在國內(nèi)信息安全方面,重要信息系統(tǒng)和重要基礎(chǔ)設(shè)施(廣電、電信)也面臨著現(xiàn)實的威脅。近日,網(wǎng)絡(luò)安全成了廣電和電信人聚焦的熱點話題。從總局猛推TVOS到工信部下發(fā)通知安全通知……
一、廣電安全,從總局做起!
廣電融合必須先解決網(wǎng)絡(luò)信息安全問題,主要包括:在應(yīng)用方面,新應(yīng)用模式(如雙向互動電視)存在潛在風(fēng)險;在網(wǎng)絡(luò)方面,網(wǎng)絡(luò)延伸帶來便利的同時,增加安全風(fēng)險;在終端方面,機頂盒成為最佳的攻擊目標之一;在技術(shù)方面,互聯(lián)網(wǎng)積累的攻擊技術(shù),有了新的用武之地。
據(jù)悉,總局牽頭研發(fā)TVOS就是為電視安全而生的,“安全可控”是TVOS的基本要求,相關(guān)安全需求包括TVOS安全需構(gòu)建完善的技術(shù)體系和架構(gòu);TVOS應(yīng)需采用先進的技術(shù)、實施多樣的安全手段、具備全方位的安全防護能力。
據(jù)國家新聞出版廣電總局廣科院總工程師盛志凡介紹,TVOS采用多種安全技術(shù)手段,融入操作系統(tǒng)內(nèi)核層、組件層、執(zhí)行環(huán)境層、應(yīng)用框架層,形成了相互支撐、協(xié)同聯(lián)動的層次化安全體系,從而具有硬件安全、軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全等全方位安全防護能力。基礎(chǔ)安全手段包括基于安全芯片的信任鏈機制;安全啟動,防刷機;應(yīng)用軟件下載安裝安全校驗;應(yīng)用管理,阻斷違規(guī)應(yīng)用安全漏洞主動檢測,防患于未然。
除了TVOS之外,總局之前推出的可下載條件接收系統(tǒng)DCAS也已經(jīng)建立了完備的產(chǎn)業(yè)鏈,具有海思、Broadcom、MStar、ST、Entropic、Realtek、數(shù)字太和、湖南國科、杭州國芯等眾多芯片廠商推出了30余款DCAS芯片,可用于高中低端各類機頂盒、一體機終端產(chǎn)品;創(chuàng)維、同洲、長虹、九洲、ARRIS等多家終端廠商推出了DCAS機頂盒產(chǎn)品;同洲、數(shù)碼視訊、NDS、茁壯等4家廠商推出了支持DCAS的中間件產(chǎn)品;永新視博、數(shù)碼視訊、NDS、Nagra、數(shù)字太和、山東泰信等8家條件接收廠商推出了DCAS系統(tǒng),支持升級與同密部署方式,可滿足運營商不同的應(yīng)用部署要求。
國家新聞出版廣電總局廣播科學(xué)研究院電視所王強博士指出,DCAS將有力支撐TVOS安全。TVOS采用DCAS有很多優(yōu)勢,比如能夠快速成形安全能力,可借助DCAS安全芯片具有產(chǎn)業(yè)化基礎(chǔ),目前海思、MStar、Broadcom、ST、Realtek、Entropic、數(shù)字太和、湖南國科、杭州國芯等知名芯片廠商都支持DCAS,可直接利用DCAS密鑰管理平臺及芯片序列化基礎(chǔ)設(shè)施。
東方有線表示將引入DRM技術(shù)、結(jié)合總局DCAS技術(shù)打造更為安全的NGBTVOS智能電視機頂盒終端。主要措施是將芯片級的DRM技術(shù)“引入”到OCNTVOS中,實現(xiàn)在內(nèi)容、分發(fā)、播控等的各個方面的安全保障;結(jié)合總局DCAS技術(shù),在TVOS內(nèi)實現(xiàn)更高層次的視頻安全管控。NGB智能電視機頂盒安全工作計劃分為三個階段,目前已進行到了第三個階段即結(jié)合TVOS核高基項目、DRM、DCAS等技術(shù)研究持續(xù)推動智能數(shù)字機頂盒的安全研發(fā)工作,形成東方有線自主的智能終端安全技術(shù)規(guī)范及測試規(guī)范,推進安全應(yīng)用和終端部署。
二、廣電專網(wǎng)安全如何防護
