需要勇气图片:2011CCBN高峰论坛:三网融合下的信息安全与运营
24日下午第四场高峰论坛,论坛嘉宾分别为,广电总局安全调度中心高级工程师关丽霞,中央电视台新台址信息安全建设工程办公室的邓晖,天津电视台网络管理部副主任高虎,北京永新视博设备技术有限公司王飚舵,北京捷成世纪科技股份有限公司网络安全事业部总经理沈传宝,北京网络广播电视台包冉。
以下为论坛实录:
主持人(捷成世纪总经理韩钢):各位网友,大家好!欢迎大家来到CCBN2011高峰论坛,本次高峰论坛是由CCBN2011组委会主办的,这是论坛的第四场,本次论坛的主题是“三网融合下的信息安全与运营”。
首先做一下自我介绍,我是捷成世纪股份有限公司的总经理韩钢,这次论坛由我来给大家做主持。我们今天非常荣幸的邀请到了各个方面的嘉宾和专家,首先给大家介绍一下到场的嘉宾: 广电总局安全调度中心高级工程师关丽霞,中央电视台新台址信息安全建设工程办公室的邓晖,天津电视台网络管理部副主任高虎,北京永新视博设备技术有限公司王飚舵,北京捷成世纪科技股份有限公司网络安全事业部总经理沈传宝,北京网络广播电视台包冉。
我们今天的话题是非常重要的,就是信息安全与运营。昨天晚上8点钟左右我们国家的领导人李长春、刘延东亲自到CCBN场馆来参观,我们也有幸在捷成世纪的展台上与领导进行了交流,其中领导最为关心的问题就是信息安全如何得到保证,电视台、电台在这么一个全数字化、网络化和面向新媒体的过程中所遇到的安全挑战是否能够得到很好的解决,所以我们今天的话题恰恰也印证了领导人所关心的话题,也是我们整个广电行业现在面临的重大的问题和挑战。
首先面对我们的电台和电视台以及我们的有线电视网络公司数字化、网络化的进程如此之快的情况下,我们的这些嘉宾以及我们在电台、电视台工作的领导你们所感受到的来自于信息安全和信息安全运营方面的挑战有哪些。我这里真的想先请中央电视台新台址的领导邓老师,无论对中央电视台现址和新址您考虑的信息安全以及运营的重要性有哪些?
邓晖:因为传统的电视台技术实际跟IT的关系不是很大,但是现在和网络技术结合的越来越紧密,实际上在互联网过程中的安全威胁同样也会融入到我们的生产和编辑的环境里面。老台是一个已有的环境,所以我们在这方面的改动会面临很大的问题,因为不能够影响正常的生产,所以我们只能做一些边边角角的修补。新址实际是一个全新的环境,我们会根据国家的相关要求进行保护、还有国际的一些相应的标准从整体上进行一些规划,尽量使信息安全能达到更高的水平。
主持人:谢谢邓老师!邓老师提到了一个很重要的词,就是在新址我们希望有一个整体的规划和符合国家的一个规范的情况下来推进我们的整个信息安全的建设。跟中央电视台新址一样的是我们去年天津电视台的新大楼也正式的投入了使用,而且目前为止运行的情况非常良好,这里面跟天津电视台整个技术运、维团队也有很大的关系,我们非常想请天津电视台网络管理部的高虎老师,给我们讲讲在天津电视台新大楼信息安全建设的时候我们遇到了哪些问题和挑战?我们是怎么考虑的?
