新形勢下廣電行業網絡安全標準建設思路

司馬超群 迪普科技安全產品事業部副部長

1. 引言

近幾年，世界各地網絡信息安全事件頻發，舉幾個經典的案例。第一個案例關系到美國的政治穩定，是2016年美國總統大選中的希拉里和特朗普大戰。2016年，美國總統大選中，支持率遙遙領先的希拉里，因為機密郵件泄露，導致特朗普逆襲。據美國國家安全局公布，有證據表明，此次郵件泄露和俄羅斯黑客有關。第二個案例是賬號繞過漏洞，事關經濟命脈，在移動支付逐漸成為主角的時候，移動支付的巨頭“支付寶”被披露存在無需密碼可任意登錄支付寶修改密碼，此事件被支付寶的母公司阿里集團確認，并對客戶端進行了緊急升級。第三個案例事關基礎建設，2015年12月23日下午，也就是圣誕節的前兩天，烏克蘭首都基輔部分地區和烏克蘭西部的140萬名居民突然發現家中停電。這次停電不是因為電力短缺，而是遭到了黑客攻擊。第四個案例是山東徐玉玉案，事關社會穩定，2016年8月21日，山東徐玉玉因被詐騙電話騙走上大學的費用9900元，傷心欲絕，郁結于心，最終導致心臟驟停，雖經醫院全力搶救，但仍不幸離世。

2017年，WannaCry勒索病毒全球大爆發，至少150個國家、30萬名用戶中招，造成損失達80億美元，已經影響到金融、能源、醫療等眾多行業，造成嚴重的危機管理問題。中國部分Windows操作系統用戶遭受感染，校園網用戶首當其沖，受害嚴重，大量實驗室數據和畢業設計被鎖定加密。部分大型企業的應用系統和數據庫文件被加密后，無法正常工作，影響巨大。

國家層面，近幾年對網絡安全越來越重視，相繼出臺了網絡安全政策及法律法規。

2014年2月27日，中央網絡安全和信息化領導小組成立并召開第一次會議，強調努力把我國建設成為網絡強國；2014年11月，舉辦首屆國家網絡安全宣傳周。

2015年，四部委聯合發文，印發《黨政機關、事業單位和國有企業互聯網網站安全專項整治行動方案》的通知(公信安〔2015〕2562號)；2015年6月，舉辦第二屆國家網絡安全宣傳周；2015年6月 ，第十二屆全國人大常委會初次審議了《網絡安全法(草案)》。

2016年，發布網絡安全法。2016年4月，習近平總書記在網絡安全和信息化工作座談會上，深刻闡明網絡生態事關人民利益；2016年9月，舉辦第三屆國家網絡安全宣傳周；2016.11.7，發布《網絡安全法》，并確定于2017年6月1日開始實施。

2. 關鍵信息基礎設施

《網絡安全法》頒布實施之后，其中出現了一個大家很關注的新詞：關鍵信息基礎設施?！毒W絡安全法》規定，重點行業在實施等級保護的基礎上，要實施關鍵信息基礎設施的安全防護，國家在這里面總共定義了12個關鍵行業，這些關鍵行業要在等保的基礎上實施關鍵信息基礎設施的安全防護。關鍵信息基礎設施行業基線參照表見表1，廣播電視也被列入關鍵信息基礎設施行業，涉及的業務系統包括制播系統、傳輸系統、播出管控系統。這幾個系統被定義為關鍵信息基礎設施，不僅要做等級保護，并且在等級保護的基礎之上，還要進行關鍵信息基礎設施的安全防護。

3. 網絡安全法-關鍵信息基礎設施：運營者關鍵性要求

關鍵信息基礎設施的安全防護分幾個方面，第一個方面就是對網絡運營者的要求。作為廣電行業的從業者，每個人都是屬于或者說有某部分的職能屬于網絡的運營者，因為廣電也提供網絡的服務。對于網絡的運營者來說，要防病毒和網絡入侵，要制定好網絡事件的應急預案，還要對服務提供實名制的服務。網絡監測日志方面，要提供數據分類備份，加密網絡設備與產品，產品和服務需要符合相關的標準。

作為關鍵信息基礎設施的運營者，要在原有的網絡安全防護基礎之上，有專門的機構和專崗，有應急的預案，并且做定期的演練，對重要數據和個人信息要求境內存儲，有定期的培訓考核，保證人員有較高的網絡安全素養，采購產品與服務的安全審查系統與數據的容災備份要保密，至少每年做一次安全評估，這些都是我們要做的。

表1 關鍵信息基礎設施行業基線參照表

4. 關鍵信息基礎設施的防護

對關鍵信息基礎設施的防護，迪普科技認為主要分為兩個方面。一個方面是我們要應對的一些檢查，這個是我們工作中比較重要的一個部分，我們都受到上級部門的監管，關鍵信息基礎設施要做現場的迎檢。在做現場的迎檢之外，日常主要要做好安全建設的工作，這些是幫助我們做到法律法規要求的方面，同時也是自身安全建設中需要做到的部分。關鍵信息基礎設施防護工作的主要內容見圖2。

