等保2.0新形勢下廣電行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)及等級保護(hù)建設(shè)思路
等保2.0已于12月1日開始實(shí)施,新等保要求對于廣電行業(yè)等保工作有哪些標(biāo)準(zhǔn)和依據(jù)?具體的設(shè)計(jì)思路有哪些?
等級保護(hù)是中國信息安全的基本制度,是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)實(shí)行安全保護(hù)。國家通過制定統(tǒng)一管理規(guī)范和技術(shù)標(biāo)準(zhǔn),把信息系統(tǒng)按照重要程度由低到高劃分為5個等級,并且分級別實(shí)施不同的保護(hù)策略。
在等保2.0發(fā)布之前,廣電行業(yè)就已經(jīng)是等級保護(hù)建設(shè)的重點(diǎn)對象了,包括國家級/省級制播系統(tǒng)、計(jì)費(fèi)系統(tǒng)等。因此在等保1.0時代,如何做好信息系統(tǒng)安全防護(hù)就是廣電行業(yè)重點(diǎn)關(guān)注的。
等保2.0時代業(yè)務(wù)系統(tǒng)基于標(biāo)準(zhǔn)的合規(guī)建設(shè)仍將持續(xù)。結(jié)合新標(biāo)準(zhǔn)廣電行業(yè)的定級對象也需要進(jìn)行拓展,由原來的信息系統(tǒng),拓展到新標(biāo)準(zhǔn)要求的范圍。等保2.0將云計(jì)算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術(shù)、新應(yīng)用的場景列入標(biāo)準(zhǔn)范圍。
但是由于廣電行業(yè)的行業(yè)特征和特殊性,因此該如何開展等級保護(hù)建設(shè)工作,還需要結(jié)合自身實(shí)際,進(jìn)行更為細(xì)致科學(xué)的調(diào)整。
廣電行業(yè)主要依據(jù)標(biāo)準(zhǔn)
1、《中華人民共和國網(wǎng)絡(luò)安全法》
第二十一條
國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改:
(一)制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;(二)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;(三)采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月;(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
第三十一條
國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。國家鼓勵關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。
2、《廣播電視安全播出管理規(guī)定》
第二條
從事廣播電視播出、傳輸、覆蓋等業(yè)務(wù)的單位為保障安全播出開展的技術(shù)維護(hù)、運(yùn)行管理、應(yīng)急處置及其他相關(guān)活動,適用本規(guī)定。
第六條
廣播電視安全播出實(shí)行分類分級保障制度。安全播出責(zé)任單位應(yīng)當(dāng)符合規(guī)定和國務(wù)院廣播影視行政部門關(guān)于廣播電視安全播出的有關(guān)要求;不符合的,不得從事廣播電視播出、傳輸、覆蓋活動。
第十三條
安全播出責(zé)任單位應(yīng)當(dāng)保障技術(shù)系統(tǒng)運(yùn)行維護(hù)、更新改造和安全防護(hù)等安全播出所需經(jīng)費(fèi)。
3、《有線電視網(wǎng)雙向化改造指導(dǎo)意見》
國家對有線電視網(wǎng)絡(luò)發(fā)展提出的新要求:
《國民經(jīng)濟(jì)和社會發(fā)展第十一個五年規(guī)劃綱要》明確指出:“加強(qiáng)寬帶通信網(wǎng)、數(shù)字電視網(wǎng)、下一代互聯(lián)網(wǎng)等基礎(chǔ)設(shè)施建設(shè),推進(jìn)“三網(wǎng)融合’,健全信息安全保障體系。”《國家中長期科學(xué)和技術(shù)發(fā)展規(guī)劃綱要》和《國家“十一五”期文化發(fā)展規(guī)劃綱要》等文件中也對廣播電視的發(fā)展提出了相應(yīng)要求。因此,“十一五”期間,貫徹落實(shí)國家關(guān)于推進(jìn)三網(wǎng)融合的總體要求,加快建設(shè)雙向交互、多功能的新一代數(shù)字電視網(wǎng)絡(luò),提升有線電視網(wǎng)絡(luò)在國家信息化建設(shè)中的地位和作用,是廣播電視行業(yè)肩負(fù)的重要任務(wù)。
4、《GY5075-2005城市有線廣播電視網(wǎng)絡(luò)設(shè)計(jì)規(guī)范》
設(shè)計(jì)總體要求:
網(wǎng)絡(luò)技術(shù)先進(jìn)。設(shè)計(jì)中應(yīng)采用成熟、先進(jìn)的國內(nèi)外通信和網(wǎng)絡(luò)技術(shù),按照國家和國際標(biāo)準(zhǔn),將統(tǒng)一的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)成雙向、交互式、多業(yè)務(wù)的網(wǎng)絡(luò)。在滿足當(dāng)前業(yè)務(wù)發(fā)展的前提下,應(yīng)充分考慮未來技術(shù)和業(yè)務(wù)范圍擴(kuò)展帶來的新要求。一種網(wǎng)絡(luò)應(yīng)具有可擴(kuò)展性。網(wǎng)絡(luò)用戶數(shù)量和網(wǎng)絡(luò)提供的服務(wù)功能是可擴(kuò)展的。光纖網(wǎng)絡(luò)作為網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,構(gòu)成一、二級傳輸網(wǎng)絡(luò)的光纖網(wǎng)絡(luò)所提供的業(yè)務(wù)功能具有可擴(kuò)展性。作為網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,一、二級傳輸網(wǎng)光纖網(wǎng)絡(luò)的建設(shè)應(yīng)滿足網(wǎng)絡(luò)升級的要求。