高虎:大家好!天津电视台是从去年开始了整个天津电视台新址大楼工地建设的实施和调试工作,大体上电视台我们整个的生产业务系统涵盖了新闻网、后期网大概有三四百个站点的非线性编辑网络的功能,同时在台里办公站点上也有近千个办公规模,整体来说办公网和生产网都比我们在搬迁之前的台址规模有了很大的扩大。同时台里要求,在我们的生产网和办公网之间有一些业务需要交互,例如在台里的一些存储的素材需要在办公网上进行浏览,还有一些业务包括收录的信息需要在办公网上预约,包括一些新闻文稿的撰写都需要在办公网上参与一些撰写,包括节目制作素材的导入。在生产网和办公网之间交互素材的过程中网络安全是至关重要的,在天津台最初的网络规划里,台领导提出的我们一定从构件全台一张网的架构,但是如何保证在制播安全体系下在安全高管控下实现全台一张网,对于我们来说就是至关重要的课题。基于这个考虑,我们在整个全台网的互联网的编辑体系包括办公网的防护,最重要的是在办公网和生产网素材交互区高安全措施的防护上我们有很多考量,在实际的使用环境中确实安全体系的建立对我们整个生产网的安全和整个生产制播的效率起到了很大的推动作用。在我们整个建设和搬迁过程中,基本上整个体系调试非常顺利,也包括了天津台是非常平稳顺利的实现了搬迁过程。
主持人:至少没有让信息安全给这个事件带来任何的干扰,谢谢高老师的介绍。刚才高老师介绍中其实提到了一个很重要的就是我们的生产网和办公网之间的衔接,这个已经给我们的信息安全带来了挑战,但是不管怎么样无论是办公网还是生产网,其实对电视台来讲还是以内网为主,但是随着三网融合、随着新媒体、随着网络广播电视台的建设,我们可能触角会伸到更远的地方,我们可能面临着内网和外网之间的信息安全交互和播出的安全性,可能面临着更大的挑战。我们这里想请北京电视台网络广播电视台筹备组的包老师,给我们讲讲你们在筹备过程中现在考虑这个问题。
包冉:其实韩总这个问题提的非常好,因为广义的来说,无论是广播电视的内容,还是说电信,还是说互联网,实际运营的本质就是信息,既然运营的本质就是信息,信息安全这个话题是无处不在的。在我们看来大概有三个层次的问题:第一个层次,应该是系统的安全问题,第二个层次是平台的安全问题,第三个层次是业务的安全问题。尤其是您说的一样,我们传统的电视台在传播的广播制式广播的通路转向传统媒体和以互联网为代表的新媒体之间的融合的业态的时候,这时候就产生了系统的分歧与融合、平台的分歧与融合、业务的分歧与融合。
具体而言,在系统级的层面,刚刚几位老师都讨论的非常精准,但是总体来说还是一个专网的问题,当你从一个专网走向公网的时候,这两套系统它的加密体系,它的安全标准,它的方方面面的问题可能都有共性的也有差异化的,这个怎么弥合,我们也在研究,我想全国的同行都在研究这个事情。
第二个平台,过去我们说最重要的是播出平台,当然对网络公司来说是传输平台,现在多了一个平台播控平台,由于有了新媒体集成播控平台,IPTV也好、互联网电视也好、手机电视也好、在线视频也好,传统的网络平台和新平台之间是什么关系,他们的安全对接、安全机制应该怎么设计,用什么样的流程,无论是技术流程、业务流程、商务流程来保证他的安全机制的落实,这都是一些大的课题。
第三个业务问题。其实业务安全来的比前两个还要紧迫,虽然在整个逻辑的拓扑结构里层级未必比前两者高,更细节。现在我们央视也好、天津卫视、北京卫视全国电视台有多少栏目已经引入了微博直播室,就像我们现在新浪的直播间,实际上我们还是在传统的广播制式之下,但是已经跟新媒体进行了末梢的联合,实际这也是具有很多的哪怕是细节,但也很重要的安全问题都考量,所以相对于这三个层次,包括我们在内的很多的友台们都在研究,但是这是一个系统工程,也希望跟大家探讨。
主持人:包老师说的非常好,媒体不仅仅是对外播出了,还有外部的吸纳,这时候信息安全给我们带来的挑战更大了。我们今天非常高兴请到了广电总局信息安全部的关老师,您从整个广电宏观的角度看我们广电网的时候是不是也很担心信息安全的问题,是不是也看到了很多信息安全的隐患?
