廣電總局和工信部齊抓網絡信息安全

NiCo℡ · 發(fā)表于 2014-9-11 13:36

本帖最后由蝦餃于 2014-9-15 14:26 編輯

在國內信息安全方面，重要信息系統(tǒng)和重要基礎設施(廣電、電信)也面臨著現(xiàn)實的威脅。近日，網絡安全成了廣電和電信人聚焦的熱點話題。從總局猛推TVOS到工信部下發(fā)通知安全通知……

　　一、廣電安全，從總局做起!

　　廣電融合必須先解決網絡信息安全問題，主要包括：在應用方面，新應用模式(如雙向互動電視)存在潛在風險;在網絡方面，網絡延伸帶來便利的同時，增加安全風險;在終端方面，機頂盒成為最佳的攻擊目標之一;在技術方面，互聯(lián)網積累的攻擊技術，有了新的用武之地。

　　據悉，總局牽頭研發(fā)TVOS就是為電視安全而生的，“安全可控”是TVOS的基本要求，相關安全需求包括TVOS安全需構建完善的技術體系和架構;TVOS應需采用先進的技術、實施多樣的安全手段、具備全方位的安全防護能力。

　　據國家新聞出版廣電總局廣科院總工程師盛志凡介紹，TVOS采用多種安全技術手段，融入操作系統(tǒng)內核層、組件層、執(zhí)行環(huán)境層、應用框架層，形成了相互支撐、協(xié)同聯(lián)動的層次化安全體系，從而具有硬件安全、軟件安全、網絡安全、數據安全、應用安全等全方位安全防護能力?；A安全手段包括基于安全芯片的信任鏈機制;安全啟動，防刷機;應用軟件下載安裝安全校驗;應用管理，阻斷違規(guī)應用安全漏洞主動檢測，防患于未然。

　　除了TVOS之外，總局之前推出的可下載條件接收系統(tǒng)DCAS也已經建立了完備的產業(yè)鏈，具有海思、Broadcom、MStar、ST、Entropic、Realtek、數字太和、湖南國科、杭州國芯等眾多芯片廠商推出了30余款DCAS芯片，可用于高中低端各類機頂盒、一體機終端產品;創(chuàng)維、同洲、長虹、九洲、ARRIS等多家終端廠商推出了DCAS機頂盒產品;同洲、數碼視訊、NDS、茁壯等4家廠商推出了支持DCAS的中間件產品;永新視博、數碼視訊、NDS、Nagra、數字太和、山東泰信等8家條件接收廠商推出了DCAS系統(tǒng)，支持升級與同密部署方式，可滿足運營商不同的應用部署要求。

　　國家新聞出版廣電總局廣播科學研究院電視所王強博士指出，DCAS將有力支撐TVOS安全。TVOS采用DCAS有很多優(yōu)勢，比如能夠快速成形安全能力，可借助DCAS安全芯片具有產業(yè)化基礎，目前海思、MStar、Broadcom、ST、Realtek、Entropic、數字太和、湖南國科、杭州國芯等知名芯片廠商都支持DCAS，可直接利用DCAS密鑰管理平臺及芯片序列化基礎設施。

　　東方有線表示將引入DRM技術、結合總局DCAS技術打造更為安全的NGBTVOS智能電視機頂盒終端。主要措施是將芯片級的DRM技術“引入”到OCNTVOS中，實現(xiàn)在內容、分發(fā)、播控等的各個方面的安全保障;結合總局DCAS技術，在TVOS內實現(xiàn)更高層次的視頻安全管控。NGB智能電視機頂盒安全工作計劃分為三個階段，目前已進行到了第三個階段即結合TVOS核高基項目、DRM、DCAS等技術研究持續(xù)推動智能數字機頂盒的安全研發(fā)工作，形成東方有線自主的智能終端安全技術規(guī)范及測試規(guī)范，推進安全應用和終端部署。

　　二、廣電專網安全如何防護

　　針對當前廣電網絡所面臨的信息安全風險問題，中電長城網際系統(tǒng)應用有限公司劉恒認為，在播出安全方面，從生產系統(tǒng)、內容編排、內容分發(fā)、運營支持、前端系統(tǒng)、機頂盒每個層面均存在安全風險。據統(tǒng)計，主要的信息安全問題是：一把手重視不夠;個人安全意識薄弱;缺乏有效的戰(zhàn)略;技術手段落后;管理措施不到位;安全能力薄弱。

