《廣播電視相關(guān)信息系統(tǒng)安全等級保護基本要求》分析

1、廣電等級保護標(biāo)準(zhǔn)二級和三級基本要求分析概述為了適應(yīng)國家對于等級保護的工作要求，2011 年 5 月，廣電總局首次發(fā)布行業(yè)信息安全規(guī)范性技術(shù)文件：廣播電視相關(guān)信息系統(tǒng)安全等級保護定級指南（ GD/J 037-2011） （以下簡稱“定級指南” ）廣播電視相關(guān)信息系統(tǒng)安全等級保護基本要求（ GD/J 038-2011） （以下簡稱“基本要求” ）2012 年 11 月，廣電總局又發(fā)布行業(yè)信息安全測試規(guī)范性技術(shù)文件：廣播電視相關(guān)信息系統(tǒng)安全等級保護測評要求（GD/J 044-2012）（以下簡稱“測評要求” ）2014 年底，廣電總局又發(fā)布了有線數(shù)字電視系統(tǒng)安全指導(dǎo)意見（以下簡稱“指導(dǎo)意見” ），為

2、廣電網(wǎng)絡(luò)公司實施安全提供了具體的指導(dǎo)意見。這幾份文件的出臺為等級保護制度在廣電行業(yè)的推廣實施奠定了基礎(chǔ)，為廣電網(wǎng)絡(luò)公司實施信息安全防護體系制定目標(biāo)方向和方法，有必要對這幾份文件作深入的學(xué)習(xí)，本文就對這幾份文件作一些粗淺的分析，供大家參考。這四個的邏輯關(guān)系大致是這樣的， “定級指南”說明了如何給廣電的信息系統(tǒng)定級，對于廣電網(wǎng)絡(luò)運營商來說，關(guān)鍵是下面這張表格，基本上劃定了系統(tǒng)的范圍和等級標(biāo)準(zhǔn)，所以本文中重點也就對第二級和第三級的要求進行分析：第 1頁共33頁“基本要求”是這幾個文檔中的核心， 對于廣電系統(tǒng)要如何才能達到第2 級和第 3 級要求作出了明確的規(guī)定， 是需要重點研究的。“測評要求”是針對

3、“基本要求”所提出的各項要求提出測評的要求和標(biāo)準(zhǔn)，為廣電網(wǎng)絡(luò)公司準(zhǔn)備測評提供指導(dǎo)；“指導(dǎo)意見”則是提出了很多具體的實施意見，為廣電網(wǎng)絡(luò)公司實施等級保護提供參考意見；所以在本文中，重點將對“基本要求”進行分析，同時在分析過程中將其他文件中的相關(guān)內(nèi)容補充到其中。基本要求中對于廣電信息系統(tǒng)的信息安全要求大致分了三類：技術(shù)要求，物理要求和管理要求，其中技術(shù)要求根據(jù)不同級別區(qū)分不同的要求，物理要求和管理要求都是通用要求，不再細(xì)分各個不同的級別，如下圖所示：第 2頁共33頁物理要求這里就不進一步展開了，重點將放在技術(shù)要求和管理要求上。其中技術(shù)要求更是重中之重，將作著重分析。第二級和第三級的技術(shù)要求如下圖所

4、示，在大項上，兩者主要的區(qū)別在于安全管理中心，另外在終端系統(tǒng)安全上，第三級有安全審計要求，第二級沒有該要求，當(dāng)然在各個項目的細(xì)節(jié)下上還是有很多的差異的：第 3頁共33頁“指導(dǎo)意見”的內(nèi)容概述如下：第 4頁共33頁有線數(shù)字電視系統(tǒng)安全指導(dǎo)意見安全要求通則組織架構(gòu)與人員管理要求系統(tǒng)安全總體框架 安全應(yīng)急要求 (9 項)安設(shè)補終應(yīng)全人邊安物全備遠(yuǎn)賬端急備應(yīng)機丁管員參界全理網(wǎng)安網(wǎng)輸程號安處播急及構(gòu)全理管考防責(zé)訪拓全絡(luò)入維口更理系處與狀制理框護任問撲審隔輸護令新基統(tǒng)理職度要架要要控管計離出管管態(tài)本要流管責(zé)監(jiān)要求求求制理端理理理要求程控求口求網(wǎng)絡(luò)安全網(wǎng)絡(luò)部分的要求分為基礎(chǔ)網(wǎng)絡(luò)安全和邊界安全2 大塊：第 5

5、頁共33頁2.1 基礎(chǔ)網(wǎng)絡(luò)安全二級三級結(jié)構(gòu)安全 1a)應(yīng)保證 關(guān)鍵 網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力和網(wǎng)絡(luò)帶寬具備冗余空間，a) 應(yīng)保證 主要 網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力和網(wǎng)絡(luò)帶寬具備冗余空間，滿(網(wǎng)絡(luò)冗余 )滿足業(yè)務(wù)高峰期需要；足業(yè)務(wù)高峰期需要；b)應(yīng)為 新聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系b) 應(yīng)為 信息系統(tǒng) 的核心交換機、匯聚交換機等關(guān)鍵網(wǎng)絡(luò)設(shè)備配置冗統(tǒng)的核心交換機、匯聚交換機等關(guān)鍵網(wǎng)絡(luò)設(shè)備配置冗余；余， 避免關(guān)鍵節(jié)點存在單點故障；結(jié)構(gòu)安全 2c）應(yīng)根據(jù)各信息系統(tǒng)與播出的相關(guān)程度進行層次化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計，c）應(yīng)根據(jù)各信息系統(tǒng)的播出相關(guān)度進行層次化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計，形成網(wǎng)(安全域劃分和形成網(wǎng)絡(luò)

6、縱深防護體系，新聞制播系統(tǒng)中的直播演播室系統(tǒng)、播絡(luò)縱深防護體系，新聞制播系統(tǒng)中的直播演播室系統(tǒng)、播出整備系第 6頁共33頁邊界防護 )出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)應(yīng)位于縱深結(jié)構(gòu)內(nèi)部，統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)應(yīng)位于縱深結(jié)構(gòu)內(nèi)部，系統(tǒng)內(nèi)部不系統(tǒng)內(nèi)部不應(yīng)通過無線方式進行組網(wǎng)；應(yīng)通過無線方式進行組網(wǎng)；d) 應(yīng)根據(jù)信息系統(tǒng)功能、業(yè)務(wù)流程、網(wǎng)絡(luò)結(jié)構(gòu)層次、業(yè)務(wù)服務(wù)對d)應(yīng)根據(jù)信息系統(tǒng)功能、業(yè)務(wù)流程、網(wǎng)絡(luò)結(jié)構(gòu)層次、業(yè)務(wù)服務(wù)對象等象等合理劃分網(wǎng)絡(luò)安全域；合理劃分網(wǎng)絡(luò)安全域；e) 安全域內(nèi)應(yīng)根據(jù)業(yè)務(wù)類型、業(yè)務(wù)重要性、物理位置等因素，劃e)安全域內(nèi)應(yīng)根據(jù)業(yè)務(wù)類型、業(yè)務(wù)重要性、物理位置等因素，劃分不分