关丽霞:大家好!我们中心承担的是全国的广播电视的安全播出的日常管理和应急处置,平时我们在安全播出事故管理的时候就碰到了很多很多这样的问题,由于我们现在电台、电视台实现了数字化、网络化,逐步在推广,由数字化、网络化引起来的安全播出的事故也是跟传统的广播电视的播出有很大的区别,比如说服务器死机了,比如说软件死机了,等等诸如此类,所以现在总局也很专注信息安全,所以成立了我们这个部门,专门成立了信息安全部,我们这个部门是09年刚刚成立的,总局成立这个部门就是为了使我们行业内开始重视信息安全的问题。 总局在09年12月的时候也出台了总局62号令安全播出管理规定,以及配套的专业实施细则,在这个实施细则很明确的把信息安全作为专门的章节提出来,所以总局对信息安全也非常重视。而且可喜的是,刚才听到各位中央台、天津台谈到的时候,他们本身也很重视信息安全的问题了,所以希望下一步在大家的共同配合下把广播电视的信息安全做的更好。主持人:关老师说的非常好,从总局到电视台到整个广电大多数的用户,现在都很关注信息安全的问题,其实作为技术的供应商、作为各个广电行业的公司,其实我们也非常非常关注我们未来在全网下信息安全的过程。捷成世纪专门有一个信息安全事业部,这个事业部的总经理今天也来早了现场,就是沈传宝先生,他应该是国内第一批获得CISSP的专家,以往可能是在非广电行业研究信息安全问题,现在来到广电行业已经有一段时间了,您怎么看了?
沈传宝:虽然刚才各位老师谈的很具体,更主要的一点我们可以看得出来,主要是因为最近数字化、网络化发展的趋势,这一点是非常明确的。因为过去我们电台、电视台也都做过相关的信息安全或者是网络安全的解决方案,但是过去似乎大家并没有太注重这个问题,我们过去关注的安全播出也好或者电视台、电台的安全也好,可能更多的关注在传统的播出这一类的安全,可能网络和信息安全并没有占到大家主流的思想,原因是过去每一个业务系统都相对来讲是一个独立完整的功能,信息化以后就变成了所有业务系统是互联互通的状态,特别是新媒体业务的发展,互联网电视、互联网业务的发展要求是在一个互联互通的平台里提供一个全业务的模式,所以过去我们安全的范围很小,只需要把一块管好就可以了,但是现在面临的威胁是全网全面的威胁,所以广电行业跟其他行业不同的地方这是一块。但是具体的安全威胁的内容,跟其他行业也是比较类似的,刚才包老师也提到了我们更为系统层面、平台层面以及我们的业务层面,其实这个在其他行业也是类似的,但关键我们广电行业也有很多自身的特点,比如说我们的视音频、我们全媒体的业务,这种业务在其他的数字业务里面很少出现的,很难有大规模的视音频解决方案面临的要求,所以这也是在我们的安全供应商提供相应的解决方案的时候更应关注的,用户的特点,这个特点是跟其他的用户有很大的不同的。
主持人:北京永新视博数字设备有限公司也是对我们这个行业有线数字电视贡献非常大的,今天有幸请到了产品总监王飚舵先生,很想听听您在广电网络层面上在考虑怎么做什么事情能够帮助我们解决现在的困扰?
