在國(guó)內(nèi)信息安全方面,重要信息系統(tǒng)和重要基礎(chǔ)設(shè)施(廣電、電信)也面臨著現(xiàn)實(shí)的威脅。近日,網(wǎng)絡(luò)安全成了廣電和電信人聚焦的熱點(diǎn)話題。從總局猛推TVOS到工信部下發(fā)通知安全通知……
一、廣電安全,從總局做起!
廣電融合必須先解決網(wǎng)絡(luò)信息安全問(wèn)題,主要包括:在應(yīng)用方面,新應(yīng)用模式(如雙向互動(dòng)電視)存在潛在風(fēng)險(xiǎn);在網(wǎng)絡(luò)方面,網(wǎng)絡(luò)延伸帶來(lái)便利的同時(shí),增加安全風(fēng)險(xiǎn);在終端方面,機(jī)頂盒成為最佳的攻擊目標(biāo)之一;在技術(shù)方面,互聯(lián)網(wǎng)積累的攻擊技術(shù),有了新的用武之地。
據(jù)悉,總局牽頭研發(fā)TVOS就是為電視安全而生的,“安全可控”是TVOS的基本要求,相關(guān)安全需求包括TVOS安全需構(gòu)建完善的技術(shù)體系和架構(gòu);TVOS應(yīng)需采用先進(jìn)的技術(shù)、實(shí)施多樣的安全手段、具備全方位的安全防護(hù)能力。
據(jù)國(guó)家新聞出版廣電總局廣科院總工程師盛志凡介紹,TVOS采用多種安全技術(shù)手段,融入操作系統(tǒng)內(nèi)核層、組件層、執(zhí)行環(huán)境層、應(yīng)用框架層,形成了相互支撐、協(xié)同聯(lián)動(dòng)的層次化安全體系,從而具有硬件安全、軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全等全方位安全防護(hù)能力?;A(chǔ)安全手段包括基于安全芯片的信任鏈機(jī)制;安全啟動(dòng),防刷機(jī);應(yīng)用軟件下載安裝安全校驗(yàn);應(yīng)用管理,阻斷違規(guī)應(yīng)用安全漏洞主動(dòng)檢測(cè),防患于未然。
除了TVOS之外,總局之前推出的可下載條件接收系統(tǒng)DCAS也已經(jīng)建立了完備的產(chǎn)業(yè)鏈,具有海思、Broadcom、MStar、ST、Entropic、Realtek、數(shù)字太和、湖南國(guó)科、杭州國(guó)芯等眾多芯片廠商推出了30余款DCAS芯片,可用于高中低端各類機(jī)頂盒、一體機(jī)終端產(chǎn)品;創(chuàng)維、同洲、長(zhǎng)虹、九洲、ARRIS等多家終端廠商推出了DCAS機(jī)頂盒產(chǎn)品;同洲、數(shù)碼視訊、NDS、茁壯等4家廠商推出了支持DCAS的中間件產(chǎn)品;永新視博、數(shù)碼視訊、NDS、Nagra、數(shù)字太和、山東泰信等8家條件接收廠商推出了DCAS系統(tǒng),支持升級(jí)與同密部署方式,可滿足運(yùn)營(yíng)商不同的應(yīng)用部署要求。
國(guó)家新聞出版廣電總局廣播科學(xué)研究院電視所王強(qiáng)博士指出,DCAS將有力支撐TVOS安全。TVOS采用DCAS有很多優(yōu)勢(shì),比如能夠快速成形安全能力,可借助DCAS安全芯片具有產(chǎn)業(yè)化基礎(chǔ),目前海思、MStar、Broadcom、ST、Realtek、Entropic、數(shù)字太和、湖南國(guó)科、杭州國(guó)芯等知名芯片廠商都支持DCAS,可直接利用DCAS密鑰管理平臺(tái)及芯片序列化基礎(chǔ)設(shè)施。
東方有線表示將引入DRM技術(shù)、結(jié)合總局DCAS技術(shù)打造更為安全的NGBTVOS智能電視機(jī)頂盒終端。主要措施是將芯片級(jí)的DRM技術(shù)“引入”到OCNTVOS中,實(shí)現(xiàn)在內(nèi)容、分發(fā)、播控等的各個(gè)方面的安全保障;結(jié)合總局DCAS技術(shù),在TVOS內(nèi)實(shí)現(xiàn)更高層次的視頻安全管控。NGB智能電視機(jī)頂盒安全工作計(jì)劃分為三個(gè)階段,目前已進(jìn)行到了第三個(gè)階段即結(jié)合TVOS核高基項(xiàng)目、DRM、DCAS等技術(shù)研究持續(xù)推動(dòng)智能數(shù)字機(jī)頂盒的安全研發(fā)工作,形成東方有線自主的智能終端安全技術(shù)規(guī)范及測(cè)試規(guī)范,推進(jìn)安全應(yīng)用和終端部署。
二、廣電專網(wǎng)安全如何防護(hù)