7、不同的子網(wǎng)或網(wǎng)段， 并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配段分配地址段；地址段；f) 同一安全域內(nèi)重要網(wǎng)段與其他網(wǎng)段之間應(yīng)采取可靠的技術(shù)隔離f)同一安全域內(nèi)重要網(wǎng)段與其它網(wǎng)段之間應(yīng)采取可靠的技術(shù)隔離手手段；段；g)應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。g)應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。網(wǎng)絡(luò)設(shè)備防護a) 應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別，身份鑒別信息應(yīng)具有a)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別，身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換，用戶名和口令禁止相同；有復(fù)雜度要求并

8、定期更換，用戶名和口令禁止相同；b)主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；b) 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次c)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)數(shù)和連接超時自動退出等措和連接超時自動退出等措施；施；d)應(yīng)該對網(wǎng)絡(luò)設(shè)備進行基本安全配置，關(guān)閉不必要的服務(wù)和端口；c) 應(yīng)該對網(wǎng)絡(luò)設(shè)備進行基本安全配置，關(guān)閉不必要的服務(wù)和端口；e)應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制，僅允許指定 IP 地址或IP 段訪問；d) 應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制，僅允許指定IP地f)當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠(yuǎn)程管理時，應(yīng)采用HTTPS、 SS

9、H 等安全的遠(yuǎn)址或IP 段訪問；程管理手段，防止用戶身份第 7頁共33頁e) 當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠(yuǎn)程管理時，應(yīng)采用 HTTPS 、 SSH 等安全的鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；g)應(yīng)實現(xiàn)網(wǎng)絡(luò)設(shè)備特權(quán)用戶的權(quán)限分離；遠(yuǎn)程管理手段，防止用戶身份h)能夠通過 SNMP V3 及以上版本或其它安全的網(wǎng)絡(luò)管理協(xié)議提供網(wǎng)絡(luò)設(shè)備的監(jiān)控與管理接口。安全審計a) 應(yīng)對 關(guān)鍵網(wǎng)絡(luò)設(shè)備 的運行狀況、用戶行為等重要事件進行日志a) 應(yīng)對 關(guān)鍵網(wǎng)絡(luò)設(shè)備 的運行狀況、用戶行為等重要事件進行日志記記錄；錄；b) 審計記錄應(yīng)包括事件的日期、時間、用戶名、IP 地址、事件b) 審計記錄應(yīng)包括事件的日期、時間、用戶名、 IP

10、地址、 事件類型、類型、事件是否成功等；事件是否成功等；c) 應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等，審c) 應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等，審計記計記錄至少保存90 天；錄至少保存 90 天；d) 應(yīng)定期對審計記錄進行分析，以便及時發(fā)現(xiàn)異常行為。d) 應(yīng)定期對審計記錄進行分析，以便及時發(fā)現(xiàn)異常行為；e) 應(yīng)為安全管理中心提供集中管理的接口。2.2 邊界安全二級三級訪問控制a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，根據(jù)安全策略提供明確的允a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，根據(jù)安全策略提供明確的允許/許 /拒絕訪問，控制粒度為網(wǎng)段級；拒絕訪問，控制粒度為IP 地址段及

11、端口級；b) 通過外部網(wǎng)絡(luò)對信息系統(tǒng)進行訪問時應(yīng)使用安全方式接入，根b) 應(yīng)對進出網(wǎng)絡(luò)的信息進行過濾，實現(xiàn)對應(yīng)用層協(xié)議命令級的控制，據(jù)需要采用數(shù)字證書等強制認(rèn)證方式，并對用戶權(quán)限進行管理，控僅允許 HTTP 、 FTP 、 TELNET 、 SSH 等信息系統(tǒng)使用的協(xié)議，禁第 8頁共33頁制粒度為用戶級。安全數(shù)據(jù)交換a) 播出系統(tǒng)與其它信息系統(tǒng)之間進行數(shù)據(jù)交換時，應(yīng)對文件類型及格式進行限定；止一切未使用的通信協(xié)議和端口；重要網(wǎng)段應(yīng)采用 IP 與 MAC 地址綁定或其它網(wǎng)絡(luò)準(zhǔn)入控制措施等技術(shù)手段防止地址欺騙；d) 通過外部網(wǎng)絡(luò)對信息系統(tǒng)進行訪問時應(yīng)使用安全方式接入，根據(jù)需要采用數(shù)字證書等強制認(rèn)證

12、方式，并對用戶權(quán)限進行管理，控制粒度為用戶級。e) 應(yīng)限制與外部網(wǎng)絡(luò)連接的最大流量數(shù)及網(wǎng)絡(luò)連接數(shù), 按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要業(yè)務(wù)；a) 播出系統(tǒng)與其它信息系統(tǒng)之間進行數(shù)據(jù)交換時，應(yīng)對文件類型及格式進行限定；b) 應(yīng)限定可以通過移動介質(zhì)交換數(shù)據(jù)的主機，所有通過移動介質(zhì)b) 應(yīng)限定可以通過移動介質(zhì)交換數(shù)據(jù)的主機，所有通過移動介質(zhì)上載上載的內(nèi)容應(yīng)經(jīng)過兩種以上的內(nèi)容應(yīng)經(jīng)過兩種以上的防惡意代碼產(chǎn)品進行惡意代碼檢查后，方可正式上載到內(nèi)部網(wǎng)的防惡意代碼產(chǎn)品進行惡意代碼檢查后，方可正式上載到內(nèi)部網(wǎng)絡(luò)；絡(luò)； 對藍(lán)光、 P2 等專業(yè)移對藍(lán)光、 P2 等專