王飚舵:本身今天提出这个话题,我觉得三网融合当中可能是最切中要害的一个问题,为什么这么说呢?其实领导特别关注的事肯定是切中要害的事,因为领导是这么说的,无论是刚才你说的中央领导还是前天CCBN总局报告会的田部长,也是高度强调在三网融合当中安全、信息安全、文化安全、政治安全,这是第一位的,广电应该做什么事呢?就是在安全的监控方面一定要有所作为。所以今天咱们来提出这个话题肯定是特别有必要,为什么说切中要害呢?我的理解,为什么说安全,安全实际上是干吗?是维护一种秩序,就是三网融合意味着一种新的产业或者出现一个新生事物,当一个新生事物出现的时候必然有一些新的参与者,还有一些新的游戏规则没有制定或者等待制定,这个过程中一定要有一个良好的秩序,秩序不建立的话这个产业肯定跟那个车是一个醉汉来驾驶,是无序的,也许驾驶的很快,但是很危险,所以迫切的需要一种安全,建立一种新的秩序。
我们可以从微观上看早,如果没有秩序的话会是什么现象呢?比如现在在互联网上刚刚报道一个在银行支付这个环节的钓鱼,钓鱼网站的出现,那个人在短短的两个月、三个月的情况下骗了600万,只是一个初中毕业的计算机发烧友,他自己干的,他干的原因很简单?就是她女朋友被这样骗过,他急了,这是微观的一个例子。第二个例子,艳照门的出现,也是从电脑上获取别人的隐私。还有一个是政治核文化的安全,我们再也不希望有类似的法轮功的干扰甚至法轮功类似的威胁,连这种威胁也不允许它存在。所以由此微观的这些我们都能感受到的东西,就是破坏一种秩序。如何来为何这个秩序?如何建立一种新秩序?确实需要一种安全的体系。
安全的体系我们理解,从安全的种类来说可以分为政治和文化安全、内容节目安全,内容节目安全实际就是第二个版权安全,用户信息安全,这个包括用户的隐私信息、用户的帐户、用户的支付安全等等。还有一种是设备安全,你这个设备也是一种安全的设备。所以大致从内容到网络、到用户、到终端,这是一个链上的整个安全。或者从时间上来说也可以分为事前的安全和事后的安全,更多的强调监控是一种事后的安全,当出现非法节目的时候给它干掉,不允许它播出,这是事后的处理。事前,就是不允许这些节目能够插入到网络中来、插入到信道中来,或者在三网融合的新的终端里面不允许这种非法的程序、非法的软件,非法其实也包括那些不健康的、黄色的,不允许它运行,所以如果从时间上来说,包括事前和事后。
整个来说,我们现在所做的事或者说我们所代表的产业方向来做的事,就是利用三网融合这个契机,或者说我们已经失去了一个契机,就是在发展所有的计算机的时候,由于过度的强调它的开放性而忽视了它的安全性,这样计算机全都太开放了,所以它不安全。现在打各种补丁都是用软件来解决,但是软件的根本是建立在一个非常非常开放的硬件平台上,根本没有ID号码的一个平台上,这个一定是不可靠的,从信息理论上可以来验证。
现在三网融合新的一轮终端来了,这些新型的终端,包括机顶盒这些,已经不再是光看电视的一个终端了,更多的承载一些除了看电视之外的信息的传达,现在再不利用这个契机把这些终端下发下去每年几千万的终端都变成安全终端的话,是一个或者放在将来会后悔的。所以现在我们所主张的事,就是每个终端下去都是一个安全的终端,用安全的现在一个技术来讲叫“可信计算”。
主持人:我们第二个话题会来谈我们该怎么办,但是刚才王总提的问题非常好,就是我们现在遇到了一个时代的机遇,这个时代的机遇无论是中央电视台的新大楼还是天津的,北京电视台也在做网络电视筹备组,您那边围绕着网络电视新产品也在不断的推出,其实我们确实面临着挑战和机遇并存的一个时代,所以面临这么一个机遇确实是应该审视我们的信息安全和规划我们的信息安全的时候,转而我们的挑战带来机遇的情况下,我觉得第二部分的嘉宾可以谈一谈面对这样的挑战和机遇应该怎么办,倒过来谈是不是先请广电总局的领导谈谈基于整个广电行业,我们总局成立了信息安全部,未来信息安全方面总局有什么样的规划?会有什么样的政策指导、帮助我们?
