广电系统网络安全防护的研究

广电系统网络安全防护的研究

李尹

武汉广播电视台  430000   

摘要：通过对网络安全风险隐患和网络安全现状进行分析，结合广播电视行业面临的网络安全风险，如何做好广播电视网络防护和维护提出建议。

关键词：网络安全；安全风险；等级保护

2017年，《中华人民共和国网络安全法》正式实施，标志着等级保护2.0的正式启动，网络安全等级保护2.0的主要标准成为移动互联、物联网和广播电视等关注的焦点。面对各类网络安全攻击方式多样化，攻击技术高质量化，攻击目的复杂化（从纯粹的经济目的变更为经济目的与政治目的交叉），如何提高防护能力，采取有效的防护措施，科学合理地提高安全防护水平，成为国家重点关心的课题。

1 网络安全风险隐患的主要类型

网络安全等级保护2.0标准体系主要包含网络安全等级保护条例（总要求／上位文件）、GB17859-1999《计算机信息系统安全保护等级划分准则》（上位标准）、GB/T25058-2020《信息安全技术　网络安全等级保护实施指南》、GB/T22240-2020

《信息安全技术　网络安全等级保护定级指南》、GB/T22239-2019《信息安全技术　网络安全等级保护基本要求》、GB/T25070-2019《信息安全技术　网络安全等级保护设计技术要求》、GB/T28448-2019《信息安全技术　网络安全等级保护测评要求》、GB/T28449-2018《信息安全技术　网络安全等级保护测评过程指南》。根据网络安全等级保护2.0标准，网络安全风险隐患有以下几大类。

1）物理环境安全

物理环境安全隐患主要包括信息中心机房的建设标准，如机房访问控制、防盗、防破坏、防雷击、防火、防水、防潮、防静电、电力供应等方面建设不到位，可用于网络攻击的非物理接触性质，这个环节在整个网络安全风险隐患中属于最容易解决，也最不容易被攻击者利用的环节。

2）通信网络安全

在通讯网络环节，主要考察的是网络架构、网段的划分与隔离、可信验证等；在广播电视网络的应用环境中，这属于基础运维的一部分。

3）区域边界安全

区域边界安全隐患包含了边界防护、访问控制、入侵防范、恶意代码防范、安全审计和科信验证方面。在整个网络安全的建设过程中，这是特别重要的一个环节，但由于网络安全等级保护2.0的实施，网络或信息系统的运营者为了落实《中华人民共和国网络安全法》的要求，或多或少都进行了安全建设，来自区域边界导致的攻击事件逐年减少。

4）计算环境安全

计算环境安全隐患包含身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等11个方面。

5）管理中心安全

管理中心安全隐患主要涉及系统管理、审计管理、安全管理、集中管控等4个方面。

6）管理制度安全

管理制度安全隐患主要涉及安全策略、管理制度的制定、发布、评审和修订等4个方面。

8）管理机构安全

主要涉及岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等5个方面。

8）管理人员安全

主要涉及人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等４个方面。

9）建设管理安全

主要涉及定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等10个方面。

10）运维管理安全

运维管理安全隐患一般涉及环境、资产、介质、设备维护、漏洞和风险、网络和系统安全、恶意代码防范、配置、密码、变更、备份与恢复、安全事件处置、应急预案、外包运维等14个方面。

2 网络安全现状分析

2021年5月，国家互联网应急中心（CNCEST）发布《2020年我国互联网网络安全态势综述》报告，报告中指出2020年我国互联网网络安全处置情况：恶意程序感染主机数量同比下降8.3％，境内活跃DDOS控制端同比减少47.6％；受控端数量同比减少39.9％，仿冒网页同比增长40％，被植入后门网站数量同比下降37.3％，被篡改网站数量同比减少45.9％；遏制云平台DDOS攻击事件占总数74％；云平台上的网站被注入后门数量占总数88.1％；被篡改网站数量占总数88.6％，云平台作为控制端发起DDOS攻击的数量占总数的81.3％；境内发现大量暴露在互联网的工业控制设备和系统，系统涉及电力、石油天然气、轨道交通等重点行业，覆盖企业生产管理、企业经营管理、政府监管、工业云平台等几大类型。同时，历史安全被漏洞利用、ＡＰＴ组织利用社会热点和供应链攻击等方式实施攻击、App违规收集个人信息安全事件高频爆发。网络安全风险处于高位，整体安全形势仍然不容乐观。随着信息技术与广播电视的深度融合，广播电视无论是电视中心网络化制播环境，还是传输网的搭建，都有着明显的信息技术特点。信息技术有其便利性，同时也给传统系统带来安全问题。2011年，原国家广播电影电视总局发布了《广播电视安全播出管理规定》（总局令第62号），文件明确提出广播电视要开展信息系统等级保护工作。但广播电视行业有其特殊性，技术人员网络安全意识不高，加之各种项目前期建设对网络安全的考虑和投入不足等，导致安全风险存在一定隐患。

