标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
县级融媒体*心网络安全规范(*共*****新闻局 国家广播电视总局科技司2019年4月)5. 3. 3安全审计
5.3.4边界完整性检查
本项要求包括: a)应能够对内*用户非授权连到外*网络的行为进行检查或限制; b)应能够对非授权设备私自接入内*网络的行为进行检查或限制: c)针对内*用户*送重要文件、数据到外网的情况,宜通过内容过滤、防泄漏等手段进行管控。
DB37T 1187-2009 淡水养殖池塘5. 3. 5 入侵防范
本项要求包括: a)应在与外*网络连接的网络边界处监视端口扫描、木马后门、病毒*播等常见攻击行为,并对 攻击行为进行告警、过滤、拦截阻断; b)宜具备对新型网络攻击的检测和防御能力;
5. 3. 6 恶意代码防范
)应在与外*网络连接的网络边界处进行恶意代码检测和清除,并维护恶意代码库的升级; )防恶意代码系统应与信息系统内*防恶意代码系统具有不同的恶意代码库。
5.3.7网络设备防护
a)应对登录网络设备的内*用户进行身份鉴别,身份鉴别信息应具有不易被冒用的特点,口令应 有复杂度要求并定期更换,用户名和口令禁止相同; 应授予对不同角色的内*用户完成各自承担任务所需的最小权限: 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和连接超时自动退出等措施; 应对网络设备进行基本安全配置,明确业务必需的端口,关闭不必要的服务和端口; 应对网络设备的管理员登录地址进行限制,仅充许指定IP地址或IP段访问; 应采用HTTPS、SSH、VPN等技术手段,对网络设备进行远程管理,防止鉴别信息在网络*输过 程*被窃听; 应定期检查并锁定或撤销网络设备*多余的内*用户账号及调试账号。
5.3.8安全数据交换
a)高 融合发布系统与其他信息系统之间进行数据交换时,应对文件类型及格式进行限定 b 应限定可以通过移动介质交换数据的主机,所有通过移动介质上载的内容应经过两种以上的防 恶意代码措施进行恶意代码检查后,方可正式上载到内*网络;对蓝光、P2等专业移动介质 可通过特定的防护机制进行上载; C 信息系统与外*网络进行数据交换时,应通过数据交换区或专用数据交换设备等完成内外网数 据的安全交换: d 数据交换区对外应通过访问控制设备与外*网络进行安全隔离,对内应采用安全的方式进行数 据交换,可通过协议转换的手段,以信息摆渡的方式实现数据交换
5. 4.1 身份鉴别
本项要求包括: 应对业务系统和管理系统的内*用户进行身份标识和鉴别,应为不同内*用户分配不同的用户 名,不能多人使用同一用户名; 系统管理内*用户身份鉴别信息应具有不易被冒用的特点,口令长度应符合相关安全等级要 求,口令应定期更换,用户名和口令禁止相同,口令满足复杂性要求; 应具备登录失败处理功能,可提供结束会话、限制非法登录次数和自动退出等措施: 宜对登录核心网络设备、主机设备、应用系统的用户进行多重身份验证; 当对服务器进行远程管理时,应采用安全的远程管理手段,防止用户身份鉴别信息在网络*输 过程被窃听。
本项要求包: a) 应启用访问控制功能,依据安全策略控制内*用户对资源的访问路径与粒度; b 应禁止通过USB、光驱等外设进行数据交换,关闭不必要的服务和端口; 应实现操作系统和数据库系统内*用户的权限分离; 应限制默认账户的访问权限、默认账户的重命名、账户默认口令的修改; e)应及时删除多余、过期账户,避免存在共享账户,
本项要求包括: a)应遵循最小化安装原则,仅安装业务所需的组件和应用程序,服务器应专机专用,在采集、制 播等服务器上关闭不必要的端口; 融合发布系统的终端应根据需要定期更新操作系统安全补丁; c)融合发布系统的服务器应根据需要定期更新操作系统安全补丁,更新前应进行测试工作
5.4.5恶意代码防范
5. 4. 6 资源控制