13、業(yè)移動介質(zhì)可通過特定的防護機制進行上載；動介質(zhì)可通過特定的防護機制進行上載；c） 信息系統(tǒng)與外部網(wǎng)絡(luò)進行數(shù)據(jù)交換時，應(yīng)通過數(shù)據(jù)交換區(qū)或?qū)) 信息系統(tǒng)與外部網(wǎng)絡(luò)進行數(shù)據(jù)交換時，應(yīng)通過數(shù)據(jù)交換區(qū)或?qū)Ｓ脭?shù)用數(shù)據(jù)交換設(shè)備等完成內(nèi)外據(jù)交換設(shè)備完成內(nèi)外網(wǎng)網(wǎng)數(shù)據(jù)的安全交換；數(shù)據(jù)的安全交換；第 9頁共33頁d) 數(shù)據(jù)交換區(qū)對外應(yīng)通過訪問控制設(shè)備與外部網(wǎng)絡(luò)進行安全隔d) 數(shù)據(jù)交換區(qū)對外應(yīng)通過訪問控制設(shè)備與外部網(wǎng)絡(luò)進行安全隔離，對離，對內(nèi)應(yīng)采用安全的方式進內(nèi)應(yīng)采用安全的方式進行數(shù)據(jù)交換， 必要時可通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實行數(shù)據(jù)交換，必要時可通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實現(xiàn)現(xiàn)數(shù)據(jù)交換；數(shù)據(jù)交

14、換；入侵防范應(yīng)在與外部網(wǎng)絡(luò)連接的網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、a) 應(yīng)在 信息系統(tǒng)的網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻強力攻擊、 木馬后門攻擊、 拒絕服務(wù)攻擊、 緩沖區(qū)溢出攻擊、 IP碎擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。和網(wǎng)絡(luò)蠕蟲攻擊等，播出整備系統(tǒng)、 播出系統(tǒng)等信息系統(tǒng)的邊界可根據(jù)需要進行部署；b) 當(dāng)檢測到攻擊行為時，記錄攻擊源IP 、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。惡意代碼防范a) 應(yīng)在與外部網(wǎng)絡(luò)連接的網(wǎng)絡(luò)邊界處進行惡意代碼檢測和清除，a) 應(yīng)在 信息系統(tǒng)的網(wǎng)絡(luò)邊界處進行惡意代碼檢測和清除

15、，并維護惡意并維護惡意代碼庫的升級和代碼庫的升級和檢測系檢測系統(tǒng)的更新；統(tǒng)的更新， 播出整備系統(tǒng)、 播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的邊界可根b) 防惡意代碼產(chǎn)品應(yīng)與信息系統(tǒng)內(nèi)部防惡意代碼產(chǎn)品具有不同的據(jù)需要進行部署；惡意代碼庫。b) 防惡意代碼產(chǎn)品應(yīng)與信息系統(tǒng)內(nèi)部防惡意代碼產(chǎn)品具有不同的惡意代碼庫。邊界完整性應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查。a) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準(zhǔn)確定出位置，并對其進行有效阻斷；b) 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準(zhǔn)確第 10頁共33頁定出位置，并對其進行有效阻斷。安全審計a) 應(yīng)在與外部網(wǎng)絡(luò)連接的網(wǎng)絡(luò)邊界

16、處進行數(shù)據(jù)通信行為審計；a) 應(yīng)在與外部網(wǎng)絡(luò)連接的網(wǎng)絡(luò)邊界處進行數(shù)據(jù)通信行為審計；b) 審計記錄應(yīng)包括事件的日期、時間、用戶名、IP 地址、事件b) 審計記錄應(yīng)包括事件的日期、時間、用戶名、IP 地址、 事件類型、類型、事件是否成功等；事件是否成功等；c) 應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等，審c) 應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等，審計記計記錄至少保存90 天；錄至少保存90 天；d) 應(yīng)定期對審計記錄進行分析，以便及時發(fā)現(xiàn)異常行為。d) 應(yīng)定期對審計記錄進行分析，以便及時發(fā)現(xiàn)異常行為；e) 應(yīng)為安全管理中心提供集中管理的接口。2.3 討論對上述內(nèi)容進行一下

17、分析和整理，我們可以發(fā)現(xiàn)等保對于網(wǎng)絡(luò)安全可以分為以下幾塊：1、 分級分域?應(yīng)根據(jù)各信息系統(tǒng)的播出相關(guān)度進行層次化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計， 形成網(wǎng)絡(luò)縱深防護體系 ，新聞制播系統(tǒng)中的直播演播室系統(tǒng)、 播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)應(yīng)位于縱深結(jié)構(gòu)內(nèi)部，系統(tǒng)內(nèi)部不應(yīng)通過無線方式進行組網(wǎng)；?應(yīng)根據(jù)信息系統(tǒng)功能、業(yè)務(wù)流程、網(wǎng)絡(luò)結(jié)構(gòu)層次、業(yè)務(wù)服務(wù)對象等合理劃分網(wǎng)絡(luò)安全域；?安全域內(nèi) 應(yīng)根據(jù)業(yè)務(wù)類型、業(yè)務(wù)重要性、 物理位置等因素， 劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。2、 邊界防護?同一安全域內(nèi)重要網(wǎng)段與其它網(wǎng)段之間應(yīng)采取可靠的技

18、術(shù)隔離手段；“邊界安全 ”部分明確定義了訪問控制、安全數(shù)據(jù)交換、入侵防范，惡意代碼防范，邊界完整性等邊界防護要求；3、 網(wǎng)絡(luò)冗余4、 網(wǎng)絡(luò)設(shè)備防護第 11頁共33頁5、 安全審計顯然其中分級分域和邊界防護是其中的重點，在“指導(dǎo)意見”中給出了一個參考安全框架解決方案：“指導(dǎo)意見 ”相關(guān)內(nèi)容分級分域建議方案：有線數(shù)字電視系統(tǒng)按功能區(qū)域范圍不同可劃分為：四個區(qū)域：內(nèi)部系統(tǒng)區(qū)、內(nèi)部互聯(lián)區(qū)、內(nèi)部公共區(qū)、業(yè)務(wù)用戶區(qū)兩種外部通道：為和外部專用通道、雙向網(wǎng)絡(luò)和互聯(lián)網(wǎng)接口外部專用通道Internet遠(yuǎn)程增值內(nèi)容監(jiān)管節(jié)目維護業(yè)務(wù)提供分發(fā)內(nèi)部系統(tǒng)區(qū)接入認(rèn)證和 AAA認(rèn)證系統(tǒng)運營支撐系統(tǒng)雙向網(wǎng)絡(luò)雙向互動業(yè)務(wù)系統(tǒng)直播系

