标准规范下载简介
县级融媒体*心网络安全规范(*共*****新闻局 国家广播电视总局科技司2019年4月)县级融媒体*心网络安全规范(*共*****新闻局 国家广播电视总局科技司2019年4月)简介:
县级融媒体*心网络安全规范是由*共*****新闻局和国家广播电视总局科技司于2019年4月联合制定的一份指导性文件。这份规范的主要目的是为了强化县级融媒体*心的网络安全管理,保障信息*播的安全、准确和有序,防止网络信息泄露、篡改、假冒等安全问题。
该规范可能包括以下内容:
1. 网络安全基本要求:对县级融媒体*心的网络基础设施、硬件设备、软件系统等提出基本的网络安全防护要求。
2. 信息安全管理:强调对新闻信息的审核、发布流程,防止非法、有害信息的*播。
3. 数据保护:规定如何保护用户个人信息和机构内*敏感数据,防止数据泄露。
4. 应急预案:要求建立健全网络安全应急预案和应急响应机制,以应对可能的网络安全事件。
5. 网络安全教育培训:强调对员工进行网络安全知识的培训,提高安全意识和技能。
6. 监控与审计:规定网络安全监控和日志审计的实施,以便及时发现和处理安全问题。
7. 合规性:确保县级融媒体*心的网络安全工作符合国家和地方的相关法律法规。
这份规范是推动县级融媒体*心健康发展的重要准则,旨在确保在新媒体时代下,县级新闻*播机构能够合法、安全、有效地运用网络平台,为公众提供权威、真实、有价值的新闻服务。
县级融媒体*心网络安全规范(*共*****新闻局 国家广播电视总局科技司2019年4月)*分内容预览:
县级融媒体*心网络安全是县级融媒体*心建设的组成*分,县级融媒体*心网络安全措施包括技 术措施、管理措施和运维措施,利用省级技术平台开展的业务系统、第三方业务系统及互联网渠道通过 边界防护与县级融媒体*心对接,网络安全体系框架如图1所示。
图1网络安全体系框架
根据《县级融媒体*心建设规范》规定的建设内容,从物理环境、网络系统、主机系统、应用 据及备份恢复、内容监控和安全管理*心7个方面提出网络安全的技术要求。
JB/T 8635-2014标准下载级融媒体*心物理环境应符合GB/T222392008
5. 3.1 结构安全
本项要求包括: a)应保证信息系统的网络结构稳定,对网络设备进行安全配置和安全加固;应保证融合发布等重 要系统的关键网络设备配置几余、处理能力和网络带宽几余,满足业务高峰期系统安全、稳定 运行的需要; 按照业务的重要性次序定义优先级,保障在网络发生拥堵时优先保证重要业务; c)应合理规划路由,确保终端与服务器之间建立安全路径; d 应根据各信息系统与播出的相关程度进行层次化网络结构设计,形成网络纵深防护体系,系统 内*应通过有线方式进行组网; e)应根据信息系统功能、业务流程、网络结构层次、业务服务对象等合理划分网络安全域; f)安全域内应根据业务类型、业务重要性、物理位置等因素,划分不同的子网或网段,并按照方 便管理和控制的原则为各子网、网段分配地址段; 同一安全域内重要网段与其他网段之间应采取可靠的技术隔离手段:
5.3.2安全接入与访问控制
本项要求包括: a 应在网络边界或区域之间根据访问控制策略设置访问控制规则; 6 通过互联网或其他外*公共网络访问县级融媒体*心的信息系统,应使用VPN等安全方式接 入,通过证书等认证机制,对内*用户权限进行管理,控制粒度为网段、用户/用户组级; C 使用VPN等安全接入方式访问内*网络时,应对接入的PC及移动设备进行安全检查; d 应配置备用访问控制策略,在安全风险意外发生时启用该策略; e 应定期优化安全访问控制规则,审计、调整完余策略、冲突策略、无用策略,精简访问控制规 则,提高安全运维效率。
5. 3. 3安全审计
5.3.4边界完整性检查