本项要求包括: a)应配置相关安全策略,限制终端的登录方式、登录范围及登录空闲时长 b)应限制单个内*用户对系统资源的最大和最小使用限度。
5. 4. 7 六余配置
融合发布系统的核心服务器应具有穴余配置。
5.4. 8 完整性配置
与发布直接相关的重要执行文件目录、配置文件目录应设置完整性监控措施,对重要文件 行监控。
5.4. 9 数据共享
本项要求包括: a)应关闭主机自身的共享服务,所有数据共享通过集*共享服务器进行: b)应对数据共享目录进行严格的权限设置,分配访问账号及账号权限,且该账号对其他系统目录 无任何访问权限; C 共享目录内应单独设置写目录,且为该目录设置独立的账号权限,同时该账号对其他系统目录 无任何访问权限; d)配置相关措施,取消共享目录内所有文件的执行权限
5.4.10移动终端安全
本项要求包括: a)移动终端接入网络及访问应用时,应对用户与设备进行认证及授权; b)应对进行媒体信息采集的移动终端设备进行安全性检测。
本项要求包括: 在应用系统正式投入使用之前,应删除临时用户、测试用户、匿名用户、默认用户,修改默认 管理员的用户名称和密码; D 应对登录业务系统的用户进行身份标识和鉴别; c)用户口令应满足密码复杂度要求,至少6个月更换一次; d)应采用安全连接的方式完成身份鉴别过程
本项要求包活: a)应保证所有外*用户不具备登录系统主机的权限,且应用本身不以系统管理员身份运行; b 应授予内*用户完成各自执行任务所需的最小权限,且仅能操作特定目录,不能操作系统文件: 应具备会话管理功能,自主设置登录验证次数、最大空闲时间; d 应设置相关安全防护措施,保护用户注册信息等个人隐私数据,防止信息泄露; 禁止在互联网暴露管理页面和管理端口,设置VPN等安全*输通道,用于日常管理活动,防止 管理入口的暴露。
本项要求包括: a)可对各业务系统的默认配置参数进行调整,保证应用程序的运行安全; b)宜对业务系统收到的请求数据进行安全检测及过滤,避免各类安全攻击
本项要求包括: a)县级融媒体*心与外*网络进行通信时,宜对重要数据的*输建立加密*输通道; 县级融媒体*心与外*网络进行通信时,应对通信过程*的用户身份鉴别信息等敏感信息字段 进行加密。
本项要求包括: a)应配置软件镜像或备份,在故障发生时,由镜像或备份继续提供相关功能; b)宜配置软件存储策略,使数据存储具备容错性。
5. 5. 8资源控制
本项要求包括: a)宜限制对自身执行文件和配置文件的修改; b)宜对数据库系统进行资源限定,控制粒度为表级,信息系统以不同的连接权限、连接通道访问 对应的数据库表; C)信息系统宜为不同目的创建对应的内*用户,限制其资源访间。
5. 5. 9 完整性配置
融合发布等系统各应用模块的执行文件目录和配置文件目录宜设置完整性监控措施,对重 变更进行监控。
5.5. 10数据共享
本项要求包括: a)宜为主机分配特定账号和权限访问相关数据: 6 宜具备统一的API接口,供第三方业务系统访问相关数据,且访问过程需经过身份认证; C 宜采用密码技术对使用API接口*输的数据进行保护,防止共享数据泄露和被破坏; 宜根据数据共享的操作(只读、读写、只写)不同,分配不同的内*用户账号,使用不同的账 号访问对应的文件、目录、数据库; e 对于通过互联网发布的媒体信息,宜采用防盗链技术防止信息被非法盗取。
5.5.11移动客户端
本项要求包括: a)移动客户端应采用校验技术保证代码的完整性; b)移动客户端上线前宜经专业测评机构进行安全检测: c)应保证移动终端安装、运行的客户端来自可靠分发渠道或使用可靠证书签名
5. 6. 1数据完整性
5. 6. 2 数据保密性
本项要求包括: a)重要业务信息应采取元余备份技术,确保系统能够及时恢复数据; b)对于在省级技术平台存储与处理的重要数据,应在本地保留备份。
5. 6.5个人信息保护
市系统等发布直接相关内容数据采取多副本、高