19、統(tǒng)電腦機頂盒業(yè)務(wù)用戶區(qū)內(nèi)部互聯(lián)區(qū)營業(yè)廳市級 BOSSOA內(nèi)容交換災(zāi)備網(wǎng)管客戶端辦公網(wǎng)絡(luò)內(nèi)部公共區(qū)（ 1）內(nèi)部系統(tǒng)區(qū) ：由各主、備業(yè)務(wù)系統(tǒng)和相關(guān)業(yè)務(wù)支撐系統(tǒng)組成，其中，業(yè)務(wù)系統(tǒng)主要包括直播系統(tǒng)和雙向互動業(yè)務(wù)系統(tǒng)等，業(yè)務(wù)第 12頁共33頁支撐系統(tǒng)主要包括運營支撐系統(tǒng)和認(rèn)證系統(tǒng)等。內(nèi)部系統(tǒng)區(qū)與其他各區(qū)域及通道間存在不同的互聯(lián)關(guān)系。（ 2）內(nèi)部互聯(lián)區(qū) ：由連接內(nèi)部系統(tǒng)區(qū)中各系統(tǒng)的相關(guān)互聯(lián)通道以及營業(yè)廳終端和OA 組成，通過這些互聯(lián)通道，前述各系統(tǒng)與其相應(yīng)的下級系統(tǒng)、災(zāi)備系統(tǒng)（異地）以及營業(yè)廳終端等實現(xiàn)互聯(lián)。其中，一個省級系統(tǒng)的下級系統(tǒng)是指與該省級系統(tǒng)互聯(lián)的相應(yīng)市級系統(tǒng)。主要包括：省-市-縣后臺互聯(lián)通道

20、：主要包括運營支撐系統(tǒng)多級之間的互聯(lián)通道、與營業(yè)廳終端互聯(lián)通道等。內(nèi)容交換通道：指上下級系統(tǒng)間交換節(jié)目或業(yè)務(wù)內(nèi)容的通道，可以為單向或雙向傳輸通道。災(zāi)備通道：指內(nèi)部系統(tǒng)區(qū)中各系統(tǒng)與其相應(yīng)災(zāi)備系統(tǒng)（異地）間的數(shù)據(jù)同步通道。OA ：指辦公自動化系統(tǒng)及與其它各級OA 系統(tǒng)的互聯(lián)通道。3）內(nèi)部公共區(qū) ：指公司內(nèi)部的公共區(qū)域，主要包含辦公網(wǎng)絡(luò)和網(wǎng)管 /監(jiān)控客戶端。網(wǎng)管客戶端和系統(tǒng)監(jiān)控客戶端：客戶端主機與各業(yè)務(wù)系統(tǒng)的網(wǎng)管或監(jiān)測功能模塊互聯(lián)，可以控制內(nèi)部系統(tǒng)。辦公網(wǎng)絡(luò)：辦公網(wǎng)絡(luò)可接入的終端設(shè)備的隨意性大、可控性弱，有線、無線局域網(wǎng)并存，網(wǎng)絡(luò)環(huán)境復(fù)雜。（ 4）業(yè)務(wù)用戶區(qū) ：指有線電視網(wǎng)的用戶，包括有線電視用戶（

21、機頂盒終端）和寬帶接入用戶（計算機終端），具備雙向?qū)拵Ы尤牖螂p向回傳通道。5）外部專用通道 ：包含范圍較廣，如：系統(tǒng)或設(shè)備的遠(yuǎn)程維護接入通道；增值業(yè)務(wù)通道（廣告、政務(wù)、生活服務(wù)、網(wǎng)游、電商等第三方增值業(yè)務(wù)提供商互聯(lián)） ；內(nèi)容提供通道（ VoD、EPG 等內(nèi)容提供商互聯(lián)通道） ；監(jiān)管通道（總局監(jiān)管中心節(jié)目監(jiān)管通道） ；節(jié)目分發(fā)（接收直播節(jié)目流的通道）等。這些出口或通過互聯(lián)網(wǎng)遠(yuǎn)程連接，或通過廣電國家干線網(wǎng)絡(luò)遠(yuǎn)程連接。6）雙向網(wǎng)絡(luò)與互聯(lián)網(wǎng)接口 ：此處雙向網(wǎng)絡(luò)特指可提供機頂盒回傳或可提供寬帶接入服務(wù)的網(wǎng)絡(luò)，互聯(lián)網(wǎng)接口亦特指寬帶上網(wǎng)的出口。雙向網(wǎng)絡(luò)與內(nèi)部系統(tǒng)區(qū)有信令傳輸通道。邊界防護建議方案：第 13頁

22、共33頁內(nèi)部系統(tǒng)區(qū)與其他各區(qū)邊界應(yīng)部署有足夠強度的安全防護，落實系統(tǒng)安全管理要求，通過對防火墻訪問策略的詳細(xì)制定、對設(shè)備系統(tǒng)訪問權(quán)限的嚴(yán)格控制、部署安全緩沖區(qū)、部署安全審計系統(tǒng)等手段確保內(nèi)部系統(tǒng)邊界穩(wěn)定。邊界防護策略雙向網(wǎng)絡(luò)的 互聯(lián)網(wǎng)邊界 防護1、在互聯(lián)網(wǎng)邊界部署外部和內(nèi)部兩級異構(gòu)防火墻進行安全訪問控制。2、在互聯(lián)網(wǎng)邊界出口路由器處部署IPS 和防 DDOS。3、在核心交換設(shè)備處部署IDS 并及時進行策略更新，監(jiān)控異常網(wǎng)絡(luò)行為，實現(xiàn)安全內(nèi)容審計。4、外層防火墻外部接口對內(nèi)安全策略只允許開放對外所必需的服務(wù)端口。只應(yīng)允許互聯(lián)網(wǎng)區(qū)域訪問第一層防火墻內(nèi)提供 WEB或指定服務(wù)（如郵件系統(tǒng)）的負(fù)載均衡設(shè)

23、備的虛擬IP 地址和服務(wù)端口。5、設(shè)備宜部署主機防病毒軟件。內(nèi)部系統(tǒng)區(qū)的外部專用通道1、在邊界部署防火墻 進行安全訪問控制邊界防護2、以安全要求通則為基準(zhǔn)，各接口分別制定防護策略。3、部署 堡壘機 ，對內(nèi)部系統(tǒng)的維護操作必須通過堡壘機驗證后操作，內(nèi)部系統(tǒng)區(qū)的主機僅允許堡壘機的IP 地址訪問，實現(xiàn)對內(nèi)部系統(tǒng)維護訪問的單點控制。4、遠(yuǎn)程維護應(yīng)按5.6 節(jié)要求執(zhí)行。( 應(yīng)禁止設(shè)備的遠(yuǎn)程維護。發(fā)生緊急事件需要遠(yuǎn)程技術(shù)支持時，應(yīng)經(jīng)過逐級審批；必須采用專線接入方式，傳輸通道必須進行安全加密，僅臨時開放遠(yuǎn)程查詢權(quán)限；處理完畢完成后，立即物理斷開。遠(yuǎn)程操作時發(fā)生的所有登錄和操作行為必須被審計。)第 14頁共3

