标准规范下载简介
县级融媒体*心网络安全规范(*共*****新闻局 国家广播电视总局科技司2019年4月)县级融媒体*心网络安全规范
前言本规范按照GB/T1.1一2009给出的规则起草。请注意本规范的某些内容可能涉及专利。本规范发布机构不承担识别这些专利的责任。
县级融媒体*心网络安全规范
本规范规定了县级融媒体*心的网络安全要求,包括技术要求、管理要求和运维要求。 本规范适用于县级融媒体*心的网络安全建设和监督管理。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件CECS 546-2018-T 钢管混凝土束结构技术标准,其最新版本(包括所有的修改单)适用于本文件, GB17859一1999计算机信息系统安全保护等级划分准则 GB/T22239—2008 信息安全技术信息系统安全等级保护基本要求 GB/T222402008 信息安全技术信息系统安全等级保护定级指南 GB/T25069—2010 信息安全技术术语 GY/T3212019 县级融媒体*心省级技术平台规范要求 GD/J037一2011广播电视相关信息系统安全等级保护定级指南 GD/J038一2011广播电视相关信息系统安全等级保护基本要求 GM/T0054一2018信息系统密码应用基本要求 县级融媒体*心建设规范(广电发[2019]5号) 县级融媒体*心运行维护规范
GB/T25069—2010、GB17859—1999、GB/T22239—2008、GD/J038—2011界定的以及下列术语和 定义适用于本文件。
为县级融媒体*心媒体服务、党建服务、政务服务、公共服务、增值服务等业务开展提 运营维护的省级云平台
县级融媒体*心网络安全是县级融媒体*心建设的组成*分,县级融媒体*心网络安全措施包括技 术措施、管理措施和运维措施,利用省级技术平台开展的业务系统、第三方业务系统及互联网渠道通过 边界防护与县级融媒体*心对接,网络安全体系框架如图1所示。
图1网络安全体系框架
根据《县级融媒体*心建设规范》规定的建设内容,从物理环境、网络系统、主机系统、应用 据及备份恢复、内容监控和安全管理*心7个方面提出网络安全的技术要求。
级融媒体*心物理环境应符合GB/T222392008
5. 3.1 结构安全
本项要求包括: a)应保证信息系统的网络结构稳定,对网络设备进行安全配置和安全加固;应保证融合发布等重 要系统的关键网络设备配置几余、处理能力和网络带宽几余,满足业务高峰期系统安全、稳定 运行的需要; 按照业务的重要性次序定义优先级,保障在网络发生拥堵时优先保证重要业务; c)应合理规划路由,确保终端与服务器之间建立安全路径; d 应根据各信息系统与播出的相关程度进行层次化网络结构设计,形成网络纵深防护体系,系统 内*应通过有线方式进行组网; e)应根据信息系统功能、业务流程、网络结构层次、业务服务对象等合理划分网络安全域; f)安全域内应根据业务类型、业务重要性、物理位置等因素,划分不同的子网或网段,并按照方 便管理和控制的原则为各子网、网段分配地址段; 同一安全域内重要网段与其他网段之间应采取可靠的技术隔离手段:
5.3.2安全接入与访问控制
本项要求包括: a 应在网络边界或区域之间根据访问控制策略设置访问控制规则; 6 通过互联网或其他外*公共网络访问县级融媒体*心的信息系统,应使用VPN等安全方式接 入,通过证书等认证机制,对内*用户权限进行管理,控制粒度为网段、用户/用户组级; C 使用VPN等安全接入方式访问内*网络时,应对接入的PC及移动设备进行安全检查; d 应配置备用访问控制策略,在安全风险意外发生时启用该策略; e 应定期优化安全访问控制规则,审计、调整完余策略、冲突策略、无用策略,精简访问控制规 则,提高安全运维效率。
5. 3. 3安全审计
5.3.4边界完整性检查
本项要求包括: a)应能够对内*用户非授权连到外*网络的行为进行检查或限制; b)应能够对非授权设备私自接入内*网络的行为进行检查或限制: c)针对内*用户*送重要文件、数据到外网的情况Q/GDW 10639-2018 配电自动化终端检测技术规范,宜通过内容过滤、防泄漏等手段进行管控。
5. 3. 5 入侵防范
本项要求包括: a)应在与外*网络连接的网络边界处监视端口扫描、木马后门、病毒*播等常见攻击行为,并对 攻击行为进行告警、过滤、拦截阻断; b)宜具备对新型网络攻击的检测和防御能力;
5. 3. 6 恶意代码防范
)应在与外*网络连接的网络边界处进行恶意代码检测和清除,并维护恶意代码库的升级; )防恶意代码系统应与信息系统内*防恶意代码系统具有不同的恶意代码库。
5.3.7网络设备防护
a)应对登录网络设备的内*用户进行身份鉴别,身份鉴别信息应具有不易被冒用的特点,口令应 有复杂度要求并定期更换,用户名和口令禁止相同; 应授予对不同角色的内*用户完成各自承担任务所需的最小权限: 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和连接超时自动退出等措施; 应对网络设备进行基本安全配置,明确业务必需的端口,关闭不必要的服务和端口; 应对网络设备的管理员登录地址进行限制,仅充许指定IP地址或IP段访问; 应采用HTTPS、SSH、VPN等技术手段DL/T 1094-2018 电力变压器用绝缘油选用导则,对网络设备进行远程管理,防止鉴别信息在网络*输过 程*被窃听; 应定期检查并锁定或撤销网络设备*多余的内*用户账号及调试账号。