如何在广播电视行业落实网络安全等级保护制度.pdf

1、60广播电视网络 2023 年第 7 期 总第 403 期网络 建设与安全1 引言目前，从全球网络安全态势来看，网络安全风险日益严峻。广电行业媒体融合、智慧广电、5G 传输、大数据、人工智能等新技术的应用，促使广播电视从单一渠道采集、封闭式生产、点对面单向传播，向着多媒体内容汇聚、共平台内容生产、多渠道内容分发、跨终端用户互动转变，而这些都伴随着网络安全问题。这就要求整个广电行业增强网络安全防范意识，每个运营单位都要高度重视、严格履行网络安全保护主体责任，严格落实等级保护制度。2 网络安全等级保护定级2.1 谁来定级在等级保护的几个规定步骤中，定级是等级保护的首要环节。只有通过定级确定网络安全

2、责任，梳理系统边界，才能解决谁负责和责任范围的问题。我们熟知“谁主管谁负责，谁运营谁负责”这一基本原则，但在实际操作中，主管部门和运营部门可能不一致，系统使用部门与研发公司之间互相推诿，云租户在系统上云后不管不问的情况屡见不鲜。因此，网络安全事件的发生多数是相关各方责任划分不清，安全责任未落实，网络安全防护措施不到位等导致的，而这进一步形成了运行、维护和安全保护“三不管”的情况。针对上面种种情况，需要确定谁来履行定级的责任。首先，可以明确必须是法人单位才可以作为定级责任单位，其也是定级活动的主体，这里需要强调的是必须是法人或社会团体等组织，不能是内设部门；其次，各部门可以根据业务职能的不同，划

3、分为业务主管部门和安全主管部门；最后，对于云租户，其相应的信息系统也需要开展等级保护定级工作，云租户的等级保护对象应作为单独的定级对象定级，切不可认为系统在云上，安全责任就归云平台，出了事依然还是云租户的责任。2.2 确定等级确定了必须由法人单位开展定级工作，但应该如何根据系统所承载业务的重要性来确定系统定第几级合理呢？尽管信息安全技术 网络安全等级保护定级指南指出了应根据受侵害的客体以及对客体的侵害程度来确定系统的等级，但描述的比较抽象，对行业内运营者的现实指导意义不强，故应重点参照广播电视网络安全等级保护定级指南。其中，附录 A 介绍了广播电视网络安全等级保护对象分类建议，附录 B 介绍了

4、广播电视网络安全等级保护对象安全保护等级建议。本文以广播/电视中心网络安全保护等级建议为例，如表 1 所示，说明广播电视行业网络安全等级保护定级的基本思路。广播电视网络安全等级保护定级指南主要是根据不同网络分类和行政级别，通过矩阵法确定对应的等级。行政级别很好确定，但网络分类却不能做到一一对应。因为行业的现状是不同运营者之间存在功能不同但名称相同的系统，或功能基本一致但名称不同的系统，这给信息系统在实际应用中如何选择对应的网络分类造成了困扰。此时应该参考附录 A 对网如何在广播电视行业落实网络安全 等级保护制度李炎 国家广播电视总局监管中心摘要：网络安全等级保护制度是国家网络安全的基本制度，本

5、文结合广播电视行业的特点对定级、备案、建设整改、等级测评四个规定动作的工作要求进行详细说明，指导行业内有关单位和人员落实定级保护制度。关键词：广播电视 网络安全 等级保护61广播电视网络 2023 年第 7 期 总第 403 期网络 建设与安全络分类的描述。例如，播出系统的描述为实现节目播出和播出控制的信息系统，这里既包含了播出功能，又包含了控制功能，所以总控系统就可以参照网络分类中的播出系统来定级。管理支撑系统也是这种情况，负责监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统都可以归类为管理支撑系统。尽管表 1 中尽可能地列出了相关网络分类，但肯定还是会存在无法明确对应