針對當前廣電網(wǎng)絡(luò)所面臨的信息安全風(fēng)險問題,中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司劉恒認為,在播出安全方面,從生產(chǎn)系統(tǒng)、內(nèi)容編排、內(nèi)容分發(fā)、運營支持、前端系統(tǒng)、機頂盒每個層面均存在安全風(fēng)險。據(jù)統(tǒng)計,主要的信息安全問題是:一把手重視不夠;個人安全意識薄弱;缺乏有效的戰(zhàn)略;技術(shù)手段落后;管理措施不到位;安全能力薄弱。
茁壯網(wǎng)絡(luò)總裁徐佳宏認為,安全問題與商業(yè)利益息息相關(guān),最大的問題是沒有“IP身份證”。蘋果、安卓等終端都出現(xiàn)過重大的安全問題,當程序非常復(fù)雜時,就很難進行程序與數(shù)據(jù)的監(jiān)測。另外,網(wǎng)絡(luò)信息安全還需要法律的保護。此外,安全手段也很重要。
佳視互動總經(jīng)理洪鈞則認為,單向系統(tǒng)安全是廣電目前面臨的一大挑戰(zhàn),其實沒有任何一個系統(tǒng)的安全是做出來的,而是“打”出來的。廣電是一個專網(wǎng),但不代表絕對安全,互聯(lián)網(wǎng)不是專網(wǎng),但不代表絕對安全。
所以,在廣電做出對策之前,要明確“你想保護什么?存在什么風(fēng)險?如何轉(zhuǎn)移風(fēng)險?會不會有新風(fēng)險?如何保持平衡?”等問題。然后從解構(gòu)、安全意識、文化、政策等方面加以規(guī)劃、管理和建設(shè),融合國家專控隊伍和產(chǎn)業(yè)能力,培養(yǎng)廣電網(wǎng)絡(luò)信息安全的能力。
注:廣電網(wǎng)絡(luò)信息安全討論的觀點均來自8月27日由DVBCN&AsiaOTT承辦的2014中國智能電視信息安全與應(yīng)用發(fā)展峰會!
三、無獨有偶,工信部加強電信與互聯(lián)網(wǎng)安全管控
昨日,工信部向中國電信集團公司、中國移動通信集團公司、中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司,國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心,工業(yè)和信息化部電信研究院、通信行業(yè)職業(yè)技能鑒定指導(dǎo)中心,中國通信企業(yè)協(xié)會、中國互聯(lián)網(wǎng)協(xié)會以及各互聯(lián)網(wǎng)域名注冊管理機構(gòu)等發(fā)出“關(guān)于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見”的通知。
工信部對以上單位提出了8大工作重點:
1、各單位要深化網(wǎng)絡(luò)基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)安全防護。
認真落實《通信網(wǎng)絡(luò)安全防護管理辦法》(工業(yè)和信息化部令第11號)和通信網(wǎng)絡(luò)安全防護系列標準,做好定級備案,嚴格落實防護措施,定期開展符合性評測和風(fēng)險評估,及時消除安全隱患。加強網(wǎng)絡(luò)和信息資產(chǎn)管理,全面梳理關(guān)鍵設(shè)備列表,明確每個網(wǎng)絡(luò)、系統(tǒng)和關(guān)鍵設(shè)備的網(wǎng)絡(luò)安全責(zé)任部門和責(zé)任人。
合理劃分網(wǎng)絡(luò)和系統(tǒng)的安全域,理清網(wǎng)絡(luò)邊界,加強邊界防護。加強網(wǎng)站安全防護和企業(yè)辦公、維護終端的安全管理。完善域名系統(tǒng)安全防護措施,優(yōu)化系統(tǒng)架構(gòu),增強帶寬保障。加強公共遞歸域名解析系統(tǒng)的域名數(shù)據(jù)應(yīng)急備份。加強網(wǎng)絡(luò)和系統(tǒng)上線前的風(fēng)險評估。加強軟硬件版本管理和補丁管理,強化漏洞信息的跟蹤、驗證和風(fēng)險研判及通報,及時采取有效補救措施。