針對(duì)當(dāng)前廣電網(wǎng)絡(luò)所面臨的信息安全風(fēng)險(xiǎn)問(wèn)題,中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司劉恒認(rèn)為,在播出安全方面,從生產(chǎn)系統(tǒng)、內(nèi)容編排、內(nèi)容分發(fā)、運(yùn)營(yíng)支持、前端系統(tǒng)、機(jī)頂盒每個(gè)層面均存在安全風(fēng)險(xiǎn)。據(jù)統(tǒng)計(jì),主要的信息安全問(wèn)題是:一把手重視不夠;個(gè)人安全意識(shí)薄弱;缺乏有效的戰(zhàn)略;技術(shù)手段落后;管理措施不到位;安全能力薄弱。
茁壯網(wǎng)絡(luò)總裁徐佳宏認(rèn)為,安全問(wèn)題與商業(yè)利益息息相關(guān),最大的問(wèn)題是沒有“IP身份證”。蘋果、安卓等終端都出現(xiàn)過(guò)重大的安全問(wèn)題,當(dāng)程序非常復(fù)雜時(shí),就很難進(jìn)行程序與數(shù)據(jù)的監(jiān)測(cè)。另外,網(wǎng)絡(luò)信息安全還需要法律的保護(hù)。此外,安全手段也很重要。
佳視互動(dòng)總經(jīng)理洪鈞則認(rèn)為,單向系統(tǒng)安全是廣電目前面臨的一大挑戰(zhàn),其實(shí)沒有任何一個(gè)系統(tǒng)的安全是做出來(lái)的,而是“打”出來(lái)的。廣電是一個(gè)專網(wǎng),但不代表絕對(duì)安全,互聯(lián)網(wǎng)不是專網(wǎng),但不代表絕對(duì)安全。
所以,在廣電做出對(duì)策之前,要明確“你想保護(hù)什么?存在什么風(fēng)險(xiǎn)?如何轉(zhuǎn)移風(fēng)險(xiǎn)?會(huì)不會(huì)有新風(fēng)險(xiǎn)?如何保持平衡?”等問(wèn)題。然后從解構(gòu)、安全意識(shí)、文化、政策等方面加以規(guī)劃、管理和建設(shè),融合國(guó)家??仃?duì)伍和產(chǎn)業(yè)能力,培養(yǎng)廣電網(wǎng)絡(luò)信息安全的能力。
注:廣電網(wǎng)絡(luò)信息安全討論的觀點(diǎn)均來(lái)自8月27日由DVBCN&AsiaOTT承辦的2014中國(guó)智能電視信息安全與應(yīng)用發(fā)展峰會(huì)!
三、無(wú)獨(dú)有偶,工信部加強(qiáng)電信與互聯(lián)網(wǎng)安全管控
昨日,工信部向中國(guó)電信集團(tuán)公司、中國(guó)移動(dòng)通信集團(tuán)公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司,國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心,工業(yè)和信息化部電信研究院、通信行業(yè)職業(yè)技能鑒定指導(dǎo)中心,中國(guó)通信企業(yè)協(xié)會(huì)、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)以及各互聯(lián)網(wǎng)域名注冊(cè)管理機(jī)構(gòu)等發(fā)出“關(guān)于加強(qiáng)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見”的通知。
工信部對(duì)以上單位提出了8大工作重點(diǎn):
1、各單位要深化網(wǎng)絡(luò)基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)安全防護(hù)。
認(rèn)真落實(shí)《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》(工業(yè)和信息化部令第11號(hào))和通信網(wǎng)絡(luò)安全防護(hù)系列標(biāo)準(zhǔn),做好定級(jí)備案,嚴(yán)格落實(shí)防護(hù)措施,定期開展符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估,及時(shí)消除安全隱患。加強(qiáng)網(wǎng)絡(luò)和信息資產(chǎn)管理,全面梳理關(guān)鍵設(shè)備列表,明確每個(gè)網(wǎng)絡(luò)、系統(tǒng)和關(guān)鍵設(shè)備的網(wǎng)絡(luò)安全責(zé)任部門和責(zé)任人。合理劃分網(wǎng)絡(luò)和系統(tǒng)的安全域,理清網(wǎng)絡(luò)邊界,加強(qiáng)邊界防護(hù)。加強(qiáng)網(wǎng)站安全防護(hù)和企業(yè)辦公、維護(hù)終端的安全管理。完善域名系統(tǒng)安全防護(hù)措施,優(yōu)化系統(tǒng)架構(gòu),增強(qiáng)帶寬保障。加強(qiáng)公共遞歸域名解析系統(tǒng)的域名數(shù)據(jù)應(yīng)急備份。加強(qiáng)網(wǎng)絡(luò)和系統(tǒng)上線前的風(fēng)險(xiǎn)評(píng)估。加強(qiáng)軟硬件版本管理和補(bǔ)丁管理,強(qiáng)化漏洞信息的跟蹤、驗(yàn)證和風(fēng)險(xiǎn)研判及通報(bào),及時(shí)采取有效補(bǔ)救措施。