关丽霞:我们这个部门未成立之前一直也承担着这个工作。成立这个部门之后也有专门的人员和部门来做这个事情。从我们部门成立之后,去年就开始着手制定一系列的标准规范,因为没有标准规范就无法指导我们后续的工作。其实国家是有一系列的标准规范,但是刚才大家也都谈到了,广电有广电的特殊性,有大量的数据,国家的相关标准规范应用到广电行业的时候有一些不适应性。所以,去年我们在总局科技司的领导下,我们也着手准备制定一系列的标准规范,现在这些规范也正在制订中。相信下一步出了规范之后会很好的指导行业的工作。
主持人:这个标准规范的制定工作大概是一个什么样的时间表,什么时候会给我们看看成果性的东西。
关丽霞:我们也很着急,总局的领导也很着急,一直在催着这个事。今年之内肯定会出来关于等级保护的定义指南,以及基本的防护要求。关于风险评估也是,正在逐步做,不会一下子把所有的标准全出来,是一个逐步推进的过程。等级保护我们先是做一个指南、工作要求,下一步是我们的设计标准,以及它的测评标准,都会逐步的出来。
主持人:谢谢关老师,使我们在2011年将看到属于广电行业的等级保护规范的出台。
中央电视台新台址正在建设的过程当中,说实话我们也很荣幸参与了信息安全的建立,但是我们更想听听邓老师,在整个中央电视台新址大楼的信息安全建设中,您是怎么规划的?您考虑整个信息安全体系是如何建设的? 邓晖:新台址的网络整个是围绕着播出怎么去做,有一套全套的预前的工作。我们国家相关的要求,相关的安全等级是不一样的,我们的业务也是相互联系的。我们根据实际情况采取了一些纵身防护的规划,在互联网边界以及在各级之间安全等级不同的技术边界加强防护措施。同时也在内部接口的设备上进行了一些安全的加护,采取相应的国家要求的安全的手段。当然有些东西可能是因为根据国家要求,它是一个普适性或者是通用性。我们理解安全也是不断需要去改进的过程,也不可能是一步到位的事情。而且信息安全主要是保证业务的正常运行。广电播出的特殊性和持续性,这是最重要的。所以,找到安全和业务之间较好的平衡点。我们以后会根据技术的不断发展,不断调整。同时,安全除了技术方面的因素以外,还有很大一块是管理。以前因为在制作和播出的时候,基本上是一个独立的小环境,管理更多是靠人为。未来可能更多的是互联互通以后,是靠技术和行政管理相配合、相结合,综合达到一个比较好的管理水平。主持人:谢谢邓老师,在邓老师这儿我听到三句话,实际上中央电视台已经在努力的按照国家的有关普适性的规范来勾划中央电视台的信息安全体系的过程。尽管在这个过程中我们遇到一些困难,但还在努力的尝试。还有一句话,任何信息安全的手段都是要为业务服务的,都是首先要保证业务的安全性,这个确实对于我们的广电来讲带来了双重课题,因为广电有着很多的复杂性。第三句话就是技术和管理都是信息安全整个体系的重要组成部分。我不知道我理解的对不对。
在这些方面,高虎主任体会就更多,特别是在天津电视台整个新大楼正在运行的过程之中体会更多。我也知道天津电视台第一期的信息安全体系的建设也是非常成功的,我只是想问高虎主任,下一步你觉得天津电视台未来在信息安全方面还会做哪些更加加强这方面的工作,更好的为业务服务?
高虎:就像刚才沈总介绍的,正在构建的一些包括中央电视台和一些省级电视台的工业系统里,整个网络体系正在发挥越来越大的作用。特别是办公网参与生产业务,包括通过骨干平台构建的全台整个生产网的一体化。在整个建设过程中,网络安全体系就显得至关重要,相对于以前电视台的体系就显得尤为重要。
在整个在建的这些电视台的建设过程中,大家都不可避免的要把网络安全作为一个非常重要的系统来考虑。刚才关老师也在介绍,适用于广电系统的整个等级保护体系可能还是在设计和规划过程中。所以,可能我们在建的这些台面临的困惑就在于这个事必须要做,可是可参照的规范又没有成熟起来。所以,各个台建起来的体系和架构也不尽相同。天津台当然在整个建设过程中,就像刚才中央台邓老师的考量差不多,我们在整个互联网编辑体系、办公网体系,包括整个办公网和生产网的交互区,特别是以后在一些新媒体的交互业务上,我们在网络安全的设备上都做了一些防护和考虑。下一个阶段主要是考虑在总局出台了相关的防保体系的规范以后,我们对于一期建设中考虑不周的环节进行弥补,从而构建天津台在整个制播一体化的各个生产环节的安全的防护体系。
主持人:看来从总局的规范到各个电视台实际上正在努力的实践,北京网络广播电视台的筹备组对于这个问题怎么解决?
