广播电视如何建立有效的网络安全防御体系

张 利

（新疆广播电视台融合发展中心，新疆 乌鲁木齐 830044）

1 广播电视系统的发展现状

近年来，随着信息化程度不断加深，人民的生产生活方式发生了巨大的改变，广播电视的传播方式也发生了改变，传统的无线电波、导线逐步被不同的网络传播所替代。尽管信息资源的共享一定程度上提高了工作效率，但同时也增添了一定的安全隐患。广播电视系统与网络信息技术的对接，一方面拓宽了节目的收看渠道、提升了节目的收视率，另一方面，却也使得网络安全问题日益突出。

现阶段，广播电视系统所面临的主要网络安全问题有数据被不法分子窃取、篡改，甚至是利用网络攻击广播电视设备等行为，从而导致广播系统内部正常工作难以维系，乃至系统设备的损害或者瘫痪等问题。此外，由于广播系统是传播信息的主要途径之一，因此广播电视系统安全与国家利益、社会稳定息息相关，防范不法分子、反动分子或是其他境外敌对势力的网络劫持、反动言论也是十分重要的。

2 广播电视系统网络安全问题的产生

首先，基于计算机技术的不断发展，计算机的病毒也处于不断更新换代的发展过程之中。计算机病毒是极具破坏性、传染性、潜伏性的人为制造的程序，因此往往会对网络或是系统造成巨大的损害。现有的大部分攻击行为包括病毒、蠕虫、远程溢出、口令猜测、未知威胁等攻击行为，都可以通过网络进行攻击，这类病毒及攻击行为具有代表性，也是常见的网络安全隐患问题。

其次，网络信息的价值性使得一些有利益需求的不法分子为了一己之私，不惜作出窃取信息、侵占网络、破坏系统等一系列行为对网络安全造成威胁。尤其是一些敌对的反动势力，为了宣传自身的反对言论以及价值观，从而作出侵占广播电视系统网络的行为。

由于大多数的广播电视系统采取混合型的拓扑网络结构，在传输过程中易遭受恶意的拦截、篡改、侦听，在控制业务流向的同时，对所有访问可以进行审计追踪，并能识别数据流中的重要信息。此外，操作系统是系统内部管理并控制整个体系的主要平台，有着资源分配、控制设备、操控网络多项任务，针对系统漏洞、缓冲区溢出、应用程序缺陷都可以让整个业务系统瘫痪，因此在实际的网络安全问题防范过程之中，这也是最易出现网络安全漏洞的环节。

3 建立广播电视网络安全防御体系的具体举措

3.1 基础环境安全

广播电视技术系统由节目制作、节目播出、节目传送、节目信号发射和节目信号监测与接收五部分，为了安全因素考虑，这些系统和外网通过物理隔离的方式，我们一般把制作播出的网络称为内网，外网针对于应用在互联网的业务。因此对基础环境有着较高的要求，网络环境主要包括数据中心机房的物理环境，涉及到机房的设计与规范化，包括：设备物理安全技术要求：防火、防震、防水、防电（雷电、静电等）、防辐射、防爆裂等；环境物理安全技术要求：防盗防毁、视频监控、出入口控制、记录介质安全、通信线路安全、信息传输交换共享范围要求等；系统物理安全技术要求：物理设备的灾难备份与恢复、物理设备访问保护、设备管理等。

3.2 集中安全管理和实施策略

为有效应对广播电视潜在的安全威胁和风险，切实保障系统的安全，必须从技术保障、组织管理、政策环境、标准体系、人才培养等方面着手，建立完善的安全体系，形成有效的安全防护能力、隐患发现能力和应急反应能力，才能实现系统的高可用性、高可靠性和高可控性，切实保障系统的安全。针对业务系统的安全需求特点，需采取系统安全策略如下：

（1）身份认证：应是本项目的惟一电子身份标识，建立全系统统一的身份认证体系和授权管理体系，通过使用此身份标识进行身份认证，保证身份的真实性。

（2）访问控制：将信息资源（包括设备、数据和应用）划分成不同级别，将使用信息资源的用户划分成不同等级和类型，实现不同类型人员对不同级别信息访问的有效控制。

（3）信息保密：充分利用密码技术，加强对密码算法、密码设备和密钥的管理，对于需要保密的信息，采用密码技术进行加解密处理，防止信息的非授权泄漏，确保涉密信息在产生、存储、传递和处理过程中的保密。

