淺談廣電網絡信息安全存在的問題與對策

◆李 偉

淺談廣電網絡信息安全存在的問題與對策

◆李 偉

（四川省有線廣播電視網絡股份有限公司雙流分公司 四川 610200）

在三網融合進程中，傳統的廣電網絡信息正面臨前所未有的安全風險和隱患。本文結合廣電行業的實際，指出了目前廣電網絡信息安全方面存在的問題，并針對存在的問題提出了加強網絡信息安全管理的對策與建議。

三網融合；信息安全；安全管理

0 前言

廣電網絡在應對過去封閉狀態下簡單信息安全威脅的同時，還要面臨互聯網、電信網上存在的更廣泛、威脅更大、頻率更高、更不易被察覺的信息安全威脅。而隨著移動互聯網、大數據、物聯網、云計算等先進技術在廣電網絡中不斷深入的應用，必將使廣電網絡面臨的信息安全挑戰更加復雜。

1 網絡信息安全概念、建設原則及防護工作要求

（1）網絡信息安全概念

網絡具備開放性和共享性的特征，因此更容易受到病毒、黑客的侵襲，從而導致信息外泄、網絡竊聽、盜竊密碼等問題。因此網絡的信息安全，從根本上說是指網絡系統穩定運行，以及系統中的數據信息無論面對何種情況都不會被泄露、更改或干擾，其內涵主要包括系統安全、內容安全、傳輸安全等。

（2）網絡信息安全建設原則

廣電網絡信息安全的建設要根據在線網絡的現狀，在承載寬帶業務、互動業務、直播業務時，依據行業標準對安全威脅的風險等級進行綜合分析和評估，以“內容、系統、網絡、終端、管理”為評估的核心標準，進行各個業務的安全防護能力的建設，保障各業務的發展及安全融合，并通過采取多樣化的安全防范措施構建高效、合理的安全防護體系，以保障信息系統在網絡上的安全。

（3）網絡信息安全防護工作要求

信息安全防護工作須滿足三個要求：一是保密性，要求在保證為授權使用者正常使用的同時，能保護數據不被非法截獲；二是完整性，能確保數據信息在運行過程中是未被篡改或破壞的原始信息；三是可用性，要使用戶可以隨時隨地的對數據進行使用。

2 網絡信息安全存在的問題

（1）管理制度不健全、執行不力

具體表現在：（1）信息安全管理制度不健全，執行不力；（2）沒有制定具體的崗位工作職責，如系統管理員、網絡管理員、信息安全管理員，崗位職責不明確；（3）未能嚴格按等級保護管理要求，建立完整的安全管理制度；（4）在信息系統建設時有規劃，但無相關安全技術專家對安全設計方案進行論證和審定，缺乏決策的合理性和科學性；（5）缺乏整體的網絡信息安全應急預案和演練方案；（6）需要加強網絡信息安全技能方面的培訓和考核。

（2）基礎設備性能落后，網絡信息安全技術創新不足

在網絡信息安全技術方面雖采取了隔離技術、防火墻技術等，但仍然存在以下幾個方面的問題：（1）沒有從主機安全、網絡安全、應用安全、數據安全、物理安全等幾方面建立完整的技術防范體系；（2）平臺未能按照三權分立的原則設定系統管理員、安全管理員和安全審計員；（3）過度依賴外網隔離、延播和備播等傳統的安全防護手段，難以適應飛速發展的新媒體平臺技術，保證點播和直播等服務內容的安全性；（4）對管理用戶的身份鑒定技術還停留在以往的用戶口令方式，并且口令更新機制不完善，存在被破解和竊聽的風險。

（3）管理隊伍人員素質參差不齊，安全意識淡薄

由于廣電行業歷史原因，管理隊伍人員素質參差不齊。一方面嚴重缺乏專業技術人員，另一方面，有的技術人員年齡偏大，專業技術知識老化，缺乏新的專業技術知識，網絡信息安全意識淡薄。

3 網絡信息安全管理的對策與建議

（1）出臺廣電網絡信息安全頂層總體戰略規劃

隨著《推進三網融合的總體方案》的實施，我國對網絡信息安全保障方面的工作提出了更高的要求。為了促進三網融合的進程，保障融合過程中的網絡安全，廣電行業要在戰略上對如何保障網絡信息安全進行一個總體的籌劃，從相關機構的調整、法律法規的制訂、關鍵基礎設施的建設與維護、專業人員的培訓、與各方合作等方面進行一個全局性的統籌，制定廣電網絡信息安全保障工作的整體戰略，然后再根據戰略的指導進行分階段的目標制定，實施具體的網絡信息安全政策和措施。此外，廣電行業還要加強技術創新方面的研發工作，為推進三網融合及維護網絡安全奠定技術基礎。