24、3頁5、各級有線廣播電視網(wǎng)絡(luò)運營機構(gòu)應(yīng)加強對第三方業(yè)務(wù)、系統(tǒng)和設(shè)備提供商的管理，制訂相關(guān)管理制度，建立規(guī)范的業(yè)務(wù)規(guī)劃、運行和維護流程。內(nèi)部系統(tǒng)區(qū)與雙向網(wǎng)絡(luò)的邊1、在邊界處部署 防火墻策略 進行安全訪問控制。界防護2、防火墻對內(nèi)安全策略應(yīng)僅允許開放業(yè)務(wù)系統(tǒng)需要的雙向回傳通道的相應(yīng)端口。3、部署 IDS 并及時進行策略更新，監(jiān)控異常行為和異常流量。4、部署 獨立日志服務(wù)器 ，內(nèi)部系統(tǒng)區(qū)的日志均保存到獨立的日志服務(wù)器上，日志服務(wù)器除日志服務(wù)外關(guān)閉其他任何服務(wù)，僅允許控制臺登錄，保證在系統(tǒng)異常時，有據(jù)可查。內(nèi)部系統(tǒng)區(qū) 面向用戶直接訪終端用戶不得直接訪問服務(wù)系統(tǒng)后臺，可通過設(shè)置 DMZ區(qū)隔離用戶與后臺系

25、統(tǒng)。問的邊界防護終端用戶直接訪問的門戶或其他服務(wù)系統(tǒng)，如用戶接入門戶、自服務(wù)系統(tǒng)門戶、營業(yè)廳門戶等應(yīng)部署：1、防拒絕服務(wù)攻擊設(shè)備 ，對進出互聯(lián)網(wǎng)的流量進行清洗。2、防病毒網(wǎng)關(guān)設(shè)備，作為企業(yè)版防病毒的補充，防止WEB訪問帶來的安全威脅。3、網(wǎng)頁防篡改系統(tǒng)，對 DMZ區(qū)服務(wù)器進行保護。4、用戶行為管理系統(tǒng)，監(jiān)測和控制用戶訪問系統(tǒng)的操作。5、負(fù)載均衡設(shè)備 ?？梢圆捎密浖蛴布姆绞綄崿F(xiàn)。對于采用硬件設(shè)備進行負(fù)載均衡的，要求負(fù)載均衡器上虛擬IP 端口（與防火墻互聯(lián)的端口）和實際服務(wù)器的端口分屬不同的區(qū)域。如果服務(wù)器通過軟件方式實現(xiàn)負(fù)載均衡，盡量把負(fù)載均衡服務(wù)器與業(yè)務(wù)服務(wù)器分離。內(nèi)部系統(tǒng)區(qū)與內(nèi)部公共區(qū)邊

26、1、在內(nèi)部公共區(qū)邊界處部署前置機 ，對內(nèi)部系統(tǒng)區(qū)的訪問通過前置機轉(zhuǎn)發(fā)。界防護2、在內(nèi)部公共區(qū)邊界處部署網(wǎng)絡(luò)流量管理系統(tǒng)實時監(jiān)控網(wǎng)絡(luò)中的異常流量，進行帶寬限制。3、網(wǎng)管客戶端和網(wǎng)絡(luò)公司辦公網(wǎng)絡(luò)間應(yīng)嚴(yán)格禁止數(shù)據(jù)互訪；第 15頁共33頁4、對網(wǎng)管帳號依據(jù)申請、審批、分配、審核等流程進行管理和控制。5、辦公終端應(yīng)部署主機防病毒軟件。以下策略和防護手段可以根據(jù)各地區(qū)實際情況，選擇部署：6、在該接口邊界的網(wǎng)絡(luò)設(shè)備上部署IDS 并及時進行策略更新，監(jiān)控異常網(wǎng)絡(luò)行為，實現(xiàn)安全內(nèi)容審計。內(nèi)部系統(tǒng)區(qū)與內(nèi)部互聯(lián)區(qū)邊1、在 IP 承載網(wǎng)邊界處部署防火墻 ，防火墻應(yīng)限制相關(guān)業(yè)務(wù)的端口和IP 地址，不能允許非內(nèi)部互聯(lián)區(qū)網(wǎng)

27、段的地址訪問界防護內(nèi)部系統(tǒng)區(qū)。2、在該接口邊界核心安全區(qū)側(cè)的網(wǎng)絡(luò)設(shè)備上部署IDS 并及時進行策略更新，監(jiān)控異常網(wǎng)絡(luò)行為，實現(xiàn)安全內(nèi)容審計。安全要求通則中的要求：5.2 全網(wǎng)拓?fù)涔芾硪髴?yīng)具備明確的、與實際相符的全網(wǎng)拓?fù)浼斑B接方案，安全域劃分明確，業(yè)務(wù)邊界清晰。嚴(yán)禁未經(jīng)審批備案的連接變更和端口開通，必須實現(xiàn)所有數(shù)據(jù)流向明確可掌控。所有設(shè)備的配置文件必須存檔備查，對于配置文件的任何修改必須經(jīng)過審批。所有軟件的部署、安裝、更新、卸載等必須經(jīng)審批，軟件部署位置、版本、管理員賬號口令等信息必須備案備查。5.4 網(wǎng)絡(luò)隔離管理要求原則上內(nèi)外網(wǎng)應(yīng)實現(xiàn)物理隔離。內(nèi)部系統(tǒng)區(qū)和內(nèi)部互聯(lián)區(qū)中各系統(tǒng)禁止與外部網(wǎng)絡(luò)直接連

28、接。外部網(wǎng)絡(luò)指本單位廣播電視生產(chǎn)業(yè)務(wù)相關(guān)信息系統(tǒng)之外的網(wǎng)絡(luò)，如辦公網(wǎng)絡(luò)、外單位網(wǎng)絡(luò)、國際互聯(lián)網(wǎng)或其他公共網(wǎng)絡(luò)。針對必要的系統(tǒng)間互聯(lián)需求，必須進行連通性方案設(shè)計、 安全策略部署、 數(shù)據(jù)流向控制、 日常監(jiān)控維護以及安全審計等方面的工作。第 16頁共33頁應(yīng)關(guān)斷所有非必需的訪問路徑，僅開通必要的系統(tǒng)間訪問端口，制定詳細(xì)的訪問控制策略，保證數(shù)據(jù)流向可控，并備案備查。必須嚴(yán)格控制各業(yè)務(wù)系統(tǒng)之間的訪問和接口之間的互通，尤其是與互聯(lián)網(wǎng)的連接。內(nèi)部系統(tǒng)區(qū)中各系統(tǒng)除專用的業(yè)務(wù)傳送和雙向網(wǎng)的信令回傳外，禁止與互聯(lián)網(wǎng)直接連接?？膳c內(nèi)部系統(tǒng)區(qū)連通的網(wǎng)絡(luò)禁止連接任何無線局域網(wǎng)。系統(tǒng)安全系統(tǒng)安全分為服務(wù)端系統(tǒng)安全、應(yīng)用安