2、提升突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力。
認(rèn)真落實(shí)工業(yè)和信息化部《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》,制定和完善本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案。健全大規(guī)模拒絕服務(wù)攻擊、重要域名系統(tǒng)故障、大規(guī)模用戶信息泄露等突發(fā)網(wǎng)絡(luò)安全事件的應(yīng)急協(xié)同配合機(jī)制。加強(qiáng)應(yīng)急預(yù)案演練,定期評(píng)估和修訂應(yīng)急預(yù)案,確保應(yīng)急預(yù)案的科學(xué)性、實(shí)用性、可操作性。提高突發(fā)網(wǎng)絡(luò)安全事件監(jiān)測(cè)預(yù)警能力,加強(qiáng)預(yù)警信息發(fā)布和預(yù)警處置,對(duì)可能造成全局性影響的要及時(shí)報(bào)通信主管部門。嚴(yán)格落實(shí)突發(fā)網(wǎng)絡(luò)安全事件報(bào)告制度。建設(shè)網(wǎng)絡(luò)安全應(yīng)急指揮調(diào)度系統(tǒng),提高應(yīng)急響應(yīng)效率。根據(jù)有關(guān)部門的需求,做好重大活動(dòng)和特殊時(shí)期對(duì)其他行業(yè)重要信息系統(tǒng)、政府網(wǎng)站和重點(diǎn)新聞網(wǎng)站等的網(wǎng)絡(luò)安全支援保障。
3、維護(hù)公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境。
認(rèn)真落實(shí)工業(yè)和信息化部《木馬和僵尸網(wǎng)絡(luò)監(jiān)測(cè)與處置機(jī)制》、《移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)與處置機(jī)制》,建立健全釣魚網(wǎng)站監(jiān)測(cè)與處置機(jī)制。在與用戶簽訂的業(yè)務(wù)服務(wù)合同中明確用戶維護(hù)網(wǎng)絡(luò)安全環(huán)境的責(zé)任和義務(wù)。加強(qiáng)木馬病毒樣本庫(kù)、移動(dòng)惡意程序樣本庫(kù)、漏洞庫(kù)、惡意網(wǎng)址庫(kù)等建設(shè),促進(jìn)行業(yè)內(nèi)網(wǎng)絡(luò)安全威脅信息共享。加強(qiáng)對(duì)黑客地下產(chǎn)業(yè)利益鏈條的深入分析和源頭治理,積極配合相關(guān)執(zhí)法部門打擊網(wǎng)絡(luò)違法犯罪?;A(chǔ)電信企業(yè)在業(yè)務(wù)推廣和用戶辦理業(yè)務(wù)時(shí),要加強(qiáng)對(duì)用戶網(wǎng)絡(luò)安全知識(shí)和技能的宣傳輔導(dǎo),積極拓展面向用戶的網(wǎng)絡(luò)安全增值服務(wù)。
4、推進(jìn)安全可控關(guān)鍵軟硬件應(yīng)用。
推動(dòng)建立國(guó)家網(wǎng)絡(luò)安全審查制度,落實(shí)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全審查工作要求。根據(jù)《通信工程建設(shè)項(xiàng)目招標(biāo)投標(biāo)管理辦法》(工業(yè)和信息化部令第27號(hào))的有關(guān)要求,在關(guān)鍵軟硬件采購(gòu)招標(biāo)時(shí)統(tǒng)籌考慮網(wǎng)絡(luò)安全需要,在招標(biāo)文件中明確對(duì)關(guān)鍵軟硬件的網(wǎng)絡(luò)安全要求。加強(qiáng)關(guān)鍵軟硬件采購(gòu)前的網(wǎng)絡(luò)安全檢測(cè)評(píng)估,通過(guò)合同明確供應(yīng)商的網(wǎng)絡(luò)安全責(zé)任和義務(wù),要求供應(yīng)商簽署網(wǎng)絡(luò)安全承諾書。加大重要業(yè)務(wù)應(yīng)用系統(tǒng)的自主研發(fā)力度,開展業(yè)務(wù)應(yīng)用程序源代碼安全檢測(cè)。
5、強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)和用戶個(gè)人信息保護(hù)。
