◆李 偉

淺談廣電網(wǎng)絡(luò)信息安全存在的問題與對(duì)策

◆李 偉

（四川省有線廣播電視網(wǎng)絡(luò)股份有限公司雙流分公司 四川 610200）

在三網(wǎng)融合進(jìn)程中，傳統(tǒng)的廣電網(wǎng)絡(luò)信息正面臨前所未有的安全風(fēng)險(xiǎn)和隱患。本文結(jié)合廣電行業(yè)的實(shí)際，指出了目前廣電網(wǎng)絡(luò)信息安全方面存在的問題，并針對(duì)存在的問題提出了加強(qiáng)網(wǎng)絡(luò)信息安全管理的對(duì)策與建議。

三網(wǎng)融合；信息安全；安全管理

0 前言

廣電網(wǎng)絡(luò)在應(yīng)對(duì)過去封閉狀態(tài)下簡單信息安全威脅的同時(shí)，還要面臨互聯(lián)網(wǎng)、電信網(wǎng)上存在的更廣泛、威脅更大、頻率更高、更不易被察覺的信息安全威脅。而隨著移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算等先進(jìn)技術(shù)在廣電網(wǎng)絡(luò)中不斷深入的應(yīng)用，必將使廣電網(wǎng)絡(luò)面臨的信息安全挑戰(zhàn)更加復(fù)雜。

1 網(wǎng)絡(luò)信息安全概念、建設(shè)原則及防護(hù)工作要求

（1）網(wǎng)絡(luò)信息安全概念

網(wǎng)絡(luò)具備開放性和共享性的特征，因此更容易受到病毒、黑客的侵襲，從而導(dǎo)致信息外泄、網(wǎng)絡(luò)竊聽、盜竊密碼等問題。因此網(wǎng)絡(luò)的信息安全，從根本上說是指網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行，以及系統(tǒng)中的數(shù)據(jù)信息無論面對(duì)何種情況都不會(huì)被泄露、更改或干擾，其內(nèi)涵主要包括系統(tǒng)安全、內(nèi)容安全、傳輸安全等。

（2）網(wǎng)絡(luò)信息安全建設(shè)原則

廣電網(wǎng)絡(luò)信息安全的建設(shè)要根據(jù)在線網(wǎng)絡(luò)的現(xiàn)狀，在承載寬帶業(yè)務(wù)、互動(dòng)業(yè)務(wù)、直播業(yè)務(wù)時(shí)，依據(jù)行業(yè)標(biāo)準(zhǔn)對(duì)安全威脅的風(fēng)險(xiǎn)等級(jí)進(jìn)行綜合分析和評(píng)估，以“內(nèi)容、系統(tǒng)、網(wǎng)絡(luò)、終端、管理”為評(píng)估的核心標(biāo)準(zhǔn)，進(jìn)行各個(gè)業(yè)務(wù)的安全防護(hù)能力的建設(shè)，保障各業(yè)務(wù)的發(fā)展及安全融合，并通過采取多樣化的安全防范措施構(gòu)建高效、合理的安全防護(hù)體系，以保障信息系統(tǒng)在網(wǎng)絡(luò)上的安全。

（3）網(wǎng)絡(luò)信息安全防護(hù)工作要求

信息安全防護(hù)工作須滿足三個(gè)要求：一是保密性，要求在保證為授權(quán)使用者正常使用的同時(shí)，能保護(hù)數(shù)據(jù)不被非法截獲；二是完整性，能確保數(shù)據(jù)信息在運(yùn)行過程中是未被篡改或破壞的原始信息；三是可用性，要使用戶可以隨時(shí)隨地的對(duì)數(shù)據(jù)進(jìn)行使用。

2 網(wǎng)絡(luò)信息安全存在的問題

（1）管理制度不健全、執(zhí)行不力

具體表現(xiàn)在：（1）信息安全管理制度不健全，執(zhí)行不力；（2）沒有制定具體的崗位工作職責(zé)，如系統(tǒng)管理員、網(wǎng)絡(luò)管理員、信息安全管理員，崗位職責(zé)不明確；（3）未能嚴(yán)格按等級(jí)保護(hù)管理要求，建立完整的安全管理制度；（4）在信息系統(tǒng)建設(shè)時(shí)有規(guī)劃，但無相關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案進(jìn)行論證和審定，缺乏決策的合理性和科學(xué)性；（5）缺乏整體的網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案和演練方案；（6）需要加強(qiáng)網(wǎng)絡(luò)信息安全技能方面的培訓(xùn)和考核。

（2）基礎(chǔ)設(shè)備性能落后，網(wǎng)絡(luò)信息安全技術(shù)創(chuàng)新不足

在網(wǎng)絡(luò)信息安全技術(shù)方面雖采取了隔離技術(shù)、防火墻技術(shù)等，但仍然存在以下幾個(gè)方面的問題：（1）沒有從主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、物理安全等幾方面建立完整的技術(shù)防范體系；（2）平臺(tái)未能按照三權(quán)分立的原則設(shè)定系統(tǒng)管理員、安全管理員和安全審計(jì)員；（3）過度依賴外網(wǎng)隔離、延播和備播等傳統(tǒng)的安全防護(hù)手段，難以適應(yīng)飛速發(fā)展的新媒體平臺(tái)技術(shù)，保證點(diǎn)播和直播等服務(wù)內(nèi)容的安全性；（4）對(duì)管理用戶的身份鑒定技術(shù)還停留在以往的用戶口令方式，并且口令更新機(jī)制不完善，存在被破解和竊聽的風(fēng)險(xiǎn)。

