全台网信息安全保障体系初探
时间:2013-12-21 11:47 文章来源:http://www.lunwenbuluo.com 作者:李光辉 李仁 点击次数:
摘要:该文按照广电总局《电视台数字化网络化建设白皮书》指导要求,参照总局《广播电视相关信息系统安全等级保护基本要求》等国家信息安全技术标注规范,结合当今各级电视台主流全台网的建设实践,阐述了如何构建全方位高安全的全台网信息安全保障体系,为我台即将开始的全台网的建设提供一定的理论和现实依据。
关键词:全台网;等级保护;信息安全;保障体系
中图分类号:TP393文献标识码:A文章编号:1009-3044(2013)33-7413-03
信息技术推进了广播电视行业的技术革新,数字化、全台网的发展,给采编播存业务带来了革命性发展的同时,也给台内网的业务运营带来了新的安全隐患,使得安全播出面临着严峻挑战,而传统的信息安全运维经验已经不能满足现实的需求。为此,在全台网建设中需要构建全方位高安全的网络防护体系,从规范、评估、管理、技术、运维等不同层面保障全台网的高可用、高管控和端到端的安全。
1全台网信息安全保障体系模型分析
在全台网信息安全体系建设中,必须从系统级层面构建高安全、高可用的安全防护系统,这一体系不是一个简单、孤立的系统,它是由各个层次软硬件及管理规范组成的联动防范体系。为简化网络结构复杂度,方便问题的分析,需要建立清晰的网络安全模型描述。通过对已有的成熟安全模型的研究,是构成科学的信息安全保障体系的前提之一,本节主要分析两个参照模型-APPDRR动态安全模型和STMME台内网安全保障体系模型。
1.1APPDRR动态安全模型[1]
网络安全具有动态性的特点,网络安全的防范应该根据风险评估结果的变化而调整。APPDRR动态安全模型是从整体性和动态性角度考虑系统的网络安全建设,它可由下面的公式概括(如图1):
网络安全(S)=风险分析(A)+安全策略(P)+防御系统(P)+实时检测(D)+实时响应(R)+灾难恢复(R)
该模型中的六个环节代表了安全事件的生命周期的各个功能阶段,之间存在着一定的衔接关系,各个环节相互补充,建立了一个多重的防护体系。其中的风险分析和安全策略是属于事前的防护管理,而防御系统、实时监测、实时响应和灾难恢复则是属于事中的具体安全措施实施,这四个环节为信息安全的防护铸造起四道防线,当其中一个环节被攻破时,其它环节仍可以保护网络的安全,四者共同作用能最大限度地降低信息安全事件带来的损害。
APPDRR模型鲜明地表现了信息安全的动态性和信息安全事件是一个螺旋上升的过程的特点,信息安全建设是一个不断改进和积累的过程,在这一过程中通过上述六环节的循环流动,相互作用,信息安全逐渐地得以完善和优化,从而实现信息安全保护网络资产的目标。
APPDRR模型是针对所有的信息安全系统建立的,偏重于理论研究的描述且普适性比较强,而广电行业又有很多自身的特点,在实际工程实施的安全模型中应该将动态安全模型和台内网的信息安全规划有效地结合起来,形成偏重于工程实施的实用的安全模型,从而能够给予信息安全建设实践以直接指导。
1.2STMME台内网安全保障体系模型[2]
广电总局科技司发布的《电视台数字化网络化建设白皮书2007》中提出了"STMME安全保障体系模型"(如图2),将安全保障体系分为三个重要的层次:指导策略、构成要素、动态实现过程,包括安全策略、安全技术、安全管理、安全运维[2]、安全评估共五个部分,其中每一部分都具有详细的分析和对策,形成了比较系统的安全保障体系,但没有将信息安全等级保护有效的与台内网的信息安全建设结合起来。
经过以上对全台网信息安全模型的分析,下节将参照STMME安全保障体系模型,结合APPDRR模型和等级保护基本要求,定义出一个较为适合我台信息安全建设的信息安全保障体系模型,并对其每一部分的构成进行阐述。
2全台网信息安全保障体系模型设计
参照STMME安全保障体系模型、APPDRR动态安全模型及其他相关的国际国内信息安全保障体系的基本模型,以及广电总局播出相关信息系统等级保护定级指南和基本要求,结合目前主流的广播电视全台网的业务系统的构成,及多家电视台信息安全项目的最佳实践,在此提出全台网信息安全保障体系模型(如图3)。该模型从信息安全规范体系、信息安全评估体系、信息安全管理体系、信息安全技术体系和信息安全运行体系五个方面进行定义,每一部分都具有详细的分析和对策[3]。
2.1信息安全规范体系
信息安全的工作是一个自上而下的工作,它不仅仅是一个源自底层的技术驱动自下而上的以业务为目标的工作,更是自上而下的以政策为驱动的管理过程,这一过程中最重要的就是国家相关的标准和行业的制定。各级电视台作为这一标准和行业制定的对象,首要任务是在其台内网各信息系统的建设中遵循国家政策法律及行业规范。
2.2信息安全评估体系
信息安全评估体系对应APPDRR模型中的风险分析(A),是指以台内网安全标准及规范为依据,运用定性、定量的科学方法和手段,系统地分析系统的性能指标以及面临的安全威胁,从而有针对性地提出防护对策和整改措施,最大限度地保证系统安全[2]。由于各板块功能定位和网络结构各不相同,安全评估内容有较大不同。台内网安全风险评估内容主要包括管理、技术、运维三个方面。在评估过程完成后应该进行相关的评估分析,就系统或设备评估数据进行安全风险的影响和可能性分析,并就各类分析可能形成的影响,创建评判标准,对各个业务板块可能发生的安全风险进行等级划分,最终形成对风险评估活动结果进行评审并提出相应安全措施建议的评估报告。
- 论文部落提供核心期刊、国家级期刊、省级期刊、SCI期刊和EI期刊等咨询服务。
- 论文部落拥有一支经验丰富、高端专业的编辑团队,可帮助您指导各领域学术文章,您只需提出详细的论文写作要求和相关资料。
-
- 论文投稿客服QQ:
2863358778、
2316118108
-
- 论文投稿电话:15380085870
-
- 论文投稿邮箱:lunwenbuluo@126.com