6、其中任意分类的情况，这时主要分歧在于定第二级还是第三级。因为第四级系统目前只存在于中央广播电视总台，第一级系统是可有可无的系统且不用备案，其余系统应定为第二级或第三级。故此时应遵循广播电视网络安全等级保护定级指南的总体原则，考虑系统对播出的影响程度，即是否会影响到社会秩序和公共利益。如果系统出现问题，对播出有直接影响，则应定为第三级；如果对播出没有直接影响，只是影响单位内部操作，则应定为第二级。另外，根据中华人民共和国个人信息保护法中华人民共和国数据安全法的相关内容，还存在一种特殊情况，即如果系统是包含大量姓名、身份证号码、手机号码等公民敏感信息，且信息一旦泄露会对人身或财产造成严重侵害的，则

7、也应定为第三级。3 网络安全等级保护备案3.1 备案流程备案是等级保护的规定动作。去公安机关备案相当于汽车上路前要上牌照，必须有公安机关颁发的备案证明才是一个合法的系统。在初步确定系统等级到取得备案证明之前，还需要经过专家评审、主管部门核准和公安机关备案审核三个流程。专家评审是由定级对象的运营单位，组织网络安全专家和业务专家对初步定级结果进行评审，出具专家评审意见；主管部门核准是指定级对象的运营单位应将初步定级结果上报行业主管部门，一般是指当地广电局；公安机关备案审核要求定级对象的运营单位应按照相关管理规定，将定级备案材料提交公安机关进行备案审查，最终获得备案证明。3.2 备案材料提交公安机关

8、的备案材料中，最重要的是定级报告和备案表，其中重中之重是定级报告。在撰写定级报告时，一定要避免直接复制立项文件的内容，立项文件主要描述系统的必要性和优越性，而定级报告则描述系统实际功能和根据系统的重要程度确定系统的级别。因此，定级报告重点是描述清楚以下三部分内容：第一部分是系统的责任单位和部门；第二部分是系统的业务情况描述，包括边界清晰的系统拓扑图和详细业务功能；第三部分是从业务信息安全角度和系统服务安全角度分析系统受到破坏时对运营者本身和社会公众可能造成哪些损害，再依据这些损害的严重程度来确定系统等级。备案表是制式表格，需要将系统的详细信息按照要求填入其中。首先，所填信息应与定级报告一致，常

9、见问题有系统名称填写不一致或者设备数量与拓扑图不一致；其次，多个系统备案均填写在一份备案表内，其中的信息系统情况表、信息系统定级情况表、第三级以上信息系统提交材料情况表可以重复使用；最后，仅第三级及以上系统需要填写第三级以上信息系统材料情况表并提交相应附件，其他系统无须填写。4 建设整改4.1 整改依据建设整改也就是平时说的安全加固，安全加固应该依据什么标准呢？理论上肯定是越安全越好，但事情都要讲究度，不能抛开业务应用和资金投入只保证安全。从等级保护的角度表 1 广播/电视中心网络安全保护等级建议序号网络分类安全保护等级国家级省级、副省级地市级县级1播出系统第四级第三级第三级第三级2融合媒体发

10、布系统第三级第三级第三级第二级3制播一体化系统第三级第三级第二级第二级4播出整备系统第二级第二级第二级第二级5媒资系统第二级第二级第二级第二级6制作系统第二级第二级第二级第二级7融合媒体采集与制作系统第二级第二级第二级第二级8业务支撑系统第二级第二级第二级第二级9管理支撑系统第二级第二级第二级第二级62广播电视网络 2023 年第 7 期 总第 403 期网络 建设与安全来看，不同级别的系统应具备对应级别的安全保护能力。定级为第二级的系统应满足广播电视网络安全等级保护基本要求中第二级信息系统防护要求，第三级系统应满足第三级的防护要求。当然，这个是最低配的基线要求，在条件允许的情况下，可以采用更

