电视台网络安全等级保护建设

徐 凯

（作者单位：绥江县广播电视台）

1 广电安全等级保护建设背景

信息技术与互联网技术结合发展，推动了广播电视台传统制播网络从传统向新兴媒体的融合，但同时也对传统媒体带来了安全难题。网络安全工作的重要性受到高度重视，早在2011年广电总局就发布了《广播电视安全播出管理规定》（总局令第62号），重点指出了要积极开展安全等级保护工作。《中华人民共和国网络安全法》2017年6月1日起施行，要求网络产品应符合国家标准的强制性要求、网络关键设备和网络安全专用产品应当进行认证或检测、关键信息基础设施在网络安全等级保护基础上实施重点保护；《关键信息基础设施确定指南（试行）》要求对电视播出进行管控。由此看来，国家对安全的要求越来越规范，国家对网络安全达到前所未有的高度，国家对网络安全的高层指示是：“没有网络安全就没有国家安全。”[1]

电视台业务平台的不断增多，接入互联网的业务版块也在增多，随之带来的负面影响是应用安全保障在下降、网络威胁在加大、安全隐患在增多。因此，电视台对安全的保护势在必行。

2 广电安全等级建设依据

（1）2009年12月28日，发布《广播电视安全播出管理规定》。规定中指出应按照国家和行业信息安全要求，合理划分各播出相关信息系统的安全等级，并按照相应等级要求进行规划、设计、建设、评估和整改。（2）2011年5月31日，科技司发布两个等级保护基础性技术文件，分别是：广播电视播出相关信息系统安全等级保护定级指南（GD/J 037-2011）和广播电视播出相关信息系统安全等级保护基本要求（GD/J 038-2011）[2]。（3）2012年5月12日，中宣部、广电总局联合发布《关于开展全国广播电视安全播出大检查的通知》（广发〔2012〕35号），文件中指出：安全播出是信息安全的重要组成部分。（4）全国人民代表大会常务委员会于2016年11月7日发布《中华人民共和国网络安全法》，并于2017年6月1日正式实施。

3 等级划分

《信息安全等级保护管理办法》规定，对安全等级一共划分为5级。主要根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第一级，在信息安全遭到破坏后，对个人或相关组织造成伤害。但不会对国家安全、社会秩序和公共利益造成损害。一级等保是破坏性和伤害性最小的，要求使用单位根据国家管理规定和标准进行保护。

第二级，当信息安全遭到破坏后，会对个人、相关组织造成严重伤害，或者对社会秩序、公共利益造成损害，但不影响国家公共安全。二级等保的破坏性和伤害性一般，要求使用单位根据国家管理规定和标准进行保护，国家信息安全监管部门对其进行指导。

第三级，当信息安全遭到破坏后，对社会秩序和公共利益造成严重伤害，或对国家安全造成伤害。三级的破坏性和伤害性较大，要求根据国家管理规定和标准进行保护，国家信息安全监管部门对其进行监督和指导。

第四级，当信息安全遭到破坏后，对社会秩序和公共利益造成十分严重伤害，或对国家安全造成十分严重的伤害。四级的破坏性和伤害性很大，要求根据国家管理规定、标准和业务专门要求进行保护，国家信息安全监管部门对其进行强制性的监督和指导。

第五级，信息系统受到破坏后，会对国家安全造成特别严重的损害。要求根据国家管理规定、标准和特殊安全进行保护。五级的破坏性和伤害性是最大的，国家信息安全监督部门必须对其进行专门的监督和检查。

广播电视台行业一般在2级和3级进行建设，电视台播出的安全等级级别会最高，根据以上等级进行划分参照定级，实施级别应不低于建议级别，建议在3及以上；对具有承载复杂的功能的业务版块，应高于建议级别；对承载了多个业务功能的版块应进行最高级别定级。

4 建设范围

电视台所涉及的业务版块有制作、播出、媒资、业务支撑系统（融媒体平台）等需要进行等级保护。对安全大致分了三个层面，包括技术层面，物理层面和管理层面。

（1）播出系统：建议采用三级，主要是实现节目播出和控制的信息系统。（2）播出整备系统：建议采用二级，主要实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息系统。（3）媒资系统：建议采用二级，主要实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息系统。（4）综合制作系统：建议采用二级，主要是以节目制作为核心业务以及为核心制作业务提供辅助服务的信息系统。（5）运营支撑系统（融媒体系统）；建议采用二级，主要是利用媒介作为载体，将广播、电视台、报纸、图书馆等全面整合，实现内容共享。（6）新闻制播系统：建议采用二级，主要是以新闻节目作为核心，制作播出一体化的信息系统。

5 建设流程

第一阶段是系统定级：定级的标准是《信息系统安全等级保护定级指南》，对于四级及以上的评级需要组成专家评审会进行评审，初建的信息系统评级需在设计和规划阶段就确定具体的等级。

第二阶段是系统备案：评级完成后，使用单位到市级以上的公安机关进行备案，公安机关在10个工作日内根据提交的备案信息完成审核，通过后颁发等级保护备案证明。需要注意的是：二级及以上的备案单位若是新建系统在投入运营30日内进行备案，已运营的系统在等级确定后30日内进行备案[3]。

第三阶段是建设整改：对于未达到安全等级保护要求的，使用单位需按管理规范和相关技术标准进行整改，比如增加安全信息产品、建设符合等级要求的设备、强化安全管理制度、建立完善的安全措施，整改完成后将整改报告交给公安机关进行备案。

第四阶段是等级测评：根据申请的级别公安机关进行检查评定，并定期进行安全检查、监督和指导。

建设流程，如图1所示。

图1 建设流程图

6 设备配置建议

就二级等保和三级等保进行设备配置，考虑到使用单位的经济情况、技术实力不等，分为三个不同的建设档次。

6.1 二级等保设备配置建议

最低配置：下一代防火墙+网络版终端防病毒。

优选配置：最低配置套餐+IDS+日志审计+waf（有WEB应用的话）+数据备份系统。

高级配置：优先配置套餐+安全准入+数据库审计+双因素认证+堡垒机+IT运维管理系统+应用容灾。

6.2 三级等保设备配置建议

最低配置：下一代防火墙+IDS+网络版终端防病毒+日志审计。

基本配置：最低配置+数据库审计+堡垒机+waf（有WEB应用的话）+桌面管理软件或安全准入接入系统+数据备份系统。

高级配置：基本配置+SOC+双因素认证+IT运维管理软件+上网行为管理/流量控制设备+应用容灾。

豪华配置：高级配置+APT+网闸+异地应用容灾+专业安全运维一体化服务。