等保2.0新形勢(shì)下廣電行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)及等級(jí)保護(hù)建設(shè)思路
等保2.0已于12月1日開(kāi)始實(shí)施,新等保要求對(duì)于廣電行業(yè)等保工作有哪些標(biāo)準(zhǔn)和依據(jù)?具體的設(shè)計(jì)思路有哪些?
等級(jí)保護(hù)是中國(guó)信息安全的基本制度,是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)實(shí)行安全保護(hù)。國(guó)家通過(guò)制定統(tǒng)一管理規(guī)范和技術(shù)標(biāo)準(zhǔn),把信息系統(tǒng)按照重要程度由低到高劃分為5個(gè)等級(jí),并且分級(jí)別實(shí)施不同的保護(hù)策略。
在等保2.0發(fā)布之前,廣電行業(yè)就已經(jīng)是等級(jí)保護(hù)建設(shè)的重點(diǎn)對(duì)象了,包括國(guó)家級(jí)/省級(jí)制播系統(tǒng)、計(jì)費(fèi)系統(tǒng)等。因此在等保1.0時(shí)代,如何做好信息系統(tǒng)安全防護(hù)就是廣電行業(yè)重點(diǎn)關(guān)注的。
等保2.0時(shí)代業(yè)務(wù)系統(tǒng)基于標(biāo)準(zhǔn)的合規(guī)建設(shè)仍將持續(xù)。結(jié)合新標(biāo)準(zhǔn)廣電行業(yè)的定級(jí)對(duì)象也需要進(jìn)行拓展,由原來(lái)的信息系統(tǒng),拓展到新標(biāo)準(zhǔn)要求的范圍。等保2.0將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術(shù)、新應(yīng)用的場(chǎng)景列入標(biāo)準(zhǔn)范圍。
但是由于廣電行業(yè)的行業(yè)特征和特殊性,因此該如何開(kāi)展等級(jí)保護(hù)建設(shè)工作,還需要結(jié)合自身實(shí)際,進(jìn)行更為細(xì)致科學(xué)的調(diào)整。
廣電行業(yè)主要依據(jù)標(biāo)準(zhǔn)
1、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》
第二十一條
國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改:
(一)制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;(二)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;(三)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月;(四)采取數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密等措施;(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
第三十一條
國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。國(guó)家鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營(yíng)者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。
2、《廣播電視安全播出管理規(guī)定》
第二條
從事廣播電視播出、傳輸、覆蓋等業(yè)務(wù)的單位為保障安全播出開(kāi)展的技術(shù)維護(hù)、運(yùn)行管理、應(yīng)急處置及其他相關(guān)活動(dòng),適用本規(guī)定。
第六條
廣播電視安全播出實(shí)行分類(lèi)分級(jí)保障制度。安全播出責(zé)任單位應(yīng)當(dāng)符合規(guī)定和國(guó)務(wù)院廣播影視行政部門(mén)關(guān)于廣播電視安全播出的有關(guān)要求;不符合的,不得從事廣播電視播出、傳輸、覆蓋活動(dòng)。
第十三條
安全播出責(zé)任單位應(yīng)當(dāng)保障技術(shù)系統(tǒng)運(yùn)行維護(hù)、更新改造和安全防護(hù)等安全播出所需經(jīng)費(fèi)。
3、《有線電視網(wǎng)雙向化改造指導(dǎo)意見(jiàn)》
國(guó)家對(duì)有線電視網(wǎng)絡(luò)發(fā)展提出的新要求:
《國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十一個(gè)五年規(guī)劃綱要》明確指出:“加強(qiáng)寬帶通信網(wǎng)、數(shù)字電視網(wǎng)、下一代互聯(lián)網(wǎng)等基礎(chǔ)設(shè)施建設(shè),推進(jìn)“三網(wǎng)融合’,健全信息安全保障體系。”《國(guó)家中長(zhǎng)期科學(xué)和技術(shù)發(fā)展規(guī)劃綱要》和《國(guó)家“十一五”期文化發(fā)展規(guī)劃綱要》等文件中也對(duì)廣播電視的發(fā)展提出了相應(yīng)要求。因此,“十一五”期間,貫徹落實(shí)國(guó)家關(guān)于推進(jìn)三網(wǎng)融合的總體要求,加快建設(shè)雙向交互、多功能的新一代數(shù)字電視網(wǎng)絡(luò),提升有線電視網(wǎng)絡(luò)在國(guó)家信息化建設(shè)中的地位和作用,是廣播電視行業(yè)肩負(fù)的重要任務(wù)。
4、《GY5075-2005城市有線廣播電視網(wǎng)絡(luò)設(shè)計(jì)規(guī)范》
設(shè)計(jì)總體要求:
網(wǎng)絡(luò)技術(shù)先進(jìn)。設(shè)計(jì)中應(yīng)采用成熟、先進(jìn)的國(guó)內(nèi)外通信和網(wǎng)絡(luò)技術(shù),按照國(guó)家和國(guó)際標(biāo)準(zhǔn),將統(tǒng)一的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)成雙向、交互式、多業(yè)務(wù)的網(wǎng)絡(luò)。在滿(mǎn)足當(dāng)前業(yè)務(wù)發(fā)展的前提下,應(yīng)充分考慮未來(lái)技術(shù)和業(yè)務(wù)范圍擴(kuò)展帶來(lái)的新要求。一種網(wǎng)絡(luò)應(yīng)具有可擴(kuò)展性。網(wǎng)絡(luò)用戶(hù)數(shù)量和網(wǎng)絡(luò)提供的服務(wù)功能是可擴(kuò)展的。光纖網(wǎng)絡(luò)作為網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,構(gòu)成一、二級(jí)傳輸網(wǎng)絡(luò)的光纖網(wǎng)絡(luò)所提供的業(yè)務(wù)功能具有可擴(kuò)展性。作為網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,一、二級(jí)傳輸網(wǎng)光纖網(wǎng)絡(luò)的建設(shè)應(yīng)滿(mǎn)足網(wǎng)絡(luò)升級(jí)的要求。
