全台网信息安全保障体系初探(2)

　　信息安全的工作是一个自上而下的工作，它不仅仅是一个源自底层的技术驱动自下而上的以业务为目标的工作，更是自上而下的以政策为驱动的管理过程，这一过程中最重要的就是国家相关的标准和行业的制定。各级电视台作为这一标准和行业制定的对象，首要任务是在其台内网各信息系统的建设中遵循国家政策法律及行业规范。
　　2.2信息安全评估体系
　　信息安全评估体系对应APPDRR模型中的风险分析（A），是指以台内网安全标准及规范为依据，运用定性、定量的科学方法和手段，系统地分析系统的性能指标以及面临的安全威胁，从而有针对性地提出防护对策和整改措施，最大限度地保证系统安全[2]。由于各板块功能定位和网络结构各不相同，安全评估内容有较大不同。台内网安全风险评估内容主要包括管理、技术、运维三个方面。在评估过程完成后应该进行相关的评估分析，就系统或设备评估数据进行安全风险的影响和可能性分析，并就各类分析可能形成的影响，创建评判标准，对各个业务板块可能发生的安全风险进行等级划分，最终形成对风险评估活动结果进行评审并提出相应安全措施建议的评估报告。
　　在此需要强调的是，正如APPDRR动态模型中所描述的网络安全动态特点，安全评估也应该是个动态跟踪的过程，系统生命周期包括规划、设计、实施、运行维护和废弃等五个阶段，安全评估应贯穿于全台网建设的各阶段，每个阶段安全评估的具体实施，应根据该阶段实施的内容、对象和安全需求的不同有所侧重[5]。2.3信息安全管理体系
　　信息安全管理体系主要包含管理制度的建设和信息安全组织策略体系的设计两大部分，管理制度为信息安全工作的部署展开提供重要依据和保障，具有强制性；信息安全组织策略体系对应于APPDRR中的安全策略（P），是实现台内网信息安全建设的指导性方针，具有原则性。信息安全组织策略体系的设计要从全局出发，基于风险评估的结果进行决策。各台应依据相关的国内外标准和行业规范，结合自身情况，设计出一套适合于自身的信息安全策略体系，从宏观策略到微观操作流程、手册全面落实信息安全管理体系[3]：
　　a）总体策略，即结合国家相关的标准和行业的定制从最上层的企业发展战略层面来实现信息安全策略总纲，是安全保障体系建设的全局性指导方针，阐述了全台网各个板块信息安全建设的基本解决思路；
　　b）技术与管理策略，在上层的信息安全策略总纲的指导下，规范安全管理。从实际出发，各台应按各业务系统板块的功能特点及管理规范成立严格的安全管理制度，制订出准确和详实的文档描述，并且需要及时随着业务情况的变化而不断地加以更新和修订；
　　c）运维策略，按照各具体系统制订并执行严格的操作手册、流程细则，特别是对于重要技术环节，要形成发生应急状况或事故的应急措施，且应该遵循简单、易操作和切实可行的原则，每隔一定时间要开展应急知识培训和应急演练，提高工作人员应急能力。
　　2.4信息安全技术体系
　　信息安全技术体系主要是从业务系统的层面来进行分析和划分，结合等级保护基本要求[4]的整体信息安全要求，可以从以下两方面构建安全纵深防御体系，保证信息系统整体的安全防护能力：一方面按照台内网各业务板块的特点和重要程度来决定安全保护的级别将全台网安全域整体规划为生产综合系统、制作系统、主干平台、新闻制播、播出系统等多个安全子域，构建从外到内的业务安全纵深；同时各个业务板块可分别从基础网络安全、边界安全、计算机环境安全、安全管理等多个层次落实等保中的各项安全措施，形成纵深防御体系。
　　信息安全等保中基本要求可从可从物理、网络、应用、系统和数据五个层面来落实。在最终的技术实现手段里主要有终端、服务器、应用、网络和物理五个层面，相应的技术手段包括身份认证、访问控制、内容安全、监控审计、备份恢复、恶意代码防范、数据安全七个纵向层面。
　　2.5信息安全运行体系
　　安全运行是全台网建成后保障系统持续、可靠运转的重要工作，信息安全运行体系包括运行管理和维护保障两部分[2]：
　　a）安全运行管理平台的建设主要是指对各个生产业务系统进行的日常运行管理，包括系统日常巡检、权限管理、资源控制、安全策略制定等。
　　b）安全维护保障平台的建设主要指为了保障业务系统的正常生产运行，而采取的各项安全措施，是保持全台网的持续运行和电视台发展的重要保证。
　　运行管理部分建设主要通过建立统一安全管理中心来实现，在等级保护基本要求中，明确要求三级以上系统需设置独立的安全管理中心，实现对审计信息的集中存储、关联分析预警，最终满足实现"可追溯性"、"抗抵赖性"方面的相关要求。统一安全管理中心可从功能上可细分为统一的安全管理平台、统一的安全监控平台和统一的审计平台[6]。
　　统一的安全管理平台：汇总所有安全信息，进行集中管理和分析，使得安全工作流程化、制度化。
　　统一的安全监控平台：监控全台网中的各种安全事件和信息，特别是对于重要设备要重点监控，对预警设备设置合理的预警阀值，及时发现安全问题，进行风险预警和处理，提供安全风险管理与控制能力。
　　统一的安全审计平台：收集播出系统中网络设备、安全设备、终端、应用和数据库服务器等的安全审计日志，进行集中的审计管理和报表分析。
　　系统维护保障部分则可参照APPDRR模型中的保护、检测、响应、恢复四个方面（PDRR）来建设，从系统维护、监测、变更、应急、培训五个方面来展开设计，具体的技术手段包括：安全漏洞扫描、渗透压力测试、安全检查、系统安全加固、日志审计、应急处理响应、安全事件通告、安全产品和技术的培训等方面。
　　3结束语
　　本文结合多个信息安全模型，参照当今国际国内信息安全建设的最佳实践，结合广电行业规范和行业特点，提出了多层次、多方位、立体化全台网信息安全保障体系，从信息安全规范体系、信息安全评估体系、信息安全管理体系、信息安全技术体系和信息安全运行体系五个方面来落实全台网信息安全整体解决方案，从而为我台即将开展的全台网信息安全建设提供了借鉴和参考。
　　参考文献：
　　[1]百度百科.APPDRR模型相关资料.
　　[2]国家广电总局.电视台数字化网络化建设白皮书[M].2007.
　　[3]沈传宝.全台网架构下的监控与安全体系建设[J].现代电视技术，2011（9）.
　　[4]国家广电总局.广播电视相关信息系统安全等级保护基本要求[P].GD/J038-2011.
　　[5]国家广电总局.广播电台数字化网络化建设白皮书[M].2007.
　　[6]北京捷成世纪科技股价有限公司信息安全项目解决方案相关资料.

　　论文榜（www.zglwb.com），是一个专门从事期刊推广、投稿辅导的网站。
本站提供如何投稿辅导，寻求投稿辅导代理，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。


期刊鉴别	论文检测	免费论文	特惠期刊	学术答疑	发表流程

搜索

全台网信息安全保障体系初探(2)