　　茁壯網絡總裁徐佳宏認為，安全問題與商業(yè)利益息息相關，最大的問題是沒有“IP身份證”。蘋果、安卓等終端都出現(xiàn)過重大的安全問題，當程序非常復雜時，就很難進行程序與數據的監(jiān)測。另外，網絡信息安全還需要法律的保護。此外，安全手段也很重要。

　　佳視互動總經理洪鈞則認為，單向系統(tǒng)安全是廣電目前面臨的一大挑戰(zhàn)，其實沒有任何一個系統(tǒng)的安全是做出來的，而是“打”出來的。廣電是一個專網，但不代表絕對安全，互聯(lián)網不是專網，但不代表絕對安全。

　　所以，在廣電做出對策之前，要明確“你想保護什么?存在什么風險?如何轉移風險?會不會有新風險?如何保持平衡?”等問題。然后從解構、安全意識、文化、政策等方面加以規(guī)劃、管理和建設，融合國家?？仃犖楹彤a業(yè)能力，培養(yǎng)廣電網絡信息安全的能力。

　　注：廣電網絡信息安全討論的觀點均來自8月27日由DVBCN&AsiaOTT承辦的2014中國智能電視信息安全與應用發(fā)展峰會!

　　三、無獨有偶，工信部加強電信與互聯(lián)網安全管控

　　昨日，工信部向中國電信集團公司、中國移動通信集團公司、中國聯(lián)合網絡通信集團有限公司，國家計算機網絡應急技術處理協(xié)調中心，工業(yè)和信息化部電信研究院、通信行業(yè)職業(yè)技能鑒定指導中心，中國通信企業(yè)協(xié)會、中國互聯(lián)網協(xié)會以及各互聯(lián)網域名注冊管理機構等發(fā)出“關于加強電信和互聯(lián)網行業(yè)網絡安全工作的指導意見”的通知。

　　工信部對以上單位提出了8大工作重點：

　　1、各單位要深化網絡基礎設施和業(yè)務系統(tǒng)安全防護。

　　認真落實《通信網絡安全防護管理辦法》(工業(yè)和信息化部令第11號)和通信網絡安全防護系列標準，做好定級備案，嚴格落實防護措施，定期開展符合性評測和風險評估，及時消除安全隱患。加強網絡和信息資產管理，全面梳理關鍵設備列表，明確每個網絡、系統(tǒng)和關鍵設備的網絡安全責任部門和責任人。合理劃分網絡和系統(tǒng)的安全域，理清網絡邊界，加強邊界防護。加強網站安全防護和企業(yè)辦公、維護終端的安全管理。完善域名系統(tǒng)安全防護措施，優(yōu)化系統(tǒng)架構，增強帶寬保障。加強公共遞歸域名解析系統(tǒng)的域名數據應急備份。加強網絡和系統(tǒng)上線前的風險評估。加強軟硬件版本管理和補丁管理，強化漏洞信息的跟蹤、驗證和風險研判及通報，及時采取有效補救措施。

　　2、提升突發(fā)網絡安全事件應急響應能力。

　　認真落實工業(yè)和信息化部《公共互聯(lián)網網絡安全應急預案》，制定和完善本單位網絡安全應急預案。健全大規(guī)模拒絕服務攻擊、重要域名系統(tǒng)故障、大規(guī)模用戶信息泄露等突發(fā)網絡安全事件的應急協(xié)同配合機制。加強應急預案演練，定期評估和修訂應急預案，確保應急預案的科學性、實用性、可操作性。提高突發(fā)網絡安全事件監(jiān)測預警能力，加強預警信息發(fā)布和預警處置，對可能造成全局性影響的要及時報通信主管部門。嚴格落實突發(fā)網絡安全事件報告制度。建設網絡安全應急指揮調度系統(tǒng)，提高應急響應效率。根據有關部門的需求，做好重大活動和特殊時期對其他行業(yè)重要信息系統(tǒng)、政府網站和重點新聞網站等的網絡安全支援保障。

　　3、維護公共互聯(lián)網網絡安全環(huán)境。

　　認真落實工業(yè)和信息化部《木馬和僵尸網絡監(jiān)測與處置機制》、《移動互聯(lián)網惡意程序監(jiān)測與處置機制》，建立健全釣魚網站監(jiān)測與處置機制。在與用戶簽訂的業(yè)務服務合同中明確用戶維護網絡安全環(huán)境的責任和義務。加強木馬病毒樣本庫、移動惡意程序樣本庫、漏洞庫、惡意網址庫等建設，促進行業(yè)內網絡安全威脅信息共享。加強對黑客地下產業(yè)利益鏈條的深入分析和源頭治理，積極配合相關執(zhí)法部門打擊網絡違法犯罪。基礎電信企業(yè)在業(yè)務推廣和用戶辦理業(yè)務時，要加強對用戶網絡安全知識和技能的宣傳輔導，積極拓展面向用戶的網絡安全增值服務。