29、全、數(shù)據(jù)安全和備份恢復(fù)三部分：3.1 服務(wù)端系統(tǒng)安全第 17頁共33頁二級三級身份鑒別a) 應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別，a) 應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別，應(yīng)為應(yīng)為不同用戶分配不同的用戶名，不能多人使用同一用戶名；不同用戶分配不同的用戶名，不能多人使用同一用戶名；b) 系統(tǒng)管理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)b) 系統(tǒng)管理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)定期定期更換，用戶名和口令禁止相同；更換，用戶名和口令禁止相同；c) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次c) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會

30、話、限制非法登錄次數(shù)和數(shù)和自動退出等措施；自動退出等措施；d) 當(dāng)對服務(wù)器進行遠(yuǎn)程管理時，應(yīng)采用HTTPS 、 SSH 等安全的d) 當(dāng)對服務(wù)器進行遠(yuǎn)程管理時，應(yīng)采用HTTPS 、 SSH 等安全的遠(yuǎn)程遠(yuǎn)程管理手段，防止用戶身份鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。管理手段，防止用戶身份鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；e) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。訪問控制a) 應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問，a) 應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問，根根據(jù)需要禁止通過USB 、光驅(qū)等外設(shè)進行數(shù)據(jù)交換，關(guān)閉不必要據(jù)需要禁止通過 USB 、光驅(qū)等

31、外設(shè)進行數(shù)據(jù)交換，關(guān)閉不必要的服務(wù)的服務(wù)和端口等；和端口等；b) 應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；b) 應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授c) 應(yīng)限制默認(rèn)帳戶的訪問權(quán)限，重命名Windows 系統(tǒng)默認(rèn)帳戶，予管理用戶所需的最小權(quán)限；修改帳戶的默認(rèn)口令；c) 應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；d) 應(yīng)及時刪除多余的、過期的帳戶，避免存在共享帳戶。d) 應(yīng)限制默認(rèn)帳戶的訪問權(quán)限，重命名Windows 系統(tǒng)默認(rèn)帳戶，修改帳戶的默認(rèn)口令；e) 應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在；第 18頁共33頁f) 應(yīng)對高風(fēng)險服務(wù)器的重要信息資源設(shè)置敏

32、感標(biāo)記，并應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記的重要信息資源的操作。入侵防范a) 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝業(yè)務(wù)需要的組件和應(yīng)a) 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，用程序，關(guān)閉不必要的服務(wù)關(guān)閉不必要的端口和服務(wù)；和端口；b) 通過設(shè)置升級服務(wù)器等方式定期更新操作系統(tǒng)補丁，新聞制播系b) 應(yīng)定期更新操作系統(tǒng)補丁，新聞制播系統(tǒng)、播出整備系統(tǒng)、播統(tǒng)、 播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心服務(wù)器可根出系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心服務(wù)器可根據(jù)需要進行更新。據(jù)需要進行更新；c) 應(yīng)能夠檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP 、攻擊的類型、攻擊

33、的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報警；d) 應(yīng)能夠?qū)Σ僮飨到y(tǒng)重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施。惡意代碼防范應(yīng)部署具有統(tǒng)一管理功能的防惡意代碼軟件，并定期更新防惡意代應(yīng)部署具有統(tǒng)一管理功能的防惡意代碼軟件，并定期更新防惡意代碼碼軟件版本和惡意代碼庫；新聞制播系統(tǒng)、播出整備系統(tǒng)、播出軟件版本和惡意代碼庫；新聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心服務(wù)器可根據(jù)需要進行部署和更播出直接相關(guān)系統(tǒng)的核心服務(wù)器可根據(jù)需要進行部署和更新。新。資源控制a) 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；應(yīng)根據(jù)安全策略設(shè)置登錄終端的

34、操作超時鎖定；應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度；第 19頁共33頁冗余配置新聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心服務(wù)器應(yīng)具有冗余配置。安全審計a) 應(yīng)對系統(tǒng)中的接口服務(wù)器、Web 服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等重要服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫進行審計，審計粒度為用戶級；審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計記錄至少應(yīng)包括事件的日期、時間、類型、用戶名、客戶端

35、IP 地址、訪問對象、結(jié)果等；應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等，審計記錄至少保存 90 天；應(yīng)定期對審計記錄進行分析，以便及時發(fā)現(xiàn)異常行為。應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警。新聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心服務(wù)器應(yīng)具有冗余配置， 并能夠在發(fā)生故障時進行及時切換。應(yīng)對系統(tǒng)中的接口服務(wù)器、Web 服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等重要服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫進行審計，審計粒度為用戶級；b) 審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用及 其它與審計相關(guān)的信息；c) 審計記錄至少應(yīng)包括事件的日期、時間、類型

36、、用戶名、客戶端IP地址、訪問對象、結(jié)果等；應(yīng)保護審計進程，避免受到未預(yù)期的中斷；應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等，審計記錄至少保存 90 天；應(yīng)定期對審計記錄進行分析，以便及時發(fā)現(xiàn)異常行為；應(yīng)為安全管理中心提供集中管理的接口。3.2 應(yīng)用安全第 20頁共33頁二級三級身份鑒別a) 應(yīng)提供獨立的登錄控制模塊，或者將登錄控制模塊集成到統(tǒng)一a) 應(yīng)提供 獨立的登錄控制模塊 ，或者將登錄控制模塊集成到統(tǒng)一的門的門戶認(rèn)證系統(tǒng)中，應(yīng)對登錄應(yīng)用系統(tǒng)的用戶進行身份標(biāo)識和鑒戶認(rèn)證系統(tǒng)中，應(yīng)對登錄應(yīng)用系統(tǒng)的用戶進行身份標(biāo)識和鑒別，應(yīng)為別，應(yīng)為不同用戶分配不同的用戶名，不能多人使用同一用戶名；不