（2）加強信息安全立法，構建信息安全政策保障

解決網絡信息安全問題不僅要依靠技術手段，還必須將技術規范法律化。雖然我國先后出臺實施了保障網絡信息安全方面法律法規，但隨著廣電網絡的覆蓋方式及承載業務的不斷擴大，用戶終端及業務運營內容、模式等也越來越趨于復雜和多樣化，現有的法律法規已難以適應時代的變化，無法在新形勢下面對復雜的網絡覆蓋方式、多樣化的終端及業務內容等對網絡信息安全進行一個有效的保障。因此，應完善相關立法，構建更加完善的信息安全法律保障。

（3）建立健全新技術應用的安全性及風險評估機制

隨著電信及互聯網運營商的不斷發展，廣電運營商面臨的壓力也越來越大，為了突破這種被動的局面，廣電運營商在穩固和發展其自身原有業務的同時，不斷嘗試進行新業務的開展或進行將多種業務進行融合。而這些開發新業務所應用的技術也被引用到廣電網絡中，極大提升了廣電網絡的競爭力，推動了廣電網絡業務的不斷發展。但是，新技術的應用必然會帶來未知的風險，如云計算的應用可能會給造成云端用戶信息的泄露，物聯網大量使用無人值守設備、電子標簽、無線通信等技術可能會出現應用層隱私信息安全問題。

新技術的應用推動新業務的開展，但是也會帶來一定的風險，如何做到利用新技術推動業務發展的同時規避其帶來的風險是廣電運營商應注重考慮的。為此，應建立科學的技術應用風險評估機制，對新技術在廣電網絡中進行應用的安全性及其可能帶來的風險進行綜合評估，分析新技術會帶來哪些好處及新技術可能會在應用的哪個環節上出現安全問題，然后采取針對性的規避風險的對策，采取有效的措施達到對新技術進行安全應用的目標。

（4）建立健全網絡信息安全管理體系，加強信息安全管理

隨著網絡的普及和深入，信息安全已不是一個孤立的問題，依靠單一的安全產品或技術無法有效的保障網絡信息的安全，需要構建一個以安全技術為基礎，聯合各方對信息安全問題進行規范管理和科學決策的有機統一的安全管理體系。其中，最關鍵是要建立和落實信息安全分級保護制度，根據不同單元的重要程度或風險程度劃分不同的保護等級，分別采取必要的保護技術和措施，以達到安全有效保護。

（5）建立健全網絡信息安全技術防范體系，堅持技術創新

堅持技術創新，不斷加強網絡基礎設備的研究與開發，使用性能先進的網絡基礎設備，保證網絡安全運行。不斷加強網絡信息技術的研究與開發。從物理安全、網絡安全、數據安全、數據備份恢復等方面建立完整高效的技術防范體系，加大對內容過濾和檢測技術、加密技術等關鍵信息技術的研發力度。

（6）加大業務技能培訓力度，提高管理人員素質

制定科學合理的人才發展規劃，充分發揮技術人才的作用。一方面要加大專業技術人才的引進力度，落實人才優惠政策，不僅要重視引進人才方面的工作，更要重視如何留住人才的工作；另一方面，要加強對員工進行專業技能培訓和信息安全教育培訓的重視，使員工專業技能提高，安全意識增強，自覺遵守工作規范，自覺履行崗位職責。

4 結束語

在網絡化、信息化和數字化的信息時代不斷發展的今天，推進三網融合是促進我國信息化建設的必由之路，廣電網是三網融合中重要一環。然而，在開放共享的網絡空間，使用網絡就必然存在網絡信息安全問題。要保證網絡信息安全就須緊緊抓住信息安全這條主線，增強信息安全意識，加強信息安全立法，加強新技術應用的安全性及風險評估機制建設，加強技術創新和信息安全的技術防范體系建設，加強員工業務技能培訓，確保廣電網絡運行的可靠性和安全性。

[1]錢英.廣電行業信息安全問題分折及對策研究.安微科技，2017(9)。

[2]梁玉婷.三網融合背景下廣電網絡信息安全現狀及防護措施.山西電子技術，2016.