目前，很多省级及地方电视台为提升广电网络传输系统的信息安全级别，稳定传输各种广播电视业务信号，建立了广电网络传输系统。在信息化时代网络技术的发展，增加了系统管理和网络传输信息的安全风险。广电网络传输系统要面对信息安全威胁。在这个背景下，通过分析广电网络传输系统信息安全威胁，提出广电网络传输系统信息安全管理对策。

一、加强广电网络传输系统信息安全管理的重要性

社会经济与科技的飞快发展，促使网络将各个国家逐步融合为一个整体，人们开始应用信息化设备。网络不断扩大应用领域，网络用户的数量也持续增长，网络信息安全成为网络技术发展的主要影响因素。病毒入侵、违法攻击或黑客破坏都威胁了络安全。如何保证网络安全，是广电网络信息发展的重心。目前，很多人用杀毒软件保护重要信息，这种方法只能一定程度避免产生病毒，不能从源头解决问题。而完全防止信息泄露的方式是在开发商品过程应用互联网或信息安全技术，提高技术水平，在病毒攻击信息时，可立即启动应对方案，只有这样，才能保证信息安全供应。

二、广电网络传输系统信息安全威胁

（一）计算机病毒入侵

目前，互联网为病毒传播创造了机会。计算机病毒的具体类型为：①引导病毒，寄生介质是软盘或硬盘引导区，计算机启动便可加载;②文件类型病毒。可执行文件是其生存环境。它在文件感染时运行加载，不仅感染其他文件，还可复制病毒;③宏病毒，形成宏指令集错误。如被Microsoft Word，Excel等感染的宏。计算机处理内存与网络宽带被蠕虫入侵，导致系统崩溃。此外，攻击者通过对计算机植入木马病毒从而对其控制[1]。

（二）黑客攻击

广电网络传输系统以互联网访问传送信息，为黑客攻击系统创造了机会。黑客入侵用户计算机的主要方式为植入木马病毒，从而窃取用户信息。黑客事前搜集目标协议信息，对攻击目标锁定。而广电网络传输系统涉及的路由器、主机/服务器和网关等均是攻击目标。黑客确定攻击目标后，对其隐藏信息全面解析，掌握服务漏洞。黑客以端口对漏洞实现扫描检测，利用猜测密码，监听密码或远程攻击调用等方式，获取访问系统的权限。黑客以非法手段运用数据，对部分重要信息窃取、操纵，为攻击者提供有利答案。攻击者恶意添加和修改数据，阻止内外网连接。

（三）系统存在的漏洞威胁

互联网的瞬息变化，网络安全技术水平的提高，丰富了网络攻击手段，也为黑客掌握广电网络传输系统缺陷提供了途径，成为黑客的攻击目标。黑客借助已知的网络安全漏洞，获取系统管理员权限，实行木马植入、DOS攻击和传播病毒，降低软件系统的安全等级。

三、广电网络传输系统信息安全管理对策

（一）传输系统防护

1.基础网络安全

①根据传输承载业务要求与业务类型设计网络结构，按系统运行特征，绘制网络拓扑结构图、配置图、网络管理信息传送图，且定期更新[2];②传输网络具备可靠的自愈保护能力。即便网络出现单点故障，还可以传送网络信息;③根据网络的结构层次、承载业务对象，合理规划传输网络安全域。对不同安全域网络，按物理隔离与边界隔离技术进行界定，禁止干线网的设备访问网管信息。

2.运行日志记录

①记录传输系统的各项操作，实现有据可查。为了提高系统操作的安全水平，科学设计系统技术方案、应急预案，联合人员保障手段，审批合格后执行;②传输系统记录重要事件，如设备的运行情况和用户行为;③日志记录内容包括事件的日期、时间、操作用户名、设备型号、事件类型等;④仔细保存运行记录，禁止删除、修改各种运行记录;⑤定期分析日志记录，方便及时找出异常行为[3]。

3.传输网管安全对策

①全省综合网管交换机的指定接口与省市干线传输网管服务器及客户端连接，该交换机无法应用在其他系统和未使用的端口，只与传输网管接入;②省市干线传输网管通过审批后建立新用户，设置实效用户名，及时删除过期用户名。