37、同用戶分配不同的用戶名，不能多人使用同一用戶名；b) 應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)b) 應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識；統(tǒng)中不存在重復(fù)用戶身份標(biāo)識；c) 系統(tǒng)管理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)c) 系統(tǒng)管理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)定期定期更換，用戶名和口令禁止相同；更換，用戶名和口令禁止相同；d) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次d) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和數(shù)和自動退出等措施。自動退出等措施；e) 應(yīng)對管理用戶和重要

38、業(yè)務(wù)操作用戶采用兩種或兩種以上組合的鑒別技術(shù)對其身份進行鑒別。訪問控制a) 應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問，a) 應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問，控制控制粒度為文件和數(shù)據(jù)庫表級；粒度為文件、數(shù)據(jù)庫表級；b) 刪除臨時帳戶和測試帳戶，重命名默認(rèn)帳戶，修改其默認(rèn)口令，b) 刪除臨時帳戶和測試帳戶，重命名默認(rèn)帳戶，修改其默認(rèn)口令，限限制其訪問權(quán)限，不允許匿名用戶登錄；制其訪問權(quán)限，不允許匿名用戶登錄；c) 訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體（信息系統(tǒng)c) 訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體（信息系統(tǒng)用用戶）、客體（用戶所訪問的數(shù)據(jù)）及它

39、們之間的操作（讀、寫、戶）、客體（用戶所訪問的數(shù)據(jù)）及它們之間的操作（讀、寫、修改、修改、刪除等） ；刪除等）；第 21頁共33頁d) 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它d) 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之們之間形成相互制約的關(guān)系。如系統(tǒng)管理員不建議擁有系統(tǒng)審計員間形成相互制約的關(guān)系。如系統(tǒng)管理員不建議擁有系統(tǒng)審計員權(quán)限、權(quán)限、一般系統(tǒng)用戶不建議擁有系統(tǒng)管理員權(quán)限等。一般系統(tǒng)用戶不建議擁有系統(tǒng)管理員權(quán)限等；e) 應(yīng)對高風(fēng)險服務(wù)器的重要信息資源設(shè)置敏感標(biāo)記，并應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記的重要信息資源的操作。通信完整性信息系統(tǒng)與外部網(wǎng)絡(luò)進

40、行通信時，應(yīng)采用校驗碼技術(shù)、特定的音視應(yīng)采用校驗碼技術(shù)、特定的音視頻文件格式、特定協(xié)議或等同強度的頻文件格式、 特定協(xié)議或等同強度的技術(shù)手段等進行傳輸，保證通技術(shù)手段等進行傳輸，保證通信過程中的數(shù)據(jù)完整性。信過程中的數(shù)據(jù)完整性。通信保密性信息系統(tǒng)與外部網(wǎng)絡(luò)進行通信時，在通信雙方建立連接之前，應(yīng)用信息系統(tǒng)與外部網(wǎng)絡(luò)進行通信時，在通信雙方建立連接之前，應(yīng)用系系統(tǒng)應(yīng)利用密碼技術(shù)進行會話初始化驗證，并對通信過程中的用戶統(tǒng)應(yīng)利用密碼技術(shù)進行會話初始化驗證，并對通信過程中的用戶身份身份鑒別信息等敏感信息字段進行加密。鑒別信息等敏感信息字段進行加密。軟件容錯a) 應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸

41、入或通信接a) 應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通信接口輸口輸入的數(shù)據(jù)長度、格式、范圍、數(shù)據(jù)類型等符合設(shè)定要求，防止入的數(shù)據(jù)長度格式、范圍、數(shù)據(jù)類型等符合設(shè)定要求，防止諸如SQL諸如 SQL 注入、跨站攻擊、溢出攻擊等惡意行為，對非法輸入進注入、跨站攻擊、溢出攻擊等惡意行為，對非法輸入進行明確的錯誤行明確的錯誤提示并報警；提示并報警；b) 當(dāng)軟件發(fā)生故障時，信息系統(tǒng)應(yīng)能夠繼續(xù)提供部分功能，確保b) 應(yīng)提供自動保護功能， 當(dāng)故障發(fā)生時自動保護當(dāng)前狀態(tài)，保證系統(tǒng)能夠?qū)嵤┦瓜到y(tǒng)恢復(fù)正?；虮Ｗo數(shù)據(jù)安全的必要措施。能夠進行恢復(fù)。資源控制a) 當(dāng)信息系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任

42、何響應(yīng)，a) 當(dāng)信息系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一另一方應(yīng)能夠自動結(jié)束會話；方應(yīng)能夠自動結(jié)束會話；第 22頁共33頁應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接及單個帳戶的多重并發(fā)會話進行限制。安全審計a) 應(yīng)提供新聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)安全審計功能；審計內(nèi)容應(yīng)包括用戶登錄、修改配置、核心業(yè)務(wù)操作等重要行為，以及系統(tǒng)資源的異常使用等；審計記錄至少應(yīng)包括事件的日期和時間、事件類型、客戶端地址、描述和結(jié)果等；應(yīng)保證無法刪除、修改或覆蓋審計記錄，審計記錄至少保存天。應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接及單個帳戶的多重并發(fā)會話進行限制；應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的

43、并發(fā)會話連接數(shù)進行限制；應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警。應(yīng)能提供覆蓋到每個用戶的審計功能；審計內(nèi)容應(yīng)包括用戶登錄、修改配置、核心業(yè)務(wù)操作等重要行為，以及系統(tǒng)資源的異常使用等；c) 審計記錄至少應(yīng)包括事件的日期和時間、事件類型、客戶端IP 地IP址、描述和結(jié)果等；應(yīng)保證無法單獨中斷審計進程；90 e) 應(yīng)保證無法刪除、 修改或覆蓋審計記錄， 審計記錄至少保存90 天；應(yīng)提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能；應(yīng)為安全管理中心提供集中管理的接口。3.3 數(shù)據(jù)安全和備份恢復(fù)第 23頁共3

44、3頁二級三級數(shù)據(jù)完整性應(yīng)能夠檢測到用戶身份鑒別信息、調(diào)度信息、播出節(jié)目等重要業(yè)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、用戶身份鑒別信息、調(diào)度信息、 播出節(jié)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。目等重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲過程中完整性受到破壞，并在檢測到其完整性遭到破壞時采取必要的恢復(fù)措施。數(shù)據(jù)保密性應(yīng)采用加密或其他有效措施實現(xiàn)用戶身份鑒別信息的存儲保密性。應(yīng)采用加密或其他有效措施實現(xiàn)用戶身份鑒別信息的存儲保密性。備份與恢復(fù)應(yīng)能夠?qū)χ匾獦I(yè)務(wù)信息進行備份和恢復(fù)。a) 應(yīng)能夠?qū)χ匾畔⑦M行本地備份和恢復(fù)，完全數(shù)據(jù)備份至少每周一次，增量備份或差分備份至少每天一次，備份介質(zhì)應(yīng)在數(shù)據(jù)執(zhí)行所在場地外存放；b) 應(yīng)能夠?qū)χ匾?/p>

