1、浅谈播控系统安全管理播控系统安全不是单纯的技术问题, 在提高技术系统安全性和高可用性的同时,还必须做好安全管理工作。安全管理的目标是根据网络化给电视节目制作播出流程及运维方式带来的影响,建设播控系统的安全管理运维组织,完善播控系统的安全管理规章制度,保证节目的安全播出。 一、播控系统安全管理的内容和构成要素 制定信息安全工作的总体方针和安全策略,说明安全工作的总体目标、范围、原则和安全框架等;成立指导和管理信息安全工作的领导小组,设立信息安全管理工作的职能部门;制定各项信息安全制度和操作流程明确信息安全管理各项要求,形成由安全方针、管理制度、细化流程等构成的全面的信息安全管理制度体系。 安全管
2、理策略是信息安全管理工作的重要基础和依据,由各种层次的体系文件构成,一般来说包括: 1.一级文件:信息安全总方针、主策略(战略性)相当于信息安全策略体系中的业务模型,是信息安全各领域的总体策略。 2.二级文件:信息安全规范、程序(战役性)相当于信息安全策略体系文件中的概念模型,是信息安全各领域的具体要求。 3.三级文件:信息安全手册、细则(战术性)相当于信息安全策略体系中的逻辑模型和物理模型,是信息安全各领域的详细工作方法。4.四级文件:信息安全记录、表单记录信息安全策略体系中信息安全政策、标准、规程的实际执行结果。安全策略的制定和实施是一个管理过程,通常地,戴明环(PDCA 循环)是进行安全
3、管理体系实施的一个有效方法。 二、创造良好的设备运行环境 环境安全管理及对策播控系统的环境安全管理主要包括机房的温度、湿度等环境参数控制管理、用电安全管理和安保消防监控管理等方面。提高环境安全管理的主要措施包括: 1.播控机房的环境控制管理在重点区域所辖技术机房采取有效的降温除湿措施,并配备温度和湿度的检测装置。同时,建立相应的巡检制度,对机房温度和湿度进行定期检测。 2.播控机房的用电安全管理机房采用双路供电,其中至少有一路是UPS 电源,未经 UPS 的设备供电电源应具备稳压措施,确保不因电压波动对设备造成影响。在关键设备选型时,尽可能选用双电源设备,并分接两路不同路由的设备电源,避免因电
4、源问题形成系统的单点故障。在配电设计时应留有余量,保证三相负载均衡。同时,通过实时监控软件或建立巡检制度,加强对电源使用状况的监控,确保机房用电安全。 3.播控机房安保管理指定部门负责机房安全,对机房的出入、服务器的开机或关机等工作进行管理。应建立机房安全管理制度,规范机房物理访问、机房环境安全、工作人员行为等。系统建设安全管理及对策播控系统的建设安全管理主要包括系统建设安全方案管理,产品采购和使用的安全管理,自行开发软件的安全管理,外包软件开发的安全管理,工程实施过程的安全管理,系统交付和验收安全管理,系统资料备案管理和安全等级测评等方面。 三、提高系统建设安全管理的主要措施 1.系统建设安
5、全方案管理。播控系统按照国家和行业标准、规范合理确定信息系统的边界和安全保护等级,并根据要求进行信息系统定级评审、审批、报备工作。 2.产品采购和使用安全管理。确保安全产品采购和使用符合国家的有关规定,确保密码产品采购和使用符合国家密码主管部门的要求,采购前对产品进行选型测试,确定其适用性后采购。 3.自行开发软件安全管理。确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果应受到控制。制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。制定代码编写安全规范,要求开发人员参照规范编写代码,并审查软件中可能存在的后门漏洞等。确保提供软件设计的相关文档和使用指
6、南,并由专人负责保管。确保对程序资源库的修改、更新、发布进行授权和批准。 4.外包软件开发安全管理根据开发需求检测外包软件的质量,在安装外包软件之前检测软件包中可能存在的恶意代码,要求开发单位提供软件设计的相关文档和使用指南,要求开发单位提供软件源代码,并审查软件中可能存在的后门漏洞等。 5.工程实施过程的安全管理指定或授权专门的部门或人员负责工程实施过程的管理,制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程。制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。 6.系统交付和验收安全管理系统交付时应制定详细的交付清单,并根据交付清单对所交接的
7、设备、软件和文档等进行清点。对负责系统运行维护的技术人员进行相应的技能培训,提供系统建设过程中的文档和指导用户进行系统运行维护的文档。委托具有资质的第三方对系统进行信息安全测试,并出具报告。 7.系统资料备案管理和安全等级测评系统建设完成后应指定专门的部门或人员负责管理系统定级的相关材料,并控制这些材料的使用。将系统等级及相关材料报系统主管部门备案,同时将系统等级及其他要求的备案材料报相应公安机关备案。在系统运行过程中,按照国家和行业标准、规范要求对系统进行等级测评,发现不符合相应等级保护标准要求的及时整改。在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,
8、发现不符合相应等级保护标准要求的及时整改。选择国家和行业认可的信息安全资质单位进行等级测评。 8.安全服务商选择确保安全服务商的选择符合国家和行业的有关规定。与选定的安全服务商签订与安全相关协议,明确约定相关责任。确保选定的安全服务商提供技术培训和服务承诺,必要时签订服务合同。 当然,电视节目播出设备属于易损易磨的高科技的机电一体化设备,日常必须做好播出系统设备的日常保养和维护工作,竭尽全力地保证机体的健康运行,充分做好维护以便其安全高效地运转,从而为实现安全优质播出奠定物质基础。同时安全播出与技术维护工作在新时期中新特点,这就需要从业人员加强学习,这样才能满足日益发展的广播电视事业的需要。 (编辑/刘佳)