本项要求包括: a)应在文件、数据库表级别,对个人公开信息、个人敏感信息进行区别存储; b) 应采用密码相关技术,对数据库*个人敏感信息进行加密存储,并使用数据脱敏技术,对敏感 信息进行模糊化处理,支持国密算法; 应采用密码相关技术,对个人敏感数据文件内容进行加密存储,支持国密算法。
本项要求包括: a 应对内容数据进行基于国密算法的数字签名、验签,具备内容防篡改功能; b 内容文件全生命周期*的签名变化可追溯; CJ 应对重要内容数据进行基于国密算法加密保护: d) 应对内容数据存储过程进行访问控制,有效识别和防范已知、未知入侵破坏; e)应具备内容数据被非授权访间、操作时的告警通知功能。
5. 8 安全管理*心
根据《县级融媒体*心运行维护规范》的运维要求,从介质管理、设备管理、恶意代码防范 洞防范管理、配置管理、密码管理、备份与恢复管理、终端接入管理和风险评估管理9个方面, 络安全的运维要求。
本项要求包括: a)应确保介质存放在安全的环境*,对各类介质进行控制和保护,并定期盘点; 应对介质在物理*输过程*的人员选择、打包、交付等情况进行控制,并对介质的归档和查询 等进行登记记录; C)应根据承载数据和软件的重要程度对介质进行分类和标识管理。
本项要求包括: a)应持续跟踪网络设备软件更新情况,在经过测试评估后进行更新,并在更新前对重要文件 备份:
b)应确保信息处理设备经过审批才能带离机房或办公地点; c)应对机房安全管理做出规定,包括机房物理访问、物品带进带出和机房环境安全等; d)应避免在重要区域接待来访人员,包含敏感信息的纸档文件和移动介质等应妥善保管
5.4恶意代码防范管理
本项要求包括: a)应提高所有用户的防恶意代码意识,外来计算机或存储设备接入系统前应进行恶意代码检查; b)应对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代 码的定期查杀等; C)应定期检查恶意代码库的升级情况,并形成报告,
本项要求包括: a)应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患做出评估并及时进行修补; b)实施漏洞扫描或漏洞修补前,应对可能的风险进行评估和充分准备,并做好数据备份和回退方 案; c)漏洞扫描或漏洞修补后应进行验证测试; d)宜定期对移动客户端、网站等对互联网开放的系统开展渗透测试工作
本项要求包括: 应记录和保存信息系统的基本配置信息,包括网络拓扑结构、各设备安装的软件组件及其版本 信息、补丁信息和配置参数等。配置信息记录应予以保管JB/T 11268-2012 电除尘器节电导则,不得扩散; 应定期对信息系统相关的网络设备、操作系统、数据库、*间件等IT设备开展安全健康状态 巡检和配置核查工作,对发现的问题进行整改
应符合国家密码管理的规定。
本项要求包括: a)应规定需要定期备份的重要业务信息、系统数据及软件系统等; b)应规定备份信息的备份方式、备份频度、存储介质、保存期等; c)应根据数据的重要性和数据对系统运行的影响,制定数据的备份和恢复策略; 记录,所有文件和记录应要善保存。
a)应确保移动终端在安全的网络环境下接入,确保移动终端通过授权接入; b 应进行账号管理,对申请账号、建立账号、删除账号等进行控制 C 内*终端接入相关网络与信息系统时,应经过相关*门审核; 外*终端接入网络访问DB21T 2672-2016 水培郁金香生产技术规程,应进行访问权限管理; e)终端设备应安装防病毒软件,定期升级病毒库; 应定期检查非法接入和非法外联行为,发现异常行为,立即处理并记录
应建立网络安全风险评估机制,定期开展网络安全风险评估,并针对安全风险采取相应安全措施,
[1]GB/T25070一2010信息安全技术信息系统等级保护安全设计技术要求 21 *华人民共和国网络安全法 [3】新闻出版广播影视网络安全管理办法(试行)(新广办发[2017]4号) [4】广播电视安全播出管理规定(广电总局第62号令)