45、息進行異地備份，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。3.4 討論系統(tǒng)部分的安全主要可以分為以下幾塊：1)用戶鑒別和訪問控制， 包括系統(tǒng)主機層面和應(yīng)用系統(tǒng)層面，在應(yīng)用系統(tǒng)層面特別要求獨立的登陸控制模塊，可通過 LDAP 等目錄服務(wù)等技術(shù)實現(xiàn)統(tǒng)一用戶身份識別和認(rèn)證。2)系統(tǒng)主機防護，包括資源控制，入侵防范，惡意代碼防范等，主要通過內(nèi)容補丁更新服務(wù)器，內(nèi)網(wǎng)漏洞掃描服務(wù)器，內(nèi)網(wǎng)防病毒軟件部署，防火墻等方法進行內(nèi)部加固；3)軟件容錯和資源控制 ( 防 DDOS 攻擊 )：防止諸如SQL 注入、跨站攻擊、溢出攻擊等惡意行為，可以通過內(nèi)部漏洞檢測系統(tǒng)檢測第 24頁共33頁應(yīng)用系統(tǒng)此類漏洞；4)數(shù)據(jù)

46、完整性和保密性 , 核心是數(shù)據(jù)通信和存儲過程中的防篡改機制和防竊聽機制；其中“應(yīng)采用校驗碼技術(shù)、特定的音視頻文件格式、特定協(xié)議或等同強度的技術(shù)手段等進行傳輸，保證通信過程中的數(shù)據(jù)完整性?！睂σ粢曨l文件防篡改提出了明確的要求，有必要重點關(guān)注。5)主機冗余和備份恢復(fù)：其中3 級要求重要信息異地備份，是一個相對比較高的要求。6)安全審計；指導(dǎo)意見安全要求通則中的要求：5.5 設(shè)備輸入輸出端口管理要求主機 USB 端口宜采用端口控制，端口涉及的存儲介質(zhì)必須嚴(yán)格限定傳播范圍，專人專管。系統(tǒng)、設(shè)備間內(nèi)容復(fù)制、軟件更新等，宜采用只讀光盤方式傳輸。5.6 遠(yuǎn)程維護管理要求應(yīng)禁止設(shè)備的遠(yuǎn)程維護。發(fā)生緊急事件需要

47、遠(yuǎn)程技術(shù)支持時，應(yīng)經(jīng)過逐級審批；必須采用專線接入方式，傳輸通道必須進行安全加密，僅臨時開放遠(yuǎn)程查詢權(quán)限；處理完畢完成后，立即物理斷開。遠(yuǎn)程操作時發(fā)生的所有登錄和操作行為必須被審計。5.7 賬號口令管理要求應(yīng)對交換設(shè)備、數(shù)據(jù)設(shè)備、無線設(shè)備、傳輸設(shè)備、動力設(shè)備、網(wǎng)管系統(tǒng)、運營支撐系統(tǒng)、業(yè)務(wù)系統(tǒng)等的賬號進行系統(tǒng)安全管理，制定賬號申請、審批、分配、更新、審核等流程。第 25頁共33頁賬號口令必須明確區(qū)分操作權(quán)限，嚴(yán)格控制具有管理員權(quán)限的賬號使用范圍。賬號口令必須專人專用，所有系統(tǒng)、所有賬號的登錄退出操作必須逐條記錄并備案備查；人員權(quán)限發(fā)生變化（含調(diào)動、離職等），其所有賬號口令權(quán)限必須立即重新分配或中止

48、。關(guān)鍵用戶認(rèn)證宜配置雙因素認(rèn)證方式。賬號口令必須做到定期更新，更新間隔應(yīng)不超過3 個月。5.8 補丁及更新管理要求應(yīng)制定安全補丁加載流程，包括補丁加載規(guī)范制定、補丁開發(fā)安全測試、補丁加載后驗證等。明確補丁管理流程的角色職責(zé)、活動以及活動之間的接口。補丁或更新必須由具備權(quán)限的人員手動操作，嚴(yán)禁開啟自動更新。第 26頁共33頁終端安全4.1 終端系統(tǒng)安全二級三級身份鑒別應(yīng)對登錄終端操作系統(tǒng)的用戶進行身份標(biāo)識和鑒別，口令應(yīng)有復(fù)應(yīng)對登錄終端操作系統(tǒng)的用戶進行身份標(biāo)識和鑒別，口令應(yīng)有復(fù)雜度雜度要求并定期更換，用戶名和口令禁止相同。要求并定期更換，用戶名和口令禁止相同。訪問控制應(yīng)依據(jù)安全策略控制用戶對資源

49、的訪問，禁止通過USB 等外設(shè)應(yīng)依據(jù)安全策略控制用戶對資源的訪問，禁止通過USB 、 光驅(qū) 等外進行數(shù)據(jù)交換，關(guān)閉不必要的服務(wù)和端口等。設(shè)進行數(shù)據(jù)交換，關(guān)閉不必要的服務(wù)和端口等。入侵防范操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝業(yè)務(wù)需要的組件和應(yīng)用程a) 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，第 27頁共33頁序，并保持操作系統(tǒng)補丁及時得到更新。新聞制播系統(tǒng)、播出整并保持系統(tǒng)補丁及時得到更新；備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的終端可根據(jù)需要進行更b) 通過設(shè)置升級服務(wù)器等方式定期更新操作系統(tǒng)補??； 新聞制播系新。統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的終端可根據(jù)需要進行更新。惡意代碼防范應(yīng)部署具有統(tǒng)一集中管理功能的防惡意代碼軟件，并定期更新防惡應(yīng)部署具有統(tǒng)一集中管理功能的防惡意代碼軟件，并定期更新防惡意意代碼軟件版本和惡意代碼庫；新聞制播系統(tǒng)、播出整備系統(tǒng)、代碼軟件版本和惡意代碼庫；新聞制播系統(tǒng)、播出整備系統(tǒng)、播出播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的終端可根據(jù)需要進行部署。系統(tǒng)等播出直接相關(guān)系統(tǒng)的終端可根據(jù)需要進行部署。安全審計a) 應(yīng)對系統(tǒng)中的重要終端進行審計，審計粒度為用戶級；b) 審計內(nèi)容應(yīng)包括重要用