本项要求包括: a)应能够对内*用户非授权连到外*网络的行为进行检查或限制; b)应能够对非授权设备私自接入内*网络的行为进行检查或限制: c)针对内*用户*送重要文件、数据到外网的情况,宜通过内容过滤、防泄漏等手段进行管控。
5. 3. 5 入侵防范
本项要求包括: a)应在与外*网络连接的网络边界处监视端口扫描、木马后门、病毒*播等常见攻击行为,并对 攻击行为进行告警、过滤、拦截阻断; b)宜具备对新型网络攻击的检测和防御能力;
5. 3. 6 恶意代码防范
)应在与外*网络连接的网络边界处进行恶意代码检测和清除,并维护恶意代码库的升级; )防恶意代码系统应与信息系统内*防恶意代码系统具有不同的恶意代码库。
5.3.7网络设备防护
a)应对登录网络设备的内*用户进行身份鉴别,身份鉴别信息应具有不易被冒用的特点,口令应 有复杂度要求并定期更换,用户名和口令禁止相同; 应授予对不同角色的内*用户完成各自承担任务所需的最小权限: 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和连接超时自动退出等措施; 应对网络设备进行基本安全配置,明确业务必需的端口,关闭不必要的服务和端口; 应对网络设备的管理员登录地址进行限制,仅充许指定IP地址或IP段访问; 应采用HTTPS、SSH、VPN等技术手段,对网络设备进行远程管理,防止鉴别信息在网络*输过 程*被窃听; 应定期检查并锁定或撤销网络设备*多余的内*用户账号及调试账号。
5.3.8安全数据交换
a)高 融合发布系统与其他信息系统之间进行数据交换时,应对文件类型及格式进行限定 b 应限定可以通过移动介质交换数据的主机,所有通过移动介质上载的内容应经过两种以上的防 恶意代码措施进行恶意代码检查后,方可正式上载到内*网络;对蓝光、P2等专业移动介质 可通过特定的防护机制进行上载; C 信息系统与外*网络进行数据交换时,应通过数据交换区或专用数据交换设备等完成内外网数 据的安全交换: d 数据交换区对外应通过访问控制设备与外*网络进行安全隔离,对内应采用安全的方式进行数 据交换,可通过协议转换的手段,以信息摆渡的方式实现数据交换
5. 4.1 身份鉴别
本项要求包括: 应对业务系统和管理系统的内*用户进行身份标识和鉴别,应为不同内*用户分配不同的用户 名,不能多人使用同一用户名; 系统管理内*用户身份鉴别信息应具有不易被冒用的特点,口令长度应符合相关安全等级要 求,口令应定期更换,用户名和口令禁止相同,口令满足复杂性要求; 应具备登录失败处理功能,可提供结束会话、限制非法登录次数和自动退出等措施: 宜对登录核心网络设备、主机设备、应用系统的用户进行多重身份验证; 当对服务器进行远程管理时,应采用安全的远程管理手段,防止用户身份鉴别信息在网络*输 过程被窃听。
本项要求包: a) 应启用访问控制功能,依据安全策略控制内*用户对资源的访问路径与粒度; b 应禁止通过USB、光驱等外设进行数据交换,关闭不必要的服务和端口; 应实现操作系统和数据库系统内*用户的权限分离; 应限制默认账户的访问权限、默认账户的重命名、账户默认口令的修改; e)应及时删除多余、过期账户,避免存在共享账户,
本项要求包括: a)应遵循最小化安装原则,仅安装业务所需的组件和应用程序,服务器应专机专用,在采集、制 播等服务器上关闭不必要的端口; 融合发布系统的终端应根据需要定期更新操作系统安全补丁; c)融合发布系统的服务器应根据需要定期更新操作系统安全补丁,更新前应进行测试工作
5.4.5恶意代码防范
5. 4. 6 资源控制
本项要求包括: a)应配置相关安全策略,限制终端的登录方式、登录范围及登录空闲时长 b)应限制单个内*用户对系统资源的最大和最小使用限度。
5. 4. 7 六余配置
