新形勢下廣電行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)建設(shè)思路

司馬超群 迪普科技安全產(chǎn)品事業(yè)部副部長

1. 引言

近幾年，世界各地網(wǎng)絡(luò)信息安全事件頻發(fā)，舉幾個(gè)經(jīng)典的案例。第一個(gè)案例關(guān)系到美國的政治穩(wěn)定，是2016年美國總統(tǒng)大選中的希拉里和特朗普大戰(zhàn)。2016年，美國總統(tǒng)大選中，支持率遙遙領(lǐng)先的希拉里，因?yàn)闄C(jī)密郵件泄露，導(dǎo)致特朗普逆襲。據(jù)美國國家安全局公布，有證據(jù)表明，此次郵件泄露和俄羅斯黑客有關(guān)。第二個(gè)案例是賬號繞過漏洞，事關(guān)經(jīng)濟(jì)命脈，在移動支付逐漸成為主角的時(shí)候，移動支付的巨頭“支付寶”被披露存在無需密碼可任意登錄支付寶修改密碼，此事件被支付寶的母公司阿里集團(tuán)確認(rèn)，并對客戶端進(jìn)行了緊急升級。第三個(gè)案例事關(guān)基礎(chǔ)建設(shè)，2015年12月23日下午，也就是圣誕節(jié)的前兩天，烏克蘭首都基輔部分地區(qū)和烏克蘭西部的140萬名居民突然發(fā)現(xiàn)家中停電。這次停電不是因?yàn)殡娏Χ倘?，而是遭到了黑客攻擊。第四個(gè)案例是山東徐玉玉案，事關(guān)社會穩(wěn)定，2016年8月21日，山東徐玉玉因被詐騙電話騙走上大學(xué)的費(fèi)用9900元，傷心欲絕，郁結(jié)于心，最終導(dǎo)致心臟驟停，雖經(jīng)醫(yī)院全力搶救，但仍不幸離世。

2017年，WannaCry勒索病毒全球大爆發(fā)，至少150個(gè)國家、30萬名用戶中招，造成損失達(dá)80億美元，已經(jīng)影響到金融、能源、醫(yī)療等眾多行業(yè)，造成嚴(yán)重的危機(jī)管理問題。中國部分Windows操作系統(tǒng)用戶遭受感染，校園網(wǎng)用戶首當(dāng)其沖，受害嚴(yán)重，大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密。部分大型企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被加密后，無法正常工作，影響巨大。

國家層面，近幾年對網(wǎng)絡(luò)安全越來越重視，相繼出臺了網(wǎng)絡(luò)安全政策及法律法規(guī)。

2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立并召開第一次會議，強(qiáng)調(diào)努力把我國建設(shè)成為網(wǎng)絡(luò)強(qiáng)國；2014年11月，舉辦首屆國家網(wǎng)絡(luò)安全宣傳周。

2015年，四部委聯(lián)合發(fā)文，印發(fā)《黨政機(jī)關(guān)、事業(yè)單位和國有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項(xiàng)整治行動方案》的通知(公信安〔2015〕2562號)；2015年6月，舉辦第二屆國家網(wǎng)絡(luò)安全宣傳周；2015年6月 ，第十二屆全國人大常委會初次審議了《網(wǎng)絡(luò)安全法(草案)》。

2016年，發(fā)布網(wǎng)絡(luò)安全法。2016年4月，習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會上，深刻闡明網(wǎng)絡(luò)生態(tài)事關(guān)人民利益；2016年9月，舉辦第三屆國家網(wǎng)絡(luò)安全宣傳周；2016.11.7，發(fā)布《網(wǎng)絡(luò)安全法》，并確定于2017年6月1日開始實(shí)施。

2. 關(guān)鍵信息基礎(chǔ)設(shè)施

《網(wǎng)絡(luò)安全法》頒布實(shí)施之后，其中出現(xiàn)了一個(gè)大家很關(guān)注的新詞：關(guān)鍵信息基礎(chǔ)設(shè)施?！毒W(wǎng)絡(luò)安全法》規(guī)定，重點(diǎn)行業(yè)在實(shí)施等級保護(hù)的基礎(chǔ)上，要實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)，國家在這里面總共定義了12個(gè)關(guān)鍵行業(yè)，這些關(guān)鍵行業(yè)要在等保的基礎(chǔ)上實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)基線參照表見表1，廣播電視也被列入關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)，涉及的業(yè)務(wù)系統(tǒng)包括制播系統(tǒng)、傳輸系統(tǒng)、播出管控系統(tǒng)。這幾個(gè)系統(tǒng)被定義為關(guān)鍵信息基礎(chǔ)設(shè)施，不僅要做等級保護(hù)，并且在等級保護(hù)的基礎(chǔ)之上，還要進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)。

