等保2.0 | 新标准下的广电行业新思路

山石视点

等级保护是中国信息安全的基本制度，是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统实行安全保护。国家通过制定统一管理规范和技术标准，把信息系统按照重要程度 由低到高划分为5个等级 ，并且分级别实施不同的保护策略。

在等保2.0发布之前，广电行业就已经是等级保护建设的重点对象了，包括国家级/省级制播系统、计费系统等。 因此在等保1.0时代，如何做好信息系统安全防护就是广电行业重点关注的。
等保2.0时代业务系统基于标准的合规建设仍将持续。 结合新标准广电行业的定级对象也需要进行拓展，由原来的信息系统，拓展到新标准要求的范围。 等保2.0将云计算、移动互联、物联网、工业控制系统等新技术、新应用的场景列入标准范围。 但是由于广电行业的行业特征和特殊性，因此该如何开展等级保护建设工作，还需要 结合自身实际，进行更为细致科学的调整。

广电行业主要依据标准

1、《中华人民共和国网络安全法》 第二十一条 国家实行网络安全等级保护制度。 网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改： （一） 制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任； （二） 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施； （三） 采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月； （四） 采取数据分类、重要数据备份和加密等措施； （五） 法律、行政法规规定的其他义务。 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。 关键信息基础设施的具体范围和安全保护办法由国务院制定。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。 **

2、《广播电视安全播出管理规定》 第二条 从事广播电视播出、传输、覆盖等业务的单位为保障安全播出开展的技术维护、运行管理、应急处置及其他相关活动，适用本规定。 第六条 广播电视安全播出实行分类分级保障制度。 安全播出责任单位应当符合规定和国务院广播影视行政部门关于广播电视安全播出的有关要求；不符合的，不得从事广播电视播出、传输、覆盖活动。 第十三条 安全播出责任单位应当保障 技术系统运行维护、更新改造和安全防护 等安全播出所需经费。

3、《有线电视网双向化改造指导意见》 国家对有线电视网络发展提出的新要求： 《国民经济和社会发展第十一个五年规划纲要》明确指出: “加强宽带通信网、数字电视网、下一代互联网等基础设施建设,推进“三网融合’,健全信息安全保障体系。 ” 《国家中长期科学和技术发展规划纲要》和《国家“十一五”期文化发展规划纲要》等文件中也对广播电视的发展提出了相应要求。因此,“十一五”期间,贯彻落实国家关于推进三网融合的总体要求,加快建设双向交互、多功能的新一代数字电视网络,提升有线电视网络在国家信息化建设中的地位和作用,是广播电视行业肩负的重要任务。

4、《GY5075-2005城市有线广播电视网络设计规范》 设计总体要求： 网络技术先进。 设计中应采用成熟、先进的国内外通信和网络技术，按照国家和国际标准，将统一的网络规划设计成双向、交互式、多业务的网络。在满足当前业务发展的前提下，应充分考虑未来技术和业务范围扩展带来的新要求。一种网络应具有可扩展性。网络用户数量和网络提供的服务功能是可扩展的。光纤网络作为网络的基础设施，构成一、二级传输网络的光纤网络所提供的业务功能具有可扩展性。作为网络的基础设施，一、二级传输网光纤网络的建设应满足网络升级的要求。 网络应具有良好的生存能力。 当线路或设备发生故障时，网络可采用灵活的保护策略和保护机制恢复运行。 网络系统应开放、兼容。 设计中所采用的网络技术应当符合有关的国内标准和国际标准，不得采用私人协议。新的或重建的有线电视网络应向下兼容现有的业务系统。 网络应具有良好的 安全性 ，以保证互联网上运行的业务系统的安全 。* 网络应是 可管理* 的。

5、其他依据标准 《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019） 《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070-2019） 《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019） 《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449-2018） 《信息安全技术 关键信息基础设施网络安全保护基本要求》（报批稿） 《信息安全技术 个人信息安全规范》（GB/T 35273-2017） 《信息安全技术 信息安全风险评估实施指南》（GB/T 31509-2015） 《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007） 《关键信息基础设施安全保护条例》（征求意见稿） 《网络安全等级保护条例》（征求意见稿） 《网络关键设备和网络安全专用产品目录（第一批）》

广电行业系统的等保设计思路

广电行业系统的等保设计思路主要是依据业务的重要程度和网络安全等级保护2.0的相关标准，通过建设 “一个中心” 管理下的 “三重防护” 体系。分别对通信网络、区域边界、计算环境进行管理，实施多层隔离和保护措施。同时通过在安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面强化管理，构建网络安全纵深防御体系。
网络安全等级保护2.0安全技术框架各个安全功能技术措施设计如下：

• 安全通信网络：

  对定级系统的安全计算环境之间进行信息传输及实施安全策略的安全技术措施；

• 安全区域边界：

  对定级系统的安全计算环境边界与安全通信网络之间实现连接并实施安全策略的安全技术措施；

• 安全计算环境：

  对定级系统的信息进行存储、处理及实施安全策略的安全技术措施；

• 安全管理中心：

  对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。

管理方面的设计如下：

• 安全管理制度： 制定总体方针策略类文档、安全管理制度类文档、操作规程类文档以及记录表单类文档；
• 安全管理机构： 成立委员会或者领导小组，明确小组成员职责，制定管理制度类文档和记录表单类文档；
• 安全管理人员： 部门主管负责人员的录用、人员离岗、安全意识培训等工作，对外部人员访问、外部人员离场有记录表单文档；
• 安全建设管理： 对系统的定级备案、方案设计、产品采购、软件开发、系统交付、测试验收、服务商管理等方面要有记录表单类文档；
• 安全运维管理： 对系统的环境管理、资产管理、介质管理、设备的维护管理、漏洞和风险管理等方面有记录表单类文档。

总而言之，开展广电行业的等保建设以及加固网络安全等工作，需要参照等保2.0的标准开展。需要加强技术和管理的结合，从内部网络安全防护做起，提高维护人员和信息系统操作人员的网络安全意识和网络安全技术。同时通过提升网络安全技术和网络安全设备检测能力，增强防御外界攻击的能力。