網(wǎng)絡(luò)應(yīng)具有良好的生存能力。當(dāng)線路或設(shè)備發(fā)生故障時(shí),網(wǎng)絡(luò)可采用靈活的保護(hù)策略和保護(hù)機(jī)制恢復(fù)運(yùn)行。
網(wǎng)絡(luò)系統(tǒng)應(yīng)開(kāi)放、兼容。設(shè)計(jì)中所采用的網(wǎng)絡(luò)技術(shù)應(yīng)當(dāng)符合有關(guān)的國(guó)內(nèi)標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn),不得采用私人協(xié)議。新的或重建的有線電視網(wǎng)絡(luò)應(yīng)向下兼容現(xiàn)有的業(yè)務(wù)系統(tǒng)。
網(wǎng)絡(luò)應(yīng)具有良好的安全性,以保證互聯(lián)網(wǎng)上運(yùn)行的業(yè)務(wù)系統(tǒng)的安全。
網(wǎng)絡(luò)應(yīng)是可管理的。
5、其他依據(jù)標(biāo)準(zhǔn)
《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T 25070-2019)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T 28448-2019)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》(GB/T 28449-2018)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》(報(bào)批稿)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2017)《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》(GB/T 31509-2015)《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T 20984-2007)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(征求意見(jiàn)稿)《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》(征求意見(jiàn)稿)《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄(第一批)》
廣電行業(yè)系統(tǒng)的等保設(shè)計(jì)思路
廣電行業(yè)系統(tǒng)的等保設(shè)計(jì)思路主要是依據(jù)業(yè)務(wù)的重要程度和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的相關(guān)標(biāo)準(zhǔn),通過(guò)建設(shè)“一個(gè)中心”管理下的“三重防護(hù)”體系。分別對(duì)通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境進(jìn)行管理,實(shí)施多層隔離和保護(hù)措施。同時(shí)通過(guò)在安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等五個(gè)方面強(qiáng)化管理,構(gòu)建網(wǎng)絡(luò)安全縱深防御體系。
網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0安全技術(shù)框架各個(gè)安全功能技術(shù)措施設(shè)計(jì)如下:
-
安全通信網(wǎng)絡(luò):
對(duì)定級(jí)系統(tǒng)的安全計(jì)算環(huán)境之間進(jìn)行信息傳輸及實(shí)施安全策略的安全技術(shù)措施;
-
安全區(qū)域邊界:
對(duì)定級(jí)系統(tǒng)的安全計(jì)算環(huán)境邊界與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)連接并實(shí)施安全策略的安全技術(shù)措施;
-
安全計(jì)算環(huán)境:
對(duì)定級(jí)系統(tǒng)的信息進(jìn)行存儲(chǔ)、處理及實(shí)施安全策略的安全技術(shù)措施;
-
安全管理中心:
對(duì)定級(jí)系統(tǒng)的安全策略及安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)施統(tǒng)一管理的平臺(tái)。
-
安全管理制度:制定總體方針策略類(lèi)文檔、安全管理制度類(lèi)文檔、操作規(guī)程類(lèi)文檔以及記錄表單類(lèi)文檔;
-
安全管理機(jī)構(gòu):成立委員會(huì)或者領(lǐng)導(dǎo)小組,明確小組成員職責(zé),制定管理制度類(lèi)文檔和記錄表單類(lèi)文檔;
-
安全管理人員:部門(mén)主管負(fù)責(zé)人員的錄用、人員離崗、安全意識(shí)培訓(xùn)等工作,對(duì)外部人員訪問(wèn)、外部人員離場(chǎng)有記錄表單文檔;
-
安全建設(shè)管理:對(duì)系統(tǒng)的定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購(gòu)、軟件開(kāi)發(fā)、系統(tǒng)交付、測(cè)試驗(yàn)收、服務(wù)商管理等方面要有記錄表單類(lèi)文檔;
-
安全運(yùn)維管理:對(duì)系統(tǒng)的環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備的維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理等方面有記錄表單類(lèi)文檔。