刘 新

保障广播电视信息系统的网络信息安全，就是要做好广播电视业务平台信息系统的网络规划，发现网络安全隐患和漏洞，有效提升网络安全防护能力，运用网络安全策略对广播电视业务平台网络信息系统进行合理建设、运行和维护，提高广播电视信息系统整体安全防护能力。

1 广播电台信息系统网络安全等级保护基本要求及相关制度

广播电视行业相关信息系统的安全防护主要依据《广播电视相关信息系统安全等级保护基本要求》、《广播电视相关信息系统安全等级保护定级指南》作为广电行业的网络信息安全标准，以物理安全、网络安全、边界安全、数据安全、安全管理机构、人员安全管理、系统建设、运维管理等多方面多层次提出管理和技术要求，吉林人民广播电台业务支撑平台信息系统依照以上管理和技术要求，成立网络安全领导小组，建立健全各类网络信息安全应急预案和网络安全管理制度，修订并补充网络安全事件上报机制，对相关信息系统进行系统定级，确定保护等级。本文以定级备案的吉林人民广播电台业务支撑平台信息系统（第二级广播电视信息系统）为例，对其进行网络信息安全策略分析和研究。

2 广播电台网络信息基础网络安全的网络构架与安全审计

2.1 网络构架

1）空间和设备冗余：首先为满足广播电台业务高峰期的需求，要确保网络链路负载均衡、入侵防御、防火墙、上网行为管理及流量控制、核心交换机、汇聚交换机等关键网络设备的主要技术性能具有宽裕的处理空间，整体网络带宽上也应具备冗余空间，同时应为互联网业务接入业务、涉及播控中心播出业务、综合办公业务等直接相关系统的关键网络安全设备配置冗余。

2）层次化网络结构设计和网络安全域划分：在系统建设开始阶段，应考虑网络纵深防护，将播控中心系统中与播出直接相关信息系统构建于纵深网络结构内部，禁止该信息系统内部无线组网；合理划分网络安全域，依照网络关键设备安全性，信息系统功能、业务流程重要性等划分不同级别的安全保护区域。

3）子网划分与隔离：在同一安全域中的信息系统的子网划分依照重要的业务类型、楼层的物理位置、同一楼层不同部门等因素来划分子网；同一安全域划分出子网的重要网段与其他网段之间隔离手段可采用接入防火墙过滤或网络访问控制列表方式进行。

吉林人民广播电台业务支撑信息平台网络构架拓扑图如图1所示。

图1 网络构架拓铺图

2.2 安全审计

首先要求对链路负载均衡、入侵防御、防火墙、上网行为管理及流量控制、核心交换机、汇聚交换机等关键网络设备及重要服务器、终端、数据库、主要应用软件中包含每个设备和软件的运行日志以供查询，同时网络管理人员对网络设备操作的行为记录都应保存。其次关键网络设备审计日志库中记录保存项目应该详尽，对网络安全事件的日期、时间、IP地址、事件类型以及操作人员都应详细记载，审计记录至少保存6个月以上。最后定期对审计设备的数据库及网络关键设备日志进行分析，以便及时发现是否有非正常操作人员行为及设备告警等状况，并形成分析报告。

3 网络信息安全边界防护和病毒防护

吉林广播电视台业务支撑平台信息系统网络信息安全边界防护包括外部互联网接入系统、播控中心的融媒体播出系统、应用安全系统、个人存储空间系统和安全监控系统等组成。重要的关键信息系统安全边界均部署入侵防御、防火墙、统一安全网关等安全防护设备，对网络安全边界防护设备安全策略配置按照访问控制、安全数据交换、入侵防范、恶意代码防范、边界完整性等规则设计实施，根据我台网络边界防护的实际业务情况，对链路负载均衡、入侵防御、防火墙、上网行为流量管理等网络安全设备及病毒防护的安全策略应用如下：

1）在互联网出口部署两台连接不同ISP供应商的链路负载均衡设备，配置浮动IP地址、NAT地址转换、端口复用、优化路由算法等网络安全技术，加速信息系统互联网安全应用。

2）部署入侵防御（IPS）系统，针对端口扫描、木马后门、缓冲区溢出、IP 碎片和网络蠕虫等攻击特征，配置网络动作语义阻止攻击行为，拒绝木马等特征流量等动作，实现边缘网络的安全。

3）开启防火墙的访问控制拒绝强力扫描、恶意代码防护、拒绝服务攻击（DDoS）防护、VPN、HA等安全防护功能，实时对信息系统内部网络的服务器终端设备的漏洞，病毒，URL和内容等应用进行不同层次深度扫描监控，实行用户/应用行为的精细化访问控制策略。采用VPN等安全认证方式登录网络信息系统进行设备管理。

4）上网行为流量管理禁止个人访问互联网非法内容，阻断非法网站访问，限制无关业务网站的大量访问连接流量、次数等应用，禁止通过互联网进行远程管理和内部网络用户私自联到外部网络的行为；依据业务需要、部门及个人需求对网络流量加以分类，对网络流量进行过滤或者减少非业务数据流，如P2P下载、海量下载等行为。

5）针对广播电台重要信息系统播控中心接入区域（播出系统）与其他各信息系统在安全网络区域内进行数据文件交换时，使用专用安全数据交换设备网闸对网络间传输的文件格式进行过滤、限定，对其文件结构、文件内容、大小、后缀进行鉴别，阻断非法文件交换。

6）在应用安全系统内布置企业级杀毒服务中心服务器，对其他信息系统的服务器和客户终端安装了防病毒软件，同步更新软件版本和病毒库，及时更新服务器和终端操作系统补丁，即时查杀国内外最新的病毒程序文件。

4 网络信息安全身份认证和数据安全

4.1 身份认证

对于广播电台业务支撑平台信息系统中网络设备、服务器、数据库、业务应用系统采用本地管理和采用安全的手段（如HTTPS、SSH、加密的远程桌面连接等）远程管理两种方式进行管理；对用户登录网络设备、服务器、数据库、业务应用系统，使用用户名和口令进行鉴别，口令有复杂度要求（8位以上，至少含大写、小写字母、数字、特殊字符等其中三种的组合），而且口令密码定期更换；网络设备、主机、数据库、应用软件启用登录失败处理功能，如登录者尝试一定次数（如5次）的登录操作不成功，系统自动锁定该终端IP的请求，一定时间后予以解除；对登录服务器、数据库的终端限定了接入方式、对网络设备的管理员登录地址进行限制，仅允许指定IP地址或IP段访问。

4.2 数据安全

广播电台业务支撑平台信息系统采用了加密方式实现用户身份鉴别信息的存储保密性，例如口令的加密传输和保存；业务应用软件的用户分角色管理，全网中不同设备的权限配置和功能提供用户分级管理的功能；对信息系统的重要业务信息进行备份，并且对重要业务信息备份数据进行恢复试验。

5 结束语

网络信息安全防护是广电科技创新时代下广播电视行业一项重要工作和新要求，随着广电新媒体业务、融媒体建设不断推进，建设广播电台信息网络安全工作需要更加全面的改进和完善，我们只有不断健全并严格执行网络安全管理制度，强化网络安全防护的技术手段，规范网络安全测评需求和问题整改，才能切实保障广播电视网络安全工作正常性、有效性、安全性，更好地开展新闻舆论宣传工作。