融合发布系统的核心服务器应具有穴余配置。
5.4. 8 完整性配置
与发布直接相关的重要执行文件目录、配置文件目录应设置完整性监控措施,对重要文件 行监控。
5.4. 9 数据共享
本项要求包括: a)应关闭主机自身的共享服务,所有数据共享通过集*共享服务器进行: b)应对数据共享目录进行严格的权限设置,分配访问账号及账号权限,且该账号对其他系统目录 无任何访问权限; C 共享目录内应单独设置写目录,且为该目录设置独立的账号权限,同时该账号对其他系统目录 无任何访问权限; d)配置相关措施,取消共享目录内所有文件的执行权限
5.4.10移动终端安全
本项要求包括: a)移动终端接入网络及访问应用时,应对用户与设备进行认证及授权; b)应对进行媒体信息采集的移动终端设备进行安全性检测。
本项要求包括: 在应用系统正式投入使用之前,应删除临时用户、测试用户、匿名用户、默认用户,修改默认 管理员的用户名称和密码; D 应对登录业务系统的用户进行身份标识和鉴别; c)用户口令应满足密码复杂度要求,至少6个月更换一次; d)应采用安全连接的方式完成身份鉴别过程
本项要求包活: a)应保证所有外*用户不具备登录系统主机的权限,且应用本身不以系统管理员身份运行; b 应授予内*用户完成各自执行任务所需的最小权限,且仅能操作特定目录,不能操作系统文件: 应具备会话管理功能,自主设置登录验证次数、最大空闲时间; d 应设置相关安全防护措施,保护用户注册信息等个人隐私数据,防止信息泄露; 禁止在互联网暴露管理页面和管理端口,设置VPN等安全*输通道,用于日常管理活动,防止 管理入口的暴露。
本项要求包括: a)可对各业务系统的默认配置参数进行调整,保证应用程序的运行安全; b)宜对业务系统收到的请求数据进行安全检测及过滤,避免各类安全攻击
本项要求包括: a)县级融媒体*心与外*网络进行通信时,宜对重要数据的*输建立加密*输通道; 县级融媒体*心与外*网络进行通信时,应对通信过程*的用户身份鉴别信息等敏感信息字段 进行加密。
本项要求包括: a)应配置软件镜像或备份,在故障发生时,由镜像或备份继续提供相关功能; b)宜配置软件存储策略,使数据存储具备容错性。
5. 5. 8资源控制
本项要求包括: a)宜限制对自身执行文件和配置文件的修改; b)宜对数据库系统进行资源限定,控制粒度为表级,信息系统以不同的连接权限、连接通道访问 对应的数据库表; C)信息系统宜为不同目的创建对应的内*用户,限制其资源访间。
5. 5. 9 完整性配置
融合发布等系统各应用模块的执行文件目录和配置文件目录宜设置完整性监控措施,对重 变更进行监控。
5.5. 10数据共享
本项要求包括: a)宜为主机分配特定账号和权限访问相关数据: 6 宜具备统一的API接口,供第三方业务系统访问相关数据,且访问过程需经过身份认证; C 宜采用密码技术对使用API接口*输的数据进行保护,防止共享数据泄露和被破坏; 宜根据数据共享的操作(只读、读写、只写)不同,分配不同的内*用户账号,使用不同的账 号访问对应的文件、目录、数据库; e 对于通过互联网发布的媒体信息,宜采用防盗链技术防止信息被非法盗取。
短隧道分离式独立双洞(计算书,图纸)5.5.11移动客户端
本项要求包括: a)移动客户端应采用校验技术保证代码的完整性; b)移动客户端上线前宜经专业测评机构进行安全检测: c)应保证移动终端安装、运行的客户端来自可靠分发渠道或使用可靠证书签名
5. 6. 1数据完整性
5. 6. 2 数据保密性
本项要求包括: a)重要业务信息应采取元余备份技术,确保系统能够及时恢复数据; b)对于在省级技术平台存储与处理的重要数据,应在本地保留备份。
5. 6.5个人信息保护
鑫厦豪华别墅建筑图市系统等发布直接相关内容数据采取多副本、高