广播电视相关信息系统安全系统等级保护基本要求.docVIP

实用文档 文案大全 6 第二级防护要求 6.1 基础网络安全 6.1.1 结构安全 要求如下： a) 应保证关键网络设备的业务处理能力和网络带宽具备冗余空间，满足业务高峰期需要； b) 应为新闻制播系统、播出整备系统、播出系统等播出直接相关系统的核心交换机、汇聚交换机等关键网络设备配置冗余； c）应根据各信息系统与播出的相关程度进行层次化网络结构设计，形成网络纵深防护体系，新闻制播系统中的直播演播室系统、播出整备系统、播出系统等播出直接相关系统应位于纵深结构内部，系统内部不应通过无线方式进行组网； d) 应根据信息系统功能、业务流程、网络结构层次、业务服务对象等合理划分网络安全域； e) 安全域内应根据业务类型、业务重要性、物理位置等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； f) 同一安全域内重要网段与其他网段之间应采取可靠的技术隔离手段； g) 应绘制与当前运行情况相符的网络拓扑结构图。 6.1.2 安全审计 要求如下： a) 应对关键网络设备的运行状况、用户行为等重要事件进行日志记录； b) 审计记录应包括事件的日期、时间、用户名、IP地址、事件类型、事件是否成功等； c) 应保护审计记录，避免受到未预期的删除、修改或覆盖等，审计记录至少保存90天； d) 应定期对审计记录进行分析，以便及时发现异常行为。 6.1.3 网络设备防护 要求如下： a) 应对登录网络设备的用户进行身份鉴别，身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换，用户名和口令禁止相同； b) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和连接超时自动退出等措施； c) 应该对网络设备进行基本安全配置，关闭不必要的服务和端口； d) 应对网络设备的管理员登录地址进行限制，仅允许指定IP地址或IP段访问； e) 当对网络设备进行远程管理时，应采用HTTPS、SSH等安全的远程管理手段，防止用户身份鉴别信息在网络传输过程中被窃听。 6.2 边界安全 6.2.1 访问控制 要求如下： a) 应在网络边界部署访问控制设备，根据安全策略提供明确的允许/拒绝访问，控制粒度为网段级； b) 通过外部网络对信息系统进行访问时应使用安全方式接入，根据需要采用数字证书等强制认证方式，并对用户权限进行管理，控制粒度为用户级。 6.2.2 安全数据交换 要求如下： a) 播出系统与其它信息系统之间进行数据交换时，应对文件类型及格式进行限定； b) 应限定可以通过移动介质交换数据的主机，所有通过移动介质上载的内容应经过两种以上的防恶意代码产品进行恶意代码检查后，方可正式上载到内部网络；对蓝光、P2等专业移动介质可通过特定的防护机制进行上载； c）信息系统与外部网络进行数据交换时，应通过数据交换区或专用数据交换设备等完成内外网数据的安全交换； d) 数据交换区对外应通过访问控制设备与外部网络进行安全隔离，对内应采用安全的方式进行数据交换，必要时可通过协议转换的手段，以信息摆渡的方式实现数据交换； 6.2.3 入侵防范 应在与外部网络连接的网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 6.2.4 恶意代码防范 要求如下： a) 应在与外部网络连接的网络边界处进行恶意代码检测和清除，并维护恶意代码库的升级和检测系统的更新； b) 防恶意代码产品应与信息系统内部防恶意代码产品具有不同的恶意代码库。 6.2.5 安全审计 要求如下： a) 应在与外部网络连接的网络边界处进行数据通信行为审计； b) 审计记录应包括事件的日期、时间、用户名、IP地址、事件类型、事件是否成功等； c) 应保护审计记录，避免受到未预期的删除、修改或覆盖等，审计记录至少保存90天； d) 应定期对审计记录进行分析，以便及时发现异常行为。 6.2.6 边界完整性 应能够对内部网络用户私自联到外部网络的行为进行检查。 6.3 终端系统安全 6.3.1 身份鉴别 应对登录终端操作系统的用户进行身份标识和鉴别，口令应有复杂度要求并定期更换，用户名和口令禁止相同。 6.3.2 访问控制 应依据安全策略控制用户对资源的访问，禁止通过USB等外设进行数据交换，关闭不必要的 服务和端口等。 6.3.3 入侵防范 操作系统应遵循最小安装的原则，仅安装业务需要的组件和应用程序，并保持操作系统补丁及时得到更新。新闻制播系统、播出整备系统、播出系统等播出直接相关系统的终端可根据需要进行更新。 6.3.4 恶意代码防范 应部署具有统一集中管理功能的防恶意代码软件，并定期更新防恶意代码软