5. 網絡安全法執法案例

結合《網絡安全法》實施以來，我們來分析一下已經遭到法律處罰的企業的實際案例，這些企業究竟出現了哪些問題。概括起來，就是“六大不應該”。

（1）該管的不管

圖1 關鍵信息基礎設施對運營者的關鍵性要求

圖2 關鍵信息基礎設施防護工作的主要內容

處罰實例：2017年8月，騰訊微信、新浪微博、百度貼吧被立案調查，初查認為其未加強對用戶發布的信息的管理，網站中存在法律、行政法規禁止發布或者傳輸的信息（傳播暴力恐怖、虛假謠言、淫穢色情），涉嫌違反《網絡安全法》等法律法規。處罰實例：2017年8月，同花順金融網、配音秀網被認定存在導向不正、低俗惡搞等有害信息，違反《網絡安全法》第47條、第68條，被暫停有關系統運行，有關人員面臨嚴肅追責。

（2）該干的不干

處罰實例：2017年7月，汕頭某公司被認定未按規定履行網絡安全等級測評義務，未及時履行網絡安全義務，違反《信息安全等級保護管理辦法》第14條第1款和《網絡安全法》第21條第5項，被警告處罰并責令改正。

處罰實例：2017年7月，四川一網站被認定未進行網絡安全等級保護的定級備案、等級測評等工作，未落實網絡安全等級保護制度，未履行網絡安全保護義務，違反《網絡安全法》第21條、第59條，直接負責的主管人員被罰款5000元，機構被罰款1萬元。

（3）該留的不留

處罰實例：2017年7月，重慶某公司被認定在提供互聯網數據中心服務時，未依法留存用戶登錄相關網絡日志，違反《網絡安全法》第21條、第59條，被警告處罰并責令限期整改。

（4）該禁的不禁

處罰實例：2017年8月，宿遷市某公司提供互聯網接入服務的服務器被認定存在涉及法律、行政法規禁止傳輸的信息（反動信息），違反《網絡安全法》第47條、第68條，被給予警告處罰并被要求立即整改。

處罰實例：2017年8月，淘寶網部分店鋪被認定存在售賣破壞計算機信息系統工具、售賣違禁管制物品、販賣非法VPN工具、販賣網絡賬號等突出問題，違反《網絡安全法》第47條、第68條，被給予警告并責令改正。下架違法違規商品，對違法違規店鋪進行嚴肅處理。

（5）該改的不改

處罰實例：2017年7月，山西忻州市某省直事業單位網站被認定在2017年6月至7月間存在SQL注入漏洞，嚴重威脅網站信息安全，連續被國家網絡與信息安全信息通報中心通報，違反《網絡安全法》第21條、第59條，被警告處罰并責令改正。

（6）該審的不審

處罰實例：2017年8月，BOSS直聘被認定在用戶提供信息發布服務過程中，為未提供真實身份信息的用戶提供信息發布服務，未采取有效措施對用戶發布傳輸的信息進行嚴格管理，導致違法違規信息擴散，違反《網絡安全法》第24條、61條、47條、68條，約談法人代表，被責令整改。

處罰實例：2017年8月，蘑菇街互動網、蝦米音樂網被認定存在違法違規賬號注冊等問題，違反《互聯網用戶賬號名稱管理規定》第4條至第8條和《網絡安全法》第24條、第61條，被責令暫停新用戶注冊7天。

從以上案例可以看到，《網絡安全法》現在已納入到法律的范圍之內，對于網絡安全的處罰已經開始，并且以后只會更加嚴格。我們要做的就是按照這個標準去做，而不是去違反它。

6.《網絡安全法》與網絡安全等級保護制度

以上已提及《網絡安全法》與網絡等級保護制度，網絡安全等級現在是等保1.0到2.0的過渡，1.0到2.0還是有很多的不同，《網絡安全法》開始頒布和實施時，對關鍵信息基礎設施防護方面，到底什么是關鍵信息，關鍵信息基礎設施怎么去做防護，最開始是沒有規定的。從表1關鍵信息基礎設施行業基線參照表可以看到，現在已經明確到關鍵信息基礎設施的行業、行業子類、關鍵設施類別、關鍵業務清單和關鍵設施（關鍵系統）。關鍵信息基礎設施在網絡安全等級保護制度的基礎上，要實施重點防護，要落實等級保護，原則上是不低于第三級，就是最低要過三級等保，否則安全防護是不合理的。等保2.0跟等保1.0最主要的差別，是在云計算、移動互聯、物聯網的擴展要求和工業方面的公共的擴展要求，從定義方面更加擴大了《網絡安全法》的范疇。

