在国内信息安全方面,重要信息系统和重要基础设施(广电、电信)也面临着现实的威胁。近日,网络安全成了广电和电信人聚焦的热点话题。从总局猛推TVOS到工信部下发通知安全通知……
一、广电安全,从总局做起!
广电融合必须先解决网络信息安全问题,主要包括:在应用方面,新应用模式(如双向互动电视)存在潜在风险;在网络方面,网络延伸带来便利的同时,增加安全风险;在终端方面,机顶盒成为最佳的攻击目标之一;在技术方面,互联网积累的攻击技术,有了新的用武之地。
据悉,总局牵头研发TVOS就是为电视安全而生的,“安全可控”是TVOS的基本要求,相关安全需求包括TVOS安全需构建完善的技术体系和架构;TVOS应需采用先进的技术、实施多样的安全手段、具备全方位的安全防护能力。
据国家新闻出版广电总局广科院总工程师盛志凡介绍,TVOS采用多种安全技术手段,融入操作系统内核层、组件层、执行环境层、应用框架层,形成了相互支撑、协同联动的层次化安全体系,从而具有硬件安全、软件安全、网络安全、数据安全、应用安全等全方位安全防护能力。基础安全手段包括基于安全芯片的信任链机制;安全启动,防刷机;应用软件下载安装安全校验;应用管理,阻断违规应用安全漏洞主动检测,防患于未然。
除了TVOS之外,总局之前推出的可下载条件接收系统DCAS也已经建立了完备的产业链,具有海思、Broadcom、MStar、ST、Entropic、Realtek、数字太和、湖南国科、杭州国芯等众多芯片厂商推出了30余款DCAS芯片,可用于高中低端各类机顶盒、一体机终端产品;创维、同洲、长虹、九洲、ARRIS等多家终端厂商推出了DCAS机顶盒产品;同洲、数码视讯、NDS、茁壮等4家厂商推出了支持DCAS的中间件产品;永新视博、数码视讯、NDS、Nagra、数字太和、山东泰信等8家条件接收厂商推出了DCAS系统,支持升级与同密部署方式,可满足运营商不同的应用部署要求。
国家新闻出版广电总局广播科学研究院电视所王强博士指出,DCAS将有力支撑TVOS安全。TVOS采用DCAS有很多优势,比如能够快速成形安全能力,可借助DCAS安全芯片具有产业化基础,目前海思、MStar、Broadcom、ST、Realtek、Entropic、数字太和、湖南国科、杭州国芯等知名芯片厂商都支持DCAS,可直接利用DCAS密钥管理平台及芯片序列化基础设施。
东方有线表示将引入DRM技术、结合总局DCAS技术打造更为安全的NGBTVOS智能电视机顶盒终端。主要措施是将芯片级的DRM技术“引入”到OCNTVOS中,实现在内容、分发、播控等的各个方面的安全保障;结合总局DCAS技术,在TVOS内实现更高层次的视频安全管控。NGB智能电视机顶盒安全工作计划分为三个阶段,目前已进行到了第三个阶段即结合TVOS核高基项目、DRM、DCAS等技术研究持续推动智能数字机顶盒的安全研发工作,形成东方有线自主的智能终端安全技术规范及测试规范,推进安全应用和终端部署。
二、广电专网安全如何防护
针对当前广电网络所面临的信息安全风险问题,中电长城网际系统应用有限公司刘恒认为,在播出安全方面,从生产系统、内容编排、内容分发、运营支持、前端系统、机顶盒每个层面均存在安全风险。据统计,主要的信息安全问题是:一把手重视不够;个人安全意识薄弱;缺乏有效的战略;技术手段落后;管理措施不到位;安全能力薄弱。
茁壮网络总裁徐佳宏认为,安全问题与商业利益息息相关,最大的问题是没有“IP身份证”。苹果、安卓等终端都出现过重大的安全问题,当程序非常复杂时,就很难进行程序与数据的监测。另外,网络信息安全还需要法律的保护。此外,安全手段也很重要。
佳视互动总经理洪钧则认为,单向系统安全是广电目前面临的一大挑战,其实没有任何一个系统的安全是做出来的,而是“打”出来的。广电是一个专网,但不代表绝对安全,互联网不是专网,但不代表绝对安全。
所以,在广电做出对策之前,要明确“你想保护什么?存在什么风险?如何转移风险?会不会有新风险?如何保持平衡?”等问题。然后从解构、安全意识、文化、政策等方面加以规划、管理和建设,融合国家专控队伍和产业能力,培养广电网络信息安全的能力。
注:广电网络信息安全讨论的观点均来自8月27日由DVBCN&AsiaOTT承办的2014中国智能电视信息安全与应用发展峰会!