3. 網(wǎng)絡(luò)安全法-關(guān)鍵信息基礎(chǔ)設(shè)施：運(yùn)營者關(guān)鍵性要求

關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)分幾個(gè)方面，第一個(gè)方面就是對網(wǎng)絡(luò)運(yùn)營者的要求。作為廣電行業(yè)的從業(yè)者，每個(gè)人都是屬于或者說有某部分的職能屬于網(wǎng)絡(luò)的運(yùn)營者，因?yàn)閺V電也提供網(wǎng)絡(luò)的服務(wù)。對于網(wǎng)絡(luò)的運(yùn)營者來說，要防病毒和網(wǎng)絡(luò)入侵，要制定好網(wǎng)絡(luò)事件的應(yīng)急預(yù)案，還要對服務(wù)提供實(shí)名制的服務(wù)。網(wǎng)絡(luò)監(jiān)測日志方面，要提供數(shù)據(jù)分類備份，加密網(wǎng)絡(luò)設(shè)備與產(chǎn)品，產(chǎn)品和服務(wù)需要符合相關(guān)的標(biāo)準(zhǔn)。

作為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者，要在原有的網(wǎng)絡(luò)安全防護(hù)基礎(chǔ)之上，有專門的機(jī)構(gòu)和專崗，有應(yīng)急的預(yù)案，并且做定期的演練，對重要數(shù)據(jù)和個(gè)人信息要求境內(nèi)存儲，有定期的培訓(xùn)考核，保證人員有較高的網(wǎng)絡(luò)安全素養(yǎng)，采購產(chǎn)品與服務(wù)的安全審查系統(tǒng)與數(shù)據(jù)的容災(zāi)備份要保密，至少每年做一次安全評估，這些都是我們要做的。

表1 關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)基線參照表

4. 關(guān)鍵信息基礎(chǔ)設(shè)施的防護(hù)

對關(guān)鍵信息基礎(chǔ)設(shè)施的防護(hù)，迪普科技認(rèn)為主要分為兩個(gè)方面。一個(gè)方面是我們要應(yīng)對的一些檢查，這個(gè)是我們工作中比較重要的一個(gè)部分，我們都受到上級部門的監(jiān)管，關(guān)鍵信息基礎(chǔ)設(shè)施要做現(xiàn)場的迎檢。在做現(xiàn)場的迎檢之外，日常主要要做好安全建設(shè)的工作，這些是幫助我們做到法律法規(guī)要求的方面，同時(shí)也是自身安全建設(shè)中需要做到的部分。關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)工作的主要內(nèi)容見圖2。

5. 網(wǎng)絡(luò)安全法執(zhí)法案例

結(jié)合《網(wǎng)絡(luò)安全法》實(shí)施以來，我們來分析一下已經(jīng)遭到法律處罰的企業(yè)的實(shí)際案例，這些企業(yè)究竟出現(xiàn)了哪些問題。概括起來，就是“六大不應(yīng)該”。

（1）該管的不管

圖1 關(guān)鍵信息基礎(chǔ)設(shè)施對運(yùn)營者的關(guān)鍵性要求

圖2 關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)工作的主要內(nèi)容

處罰實(shí)例：2017年8月，騰訊微信、新浪微博、百度貼吧被立案調(diào)查，初查認(rèn)為其未加強(qiáng)對用戶發(fā)布的信息的管理，網(wǎng)站中存在法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔ⅲ▊鞑ケ┝植?、虛假謠言、淫穢色情），涉嫌違反《網(wǎng)絡(luò)安全法》等法律法規(guī)。處罰實(shí)例：2017年8月，同花順金融網(wǎng)、配音秀網(wǎng)被認(rèn)定存在導(dǎo)向不正、低俗惡搞等有害信息，違反《網(wǎng)絡(luò)安全法》第47條、第68條，被暫停有關(guān)系統(tǒng)運(yùn)行，有關(guān)人員面臨嚴(yán)肅追責(zé)。

