【中國數(shù)字視聽網(wǎng)訊】 網(wǎng)絡(luò)音視頻廣播已經(jīng)成為一種迅速發(fā)展的、為越來越多的受眾所接受的一種媒體。而這種媒體在技術(shù)上受到網(wǎng)絡(luò)技術(shù)發(fā)展的制約，這是它的本質(zhì)所決定的。構(gòu)建一個(gè)安全、穩(wěn)定、可運(yùn)行的媒體平臺(tái)是基礎(chǔ)，也是第一步要做到的。

首先要明確的是如何定義“安全”。國際公認(rèn)的ISO/IEC IT安全管理指南（GMITS）對(duì)信息給出如下解釋：   信息是通過施加于數(shù)據(jù)上的某些約定，使當(dāng)前數(shù)據(jù)具備了特定含義。這里面包含了幾個(gè)方面：保密性（Confidentiality）：保障信息只為被授權(quán)人獲取；2.完整性（Integrity）：保護(hù)信息及其處理方法的準(zhǔn)確性；3.可用性（Availability）：保障授權(quán)人在需要時(shí)間內(nèi)對(duì)信息的使用。信息安全是一項(xiàng)全面的系統(tǒng)工程，脫離應(yīng)用或者脫離服務(wù)的安全只不過是“空中樓閣”，對(duì)于用戶重要的是應(yīng)用服務(wù)的保證，對(duì)于系統(tǒng)重要的是強(qiáng)壯的防攻擊性能以及重要的自適應(yīng)功能，這里需要說明的不單單是每臺(tái)SERVER的性能，而是包括服務(wù)器硬件、系統(tǒng)安全管理人員、各種安全保障制度和為一體的整體的系統(tǒng)。

對(duì)于一個(gè)完整的安全策略包含有三個(gè)因素：人員組織、管理機(jī)制以及技術(shù)措施。把技術(shù)措施放在最后并不是說我們不重視技術(shù)，技術(shù)是實(shí)現(xiàn)安全的保障，但是根據(jù)無數(shù)實(shí)際的例子，在一個(gè)整體的安全系統(tǒng)中更重要的，或者說更容易被人忽視而導(dǎo)致嚴(yán)重后果的往往是前兩項(xiàng)。人是一切主觀能動(dòng)性的個(gè)體的集合，人員的組織管理是任何系統(tǒng)中都不應(yīng)被遺忘的，可惜的是許多安全實(shí)施方案僅僅關(guān)注設(shè)備的安全，技術(shù)的安全，全面一些的還包括應(yīng)用的安全，但是對(duì)于人員的組織管理卻鮮有過問。人員的組織管理主要應(yīng)該包括：安全策略委員會(huì)（領(lǐng)導(dǎo)層面，制定全面完整可持續(xù)發(fā)展的安全策略）、安全專員及安全工作小組（具體實(shí)施的系統(tǒng)管理、病毒防治、入侵檢測等工作）以及安全顧問專家組。管理制度是另一個(gè)重要的方面，完善的各級(jí)人員安全培訓(xùn)及安全手冊，涉及的人員主要包括系統(tǒng)管理人員和辦公業(yè)務(wù)人員，良好的管理制度可以避免超過半數(shù)的安全事故。具體的技術(shù)措施包涵：物理環(huán)境、人員管理、線路管理、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫、數(shù)據(jù)資源、安全系統(tǒng)等幾個(gè)方面。

現(xiàn)有的信息安全還存在很大問題，從宏觀角度來說：國家的法律法規(guī)不健全，不符合或者說滯后于技術(shù)的發(fā)展；組織建設(shè)、制度建設(shè)沒有相應(yīng)的標(biāo)準(zhǔn)，無律可詢；現(xiàn)有的國家信息技術(shù)不發(fā)達(dá)，大部分核心技術(shù)掌握在國外廠商手中。從微觀角度看：缺乏安全意識(shí)及認(rèn)識(shí)，安全意識(shí)落后，安全認(rèn)識(shí)不足；重技術(shù)輕管理，依賴于某些安全技術(shù)產(chǎn)品，缺乏配套管理、缺乏系統(tǒng)思想，靜態(tài)的，就事論事的點(diǎn)思維。

 構(gòu)建一個(gè)可以提供滿意服務(wù)的安全系統(tǒng)首先需要三個(gè)條件：是否將安全作為信息系統(tǒng)重要建設(shè)部分、是否成立了內(nèi)部安全組織、是否為信息安全建立了可  持續(xù)發(fā)展的計(jì)劃。同時(shí)還有一些避免存在的安全體系和策略建立誤區(qū)：從安全技術(shù)出發(fā)，依賴于某幾種安全技術(shù)構(gòu)建安全體系和策略，大部分公司倒是樂于這樣行事，看上去更像是產(chǎn)品推銷與采購，可惜安全不論是現(xiàn)在還是將來永遠(yuǎn)也不會(huì)依靠一兩種技術(shù)、一兩臺(tái)設(shè)備而實(shí)現(xiàn)；從安全漏洞出發(fā)，防范某幾個(gè)安全漏洞而構(gòu)建安全體系和策略，這是一種補(bǔ)漏的行為方式，一時(shí)救急或許可以見效，但是頭痛醫(yī)頭、腳痛醫(yī)腳的思維結(jié)果不可能實(shí)現(xiàn)真正健康的系統(tǒng)。信息系統(tǒng)的建設(shè)要針對(duì)業(yè)務(wù)應(yīng)用和安全保障需求。就象其他工程的第一步是需求考察一樣，安全系統(tǒng)首先要確認(rèn)自身重要服務(wù)的應(yīng)用保障，包括具體的業(yè)務(wù)應(yīng)用，符合自身業(yè)務(wù)流程的應(yīng)用流程。這樣才能建立符合應(yīng)用流程的安全保障流程，應(yīng)用系統(tǒng)與安全保障體系構(gòu)成完整的信息系統(tǒng) 。