包冉:我特别赞同刚才几位老师说的,技术上的问题要为业务的问题来服务,因为技术是工具,最终还是服从业务。我们看现在的网络电视系统或者说所有的传媒系统,包括杂志、报纸,包括新浪,都是一样的,我们现在的传媒面临着两个趋势。
第一,专业的生产向社会化的大生产转移,我看到一个数据,传统门户网站对互联网用户的时间占比大大下降,大概从五年前的70%以上下降到今天的不足于40%。五年前用户上网,70%的时间是用于看新闻的,那时门户网站的编辑很牛,现在50%以上用户的时间在社区,在社交网络。我现在个人就习惯在微博上看新闻,都是我关注的人给我推荐的东西,这是一个。同样的道理,传统的电视类的生产更是专业性很强的东西,但是iPhone、Android,现在已经有专业的人士拿这个拍电影,但是非专业的人士拿这个也可以拍,社会化大生产这是无可阻挡的趋势,任何的政策都无法阻挡,这是一个趋势。
第二个趋势,过去无论是分发的媒介还是终端都是单一的一元化,走向分发的媒介还是终端走向多元化。终端过去是电视机,现在手机也能看电视,电脑也能看电视,都能看电视。实际上过去是一个很纯的行业,1:1:1:1,现在是一个很复杂的行业,N:N:N:N,这个前提条件下,我还赞成刚才几位老师说的,除了技术手段为业务服务之外,管理体制也是一个安全整体的核心组成部分。我们这里有两个与时俱进,一个与时俱进是我们的技术融合中和社会技术,现在我们规划很多管理系统的时候,其实绝不仅限于现在现有的技术,因为现在发展太快了,Google颠覆微软的时候也用了10年时间,facebook颠覆Google用了五年时间,真是太快了。原来说Google到头了,现在我看facebook也许会到头,肯定有人会颠覆facebook。它的核心是两个,第一是标准,符合下一代的标准,完全是我个人的观点,不代表任何部门和机构的观点,我个人的观点要遵循标准,这个标准就是国际电联的标准,这是毫无疑问的。第二个就是我们的业界一定要和业界的运营者、技术提供者、终端体规者紧密合作,我们要结合业务的深入,共同的来应对,更重要的不是具体的某一款产品、技术,而是要使我们的流程体制和我们的技术范式来符合现在一个以互联网为核心的越来越公开的社会化生产的N对N的多方面的分发媒介和接受图像终端的现实。这个话题恐怕没有一定的答案,一定是说大家合力,边做边试,边试边做,错了没关系,试错再改。
主持人:谢谢包老师的真知灼见,我也受益匪浅。今天正好在座的嘉宾组合可能大家在一起恰恰正好能够一起来讲。包老师的发言也是对王总刚才发言的延续,下一步如何建立规则、规范,如何从现在尝试着从技术提供者,从业务运营者,从未来的规则、规范国家的制定者,一起往前走,请王总继续发言。
王飚舵:这几位嘉宾互有分工,分工本来就是有秩序的建立。我是技术提供商,就讲讲技术的事,尤其讲讲网络以下技术的事,网络下边包括终端。
其实安全技术现在是如何来推广应用到三网融合当中去,硬性的把原来比如用于银行的,用于国家保密部门的很多安全技术,这样直接应用过去,不但成本巨大,而且可能也没有太大的必要,安全等级没到那么高。所以,如何研制出这样的技术和产品来节约成本符合要求,同时安全等级也足够就可以。
考虑到三网融合,在未来的网道上要发生一些什么业务,围绕这个角度,现在未雨绸缪的是什么呢?你不知道将来会有什么业务,但是你可以做的是先在底下建立一个安全的池子、安全的容器,就如同咱们这个房间,你不知道要保护什么东西,但是你可以把这个先封闭起来,门口放一把锁,等于是先把这样的容器建立起来,这样的东西就是刚才我要说的可信计算平台。如果加这样一个东西,无论在上面进行金融的支付,还是做一些社交网络的信息传达,传输一个照片、视频,甚至是电视台之间B2B节目的交易,都有了这样一个物理的基础,都有了这样一个技术的基础。
我从技术提供商的角度想做这样的阐释。我是参加了总局包括工信部“十二五”规划草稿的撰写,后来在最后成文的工信部的“十二五”规划里,也是把可信计算写进去,而且是作为将来作为三网融合家庭终端必须考虑的事情,国家的规范现在已经这样做了,但是具体如何去实施,往往标准容易定,但是实施起来是不是就那么不折不扣,咱们国家的标准其实束之高阁的多的是。如果再深入探讨就是如何把技术能够有效的实施问题。
