

網(wǎng)絡(luò)安全應(yīng)急預(yù)案增加網(wǎng)絡(luò)安全攻防演練預(yù)案;邀請(qǐng)等保測(cè)評(píng)公司協(xié)助進(jìn)行網(wǎng)絡(luò)安全攻防演練，包括網(wǎng)頁(yè)被篡改、防火墻被攻擊等常見(jiàn)滲透攻擊。

5、做好專項(xiàng)檢查

以查促改，配合網(wǎng)信辦、公安和廣電系統(tǒng)做好專項(xiàng)檢查，梳理互聯(lián)網(wǎng)出口，檢查管理漏洞，匯集資產(chǎn)信息等。

6、等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估

依據(jù)網(wǎng)絡(luò)安全法和等保要求，每年對(duì)等保三級(jí)系統(tǒng)開(kāi)展測(cè)評(píng)整改和風(fēng)險(xiǎn)評(píng)估。制定全域安全基線要求，規(guī)范整個(gè)集團(tuán)的信息系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

四、分區(qū)域技術(shù)保護(hù)體系建設(shè)

1、各業(yè)務(wù)系統(tǒng)基礎(chǔ)安全保障建設(shè)

各業(yè)務(wù)系統(tǒng)采用高性能設(shè)備，滿足業(yè)務(wù)高峰期使用需要;關(guān)鍵設(shè)備、線路冗余;采用防火墻、網(wǎng)閘、IPS、防病毒等防御手段和措施，構(gòu)建內(nèi)部縱深防御系統(tǒng)，做好安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全計(jì)算環(huán)境建設(shè)。

2、安全管理中心建設(shè)

南京廣電集團(tuán)綜合運(yùn)用態(tài)勢(shì)感知、運(yùn)維管理等技術(shù)手段，打破內(nèi)外網(wǎng)壁壘，建設(shè)了共享式全域網(wǎng)絡(luò)安全技術(shù)平臺(tái)，該平臺(tái)實(shí)現(xiàn)安全管理中心功能，能夠被集團(tuán)相關(guān)業(yè)務(wù)系統(tǒng)共享使用。

該技術(shù)平臺(tái)是一個(gè)特定的、獨(dú)立的、安全的網(wǎng)絡(luò)管理區(qū)域，鏈路加密，保證數(shù)據(jù)傳輸安全;防火墻進(jìn)行安全邊界防護(hù)，采用IPSEC技術(shù)進(jìn)行帶外管理，業(yè)務(wù)數(shù)據(jù)不受影響。主要實(shí)現(xiàn)以下功能：

（1）安全態(tài)勢(shì)感知

基于SOC架構(gòu)的日志探取，數(shù)據(jù)分析，數(shù)據(jù)挖掘和可視化報(bào)表，實(shí)現(xiàn)系統(tǒng)資源監(jiān)控、風(fēng)險(xiǎn)威脅分析和安全事件分析，直觀反映網(wǎng)絡(luò)安全狀況，及時(shí)了解網(wǎng)絡(luò)安全發(fā)展趨勢(shì)，防止出現(xiàn)網(wǎng)絡(luò)安全事件。

（2）集中運(yùn)維管理

將各個(gè)業(yè)務(wù)系統(tǒng)的運(yùn)維行為統(tǒng)一由安全管理中心負(fù)責(zé)，安全管理中心配置堡壘機(jī)實(shí)現(xiàn)統(tǒng)一安全運(yùn)維，規(guī)范特權(quán)賬戶行為和操作渠道。

安全管理員負(fù)責(zé)安全策略的配置，安全配置檢查和保存等;系統(tǒng)管理員負(fù)責(zé)系統(tǒng)參數(shù)安全配置，記錄操作;審計(jì)管理員負(fù)責(zé)日志審計(jì)分析。

堡壘機(jī)對(duì)管理操作行為進(jìn)行監(jiān)控與記錄，發(fā)現(xiàn)風(fēng)險(xiǎn)可中止用戶的操作。以此防止黑客對(duì)特權(quán)賬戶提權(quán)成功，發(fā)動(dòng)攻擊。