3　三网融合下广电网络安全面临威胁

3.1　三网融合下广电网络安全威胁种类

三网融合的实现在很大程度上实现了广电网络资源配置的合理化,扩大了广电网络的应用范围,却也让广电网络面临严重的安全威胁。与有线媒体网络不同,在无线网络中,信号必须通过没有真正连接的开放介质传输,因此数据容易暴露在窃听之下,并在没有通知的情况下被篡改。此外,该通道可能会被对手干扰和使用。基于风险来源和表现形式,三网融合下广电网络的安全威胁主要有以下两种:第一种是来自黑客的主动非法恶意攻击。网络安全是现代世界中一个日益严重的问题。网络安全中最薄弱的环节之一是密码的使用和滥用。随着知识和技术的传播越来越广泛,破解密码的方法变得越来越简单并容易获得。第二种是来自网络病毒的非主动恶意攻击。随着网络耦合程度的加深(从松散到紧密),自省代码的风险变得更大。在松散耦合系统中,病毒只能通过电子邮件技术传播,而电子邮件技术通常需要人类用户的干预才能开始执行所收到的病毒。但三网融合让耦合系统变得更加紧密,病毒可以在不规范的网络透明文件系统和远程过程调用设施中,利用这些系统将代码复制到远程控制下的主机。这会导致用户无法正常观看电视、使用网络,给广电公司造成重大经济损失。

3.2　三网融合下广电网络安全威胁特点

三网融合的链路层不同于传统广电网络的链路层,三网融合的特定属性,例如,协作频谱感知、现有和自共存机制,提出了新的安全隐患。因此,三网融合的独特特性使广电网络安全更具挑战性,且与其他媒体安全问题截然不同。这是因为三网融合后广电网络消除了固有的资源限制,增加了次用户访问机会,却又不需要次级用户提供信任保证。同时,自私和恶意的用户可能会发送虚假数据或伪造感知数据。这使得广电网络结构漏洞增加,表现为受攻击的方式多样化,增加了网络安全管理的难度。(2)三网融合对超高数据速率、低时延、综合服务质量和扩展覆盖的支持,为广电网络的发展提供了天然的好处,可以通过广泛部署的蜂窝网络基础设施进行管理和控制。然而,这种好处还需要面对来自网络安全方面的挑战,因为计算机病毒有可能通过瞄准和删除重要的操作程序对广电网络造成严重破坏。

4　广电网络的网络安全防护思考

在《中华人民共和国网络安全法》和等级保护2.0标准实施后，各行业对网络安全的建设重心放在物理环境安全和区域边界安全上（即网络安全的基础设施建设），对制度建设、安全运维等（即网络安全的进阶建设）则比较薄弱。网络安全不管是基础设施建设，还是制度建设等，都是相辅相成，缺一不可的。随着网络安全基础建设的逐步完善，网络攻击的手段也发生了变化。大量的DDOSDDOS暴力攻击转变为漏洞利用和社工手段攻击等；网络攻击呈现出多步协同、分布处理和智能运作等特点，网络安全仅依靠防火墙、防病毒软件、入侵检测等安全防御措施已无法满足新型攻击手段的要求。