主持人:王总给出了一个未来我们可能能解决目前很多困扰问题的方案,就是可信计算,在我们的硬件和我们的软件,以及我们的业务层面都充分的利用可信计算这样一个体系。
沈总,捷成世纪参加的总局的等级保护白皮书的撰写工作,也参加了中央电视台和天津电视台信息安全的设计规划以及实施的工作,你现在怎么看待下一步面临这样的机遇和挑战的时候,我们应该怎么样做?
沈传宝:实际上我们对各个电视台、电台做安全解决方案的建设过程中,我们也积累了一些经验或者是建议。从安全规划师的角度来讲,我们一般认为需求有两个来源。第一个来源,我们面临着各种各样的安全分享和互联互通的问题、三网融合的问题,所有业务安全保障的问题等等。总体来讲我们称为需求的分享问题。有了这些风险我们才可能会做这些事。另外一个层面,大家都提到了国家的要求或者标准化,其实这两个层面含义是一样的,所有监管的需求,或者是说我们标准要求的驱动,这两个方面。在整个解决方案的建设过程之中,我们基本上遵循着这两个原则,一个是我们所有的安全建设必须遵照着风险需求、业务需求来做。第二,我们一定要满足国家或者是我们的行业对我们这个业务相关的需求。这是我们的两个需求源。
具体怎么做安全建设,或者怎么做三网融合环境下的安全体系?刚才大家也谈了很多,我们总结出来有三个步骤,第一关于信息安全等级保护的问题,信息安全等级保护基本上是我们广电制播必须遵循的国家标准,这是一个必须遵循的标准,第一步,关于等级保护里面针对的信息系统我们的安全级别的确定,也就是说定级要准确。为什么定级准确?因为我们在信息等级保护里对各个级别的业务系统会有相关的安全要求和业务要求。所以,一定要定级准确。只有定级准确,我们未来的安全建设才可能是一个理想的、代价是均衡的。第二步,关于系统定级完了之后该怎么建,这个问题其实刚才包括总局也好,中央电视台也好,天津电视台也好,其实都提到了技术体系和管理体系都非常重要。实际上我们在等级保护制度里面也会对这一块有要求,一级有一级的要求,二级有二级的要求,第二步的保护一定是全方位、成体系对我们的业务进行建设。所以,我们在包括做安全等级保护白皮书的时候,以及中央电视台、中央电视台新台址安全设计的时候,我们都遵循了管理与技术并重。第三步,你的系统建设完成以后,按照相关的制度要求也好,等级保护的要求也好,或者我们的业务需求也好,完成了以后还有一步是如何做好未来的信息系统的维护和发展。我们知道安全建设是一个完整的过程,缺一不可,不是一开始就建得非常完美。即使在等级保护制度里面我们也会面临着一个测评的要求、改建的要求。所以,在整个体系建设过程当中,还需要下一步如何逐步发展和完善整个信息安全体系。
这是整个建设的思路。
在具体的细节方面,刚才各位老师也提了很多,包括刚才提到的可信计算等等,这都是在安全建设里面必须要考虑的一个因素。因为涉及到的信息系统的业务不同,所以它可能采取的技术手段也不同。比如说我们在中央电视台里就会面临这样的问题,可能我的边界应该怎么防护,我们在内部应该怎么防护,但是真正到市场上找成熟的解决方案的时候,我们往往会面临着一种困惑。这种困惑是什么呢?因为过去对于这一类安全控制的手段、技术更多是比较通用化。比如刚才提到的金融、电信,相对而言它具有自己的特色,但是更多是基于这个解决方案。而广电的大容量、大媒体、全高清,这种情况下文件化播出,很可能一个文件就是几十个G、上百G,这种情况下怎么做好终端的安全,怎么做好边界传输的安全,其实量是很大的。我们在中央台做整个储流测试的时候,如果我们照搬其它的解决方案,肯定不适用于广电行业的现状。这也是总局为什么要把国家标准到总局这块再来做一次定制化、适应化的工作,也就是我们为什么在很多电视台或者是其它解决方案提供的时候,我们为什么要把测试的工作作为一个非常重要的工作环节,也是非常关键的。最关键的是我们在三网融合的大容量视音频解决方案的环境下,跟我们传统的解决方案还是有很多不同的地方。我们要针对于这个行业的特点,制定我们行业的解决方案和行业最终的产品和技术支撑。
主持人:传宝讲的我理解是要定计准确、设计严密、实施准确,还要不断的完善,这是未来循环往复的安全体系建设,在未来的3年、5年都要不断自我更新、自我螺旋式上升的过程,我相信也会是这样。
