作者:刘巍 哈尔滨广播电视台

传统媒体和新媒体融合现在已经进入到深层次融合,这种融合更多的是体制结构和人的思想层面的融合。前一阶段的融合平台建设风生水起,取得了一定的实际效果,但在网络安全方面却暴露出一些问题。由于传统广电内部的采、编、播系统长期处在不与互联网物理连接的内网环境下运行,而且采用的是基带信号传输,基本不存在网络安全问题,近几年媒体融合不断深化,更多的IT技术和网络协议应用在广电系统,网络安全问题变得越来越突显,存在很多隐患。

一、媒体融合过程中忽视安全因素,没有落实“三同步”原则

2014年4月,中央提出加快推动传统媒体和新兴媒体融合发展以来,全国各大中媒体纷纷建设多种媒体融合平台或者融媒体中心,承建方多数是由国内主要的传统媒体系统集成商。由于注重的领域不同,无论在最初方案的形成还是后期的使用运维均忽略或淡化网络安全风险,体现在软件和硬件两个方面:

软件方面:作为为用户量身定制的应用软件,各承建公司在软件规划时没有设计安全因素,建设时没有实施风险评估,使用时没有开发安全补丁,给系统留下安全隐患。

硬件方面:按传统广电的工作模式,运维时注重设备的稳定运行,而安全设备的策略制定和服务器的升级易被忽略,在软件安全性先天不足的情况下,后天也未能弥补,这种的情况在网络安全技术和管理比较薄弱的台比较严重。

因此,应将网络安全工作提前,在系统上线运行前进行入网的安全检测,在设计阶段就将安全因素考虑其中,后期安全运营时也应做到定期的风险评估。《网络安全法》中也明确规定,保证安全技术措施同步规划、同步建设、同步使用。广电总局也出台了相应的解释指导文件,两年过去,这些法规并没有有效的落实。

二、传统媒体人网络安全意识淡漠,侥幸心理严重

国外的一项调查显示,超过85%网络安全威胁来自内部,危害程度远远超过病毒攻击和黑客造成的损失。这种威胁除部分恶意破坏、数据窃取外,大多数是内部非法违规操作行为造成的。尽管这种操作无意的,但如果被攻击者利用,其威胁危害巨大。现有安全机制下内部威胁是网络安全防线最大的敌人,而人是安全的尺度。

传统广播电视系统对播出安全有着一系列的规章制度及应急响应预案和定期演练,一旦出现事故会依照制度进行处理,因此广电系统有播出安全重于山的说法。而对于近几年才涉及到的网络安全问题还认识不到位。《网络安全法》中明确网络运营者的最高领导者是网络安全的第一责任人,但很多传统媒体从上到下都还没有对网络安全的严峻形势有足够清醒的认识。这种安全意识淡漠和对计算机知识、网络知识不了解有直接关系。随着和新媒体融合的更加紧密,传统采、编、播流程更多的采用IT层面的协议甚至被新技术彻底取代,所谓的私有协议也像一层窗户纸一样脆弱不堪,网络原因导致的事故将是播出安全面临的主要问题。

举个身边的例子,为便于将采访素材及时传回台内,网络管理员按使用部门要求临时在防火墙上设置了端口映射,直接指向内部一台web应用服务器,而这台服务器没有及时安装补丁文件。几个月后网安部门发来风险通报,这台web服务器已被恶意注入几十个木马程序,虽然没有造成直接损失,但却暴露出制度的缺失和安全意识的淡漠。这种淡漠不只是几个技术人员,还包括部分领导及编辑记者们在内的大部分广电系统的工作人员,大家普遍认为,网络安全是网络管理员的事,而网络管理员却认为网络安全是安全设备的事,却不知,网络安全最大的薄弱点就是网络的使用者,最大的漏洞就是网络使用者的安全意识淡漠,而我们每一个人都是网络的使用者。