（2）該干的不干

處罰實(shí)例：2017年7月，汕頭某公司被認(rèn)定未按規(guī)定履行網(wǎng)絡(luò)安全等級測評義務(wù)，未及時(shí)履行網(wǎng)絡(luò)安全義務(wù)，違反《信息安全等級保護(hù)管理辦法》第14條第1款和《網(wǎng)絡(luò)安全法》第21條第5項(xiàng)，被警告處罰并責(zé)令改正。

處罰實(shí)例：2017年7月，四川一網(wǎng)站被認(rèn)定未進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)的定級備案、等級測評等工作，未落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度，未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，違反《網(wǎng)絡(luò)安全法》第21條、第59條，直接負(fù)責(zé)的主管人員被罰款5000元，機(jī)構(gòu)被罰款1萬元。

（3）該留的不留

處罰實(shí)例：2017年7月，重慶某公司被認(rèn)定在提供互聯(lián)網(wǎng)數(shù)據(jù)中心服務(wù)時(shí)，未依法留存用戶登錄相關(guān)網(wǎng)絡(luò)日志，違反《網(wǎng)絡(luò)安全法》第21條、第59條，被警告處罰并責(zé)令限期整改。

（4）該禁的不禁

處罰實(shí)例：2017年8月，宿遷市某公司提供互聯(lián)網(wǎng)接入服務(wù)的服務(wù)器被認(rèn)定存在涉及法律、行政法規(guī)禁止傳輸?shù)男畔ⅲǚ磩有畔ⅲ?，違反《網(wǎng)絡(luò)安全法》第47條、第68條，被給予警告處罰并被要求立即整改。

處罰實(shí)例：2017年8月，淘寶網(wǎng)部分店鋪被認(rèn)定存在售賣破壞計(jì)算機(jī)信息系統(tǒng)工具、售賣違禁管制物品、販賣非法VPN工具、販賣網(wǎng)絡(luò)賬號等突出問題，違反《網(wǎng)絡(luò)安全法》第47條、第68條，被給予警告并責(zé)令改正。下架違法違規(guī)商品，對違法違規(guī)店鋪進(jìn)行嚴(yán)肅處理。

（5）該改的不改

處罰實(shí)例：2017年7月，山西忻州市某省直事業(yè)單位網(wǎng)站被認(rèn)定在2017年6月至7月間存在SQL注入漏洞，嚴(yán)重威脅網(wǎng)站信息安全，連續(xù)被國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心通報(bào)，違反《網(wǎng)絡(luò)安全法》第21條、第59條，被警告處罰并責(zé)令改正。

（6）該審的不審

處罰實(shí)例：2017年8月，BOSS直聘被認(rèn)定在用戶提供信息發(fā)布服務(wù)過程中，為未提供真實(shí)身份信息的用戶提供信息發(fā)布服務(wù)，未采取有效措施對用戶發(fā)布傳輸?shù)男畔⑦M(jìn)行嚴(yán)格管理，導(dǎo)致違法違規(guī)信息擴(kuò)散，違反《網(wǎng)絡(luò)安全法》第24條、61條、47條、68條，約談法人代表，被責(zé)令整改。

處罰實(shí)例：2017年8月，蘑菇街互動網(wǎng)、蝦米音樂網(wǎng)被認(rèn)定存在違法違規(guī)賬號注冊等問題，違反《互聯(lián)網(wǎng)用戶賬號名稱管理規(guī)定》第4條至第8條和《網(wǎng)絡(luò)安全法》第24條、第61條，被責(zé)令暫停新用戶注冊7天。

從以上案例可以看到，《網(wǎng)絡(luò)安全法》現(xiàn)在已納入到法律的范圍之內(nèi)，對于網(wǎng)絡(luò)安全的處罰已經(jīng)開始，并且以后只會更加嚴(yán)格。我們要做的就是按照這個(gè)標(biāo)準(zhǔn)去做，而不是去違反它。