網(wǎng)絡(luò)應(yīng)具有良好的生存能力。當(dāng)線路或設(shè)備發(fā)生故障時,網(wǎng)絡(luò)可采用靈活的保護(hù)策略和保護(hù)機(jī)制恢復(fù)運(yùn)行。
網(wǎng)絡(luò)系統(tǒng)應(yīng)開放、兼容。設(shè)計(jì)中所采用的網(wǎng)絡(luò)技術(shù)應(yīng)當(dāng)符合有關(guān)的國內(nèi)標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn),不得采用私人協(xié)議。新的或重建的有線電視網(wǎng)絡(luò)應(yīng)向下兼容現(xiàn)有的業(yè)務(wù)系統(tǒng)。
網(wǎng)絡(luò)應(yīng)具有良好的安全性,以保證互聯(lián)網(wǎng)上運(yùn)行的業(yè)務(wù)系統(tǒng)的安全。
網(wǎng)絡(luò)應(yīng)是可管理的。
5、其他依據(jù)標(biāo)準(zhǔn)
《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T 25070-2019)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》(GB/T 28448-2019)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》(GB/T 28449-2018)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》(報(bào)批稿)《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2017)《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估實(shí)施指南》(GB/T 31509-2015)《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》(GB/T 20984-2007)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(征求意見稿)《網(wǎng)絡(luò)安全等級保護(hù)條例》(征求意見稿)《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)》
廣電行業(yè)系統(tǒng)的等保設(shè)計(jì)思路
廣電行業(yè)系統(tǒng)的等保設(shè)計(jì)思路主要是依據(jù)業(yè)務(wù)的重要程度和網(wǎng)絡(luò)安全等級保護(hù)2.0的相關(guān)標(biāo)準(zhǔn),通過建設(shè)“一個中心”管理下的“三重防護(hù)”體系。分別對通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境進(jìn)行管理,實(shí)施多層隔離和保護(hù)措施。同時通過在安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等五個方面強(qiáng)化管理,構(gòu)建網(wǎng)絡(luò)安全縱深防御體系。
網(wǎng)絡(luò)安全等級保護(hù)2.0安全技術(shù)框架各個安全功能技術(shù)措施設(shè)計(jì)如下:
-
安全通信網(wǎng)絡(luò):
對定級系統(tǒng)的安全計(jì)算環(huán)境之間進(jìn)行信息傳輸及實(shí)施安全策略的安全技術(shù)措施;
-
安全區(qū)域邊界:
對定級系統(tǒng)的安全計(jì)算環(huán)境邊界與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)連接并實(shí)施安全策略的安全技術(shù)措施;
-
安全計(jì)算環(huán)境:
對定級系統(tǒng)的信息進(jìn)行存儲、處理及實(shí)施安全策略的安全技術(shù)措施;
-
安全管理中心:
對定級系統(tǒng)的安全策略及安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)施統(tǒng)一管理的平臺。
-
安全管理制度:制定總體方針策略類文檔、安全管理制度類文檔、操作規(guī)程類文檔以及記錄表單類文檔;
-
安全管理機(jī)構(gòu):成立委員會或者領(lǐng)導(dǎo)小組,明確小組成員職責(zé),制定管理制度類文檔和記錄表單類文檔;
-
安全管理人員:部門主管負(fù)責(zé)人員的錄用、人員離崗、安全意識培訓(xùn)等工作,對外部人員訪問、外部人員離場有記錄表單文檔;
-
安全建設(shè)管理:對系統(tǒng)的定級備案、方案設(shè)計(jì)、產(chǎn)品采購、軟件開發(fā)、系統(tǒng)交付、測試驗(yàn)收、服務(wù)商管理等方面要有記錄表單類文檔;
-
安全運(yùn)維管理:對系統(tǒng)的環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備的維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理等方面有記錄表單類文檔。