五、網(wǎng)絡(luò)安全管理體系建設(shè)

網(wǎng)絡(luò)安全管理體系必須以制度形式進(jìn)行落實(shí)。應(yīng)對(duì)人員職責(zé)、總體方針、安全策略、操作規(guī)程進(jìn)行修訂，安全管理制度參照等保2.0要求進(jìn)行編制。按照網(wǎng)絡(luò)安全工作責(zé)任制要求，要將網(wǎng)絡(luò)安全制度單獨(dú)成冊(cè)，特別要制定網(wǎng)絡(luò)安全獎(jiǎng)懲制度。安全管理要注重以下幾個(gè)方面：

1、機(jī)房安全管理

對(duì)管轄機(jī)房、控制間、值班室等進(jìn)行規(guī)范，對(duì)各類線路進(jìn)行規(guī)范化處理、對(duì)易燃雜物進(jìn)行清理、對(duì)亂堆亂放進(jìn)行整改、對(duì)備品備件集中規(guī)范安置、對(duì)機(jī)房等場(chǎng)所（特別是隱蔽位置）定期進(jìn)行清理，不留死角。

2、傳輸安全管理

定期對(duì)各技術(shù)系統(tǒng)的單一崩潰點(diǎn)進(jìn)行排查，重點(diǎn)排查播出信號(hào)是否按照廣電總局62號(hào)令的要求進(jìn)行雙路由傳輸，內(nèi)部部門(mén)、外部單位間信號(hào)管理邊界協(xié)議完整度檢查。

統(tǒng)一管理對(duì)外線路，由專門(mén)部門(mén)全面負(fù)責(zé)對(duì)外線路管理。

3、安全建設(shè)管理

在業(yè)務(wù)系統(tǒng)改造建設(shè)過(guò)程中，從安全角度對(duì)設(shè)備采購(gòu)、軟件開(kāi)發(fā)、工程施工、系統(tǒng)驗(yàn)收等環(huán)節(jié)進(jìn)行把控，按照“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”原則進(jìn)行網(wǎng)絡(luò)安全建設(shè)，等保測(cè)評(píng)廠家參與建設(shè)過(guò)程。

4、安全運(yùn)維管理

自主開(kāi)發(fā)安全運(yùn)維管理平臺(tái)，B/S架構(gòu)，用于全集團(tuán)各類網(wǎng)絡(luò)安全信息收集、查詢和檢查。平臺(tái)將專項(xiàng)檢查、資產(chǎn)信息、系統(tǒng)變更、漏洞和惡意代碼、密碼復(fù)雜度、應(yīng)急預(yù)案、備份與恢復(fù)、安全事件、外包運(yùn)維等信息進(jìn)行集中處理，臺(tái)賬留存，便于及時(shí)發(fā)現(xiàn)日常運(yùn)維管理疏忽，追根溯源，防范意外。

六、結(jié)語(yǔ)

通過(guò)網(wǎng)絡(luò)安全工作責(zé)任制落實(shí)，分解各崗位的網(wǎng)絡(luò)安全責(zé)任、各環(huán)節(jié)的網(wǎng)絡(luò)安全要求;對(duì)系統(tǒng)進(jìn)行分區(qū)域的安全保護(hù)，實(shí)現(xiàn)等保2.0要求的“一個(gè)中心，三重防護(hù)”;以制度規(guī)范建設(shè)、運(yùn)維等環(huán)節(jié)的安全要求，提高安全管理水平，最終實(shí)現(xiàn)全域網(wǎng)絡(luò)安全工作體系建設(shè)。以上是南京廣電集團(tuán)在融合媒體時(shí)代對(duì)網(wǎng)絡(luò)安全工作的思路，希望能給業(yè)內(nèi)同行有所啟發(fā)和幫助。

南京廣電集團(tuán)