本文来自DVBCN中广5G。
根据7月29日中国广播电视网络集团有限公司发布的中国广电网络安全等级测评支撑服务采购项目招标公告,中国广电集团公司拟于近期启动中国广电网络安全等级测评支撑服务采购项目的采购工作。
按照说明,该项目为中国广电网络股份有限公司及中广电移动网络有限公司有关网络安全等级保护需求,共计测评系统总数为35个,其中,股份公司测评系统为6个、移动公司测评系统为29个。
项目总预算为480万元(含增值税),其中股份公司123万元,移动公司357万元。后续中标人将分别与中国广电网络股份有限公司和中广电移动网络有限公司签订合同。
另外,该项目不划分标包,中标人数量为2个,各中标人按照预算金额的60%和40%为上限金额签订框架合同。项目按照三级等保测评服务的单价作为限价,最高限价为13.3万元(含增值税)。
此次中国广电集团已明确是为旗下中国广电股份、中广电移动两家公司进行的网安等保测评,应当来说也是要针对广播电视网络及信息通信网络的两块儿去进行网安等保测评服务。
网安等保测评一直都是关键信息基础设施每年的“必考大题”,广播电视及信息通信均是关键信息基础设施所述的主要组成部分,因此无论是广电系还是电信系必会将该项工作作为重点任务去认真执行,下面就简要说明下两个系统的等保相关内容。
广播电视网安等保
根据国务院发布的《广播电视设施保护条例》(第295号令),广播电视信号专用传输设施,包括电缆线路、光缆线路(以下统称传输线路)、塔桅(杆)、微波等空中专用传输通路、微波站、卫星地面接收设施、转播设备及其附属设备等。广电有线等便是包含在“广播电视信号专用传输设施”这一区域。
《广播电视设施保护条例》也有规定,损坏广播电视设施的,由县级以上人民政府广播电视行政管理部门或者其授权的广播电视设施管理单位责令改正,对个人处1000元以上1万元以下的罚款,对单位处2万元以上10万元以下的罚款。
另外,《中华人民共和国刑法》第一百二十条规定:破坏广播电视设施、公用电信设施,危害公共安全的,处三年以上七年以下有期徒刑;造成严重后果的,处七年以上有期徒刑。
在网安等保方面,根据国家广播电视总局发布的《广播电视网络安全等级保护基本要求》,规定了广播电视网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。
按照《广播电视网络安全等级保护定级指南》,有线电视平台主要涉及播出系统、互动系统、宽带系统、运营支撑系统、媒资系统、制作系统的六个定级对象。基础网络方面还涉及承载网、运营支撑系统、管理支撑系统的定级对象。
值得注意的是,有线电视平台网络安全保护等级建议中,最高级达到了“全国或跨省”的“第三级”,包括播出系统、互动系统、宽带系统、运营支撑系统;最低等级也都是“第二级”,主要是媒资系统、制作系统、管理支撑系统。
不同级别的等级保护对象应具备的基本安全保护能力如下:
第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。
信息通信等网安等保
按照国务院公布的《中华人民共和国电信条例》,任何组织或者个人不得有下列危害电信网络安全和信息安全的行为:
1)对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改;
2)利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动;
3)故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施;
4)危害电信网络安全和信息安全的其他行为。
还规定了电信业务经营者在电信网络的设计、建设和运行中,应当做到与国家安全和电信网络安全的需求同步规划,同步建设,同步运行。
同上述广电等保方面的内容,《中华人民共和国刑法》第一百二十条规定:破坏广播电视设施、公用电信设施,危害公共安全的,处三年以上七年以下有期徒刑;造成严重后果的,处七年以上有期徒刑。
根据《信息安全技术:网络安全等级保护基本要求》,需要从网络安全等级保护的网页安全、协议安全和安全接入控制等层面来保护信息系统的安全性。
如果业务信息受到破坏后会对国家政治、经济、社会、科技、文化、教育、卫生、环境、公共设施或公民个人合法权益造成严重损害,或者系统服务受到破坏后会对国家政治、经济、社会、科技、文化、教育、卫生、环境、公共设施或公民个人合法权益造成严重影响,则该信息系统应当确定为三级等保网络。
三级等保网络应当满足八个方面的基本要求,包括安全管理、安全通信、安全区域、安全计算环境、安全管理中心、安全建设与运维、安全审计、安全应急等。
在安全通信方面有指出,三级等保网络应当对网络通信进行有效的保护,防止通信内容被窃听、篡改或伪造。
具体来说,应当采用符合国家标准或国际标准的加密算法和协议,对网络通信进行加密或数字签名,并对加密密钥进行有效的管理。同时,应当对网络通信进行访问控制,限制非授权用户或设备访问网络资源或服务,并对访问行为进行记录和审计。