2、提升突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力。
認真落實工業(yè)和信息化部《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》,制定和完善本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案。健全大規(guī)模拒絕服務(wù)攻擊、重要域名系統(tǒng)故障、大規(guī)模用戶信息泄露等突發(fā)網(wǎng)絡(luò)安全事件的應(yīng)急協(xié)同配合機制。加強應(yīng)急預(yù)案演練,定期評估和修訂應(yīng)急預(yù)案,確保應(yīng)急預(yù)案的科學(xué)性、實用性、可操作性。提高突發(fā)網(wǎng)絡(luò)安全事件監(jiān)測預(yù)警能力,加強預(yù)警信息發(fā)布和預(yù)警處置,對可能造成全局性影響的要及時報通信主管部門。嚴格落實突發(fā)網(wǎng)絡(luò)安全事件報告制度。建設(shè)網(wǎng)絡(luò)安全應(yīng)急指揮調(diào)度系統(tǒng),提高應(yīng)急響應(yīng)效率。根據(jù)有關(guān)部門的需求,做好重大活動和特殊時期對其他行業(yè)重要信息系統(tǒng)、政府網(wǎng)站和重點新聞網(wǎng)站等的網(wǎng)絡(luò)安全支援保障。
3、維護公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境。
認真落實工業(yè)和信息化部《木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機制》、《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機制》,建立健全釣魚網(wǎng)站監(jiān)測與處置機制。在與用戶簽訂的業(yè)務(wù)服務(wù)合同中明確用戶維護網(wǎng)絡(luò)安全環(huán)境的責(zé)任和義務(wù)。加強木馬病毒樣本庫、移動惡意程序樣本庫、漏洞庫、惡意網(wǎng)址庫等建設(shè),促進行業(yè)內(nèi)網(wǎng)絡(luò)安全威脅信息共享。加強對黑客地下產(chǎn)業(yè)利益鏈條的深入分析和源頭治理,積極配合相關(guān)執(zhí)法部門打擊網(wǎng)絡(luò)違法犯罪。基礎(chǔ)電信企業(yè)在業(yè)務(wù)推廣和用戶辦理業(yè)務(wù)時,要加強對用戶網(wǎng)絡(luò)安全知識和技能的宣傳輔導(dǎo),積極拓展面向用戶的網(wǎng)絡(luò)安全增值服務(wù)。
4、推進安全可控關(guān)鍵軟硬件應(yīng)用。
推動建立國家網(wǎng)絡(luò)安全審查制度,落實電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全審查工作要求。根據(jù)《通信工程建設(shè)項目招標投標管理辦法》(工業(yè)和信息化部令第27號)的有關(guān)要求,在關(guān)鍵軟硬件采購招標時統(tǒng)籌考慮網(wǎng)絡(luò)安全需要,在招標文件中明確對關(guān)鍵軟硬件的網(wǎng)絡(luò)安全要求。加強關(guān)鍵軟硬件采購前的網(wǎng)絡(luò)安全檢測評估,通過合同明確供應(yīng)商的網(wǎng)絡(luò)安全責(zé)任和義務(wù),要求供應(yīng)商簽署網(wǎng)絡(luò)安全承諾書。加大重要業(yè)務(wù)應(yīng)用系統(tǒng)的自主研發(fā)力度,開展業(yè)務(wù)應(yīng)用程序源代碼安全檢測。
5、強化網(wǎng)絡(luò)數(shù)據(jù)和用戶個人信息保護。