11、高一等级要求的防护手段。4.2 整改重点建设整改的重点是避免系统存在高风险问题。针对广电行业信息系统，要加强系统边界防护，特别是与互联网边界的安全防护，提升入侵检测、阻断和报警能力，重视安全审计记录措施，加强系统建设和运维过程中的规范管理。通俗来说，就是在实践中分三步走：第一，补齐短板，购置必要的安全设备，如防火墙、日志审计系统等，以确保系统的网络架构符合要求；第二，配置基线，使每台设备做好自身防护，如身份鉴别、访问控制、安全审计、入侵防范等；第三，体系建设，做好日常管理工作，重点是系统建设管理和系统运维管理。5 网络安全等级测评5.1 测评内容大家应该经常听到“等级测评”这个词，但并不了解应

12、在什么阶段展开等级测评活动和详细测评内容。等级测评必须是对已定级备案的系统进行测评，这就要求先走完定级和备案流程，也就是说必须拿到备案证明才能开展测评活动。具体的测评内容又分为安全通用要求和安全扩展要求，安全通用要求针对共性化保护需求提出，等级保护对象无论以何种形式出现，都必须根据安全保护等级实现相应级别的安全通用要求；安全扩展要求针对个性化保护需求提出，需要根据安全保护等级和使用的特定技术或特定的应用场景选择安全扩展要求。具体到某个系统，用不用扩展要求以及用哪些扩展要求，应该如何选择呢？以行业中常见的媒资系统为例，如果是部署在物理服务器上，仅使用安全通用要求；如果未使用物理服务器而是部署在阿

13、里云或自建私有云上，则需要使用云计算安全扩展要求；如果为了方便编辑和记者可以随时随地办公开发移动客户端，那么还需要加上移动互联安全扩展要求。5.2 测评风险在等级测评过程中，被测设备和应用可能会存在异常运行或终止运行的风险，各种服务的运行速度可能会减慢，网络的处理能力和传输速度可能会降低，这对于广电行业，尤其是播出相关系统来说是不能容忍的，必须采取风险规避措施。测试前，首先，根据目标系统的网络流量调整测试时间段，避免在高峰期进行测试；其次，对重要应用程序和数据库进行备份；最后，可创建测试账号在应用系统测试环境或模拟环境中进行验证性测试。测试时，系统相关负责人密切对带宽占用情况和应用状态进行监控

14、，出现异常时可以及时中断并恢复。测试后，检查系统运行情况，清理临时文件和临时数据，如果没有相关清除权限，及时通知系统管理员进行清理。5.3 测评整改等级测评结束后会收到一本厚厚的测评报告，此时，除了看等级测评结论，确定该系统是否通过等级测评，还需要了解存在哪些问题。管理者或负责人重点看主要安全问题和整改建议，这部分是系统存在严重问题的集合，可以迅速了解系统的大致情况；运维人员应按照收到的测评报告的第 7 章安全问题整改建议，根据里面列出的关联资产和整改建议逐条整改。那在测评中发现的每一个问题是否都必须整改呢？网络安全是一个持续改进的过程，并不是非要一次把所有问题整改完毕，应该根据问题的风险等级

15、以及对业务影响程度，优先整改高风险问题，确保测评结论通过。其余问题应根据整改所需要的周期、资金等因素进行风险评估，按照系统对风险可接受的程度给出整改计划，最终使系统保持一个良好的安全状态。6 结语网络安全等级保护制度是行业网络安全管理的重要抓手，本文结合行业标准对等级保护的规定动作进行解读，梳理了开展等级保护工作的流程，方便行业内网络安全管理人员进一步贯彻落实网络安全等级保护制度，规范了广播电视行业等级保护工作，提高了行业网络安全防护和管理水平，防止发生重大网络安全事件。参考文献1 全国信息安全标准化技术委员会.信息安全技术 网络安全等级保护定级指南:GB/T 222402020S.北京:国家市场监督管理总局,国家标准化管理委员会,2020:11.2全国广播电影电视标准化技术委员会.广播电视网络安全等级保护定级指南:GY/T 3372020S.北京:国家广播电视总局,2020:11.3全国广播电影电视标准化技术委员会.广播电视网络安全等级保护基本要求:GY/T 3522021S.北京:国家广播电视总局,2021:7.4 郭启全.网络安全法与网络安全等级保护制度培训教程 M.北京:电子工业出版社,2018.RTN