4.1　风险评估和渗透测试

作为网络攻击中的防守方，部署重心应根据有效的风险评估、渗透测试和针对性的网络加固来处置。在风险评估和渗透测试之后，应根据评估和测试发现的风险项进行网络加固。风险评估是指分析整个网络安全性的过程，利用标准的评分标准对网络的安全性进行评估，并根据高中低风险程度标明风险项级别。渗透测试则是通过模拟攻击者攻击行为来发现网络威胁的一种方法，渗透测试采用和入侵相同的方式进行，并基于防守者视觉，充分考虑入侵检测、告警关联、入侵预测和入侵响应部署，并充分记录攻击前奏、入侵实施和后续攻击３个环节下可利用的信息，为网络加固提供依据。

4.2网络的安全加固

网络安全加固分为两个环节。一是基础建设，即机房物理环境搭建。购买符合相应等级保护级别的安全设备，进行合理的网络规划，增加必要的访问控制等；二是进阶建设，即从业人员的管理及培训。从业人员的管理主要遵循网络安全管理中心、网络安全管理机构、网络安全管理制度的要求实施。培训对象主要包括网络普通使用者及专业维护者。网络普通使用者的培训对象主要是单位内部行政人员和普通工作人员，培训内容包含违反网络安全管理制度、常见的网络风险，智能手机、平板电脑和USB设备被攻击造成企业网络、社交工程中的恶意邮件和信息收集、员工账号泄露、弱口令导致网络被入侵等不良行为的危害。这部分培训主要是减少被社工手段利用的可能，以及网络内部办公环境带来的风险；网络专业维护者的培训，除普通使用者培训内容外，还要针对单位网络安全的规划大局和具体技术作出相应措施。安全规划方面可以借鉴中国信息安全产品测评认证中心CISP认证体系的解决方案，该认证体系考核的内容包含：

1）信息安全保障概述

介绍了信息安全保障的框架、基本原理和实践，它是注册信息安全专业人员首先需要掌握的基础知识。

2）信息安全技术

主要包括密码技术、访问控制和审计监控等安全技术机制，网络、系统软件和应用等层次的基本安全原理和实践，以及信息安全攻防和软件安全开发相关的技术知识和实践。

3）信息安全管理

主要包括信息安全管理体系建设、信息安全风险管理、具体信息安全管理措施等同信息安全相关的管理知识和实践。

4）信息安全工程

主要包括信息安全相关的工程知识和实践。

5）信息安全标准法规

主要包括信息安全相关的标准、法律法规和道德规范。信息安全标准法规是注册信息安全专业人员需要掌握的通用基础知识。通过认证体系的学习，网络专业维护者可以从法规、技术和管理多方面对管理的网络安全进行统一规划。技术方面主要是从安全厂商的产品配置、渗透能力等方面来体现，技术人员应掌握所采购安全产品的技术要领，能熟练根据网络规划配置和调整策略。网络安全进阶的要求是技术人员通过采购商的技术认证。渗透能力方面应积极参加互联网信息办公室每年的各种比赛。值得注意的是，网络安全运营者会忽视网络安全建设和管理的连续性，但这又是至关重要的一环，因它包括了持续的漏洞扫描、基线核查、日志分析预警、安全意识培训、安全制度的监督落实、定期网络安全应急演练、持续的人才培养等。根据《关键信息基础设施安全保护条例》，广电网络属于关键信息基础设施，这要求在网络安全上应更加重视，根据业务部门进行配套的安全建设和培训，切实加强每个网络使用者的安全意识，加大对技术系统安全配置，提升网络管理水平相结合才能真正做到安全保护。

5 结束语

在等级保护2.0体系下存在的网络安全隐患，对网络安全防御中“人”这一角色做出了更高的要求，从业人员的信息安全意识、知识与技能已成为保障信息系统安全稳定运行的重要基本要素。网络安全建设要加强设备的完善，提升维护人员的配置规划能力，加强从业人员的系统培训，规范网络使用的流程和要求，从技防和人防两方面进行配合是做好网络安全防范的必经之路。

参考文献

[1]杨木伟,肖辉,党超辉,刘涛.基于智慧广电“安全大脑”的广播电视网络安全防护体系建设研究与应用[J].广播电视网络,2022,29(06):54-58.

[2]王绍刚.广电播控中心监控系统的设计与实施[J].网络安全技术与应用,2020(08):138-139.智慧广电建设中组播网络安全防护技术的研究[C]//.第18届全国互联网与音视频广播发展研讨会暨第27届中国数字广播电视与网络发展年会论文集.,2019:238-242.