非常感谢各位专家、各位领导能够抽出时间一起来讨论安全。说实话我今天进来的时候,我非常紧张和忐忑的,因为面对这么一个敏感和大家都很关注的话题,我们首先是不是能够谈到一起去,这是一个。第二,我们的前途是否光明。
我们的高峰论坛就要到此结束了,在此非常感谢总局的领导还有电视台的朋友一起来,就像刚才包老师说的,我相信我们共同携起手来,在未来的3、5年我们一定能够打造出适合广电行业,适合我们的三网融合业务的崭新的信息安全体系,包括它的技术和产品,我们的未来应该是光明的。
谢谢大家!
.blkContainerSblkCon p.page,.page{ font-family: "宋体", sans-serif; text-align:center;font-size:12px;line-height:21px; color:#999; padding-top:35px;}.page span,.page a{padding:4px 8px; background:#fff;margin:0 -2px}.page a,.page a:visited{border:1px #9aafe5 solid; color:#3568b9; text-decoration:none;}.page span{border:1px #ddd solid;color:#999;}.page span.cur{background:#296cb3; font-weight:bold; color:#fff; border-color:#296cb3}.page a:hover,.page a:active{ border:1px #2e6ab1 solid;color:#363636; text-decoration:none}.blkContainerSblkCon p.page,.page{ font-family: "宋体", sans-serif; text-align:center;font-size:12px;line-height:21px; color:#999; padding-top:35px;}.page span,.page a{padding:4px 8px; background:#fff;margin:0 -2px}.page a,.page a:visited{border:1px #9aafe5 solid; color:#3568b9; text-decoration:none;}.page span{border:1px #ddd solid;color:#999;}.page span.cur{background:#296cb3; font-weight:bold; color:#fff; border-color:#296cb3}.page a:hover,.page a:active{ border:1px #2e6ab1 solid;color:#363636; text-decoration:none}.blkContainerSblkCon p.page,.page{ font-family: "宋体", sans-serif; text-align:center;font-size:12px;line-height:21px; color:#999; padding-top:35px;}.page span,.page a{padding:4px 8px; background:#fff;margin:0 -2px}.page a,.page a:visited{border:1px #9aafe5 solid; color:#3568b9; text-decoration:none;}.page span{border:1px #ddd solid;color:#999;}.page span.cur{background:#296cb3; font-weight:bold; color:#fff; border-color:#296cb3}.page a:hover,.page a:active{ border:1px #2e6ab1 solid;color:#363636; text-decoration:none}