報業集團網絡安全等級保護建設實踐與思考

文/張亞鋒

引言

隨著媒體融合不斷深入，新媒體業務在報業集團不斷壯大，應用系統逐步由原來的采編出版系統轉變為全媒體出版系統，由原來內網系統轉變為外網系統。近年來，由于新聞網站的權重在重點搜索引擎中占比越來越高，也成為黑客入侵的重點對象。境外博彩業通過不同的形式圍攻新聞網站，國內多數新聞網站曾經被入侵，網絡安全形勢非常嚴峻。如何保障網絡系統安全？網絡安全等級保護可以全面保障網絡系統的安全穩定運行。

1.定義測評對象

報業集團現在主要業務系統有新聞采編系統、新媒體制作發布系統、報道指揮系統、媒資系統、經營管理系統、辦公系統、互聯網郵件及中央廚房等信息系統。這些業務系統都是互聯網應用系統，主要威脅有數據越權訪問、信息泄漏、非法訪問、病毒、木馬、APT，自身的安全控制執行力度不夠、策略失效、業務漏洞等極易引發網絡安全風險。信息系統的等級保護級別，需要從信息系統建設開始就進行規劃，同時在單位整體信息化規劃時將整互聯互通的地方做好邊緣隔離，同時共用部分需要按等級保護級別的要求取最高級別。

一般省級報業集團有10個左右的三級系統需要進行等級保護測評。近幾年報業集團的經營壓力較大，網絡安全硬件投入又較大，在等級保護測評時，如何能夠又省錢又能全面保障安全呢?有些報業集團選擇單位的關鍵基礎信息設施進行測評，其它系統沒有進行測評，有的甚至只選擇一個系統進行測評。也有些報業集團將所有系統作為一個系統來測評，把不同功能作為子系統來進行測評，這樣，只需要系統功能描述上對整體功能進行全面說明，同時定好不同子系統之間的邊界，確保整個系統全面參加測評，這樣可以節省一大筆測評費用。

2.信息安全體系建設

在等級保護實施過程中，安全管理系統的建設是保障網絡系統的基礎，是否能夠建立全方位的安全管理體系是等級保護實施工作的重點。一個完整的安全管理系統（如圖）包括：安全管理機構、技術管理和安全運維管理，下面開始詳細介紹安全管理系統應該包括的內容。

安全管理機構是管理網絡系統的最高領導權力機構，最高領導一般由單位主管領導擔任或授權擔任，根據情況成立安全管理委員會或安全管理領導小組。安全管理機構設置主管、專職安全管理員，在人員配置上設立三員管理，關鍵崗位應由多人共同管理。明確審批事項和審批流程，重要事項包括：系統變更、重要操作、物理訪問、系統接入、重要活動，建立逐級審批制度和定期審查審批制度。設立日常運行、系統漏洞、數據備份等日常運行事項，同時將日常事項制作成表格。設立全面檢查事項，如策略與配置的一致性檢查，安全措施的有效性檢查，對重大事項應該編寫成報告進行總結。

在安全管理人員管理方面，需對安全管理人員進行背景審查、技能考核、簽保密協議、簽訂關鍵崗位人員協議；人員離崗應及時終止權限，并要求簽訂離職保密協議。在崗人員需進行安全意識教育和崗位技能培訓，告知安全責任與懲戒措施；不同崗位制定不同培訓計劃；定期對不同崗位人員進行技能考核。對外部人員訪問受控區域時，需要書面申請并取得授權后，由專人全程陪同并登記備案；訪問受控網絡時需書面申請，開設訪客賬戶，分配權限，登記備案；離場后及時清除來訪者權限；與外部授權人員簽保密協議，不得復制和泄露敏感信息；核心關鍵區域及應用原則不允許外部人員訪問。

系統安全建設包括依據備案等級選擇安全措施，根據風險調整防范措施，對網絡系統進行安全整體規劃和方案設計并形成配套文件，完成對安全整體規劃及配套文件的評審，并開始實施。在系統實施階段需要選擇符合國家規定網絡安全產品和符合密碼主管部門有關規定的密碼產品，重要部位產品需委托專項測試后再進行選擇。在自主軟件方面，需實際開發與實際環境分離，軟件代碼編寫規范，開發過程文檔完備，程序資源庫的修改、更新、發布進行嚴格授權，嚴格版本控制，開發活動需要進行受控并進行惡意代碼檢測。在外采軟件方面需進行惡意代碼檢測，并要求其提供完備的文檔與使用指南。在工程實施時需由專人管理實施過程并制定工程實施方案。有條件的報業集團需要實行第三方監理。在系統驗收階段，要求具有驗收方案，驗收報告，上線前安全測試報告，包含密碼應用的安全性等測試。在系統交付時，需要提供交付清單、人員培訓、建設過程文檔和運維文檔。

系統安全運維管理包括了機房環境管理、資產管理、運行監控、數據備份、安全措施的落實等，需要專人負責機房安全管理。機房環境的管理包括：機房進出與運維管理、機房安全管理制度，含敏感信息介質和文檔不隨意放置，對出入人員按級別授權，重要區域實時監控；資產管理包括：資產清單、資產標識管理及資產管理人員；機房介質管理包括：安全存放，專用介質專人管理，定期盤點，介質流轉控制并記錄；漏洞與風險管理包括：檢查、及時修補或評估后修補，風險測評并形成報告及采取措施應對。制定重要設備配置與操作手冊，記錄運維日志，分析日志與監控數據；操作中保留日志，同步更新配置庫；嚴格運維工具使用，保留日志，及時刪除敏感信息；惡意代碼防范管理包括外來接入要先查殺病毒、規定惡意代碼防范要求、檢查病毒庫升級，并分析捕獲樣本，定期驗證防病毒技術措施的有效性；備份與恢復管理包括識別需備份的重要業務信息、系統數據與軟件，規定備份方式、介質、頻率等，制定備份策略和恢復策略和程序；安全事件處置包括及時報告安全事件、制定安全事件報告與處置管理制度，分析原因，總結教訓，對重大服務中斷與信息泄露事件有不同的處理流程與報告程序，建立聯合防護和應急機制，處置跨單位安全事件。

3.日常管理問題與思考

信息安全系統從信息安全管理、信息安全技術和信息安全運行三個方面進行了全面的約定，通過這三方面的建設形成了一套完備的信息安全體系，在落實到位的情況下，完全符合等級保護測評的各項指標。然后，在實際工作中很多報業集團安全體系往往流于形式，執行不到位，只是用于等級保護測評。導致這種情況發生的原因主要是對網絡系統的安全防護意識不夠，費用預算不足，人員配備不到位，從而導致安全策略執行不到位，安全制度形同虛設。有的雖然網絡安全等級測評合格了，但網絡系統安全的隱患還很大，只有嚴格按照既定的要求進行日常管理，才能保障測評合格的網絡系統安全運行。