4.传输网管入侵防范对策

①省市公司直接对传输网管的超级用户进行管理，其他网管用户可供各地市使用，这部分用户向省中心直接报备信息。各地市自主管理本地网、城域网、接入网等;②传输网管的登录口令应达到相应要求，且定期更换，尽量避免用户名和口令相同;③科学分配管理用户角色权限，分离管理用户的权限，按管理用户的特征授予最小权限;④利用终止会话、设计非法登录次数和连接超时自行退出等措施解决登录失败问题;⑤监视员级别用户登录传输网管，开展日常操作。修改传输设备配置时，要求用户本人登录，修改结束后退出。禁止与他人共用有修改功能的用户名、密码等。

（二）传输网元安全

1.网元口令管理

①市干传输设备的网元特殊用户由省中心直接管理，各地市使用其他网元用户，且向省中心报备信息。地市主要管理与使用各地市本地网、城域网、接入网网元用户;②网元用户登录传输设备的口令应达到一定复杂度要求，注意定期更换，用户名避免与口令一致，上线的传输设备网元用户禁用厂家默认密码。

2.网元访问控制

①禁止外设设备与在用传输设备连接，不在用的非网关网元通信端口立即关閉，外单位机房传输设备不另外配置网管通信接口板;②对传输网络网管网元进行安全设置，隔离不同域的网元，其连接同一交换机且互通信息;③对不同层次或管理域的传输网络信息进行隔离，关闭不同层次网络或管理域的网元DCN通道，与不同网络关口的网管信息通道连接，从而达到隔离的目标。

（三）服务器系统安全

1.身份鉴别

①禁止冒用用户身份鉴别信息，定期更改口令，用户名与口令避免一致;②各地市分别管理市干、本地网、城域网、接入网的传输网管服务器和客户端操作系统的管理员用户、口令，向省中心直接报备市干传输网管服务器和客户端操作系统的用户管理信息;③负责维护人员授权后，对网管服务器客户端进行更改和操作，各地市详细记录，将市干管网服务器和客户端修改作业直接报备至省中心;④启动登录失败处理功能，包括结束会话、限制非法登录次数和自行退出。75F94995-6749-439D-AA8D-1B194A60BA7F

2.安全控制

①根据最小安装原则进行传输系统网管操作，按实际需求安装组件和运行程序，定期更新系统补丁，与其他信息系统交换数据，应限定文件类型与格式;②限定移动介质网管主机和端口作业，禁止用全部传输网管服务器，以及与客户端端口无关的外设设备。网管服务器避免与客户端其他网口设备连接，推荐利用USB固定端口;③对与网管客户端电脑连接的移动介质合理控制，使用前做好杀毒工作;④以科学手段对用户访问电脑资源进行限制，开启远程连接服务前进行审核与授权;⑤统一清除多余、过期的账户，防止形成共享账户。

3.入侵防范

对入侵重要服务器综合检测，统一登记入侵的源IP、攻击的类型、攻击的目的、攻击的时间，可对严重入侵事件發挥警示作用。

4.病毒和恶意代码防范

针对病毒和恶意代码布置统一管理软件，对其定期更新。

（四）数据安全与备份恢复

1.数据的完整性

①传输系统各级管理和维护部门布置对应软件和数据备份，即传输网管软件、软件补丁、数据库，从而对网元数据、网络脚本实现传输;②对传输和运行的重要业务数据，如服务器数据、网元数据等完整性进行检测，判断其是否被破坏，并采取相应的恢复措施。

2.数据保密性

①利用加密或其他有效措施存储信息，传送信息禁用外部邮箱和聊天工具;②以不同途径和方法传送加密的数据和密钥。

3.备份与恢复

①定期为传输网管操作系统、网管数据、网元数据等进行本地备份，在不同电脑拷贝和存储备份数据;②数据恢复前对数据实行一致性校验，对备份数据大小、文件数量、创建时间等逐一检查，通过一致性校验后使用。

要想提高广电网络传输的安全水平，应加强对传输系统信息数据的安全管理，提高网络安全管理水平。避免广电网络传输作业事故，减少系统出现问题的概率，保证广电企业经营质量。

参考文献：

[1]邱福如.基于广电网络融合终端信息安全系统的应用研究[J].无线互联科技，2020（16）：15-16.

[2]李航.浅谈广播电视政务系统信息安全等级保护定级方法及实施思路[J].广播电视网络，2020（12）：58-60.

[3]宋建国.网络广播电视信息安全风险及防范措施[J].中国高新区，2019（8）：254.

作者简介：石新宇（1991-），男，本科，初级工程师，研究方向：网络传输系统信息安全建设及远程管理控制。75F94995-6749-439D-AA8D-1B194A60BA7F