【管理运营】广东广播电视台播出系统信息安全等级保护建设工作
【摘要】 随着信息飞速发展,信息安全等级保护举足轻重,根据系统特点和业务实际,按照安全等保建设要求,广东广播电视台播出系统建设了三级等保。本文通过安全管理和安全技术两个方面,简要介绍了安全等级保护工作的建设过程,通过完善相关的管理流程和制度,构建安全系统的信息安全保护环境,从而提高重要系统的安全性,提升播出网络的安全保障水平,达到强化安全播出的目的。
【关键词】等级保护
一.引言
近年来,信息化建设飞速发展,信息化技术广泛应用,网络信息系统逐渐成为了承载各行各业各领域业务的重要载体,随着信息系统网络日益庞大和系统结构日益复杂,信息安全方面带来日益严峻的挑战,信息安全等级保护在未来的发展中举足轻重。
广东广播电视台播出系统支撑着节目编播等核心业务,负责所有频道的播出工作,是由计算机及其相关配套设备、设施构成,按照广播技术播出标准部署和运维的一个局域网络。播出系统建成较早,信息安全防护考虑较少,而随着近年来网络化建设,业务增加和边界不断拓展,网络环境日趋复杂,网络安全保障难度不断提高。为了确保系统的安全性,信息安全等保建设迫在眉睫,通过对网络基础结构、安全基础设施、安全防护措施和安全管理制度等方面的建设,有助于我们进行系统性规划,防止非法入侵,对数据进行篡改和窃取,通过系统安全加固满足播出网络的安全防护的需求。
二.安全等级保护概述
1.信息系统安全等级保护等级情况我国公安部2008年下发首部信息安全等级保护管理办法,制定了定级指南,信息系统安全定级工作有了定级的方法和准则。该管理办法中规定了信息系统等级划分,明确了对信息系统的保护的相关的管理规定,推动了信息系统安全等级保护的发展。
2014年2月27日,中央网络安全和信息化领导小组正式成立,体现了我国家保障网络信息安全和大力推动信息化发展的决心。习近平总书记主持召开的小组第一次会议,指出“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”,提出“网络安全和信息化是一体之两翼,驱动之双轮”,强调了网络安全在国家安全体系中的重要战略地位以及网络安全和信息化的重要性和强迫性。
2016年下半年,相关政策发布速度显著加快,多项政策密集出台,其中《中华人民共和国网络安全法》第21条明确提出国家实行网络安全等级保护制度。自此,我国网络安全建设进入了新时期。
2.系统定级的依据信息安全基本制度的信息安全等级保护工作环节包括信息系统定级、等级保护实施、等级测评、系统安全运维等,其中首要环节是系统定级。按照《信息安全等级保护管理办法》中的相关规定,信息系统的安全保护等级分为五个等级,一级最低,五级最高。
根据各行业和部门的信息系统类型和重要程度的不同,通过定级,确定信息安全保护的重点。信息系统的安全保护的等级由两个定级要素决定,根据信息系统受到破坏后,等级保护对象受到破坏所侵害的客体类型以及对该客体造成侵害的严重程度,强化信息系统安全保护标准要求。根据《信息系统安全等级保护定级指南》,信息系统安全保护的等级
由上表可见,等级保护对象受到破坏时受到侵害的客体包括:
(1)公民、法人和其他组织的合法权益; (2)社会秩序、公共利益;
(3)国家安全。对等级保护对象的破坏表现在通过危害方式、危害后果和定级要素的关系如下表[1-2]所示。
和危害程度三个方面,造成侵害的程度归结为以下三种: Ö (1)一般损害;
Ö (2)严重损害;
Ö (3)特别严重损害;
3.等级保护定级的流程
信 息系统安全等级保护实施的基本流程如图[1],在运行维护阶段,如果因需求变化而导致局部调整,应进入安全设计与实施阶段重新设计和调整安全措施以满足等级保护的要求;如果重大变更则需要进入信息系统等级阶段,重新开始新一轮信息安全等级保护的实施工作。
三.广东广播电视台播出信息系统概况
对广东广播电视台播出信息系统,我们根据安全等级保护的定级方法和实施相关流程,通过对系统定级、系统备案、建设整改、等级测评、监督检查五个方面开展安全等级保护工作。1.系统定级和备案广东广播电视台播出信息系统属于广电行业生产播出网络,为封闭的内部局域网,该播出信息系统包括从磁带信息、节目单信息录入,节目素材编排和迁移、节目播出整个播出流程。该系统遭到破坏后(如信息被修改、增加、删除等不明侵害),虽然不含涉密信息,不对国家安全构成危害;但该系统承载广东广播电视播出业务生产,播出系统发布节目内容,该信息若被篡改成非法信息或涉密敏感信息,可能造成播出事故,侵害社会公众收看广播电视节目的合法权益,可能引起社会秩序混乱,可能侵害公共利益。
根据《信息系统安全等级保护定级指南》(GB/T 22240-2008)和《广播电视相关信息系统安全等级保护定级指南》(GD/J 037-2011),广东广播电视台播出信息系统确定为三级等保系统,并按照《信息安全等级保护备案实施细则》的相关要求办理信息系统备案工作。2.等保项目的总体规划根据《信息系统等级保护安全设计技术要求》(GBT 25070-2010)中第三级系统安全保护环境结构与流程(如图2)[4],主要分为安全计算环境、安全区域边界、安全通行网络和安全管理中心四个部分。在此技术要求的指导下,广东广播电视台信息系统安全等级保护项目中主要对物理安全、主机安全、应用安全、 网络安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理方面的入手,确立安全策略、制定安全规划、开展安全建设,制定切实可行的项目实施方案,以保证广东广播电视台播出系统信息安全等级保护建设。
3.播出信息系统的计划与实施播出信息系统的建设主要分成安全管理子系统建设和安全技术子系统建设两个部分。
安全管理子系统建设方面,播出信息系统建设多年,已经规划和制定了较为完善的系统维护、流程管理、安全检查、人员培训等相关的制度以保障系统的安全,确保安全播出。但是随着信息技术的不断发展和系统的不断更新改造,对于信息安全相关方面的制度和管理相对薄弱,因此,本次等保安全工作的实施中,我们根据完全信息安全的相关要求,明确了安全管理机构方面,安全管理机构职责和岗位分工,完善相关授权审批事项规定和相关流程规范,详细制定了定期进行安全检查并保存相关检查结果和报告等相关管理制度,制定人员安全管理制度、人员安全意识教育和信息安全认知和技能的培训考核等方面的人员安全管理制度,完善