（3）管理隊(duì)伍人員素質(zhì)參差不齊，安全意識(shí)淡薄

由于廣電行業(yè)歷史原因，管理隊(duì)伍人員素質(zhì)參差不齊。一方面嚴(yán)重缺乏專業(yè)技術(shù)人員，另一方面，有的技術(shù)人員年齡偏大，專業(yè)技術(shù)知識(shí)老化，缺乏新的專業(yè)技術(shù)知識(shí)，網(wǎng)絡(luò)信息安全意識(shí)淡薄。

3 網(wǎng)絡(luò)信息安全管理的對(duì)策與建議

（1）出臺(tái)廣電網(wǎng)絡(luò)信息安全頂層總體戰(zhàn)略規(guī)劃

隨著《推進(jìn)三網(wǎng)融合的總體方案》的實(shí)施，我國對(duì)網(wǎng)絡(luò)信息安全保障方面的工作提出了更高的要求。為了促進(jìn)三網(wǎng)融合的進(jìn)程，保障融合過程中的網(wǎng)絡(luò)安全，廣電行業(yè)要在戰(zhàn)略上對(duì)如何保障網(wǎng)絡(luò)信息安全進(jìn)行一個(gè)總體的籌劃，從相關(guān)機(jī)構(gòu)的調(diào)整、法律法規(guī)的制訂、關(guān)鍵基礎(chǔ)設(shè)施的建設(shè)與維護(hù)、專業(yè)人員的培訓(xùn)、與各方合作等方面進(jìn)行一個(gè)全局性的統(tǒng)籌，制定廣電網(wǎng)絡(luò)信息安全保障工作的整體戰(zhàn)略，然后再根據(jù)戰(zhàn)略的指導(dǎo)進(jìn)行分階段的目標(biāo)制定，實(shí)施具體的網(wǎng)絡(luò)信息安全政策和措施。此外，廣電行業(yè)還要加強(qiáng)技術(shù)創(chuàng)新方面的研發(fā)工作，為推進(jìn)三網(wǎng)融合及維護(hù)網(wǎng)絡(luò)安全奠定技術(shù)基礎(chǔ)。

（2）加強(qiáng)信息安全立法，構(gòu)建信息安全政策保障

解決網(wǎng)絡(luò)信息安全問題不僅要依靠技術(shù)手段，還必須將技術(shù)規(guī)范法律化。雖然我國先后出臺(tái)實(shí)施了保障網(wǎng)絡(luò)信息安全方面法律法規(guī)，但隨著廣電網(wǎng)絡(luò)的覆蓋方式及承載業(yè)務(wù)的不斷擴(kuò)大，用戶終端及業(yè)務(wù)運(yùn)營內(nèi)容、模式等也越來越趨于復(fù)雜和多樣化，現(xiàn)有的法律法規(guī)已難以適應(yīng)時(shí)代的變化，無法在新形勢下面對(duì)復(fù)雜的網(wǎng)絡(luò)覆蓋方式、多樣化的終端及業(yè)務(wù)內(nèi)容等對(duì)網(wǎng)絡(luò)信息安全進(jìn)行一個(gè)有效的保障。因此，應(yīng)完善相關(guān)立法，構(gòu)建更加完善的信息安全法律保障。

（3）建立健全新技術(shù)應(yīng)用的安全性及風(fēng)險(xiǎn)評(píng)估機(jī)制

隨著電信及互聯(lián)網(wǎng)運(yùn)營商的不斷發(fā)展，廣電運(yùn)營商面臨的壓力也越來越大，為了突破這種被動(dòng)的局面，廣電運(yùn)營商在穩(wěn)固和發(fā)展其自身原有業(yè)務(wù)的同時(shí)，不斷嘗試進(jìn)行新業(yè)務(wù)的開展或進(jìn)行將多種業(yè)務(wù)進(jìn)行融合。而這些開發(fā)新業(yè)務(wù)所應(yīng)用的技術(shù)也被引用到廣電網(wǎng)絡(luò)中，極大提升了廣電網(wǎng)絡(luò)的競爭力，推動(dòng)了廣電網(wǎng)絡(luò)業(yè)務(wù)的不斷發(fā)展。但是，新技術(shù)的應(yīng)用必然會(huì)帶來未知的風(fēng)險(xiǎn)，如云計(jì)算的應(yīng)用可能會(huì)給造成云端用戶信息的泄露，物聯(lián)網(wǎng)大量使用無人值守設(shè)備、電子標(biāo)簽、無線通信等技術(shù)可能會(huì)出現(xiàn)應(yīng)用層隱私信息安全問題。