6.《網(wǎng)絡(luò)安全法》與網(wǎng)絡(luò)安全等級保護(hù)制度

以上已提及《網(wǎng)絡(luò)安全法》與網(wǎng)絡(luò)等級保護(hù)制度，網(wǎng)絡(luò)安全等級現(xiàn)在是等保1.0到2.0的過渡，1.0到2.0還是有很多的不同，《網(wǎng)絡(luò)安全法》開始頒布和實(shí)施時(shí)，對關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)方面，到底什么是關(guān)鍵信息，關(guān)鍵信息基礎(chǔ)設(shè)施怎么去做防護(hù)，最開始是沒有規(guī)定的。從表1關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)基線參照表可以看到，現(xiàn)在已經(jīng)明確到關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)、行業(yè)子類、關(guān)鍵設(shè)施類別、關(guān)鍵業(yè)務(wù)清單和關(guān)鍵設(shè)施（關(guān)鍵系統(tǒng)）。關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，要實(shí)施重點(diǎn)防護(hù)，要落實(shí)等級保護(hù)，原則上是不低于第三級，就是最低要過三級等保，否則安全防護(hù)是不合理的。等保2.0跟等保1.0最主要的差別，是在云計(jì)算、移動互聯(lián)、物聯(lián)網(wǎng)的擴(kuò)展要求和工業(yè)方面的公共的擴(kuò)展要求，從定義方面更加擴(kuò)大了《網(wǎng)絡(luò)安全法》的范疇。

等保的合規(guī)要求是：二級等保通過總分要求≥60分，無高危安全漏洞；三級等保通過總分要求≥75分，無高危安全漏洞。

7. 迪普科技慧眼安全檢測平臺

慧眼安全檢測平臺整體架構(gòu)見圖4。

首先是資產(chǎn)盤點(diǎn)，能做到在網(wǎng)設(shè)備的精準(zhǔn)識別，例如路由器、交換機(jī)、防火墻、業(yè)務(wù)系統(tǒng)的服務(wù)器，以及PC等等。對于迪普科技來說，我們還能識別物聯(lián)感知的設(shè)備。我們做的一個(gè)比較突出的方面，是在視頻監(jiān)控這方面能識別出攝像頭，包括攝像頭關(guān)聯(lián)的廠家、型號、軟件版本、鏈路延時(shí)等。

圖3 網(wǎng)絡(luò)安全等級保護(hù)制度

圖4 慧眼安全檢測平臺整體架構(gòu)

第二個(gè)是安全檢測，做到檢測模塊協(xié)同作戰(zhàn)。

第三個(gè)是漏洞檢測，做到人工經(jīng)驗(yàn)綜合驗(yàn)證，除通用漏洞掃描設(shè)備都有的系統(tǒng)安全檢測模塊和弱口令檢測模塊外，我們還具有基于迪普科技在安全服務(wù)方面經(jīng)驗(yàn)和手段的高危漏洞檢測模塊和行業(yè)專項(xiàng)檢測模塊。漏洞檢測其實(shí)是屬于綁定在一起的一個(gè)功能，我們在系統(tǒng)安全和外部安全檢測之后，會檢測出很多漏洞，迪普科技可提供很完善的漏洞庫規(guī)則，例如系統(tǒng)安全檢測有38000多條特征庫，有60多類外部安全檢測模塊，檢測出漏洞之后，送漏洞驗(yàn)證模塊，并給出解決方案。例如一個(gè)微軟的漏洞，我們會給出微軟的官方解決方案，下面還有一個(gè)迪普科技的解決方案，因?yàn)槲④浗o出的打補(bǔ)丁解決方案，可能很多人說，我業(yè)務(wù)系統(tǒng)打不了補(bǔ)丁，一打這個(gè)補(bǔ)丁業(yè)務(wù)就要掛。迪普科技可以從廠商的層面推薦用什么樣的設(shè)備，添加什么樣的策略能阻止漏洞。