（4）数据完整性：建立数据完整性检验机制，保证收发双方数据的一致性，防止信息被非授权修改。

同时还采取相应安全管理策略如下：

（1）安全内部审计：制定安全体系的内部定期审计制度，对信息安全保密体系进行定期审计，以确保所有的安全策略得以正确的实施。

（2）安全事件响应能力：制定对各种安全事件和突发情况的应急反应措施，配备相应的安全工具。包括在应急情况下的应急预案、操作手册，备份数据等。

（3）安全资产管理：建立信息安全资产管理机制，对安全产品和技术的使用进行登记和管理。安全产品或技术的使用应提供统一接口，以便对系统安全体系进行统一管理和控制。

3.3 纵深防御体系

根据播出业务不同的安全级别，可以设置不同的安全防护措施，以实现网络安全的纵深防御。直接播出的业务系统必然是高安全级别系统，应处于纵深防御体系的内部。对实时性的高要求也使得安全管理难以部署，因此，更需要加强对交换的数据类型、网络协议的严格控制。中安全级别系统主要包括一些与制作系统、媒资系统关系密切的系统，由于并不具备与公共网络的连接，因此对业务的可靠性有着很高的要求。在一些无法部署高安全级别安全措施的系统之中，中安全级别系统的有效部署也能够实现中低安全系统之间的数据交换。互联网业务相关的应用系统或平台处于低安全级别系统之中。

基于互联网连接应用系统和平台，要采取可靠的防御措施即可对数据交换起到良好的保护作用。通常采用专业级企业网络防火墙，防火墙是一种特殊的访问控制设备，是一道介于内部网络和互联网之间的安全屏障，防火墙的基本功能是根据各种网络安全策略的要求对未经授权的访问和数据传递进行筛选和屏蔽，它保护着内部网络数据的安全。针对办公网我们采用上网行为管理，针对用户的行为，实时的流量，出口的带宽进行有效管控。对数据进行全面检查和分析。深度识别、管控和审计IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频应用等近千种常见应用，并利用多级流控、精准阻断、智能路由等技术提供强大的带宽管理特性。针对于整个网络安全也采用专用的入侵检测系统，其通过旁路方式部署在广播电视互联网业务系统当中，对网络数据流量进行深度检测、实时分析，并对网络中的攻击行为进行主动检测的安全设备；其主要是对应用层的数据流进行深度分析，动态地保护来自内部和外部网络攻击行为的网关设备，可实时监控网络流量数据及时发现违规操作，自动响应告警。鉴于威胁分析的结果，安全技术人员定期针对防火墙、IPS、WAF、抗DDOS等设备策略配置巡检及优化，配置适用于企业安全运行的防护策略，全面提升网络、应用安全防护强度，进一步保障业务安全稳定运行。

3.4 建立专业的技术队伍

以技术保障为基础、以管理运营为抓手、以监测预警为核心、以协同响应为目标的网络安全防御体系并落地为具体的安全需求，包括物理和环境、网络和通信、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理各个层面的安全需求，再依据已有的安全处置能力，将安全需求转化为可以实现的技术防护、安全管理措施、安全运营手段，为广播电视业务系统安全保驾护航。

3.5 制定标准规范

广电行业具有自己独特的行业发展特色，尽管国家信息安全的标准体系难以适用于此类生产业务系统，但是此类系统的安全标准仍需严格遵循国家标准，并基于此确定更具适用性的信息安全标准规范。各个信息系统的运营与使用也应严格按照国家标准以及行业要求，在系统建设、系统运维、人员管理等多方面制定自己的信息安全制度体系。

4 结束语

由此可见，在现阶段的广播电视系统发展过程中存在着设备结构以及平台漏洞等内部问题，也不可避免的存在着外界恶意攻击破坏等问题，因此网络安全防御体系的构建既要加强系统内部的安全防护，也不可以忽视信息传播过程中的数据加密、网络认证等工作，才能实现广播电视系统网络安全的有效维护。