接著就引出了保護(hù)對(duì)象，例如重要的過程：確保訪問者對(duì)域名解析的準(zhǔn)確性、確保訪問者對(duì)信息檢索的準(zhǔn)確性、確保訪問者對(duì)信息瀏覽的準(zhǔn)確性、確保信息更新的準(zhǔn)確性等；固定資產(chǎn)：相關(guān)傳輸連接設(shè)備、相關(guān)網(wǎng)絡(luò)設(shè)備、相關(guān)主機(jī)設(shè)備、應(yīng)用程序、數(shù)據(jù)等；系統(tǒng)結(jié)構(gòu)：系統(tǒng)結(jié)構(gòu)、權(quán)限結(jié)構(gòu)。通過對(duì)保護(hù)對(duì)象的分析，制定出可以稱之為安全需求白皮書的指導(dǎo)性文件，具體的分析包括：風(fēng)險(xiǎn)評(píng)估（評(píng)估被保護(hù)對(duì)象的價(jià)值，確定保護(hù)措施的投入）、威脅與薄弱點(diǎn)（通過保護(hù)對(duì)象的定義，分析威脅的方式，分析薄弱點(diǎn)）、安全級(jí)別（評(píng)估保護(hù)對(duì)象的安全級(jí)別）等等。

安全系統(tǒng)建成之后，不是一個(gè)僵硬的平臺(tái)，而應(yīng)該是一個(gè)動(dòng)態(tài)的，具有自適應(yīng)能力，可以根據(jù)情況變化靈活調(diào)整的平臺(tái)。建成一個(gè)可持續(xù)發(fā)展模式（PDCA），按照策劃（Plan）——實(shí)施（Do）——檢查（Check）——措施（Action）的循環(huán)結(jié)構(gòu)發(fā)展完善。

在實(shí)際需求中，中國國際廣播電臺(tái)考慮到多種應(yīng)用并存的實(shí)際情況，制定了保證應(yīng)用第一位的安全策略。不論是物理鏈路層故障、系統(tǒng)級(jí)錯(cuò)誤，用戶面對(duì)的始終是應(yīng)用，保證應(yīng)用的完整性，才能使用戶在安全事故面前的感受最小。現(xiàn)在國際上知名企業(yè)對(duì)于應(yīng)用層的保護(hù)已經(jīng)到了影響產(chǎn)品發(fā)展趨勢的程度，典型的例子就是9.11恐怖襲擊之后，不論是針對(duì)具體服務(wù)提供負(fù)載均衡熱備的軟件廠商，還是針對(duì)網(wǎng)絡(luò)鏈路提供冗余平衡的網(wǎng)絡(luò)設(shè)備廠商，這類公司的股票在納斯達(dá)克的一路飆升確實(shí)令人吃驚，以至于個(gè)別品牌成了恐怖襲擊位數(shù)不多的獲利者。當(dāng)然面對(duì)9.11這種殘酷場面的機(jī)會(huì)畢竟不多，但是日常工作中各種SERVER莫名其妙的宕機(jī)、各種應(yīng)用由于負(fù)載過大的RESET、各種ISP提供商時(shí)不時(shí)的鏈路故障，甚至個(gè)別人員的誤操作、機(jī)房內(nèi)空調(diào)、濕度、新風(fēng)的改裝施工、日常的系統(tǒng)維護(hù)所必須的重啟等，這些如果沒有針對(duì)應(yīng)用級(jí)的保護(hù)，對(duì)應(yīng)到用戶都是“無法訪問”、“無法打開頁面”、“建立連接失敗，請(qǐng)檢查您的網(wǎng)路是否已經(jīng)聯(lián)機(jī)”等等。理想中的安全策略是針對(duì)自身的保護(hù)對(duì)象，做到用戶感覺不到上面提到的種種現(xiàn)象，建成一個(gè)類似早起計(jì)算機(jī)“黑箱”似的模式，用戶輸入請(qǐng)求、核準(zhǔn)、用戶接收服務(wù)，對(duì)于中間發(fā)生的，用戶可以根本忽略。

一個(gè)安全平臺(tái)的構(gòu)建是一項(xiàng)系統(tǒng)工程，運(yùn)用系統(tǒng)的思維從人員、制度、技術(shù)多個(gè)角度去考察、設(shè)計(jì)、實(shí)施，才能建立一個(gè)完整的可用的平臺(tái)、使需要保護(hù)的得到應(yīng)有的保護(hù)。

（編輯：Karl）