認(rèn)真落實(shí)《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》(工業(yè)和信息化部令第24號(hào)),嚴(yán)格規(guī)范用戶個(gè)人信息的收集、存儲(chǔ)、使用和銷毀等行為,落實(shí)各個(gè)環(huán)節(jié)的安全責(zé)任,完善相關(guān)管理制度和技術(shù)手段。落實(shí)數(shù)據(jù)安全和用戶個(gè)人信息安全防護(hù)標(biāo)準(zhǔn)要求,完善網(wǎng)絡(luò)數(shù)據(jù)和用戶信息的防竊密、防篡改和數(shù)據(jù)備份等安全防護(hù)措施。強(qiáng)化對(duì)內(nèi)部人員、合作伙伴的授權(quán)管理和審計(jì),加大違規(guī)行為懲罰力度。發(fā)生大規(guī)模用戶個(gè)人信息泄露事件后要立即向通信主管部門報(bào)告,并及時(shí)采取有效補(bǔ)救措施。
6、加強(qiáng)移動(dòng)應(yīng)用商店和應(yīng)用程序安全管理。
加強(qiáng)移動(dòng)應(yīng)用商店、移動(dòng)應(yīng)用程序的安全管理,督促應(yīng)用商店建立健全移動(dòng)應(yīng)用程序開發(fā)者真實(shí)身份信息驗(yàn)證、應(yīng)用程序安全檢測(cè)、惡意程序下架、惡意程序黑名單、用戶監(jiān)督舉報(bào)等制度。建立健全移動(dòng)應(yīng)用程序第三方安全檢測(cè)機(jī)制。推動(dòng)建立移動(dòng)應(yīng)用程序開發(fā)者第三方數(shù)字證書簽名和應(yīng)用商店、智能終端的簽名驗(yàn)證和用戶提示機(jī)制。完善移動(dòng)惡意程序舉報(bào)受理和黑名單共享機(jī)制。加強(qiáng)社會(huì)宣傳,引導(dǎo)用戶從正規(guī)應(yīng)用商店下載安裝移動(dòng)應(yīng)用程序、安裝終端安全防護(hù)軟件。
7、加強(qiáng)新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò)安全管理。
加強(qiáng)對(duì)云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò)安全問(wèn)題的跟蹤研究,對(duì)涉及提供公共電信和互聯(lián)網(wǎng)服務(wù)的基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)要納入通信網(wǎng)絡(luò)安全防護(hù)管理體系,加快推進(jìn)相關(guān)網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)研制,完善和落實(shí)相應(yīng)的網(wǎng)絡(luò)安全防護(hù)措施。積極開展新技術(shù)新業(yè)務(wù)網(wǎng)絡(luò)安全防護(hù)技術(shù)的試點(diǎn)示范。加強(qiáng)新業(yè)務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和網(wǎng)絡(luò)安全防護(hù)檢查。
8、強(qiáng)化網(wǎng)絡(luò)安全技術(shù)能力和手段建設(shè)。
深入開展網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警、漏洞挖掘、惡意代碼分析、檢測(cè)評(píng)估和溯源取證技術(shù)研究,加強(qiáng)高級(jí)可持續(xù)攻擊應(yīng)對(duì)技術(shù)研究。建立和完善入侵檢測(cè)與防御、防病毒、防拒絕服務(wù)攻擊、異常流量監(jiān)測(cè)、網(wǎng)頁(yè)防篡改、域名安全、漏洞掃描、集中賬號(hào)管理、數(shù)據(jù)加密、安全審計(jì)等網(wǎng)絡(luò)安全防護(hù)技術(shù)手段。健全基于網(wǎng)絡(luò)側(cè)的木馬病毒、移動(dòng)惡意程序等監(jiān)測(cè)與處置手段。積極研究利用云計(jì)算、大數(shù)據(jù)等新技術(shù)提高網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警能力。促進(jìn)企業(yè)技術(shù)手段與通信主管部門技術(shù)手段對(duì)接,制定接口標(biāo)準(zhǔn)規(guī)范,實(shí)現(xiàn)監(jiān)測(cè)數(shù)據(jù)共享。加強(qiáng)與網(wǎng)絡(luò)安全服務(wù)企業(yè)的合作,防范服務(wù)過(guò)程中的風(fēng)險(xiǎn),在依托安全服務(wù)單位開展網(wǎng)絡(luò)安全集成建設(shè)和風(fēng)險(xiǎn)評(píng)估等工作時(shí),應(yīng)當(dāng)選用通過(guò)有關(guān)行業(yè)組織網(wǎng)絡(luò)安全服務(wù)能力評(píng)定的單位。