新技術(shù)的應(yīng)用推動(dòng)新業(yè)務(wù)的開展，但是也會(huì)帶來一定的風(fēng)險(xiǎn)，如何做到利用新技術(shù)推動(dòng)業(yè)務(wù)發(fā)展的同時(shí)規(guī)避其帶來的風(fēng)險(xiǎn)是廣電運(yùn)營商應(yīng)注重考慮的。為此，應(yīng)建立科學(xué)的技術(shù)應(yīng)用風(fēng)險(xiǎn)評(píng)估機(jī)制，對(duì)新技術(shù)在廣電網(wǎng)絡(luò)中進(jìn)行應(yīng)用的安全性及其可能帶來的風(fēng)險(xiǎn)進(jìn)行綜合評(píng)估，分析新技術(shù)會(huì)帶來哪些好處及新技術(shù)可能會(huì)在應(yīng)用的哪個(gè)環(huán)節(jié)上出現(xiàn)安全問題，然后采取針對(duì)性的規(guī)避風(fēng)險(xiǎn)的對(duì)策，采取有效的措施達(dá)到對(duì)新技術(shù)進(jìn)行安全應(yīng)用的目標(biāo)。

（4）建立健全網(wǎng)絡(luò)信息安全管理體系，加強(qiáng)信息安全管理

隨著網(wǎng)絡(luò)的普及和深入，信息安全已不是一個(gè)孤立的問題，依靠單一的安全產(chǎn)品或技術(shù)無法有效的保障網(wǎng)絡(luò)信息的安全，需要構(gòu)建一個(gè)以安全技術(shù)為基礎(chǔ)，聯(lián)合各方對(duì)信息安全問題進(jìn)行規(guī)范管理和科學(xué)決策的有機(jī)統(tǒng)一的安全管理體系。其中，最關(guān)鍵是要建立和落實(shí)信息安全分級(jí)保護(hù)制度，根據(jù)不同單元的重要程度或風(fēng)險(xiǎn)程度劃分不同的保護(hù)等級(jí)，分別采取必要的保護(hù)技術(shù)和措施，以達(dá)到安全有效保護(hù)。

（5）建立健全網(wǎng)絡(luò)信息安全技術(shù)防范體系，堅(jiān)持技術(shù)創(chuàng)新

堅(jiān)持技術(shù)創(chuàng)新，不斷加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)備的研究與開發(fā)，使用性能先進(jìn)的網(wǎng)絡(luò)基礎(chǔ)設(shè)備，保證網(wǎng)絡(luò)安全運(yùn)行。不斷加強(qiáng)網(wǎng)絡(luò)信息技術(shù)的研究與開發(fā)。從物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、數(shù)據(jù)備份恢復(fù)等方面建立完整高效的技術(shù)防范體系，加大對(duì)內(nèi)容過濾和檢測技術(shù)、加密技術(shù)等關(guān)鍵信息技術(shù)的研發(fā)力度。

（6）加大業(yè)務(wù)技能培訓(xùn)力度，提高管理人員素質(zhì)

制定科學(xué)合理的人才發(fā)展規(guī)劃，充分發(fā)揮技術(shù)人才的作用。一方面要加大專業(yè)技術(shù)人才的引進(jìn)力度，落實(shí)人才優(yōu)惠政策，不僅要重視引進(jìn)人才方面的工作，更要重視如何留住人才的工作；另一方面，要加強(qiáng)對(duì)員工進(jìn)行專業(yè)技能培訓(xùn)和信息安全教育培訓(xùn)的重視，使員工專業(yè)技能提高，安全意識(shí)增強(qiáng)，自覺遵守工作規(guī)范，自覺履行崗位職責(zé)。

4 結(jié)束語

在網(wǎng)絡(luò)化、信息化和數(shù)字化的信息時(shí)代不斷發(fā)展的今天，推進(jìn)三網(wǎng)融合是促進(jìn)我國信息化建設(shè)的必由之路，廣電網(wǎng)是三網(wǎng)融合中重要一環(huán)。然而，在開放共享的網(wǎng)絡(luò)空間，使用網(wǎng)絡(luò)就必然存在網(wǎng)絡(luò)信息安全問題。要保證網(wǎng)絡(luò)信息安全就須緊緊抓住信息安全這條主線，增強(qiáng)信息安全意識(shí)，加強(qiáng)信息安全立法，加強(qiáng)新技術(shù)應(yīng)用的安全性及風(fēng)險(xiǎn)評(píng)估機(jī)制建設(shè)，加強(qiáng)技術(shù)創(chuàng)新和信息安全的技術(shù)防范體系建設(shè)，加強(qiáng)員工業(yè)務(wù)技能培訓(xùn)，確保廣電網(wǎng)絡(luò)運(yùn)行的可靠性和安全性。

[1]錢英.廣電行業(yè)信息安全問題分折及對(duì)策研究.安微科技，2017(9)。

[2]梁玉婷.三網(wǎng)融合背景下廣電網(wǎng)絡(luò)信息安全現(xiàn)狀及防護(hù)措施.山西電子技術(shù)，2016.