三、无独有偶,工信部加强电信与互联网安全管控
昨日,工信部向中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,国家计算机网络应急技术处理协调中心,工业和信息化部电信研究院、通信行业职业技能鉴定指导中心,中国通信企业协会、中国互联网协会以及各互联网域名注册管理机构等发出“关于加强电信和互联网行业网络安全工作的指导意见”的通知。
工信部对以上单位提出了8大工作重点:
1、各单位要深化网络基础设施和业务系统安全防护。
认真落实《通信网络安全防护管理办法》(工业和信息化部令第11号)和通信网络安全防护系列标准,做好定级备案,严格落实防护措施,定期开展符合性评测和风险评估,及时消除安全隐患。加强网络和信息资产管理,全面梳理关键设备列表,明确每个网络、系统和关键设备的网络安全责任部门和责任人。合理划分网络和系统的安全域,理清网络边界,加强边界防护。加强网站安全防护和企业办公、维护终端的安全管理。完善域名系统安全防护措施,优化系统架构,增强带宽保障。加强公共递归域名解析系统的域名数据应急备份。加强网络和系统上线前的风险评估。加强软硬件版本管理和补丁管理,强化漏洞信息的跟踪、验证和风险研判及通报,及时采取有效补救措施。
2、提升突发网络安全事件应急响应能力。
认真落实工业和信息化部《公共互联网网络安全应急预案》,制定和完善本单位网络安全应急预案。健全大规模拒绝服务攻击、重要域名系统故障、大规模用户信息泄露等突发网络安全事件的应急协同配合机制。加强应急预案演练,定期评估和修订应急预案,确保应急预案的科学性、实用性、可操作性。提高突发网络安全事件监测预警能力,加强预警信息发布和预警处置,对可能造成全局性影响的要及时报通信主管部门。严格落实突发网络安全事件报告制度。建设网络安全应急指挥调度系统,提高应急响应效率。根据有关部门的需求,做好重大活动和特殊时期对其他行业重要信息系统、政府网站和重点新闻网站等的网络安全支援保障。
3、维护公共互联网网络安全环境。
认真落实工业和信息化部《木马和僵尸网络监测与处置机制》、《移动互联网恶意程序监测与处置机制》,建立健全钓鱼网站监测与处置机制。在与用户签订的业务服务合同中明确用户维护网络安全环境的责任和义务。加强木马病毒样本库、移动恶意程序样本库、漏洞库、恶意网址库等建设,促进行业内网络安全威胁信息共享。加强对黑客地下产业利益链条的深入分析和源头治理,积极配合相关执法部门打击网络违法犯罪。基础电信企业在业务推广和用户办理业务时,要加强对用户网络安全知识和技能的宣传辅导,积极拓展面向用户的网络安全增值服务。
4、推进安全可控关键软硬件应用。
推动建立国家网络安全审查制度,落实电信和互联网行业网络安全审查工作要求。根据《通信工程建设项目招标投标管理办法》(工业和信息化部令第27号)的有关要求,在关键软硬件采购招标时统筹考虑网络安全需要,在招标文件中明确对关键软硬件的网络安全要求。加强关键软硬件采购前的网络安全检测评估,通过合同明确供应商的网络安全责任和义务,要求供应商签署网络安全承诺书。加大重要业务应用系统的自主研发力度,开展业务应用程序源代码安全检测。
5、强化网络数据和用户个人信息保护。
认真落实《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号),严格规范用户个人信息的收集、存储、使用和销毁等行为,落实各个环节的安全责任,完善相关管理制度和技术手段。落实数据安全和用户个人信息安全防护标准要求,完善网络数据和用户信息的防窃密、防篡改和数据备份等安全防护措施。强化对内部人员、合作伙伴的授权管理和审计,加大违规行为惩罚力度。发生大规模用户个人信息泄露事件后要立即向通信主管部门报告,并及时采取有效补救措施。
6、加强移动应用商店和应用程序安全管理。
加强移动应用商店、移动应用程序的安全管理,督促应用商店建立健全移动应用程序开发者真实身份信息验证、应用程序安全检测、恶意程序下架、恶意程序黑名单、用户监督举报等制度。建立健全移动应用程序第三方安全检测机制。推动建立移动应用程序开发者第三方数字证书签名和应用商店、智能终端的签名验证和用户提示机制。完善移动恶意程序举报受理和黑名单共享机制。加强社会宣传,引导用户从正规应用商店下载安装移动应用程序、安装终端安全防护软件。
7、加强新技术新业务网络安全管理。
加强对云计算、大数据、物联网、移动互联网、下一代互联网等新技术新业务网络安全问题的跟踪研究,对涉及提供公共电信和互联网服务的基础设施和业务系统要纳入通信网络安全防护管理体系,加快推进相关网络安全防护标准研制,完善和落实相应的网络安全防护措施。积极开展新技术新业务网络安全防护技术的试点示范。加强新业务网络安全风险评估和网络安全防护检查。
8、强化网络安全技术能力和手段建设。
深入开展网络安全监测预警、漏洞挖掘、恶意代码分析、检测评估和溯源取证技术研究,加强高级可持续攻击应对技术研究。建立和完善入侵检测与防御、防病毒、防拒绝服务攻击、异常流量监测、网页防篡改、域名安全、漏洞扫描、集中账号管理、数据加密、安全审计等网络安全防护技术手段。健全基于网络侧的木马病毒、移动恶意程序等监测与处置手段。积极研究利用云计算、大数据等新技术提高网络安全监测预警能力。促进企业技术手段与通信主管部门技术手段对接,制定接口标准规范,实现监测数据共享。加强与网络安全服务企业的合作,防范服务过程中的风险,在依托安全服务单位开展网络安全集成建设和风险评估等工作时,应当选用通过有关行业组织网络安全服务能力评定的单位。