　　4、推進安全可控關鍵軟硬件應用。

　　推動建立國家網絡安全審查制度，落實電信和互聯(lián)網行業(yè)網絡安全審查工作要求。根據《通信工程建設項目招標投標管理辦法》(工業(yè)和信息化部令第27號)的有關要求，在關鍵軟硬件采購招標時統(tǒng)籌考慮網絡安全需要，在招標文件中明確對關鍵軟硬件的網絡安全要求。加強關鍵軟硬件采購前的網絡安全檢測評估，通過合同明確供應商的網絡安全責任和義務，要求供應商簽署網絡安全承諾書。加大重要業(yè)務應用系統(tǒng)的自主研發(fā)力度，開展業(yè)務應用程序源代碼安全檢測。

　　5、強化網絡數據和用戶個人信息保護。

　　認真落實《電信和互聯(lián)網用戶個人信息保護規(guī)定》(工業(yè)和信息化部令第24號)，嚴格規(guī)范用戶個人信息的收集、存儲、使用和銷毀等行為，落實各個環(huán)節(jié)的安全責任，完善相關管理制度和技術手段。落實數據安全和用戶個人信息安全防護標準要求，完善網絡數據和用戶信息的防竊密、防篡改和數據備份等安全防護措施。強化對內部人員、合作伙伴的授權管理和審計，加大違規(guī)行為懲罰力度。發(fā)生大規(guī)模用戶個人信息泄露事件后要立即向通信主管部門報告，并及時采取有效補救措施。

　　6、加強移動應用商店和應用程序安全管理。

　　加強移動應用商店、移動應用程序的安全管理，督促應用商店建立健全移動應用程序開發(fā)者真實身份信息驗證、應用程序安全檢測、惡意程序下架、惡意程序黑名單、用戶監(jiān)督舉報等制度。建立健全移動應用程序第三方安全檢測機制。推動建立移動應用程序開發(fā)者第三方數字證書簽名和應用商店、智能終端的簽名驗證和用戶提示機制。完善移動惡意程序舉報受理和黑名單共享機制。加強社會宣傳，引導用戶從正規(guī)應用商店下載安裝移動應用程序、安裝終端安全防護軟件。

　　7、加強新技術新業(yè)務網絡安全管理。

　　加強對云計算、大數據、物聯(lián)網、移動互聯(lián)網、下一代互聯(lián)網等新技術新業(yè)務網絡安全問題的跟蹤研究，對涉及提供公共電信和互聯(lián)網服務的基礎設施和業(yè)務系統(tǒng)要納入通信網絡安全防護管理體系，加快推進相關網絡安全防護標準研制，完善和落實相應的網絡安全防護措施。積極開展新技術新業(yè)務網絡安全防護技術的試點示范。加強新業(yè)務網絡安全風險評估和網絡安全防護檢查。

　　8、強化網絡安全技術能力和手段建設。

　　深入開展網絡安全監(jiān)測預警、漏洞挖掘、惡意代碼分析、檢測評估和溯源取證技術研究，加強高級可持續(xù)攻擊應對技術研究。建立和完善入侵檢測與防御、防病毒、防拒絕服務攻擊、異常流量監(jiān)測、網頁防篡改、域名安全、漏洞掃描、集中賬號管理、數據加密、安全審計等網絡安全防護技術手段。健全基于網絡側的木馬病毒、移動惡意程序等監(jiān)測與處置手段。積極研究利用云計算、大數據等新技術提高網絡安全監(jiān)測預警能力。促進企業(yè)技術手段與通信主管部門技術手段對接，制定接口標準規(guī)范，實現(xiàn)監(jiān)測數據共享。加強與網絡安全服務企業(yè)的合作，防范服務過程中的風險，在依托安全服務單位開展網絡安全集成建設和風險評估等工作時，應當選用通過有關行業(yè)組織網絡安全服務能力評定的單位。

› 綜合交流 / 資源分享區(qū) › 綜合交流大區(qū)

廣電總局和工信部齊抓網絡信息安全

廣電總局和工信部齊抓網絡信息安全

相關帖子