三、等级保护落实不到位,关键信息基础设施保护责任巨大

等级保护制度从上个世纪末提出,经过十几年的发展,在2019年5月正式发布等级保护2.0,在新时代网络安全的严峻形势下,等级保护工作也与时俱进,扩展技术层面的覆盖范围,在利用传统安全产品进行基础构建前提下又增加了态势感知、风险评估、渗透测试、安全监测、攻击溯源、威胁情报等内容;管理层面也加强了应急管理、自主可控、综治考核等方面内容。

《网络安全法》中也明确提出国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。此外,广电系统由于其社会影响力较大,因此隶属于关键信息基础设施范畴内,国家针对关键信息基础设施的安全保护要求更高,从人员设置、技术培训、产品服务、数据安全、应急管理等各方面做了规定。《关键信息基础设施网络安全保护条例》也到了征求意见阶段,未来国家也会陆续颁布一系列的安全保护要求和标准,因此关键信息基础设施的安全保护责任巨大。

然而,即使在国家大力推广甚至强制要求的情况下,实施等级保护的广播电视台很少,即使已经完成备案,但整改和测评却遥遥无期。面对快速发展的技术潮流和越来越严峻的网络安全局势,落后的网络安全建设将给行业带来严重隐患。

四、专业人才严重不足,安全体系建设和管理不到位

习近平总书记多次在讲话中指出,要有高素质的网络安全和信息化人才队伍,在《网络安全法》中也有多条关于人才培养、技术培训等方面的条款要求。但在现实中,我国网络安全人才缺口巨大,截止2017年底,我国重要行业信息系统和信息基础设施需要各类网络空间安全人才70万,预计到2020年,需要各类网络安全人才约140万人,而目前我国高等学校每年培养的网络安全相关人才不足1.5万人,远远不能满足安全人才需要。

广播电视台的技术人员的定位是技术设备的使用和简单维护人员,对各系统的深层次的维护工作一般是交给系统建设单位完成的。而系统建设单位人员大多只熟悉网络或软件应用领域,具备网络安全意识,经过相关技术培训的人员非常稀缺。另一方面,由于收入减少,导致年富力强的一批技术骨干纷纷离开,现有技术人员的年龄普遍偏大、技术水平偏弱,技能单一,这就更加深了技术人才缺失的窘境。因此广播电视台即存在人才流失、技能短缺的内忧,又存在高校输出少、社会缺口大的外患。

网络安全离不开安全人员的参与。在网络安全体系建设的过程中,人的作用越来越大,安全行业将演变成人才密集型的服务行业。但目前的现实是广播电视台安全专业人员极度匮乏,安全工作大多交给了集成商或安全设备厂商,第三方人员为了工作便利,远程访问权限长期开放,密码简单,这种靠着责任心来保证的安全,威胁不言而喻。没有合格的安全人才,不仅平台和工具用不起来,而且管理制度无法执行,就不能真正做到安全能力落地,成为面临的难题。

五、资金支持力度不够

本文涉及的网络安全资金支持包括网络安全设备的投入、安全体系建设的投入及网络安全培训的投入。网络安全的特殊性,决定其无法短期、直观的看到效果,处于在没有发生安全事件时得不到重视,发生安全事件又得承担责任的位置,不如融媒体建设中的全媒体演播室内一台4K摄像机那样给人实实在在的物有所值的感觉。所以在面对生产和职工工资紧张时,安全投入会变成压缩或砍掉的对象。

众所周知,网络安全事件背后都是有利益在推动,或是经济的或是政治的,传统媒体在和新媒体融合过程中暴露出的问题,之所以没有产生重大恶性事件,或是因为没有被有敌意的势力注意到,或是已经准备好了攻击手段而等待时机,甚至有可能是已经被控制而所有人都不知道。所以我们在媒体融合过程中要把网络安全放到首位考虑,正如习近平总书记所言,没有网络安全就没有国家安全,抓网络安全和抓国家安全一样。

上面为笔者在实际工作中的遇到的一些问题,解决上述问题的办法已呼之欲出,就是保证资金到位;加强网络安全的宣传力度,层层落实责任制;完善安全体系建设,严格执行网络等级保护制度等各种制度、规范;引入第三方服务,由具有国家认证安全服务资质的专业公司来为融媒体平台保驾护航。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。