認真落實《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》(工業(yè)和信息化部令第24號),嚴格規(guī)范用戶個人信息的收集、存儲、使用和銷毀等行為,落實各個環(huán)節(jié)的安全責(zé)任,完善相關(guān)管理制度和技術(shù)手段。落實數(shù)據(jù)安全和用戶個人信息安全防護標準要求,完善網(wǎng)絡(luò)數(shù)據(jù)和用戶信息的防竊密、防篡改和數(shù)據(jù)備份等安全防護措施。強化對內(nèi)部人員、合作伙伴的授權(quán)管理和審計,加大違規(guī)行為懲罰力度。發(fā)生大規(guī)模用戶個人信息泄露事件后要立即向通信主管部門報告,并及時采取有效補救措施。
6、加強移動應(yīng)用商店和應(yīng)用程序安全管理。
加強移動應(yīng)用商店、移動應(yīng)用程序的安全管理,督促應(yīng)用商店建立健全移動應(yīng)用程序開發(fā)者真實身份信息驗證、應(yīng)用程序安全檢測、惡意程序下架、惡意程序黑名單、用戶監(jiān)督舉報等制度。建立健全移動應(yīng)用程序第三方安全檢測機制。推動建立移動應(yīng)用程序開發(fā)者第三方數(shù)字證書簽名和應(yīng)用商店、智能終端的簽名驗證和用戶提示機制。完善移動惡意程序舉報受理和黑名單共享機制。加強社會宣傳,引導(dǎo)用戶從正規(guī)應(yīng)用商店下載安裝移動應(yīng)用程序、安裝終端安全防護軟件。
7、加強新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò)安全管理。
加強對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò)安全問題的跟蹤研究,對涉及提供公共電信和互聯(lián)網(wǎng)服務(wù)的基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)要納入通信網(wǎng)絡(luò)安全防護管理體系,加快推進相關(guān)網(wǎng)絡(luò)安全防護標準研制,完善和落實相應(yīng)的網(wǎng)絡(luò)安全防護措施。積極開展新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò)安全防護技術(shù)的試點示范。加強新業(yè)務(wù)網(wǎng)絡(luò)安全風(fēng)險評估和網(wǎng)絡(luò)安全防護檢查。
8、強化網(wǎng)絡(luò)安全技術(shù)能力和手段建設(shè)。
深入開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警、漏洞挖掘、惡意代碼分析、檢測評估和溯源取證技術(shù)研究,加強高級可持續(xù)攻擊應(yīng)對技術(shù)研究。建立和完善入侵檢測與防御、防病毒、防拒絕服務(wù)攻擊、異常流量監(jiān)測、網(wǎng)頁防篡改、域名安全、漏洞掃描、集中賬號管理、數(shù)據(jù)加密、安全審計等網(wǎng)絡(luò)安全防護技術(shù)手段。健全基于網(wǎng)絡(luò)側(cè)的木馬病毒、移動惡意程序等監(jiān)測與處置手段。積極研究利用云計算、大數(shù)據(jù)等新技術(shù)提高網(wǎng)絡(luò)安全監(jiān)測預(yù)警能力。促進企業(yè)技術(shù)手段與通信主管部門技術(shù)手段對接,制定接口標準規(guī)范,實現(xiàn)監(jiān)測數(shù)據(jù)共享。加強與網(wǎng)絡(luò)安全服務(wù)企業(yè)的合作,防范服務(wù)過程中的風(fēng)險,在依托安全服務(wù)單位開展網(wǎng)絡(luò)安全集成建設(shè)和風(fēng)險評估等工作時,應(yīng)當選用通過有關(guān)行業(yè)組織網(wǎng)絡(luò)安全服務(wù)能力評定的單位。
京公網(wǎng)安備 11010502049343號