最后一個(gè)是專家服務(wù)，可以提供定制化的安全體驗(yàn)。圖5是慧眼安全檢測平臺檢測流程。首先是資產(chǎn)盤點(diǎn)，因?yàn)樽霭踩P(guān)注的是我的資產(chǎn)，比如說服務(wù)器里面某幾臺服務(wù)器是我的關(guān)鍵業(yè)務(wù)，或者是生產(chǎn)網(wǎng)里面非常重要的業(yè)務(wù)，這些業(yè)務(wù)是我的資產(chǎn)，這些資產(chǎn)的安全我很重視。然后進(jìn)行安全檢測，安全檢測后再做漏洞的驗(yàn)證和漏洞的校驗(yàn)，發(fā)現(xiàn)潛在的威脅。最后是輸出結(jié)果報(bào)表。例如做合規(guī)的自查，除檢測產(chǎn)品之外，我們更關(guān)心的是如何過等保。等保要求很多很雜，跟很多產(chǎn)品有一個(gè)映射的關(guān)系。例如，某一些要求，用防火墻這個(gè)產(chǎn)品就可以滿足，你部署防火墻，開啟功能之后，等保測評會認(rèn)為，你有這個(gè)功能的防范手段，分就拿到了。

圖6是等保二級合規(guī)設(shè)計(jì)與對應(yīng)產(chǎn)品舉例，等保二級合規(guī)下產(chǎn)品的映射關(guān)系包括：下一代防火墻，入侵檢測和防御系統(tǒng)，上網(wǎng)行為管理系統(tǒng)和主機(jī)防病毒。

圖7是等保二級合規(guī)下迪普科技產(chǎn)品解決方案。

由圖7可見，等保二級合規(guī)下，技術(shù)設(shè)備方面，迪普科技FW下一代防火墻，最高能得到20.05；迪普科技IPS入侵檢測與防御系統(tǒng)最高能得14.46分；安全管理方面，迪普科技一站等保建設(shè)咨詢服務(wù)（含高危安全漏洞檢測）可以得到57.87分。

7. 傳統(tǒng)設(shè)備部署方式的局限性

傳統(tǒng)設(shè)備部署方式的局限性表現(xiàn)為：

（1）運(yùn)維復(fù)雜，用戶工作量大；

（2）問題故障難定位；

（3）網(wǎng)絡(luò)節(jié)點(diǎn)多，可靠性差；

（4）性能瓶頸，可擴(kuò)展性差；

（5）主備部署，資源浪費(fèi)。

典型的簡單互聯(lián)網(wǎng)出口拓?fù)洌ㄅc互聯(lián)網(wǎng)連接的路由器，負(fù)載均衡設(shè)備，防火墻設(shè)備，入侵防御設(shè)備及核心交換機(jī)，還有公安部82號令要求的上網(wǎng)行為管理設(shè)備，運(yùn)維復(fù)雜，用戶工作量大，故障難定位。

針對傳統(tǒng)設(shè)備部署方式的局限性，迪普科技的解決方案是采用一臺DXP系列融合安全網(wǎng)關(guān)設(shè)備，融合安全網(wǎng)關(guān)設(shè)備中集成了應(yīng)用交付業(yè)務(wù)模塊、防火墻業(yè)務(wù)模塊、入侵防御業(yè)務(wù)模塊、行為管理及流控業(yè)務(wù)模塊，其優(yōu)點(diǎn)是整機(jī)對外是一個(gè)IP、一個(gè)界面管理；多種檢測工具+專業(yè)服務(wù)；一個(gè)節(jié)點(diǎn)，核心部件冗余設(shè)計(jì)；功能、性能靈活擴(kuò)展；雙活部署。

8. 結(jié)束語

圖5 慧眼安全檢測平臺檢測流程

迪普科技的愿景是讓網(wǎng)絡(luò)變得更加簡單、智能、安全。迪普科技專注網(wǎng)絡(luò)、安全及應(yīng)用交付領(lǐng)域，持續(xù)創(chuàng)新，為客戶提供領(lǐng)先的產(chǎn)品與解決方案，創(chuàng)造更大的價(jià)值。迪普科技已經(jīng)得到了大批用戶的認(rèn)可，例如迪普科技在三大電信運(yùn)營商，聯(lián)通、移動、電信中都有很多設(shè)備部署。

（本文根據(jù)作者在第七屆廣播電視傳媒產(chǎn)業(yè)論壇暨第五屆中國廣播電視紫金論壇上的發(fā)言整理。）

圖6 等保二級合規(guī)設(shè)計(jì)與對應(yīng)產(chǎn)品舉例

圖7 等保二級合規(guī)下迪普產(chǎn)品解決方案