等保的合規要求是：二級等保通過總分要求≥60分，無高危安全漏洞；三級等保通過總分要求≥75分，無高危安全漏洞。

7. 迪普科技慧眼安全檢測平臺

慧眼安全檢測平臺整體架構見圖4。

首先是資產盤點，能做到在網設備的精準識別，例如路由器、交換機、防火墻、業務系統的服務器，以及PC等等。對于迪普科技來說，我們還能識別物聯感知的設備。我們做的一個比較突出的方面，是在視頻監控這方面能識別出攝像頭，包括攝像頭關聯的廠家、型號、軟件版本、鏈路延時等。

圖3 網絡安全等級保護制度

圖4 慧眼安全檢測平臺整體架構

第二個是安全檢測，做到檢測模塊協同作戰。

第三個是漏洞檢測，做到人工經驗綜合驗證，除通用漏洞掃描設備都有的系統安全檢測模塊和弱口令檢測模塊外，我們還具有基于迪普科技在安全服務方面經驗和手段的高危漏洞檢測模塊和行業專項檢測模塊。漏洞檢測其實是屬于綁定在一起的一個功能，我們在系統安全和外部安全檢測之后，會檢測出很多漏洞，迪普科技可提供很完善的漏洞庫規則，例如系統安全檢測有38000多條特征庫，有60多類外部安全檢測模塊，檢測出漏洞之后，送漏洞驗證模塊，并給出解決方案。例如一個微軟的漏洞，我們會給出微軟的官方解決方案，下面還有一個迪普科技的解決方案，因為微軟給出的打補丁解決方案，可能很多人說，我業務系統打不了補丁，一打這個補丁業務就要掛。迪普科技可以從廠商的層面推薦用什么樣的設備，添加什么樣的策略能阻止漏洞。

最后一個是專家服務，可以提供定制化的安全體驗。圖5是慧眼安全檢測平臺檢測流程。首先是資產盤點，因為做安全更關注的是我的資產，比如說服務器里面某幾臺服務器是我的關鍵業務，或者是生產網里面非常重要的業務，這些業務是我的資產，這些資產的安全我很重視。然后進行安全檢測，安全檢測后再做漏洞的驗證和漏洞的校驗，發現潛在的威脅。最后是輸出結果報表。例如做合規的自查，除檢測產品之外，我們更關心的是如何過等保。等保要求很多很雜，跟很多產品有一個映射的關系。例如，某一些要求，用防火墻這個產品就可以滿足，你部署防火墻，開啟功能之后，等保測評會認為，你有這個功能的防范手段，分就拿到了。

圖6是等保二級合規設計與對應產品舉例，等保二級合規下產品的映射關系包括：下一代防火墻，入侵檢測和防御系統，上網行為管理系統和主機防病毒。

圖7是等保二級合規下迪普科技產品解決方案。

由圖7可見，等保二級合規下，技術設備方面，迪普科技FW下一代防火墻，最高能得到20.05；迪普科技IPS入侵檢測與防御系統最高能得14.46分；安全管理方面，迪普科技一站等保建設咨詢服務（含高危安全漏洞檢測）可以得到57.87分。

7. 傳統設備部署方式的局限性

傳統設備部署方式的局限性表現為：

（1）運維復雜，用戶工作量大；

（2）問題故障難定位；

（3）網絡節點多，可靠性差；

（4）性能瓶頸，可擴展性差；

（5）主備部署，資源浪費。

典型的簡單互聯網出口拓撲，包括與互聯網連接的路由器，負載均衡設備，防火墻設備，入侵防御設備及核心交換機，還有公安部82號令要求的上網行為管理設備，運維復雜，用戶工作量大，故障難定位。

針對傳統設備部署方式的局限性，迪普科技的解決方案是采用一臺DXP系列融合安全網關設備，融合安全網關設備中集成了應用交付業務模塊、防火墻業務模塊、入侵防御業務模塊、行為管理及流控業務模塊，其優點是整機對外是一個IP、一個界面管理；多種檢測工具+專業服務；一個節點，核心部件冗余設計；功能、性能靈活擴展；雙活部署。

8. 結束語

圖5 慧眼安全檢測平臺檢測流程

迪普科技的愿景是讓網絡變得更加簡單、智能、安全。迪普科技專注網絡、安全及應用交付領域，持續創新，為客戶提供領先的產品與解決方案，創造更大的價值。迪普科技已經得到了大批用戶的認可，例如迪普科技在三大電信運營商，聯通、移動、電信中都有很多設備部署。

（本文根據作者在第七屆廣播電視傳媒產業論壇暨第五屆中國廣播電視紫金論壇上的發言整理。）

圖6 等保二級合規設計與對應產品舉例

圖7 等保二級合規下迪普產品解決方案