《广播电视相关信息系统安全等级保护基本要求》分析.docx
- 文档编号:14867306
- 上传时间:2023-06-28
- 格式:DOCX
- 页数:33
- 大小:559.76KB
《广播电视相关信息系统安全等级保护基本要求》分析.docx
《《广播电视相关信息系统安全等级保护基本要求》分析.docx》由会员分享,可在线阅读,更多相关《《广播电视相关信息系统安全等级保护基本要求》分析.docx(33页珍藏版)》请在冰点文库上搜索。
《广播电视相关信息系统安全等级保护基本要求》分析
广电等级保护标准
二级和三级基本要求分析
1概述
为了适应国家对于等级保护的工作要求,2011年5月,广电总局首次发布行业信息安全规范性技术文件:
•《广播电视相关信息系统安全等级保护定级指南》(GD/J037-2011)(以下简称“定级指南”)
•《广播电视相关信息系统安全等级保护基本要求》(GD/J038-2011)(以下简称“基本要求”)
2012年11月,广电总局又发布行业信息安全测试规范性技术文件:
•《广播电视相关信息系统安全等级保护测评要求》(GD/J044-2012)(以下简称“测评要求”)
2014年底,广电总局又发布了《有线数字电视系统安全指导意见》(以下简称“指导意见”),为广电网络公司实施安全提供了具体的指导意见。
这几份文件的出台为等级保护制度在广电行业的推广实施奠定了基础,为广电网络公司实施信息安全防护体系制定目标方向和方法,有必要对这几份文件作深入的学习,本文就对这几份文件作一些粗浅的分析,供大家参考。
这四个的逻辑关系大致是这样的,“定级指南”说明了如何给广电的信息系统定级,对于广电网络运营商来说,关键是下面这张表格,基本上划定了系统的范围和等级标准,所以本文中重点也就对第二级和第三级的要求进行分析:
“基本要求”是这几个文档中的核心,对于广电系统要如何才能达到第2级和第3级要求作出了明确的规定,是需要重点研究的。
“测评要求”是针对“基本要求”所提出的各项要求提出测评的要求和标准,为广电网络公司准备测评提供指导;
“指导意见”则是提出了很多具体的实施意见,为广电网络公司实施等级保护提供参考意见;
所以在本文中,重点将对“基本要求”进行分析,同时在分析过程中将其他文件中的相关内容补充到其中。
基本要求中对于广电信息系统的信息安全要求大致分了三类:
技术要求,物理要求和管理要求,其中技术要求根据不同级别区分不同的要求,物理要求和管理要求都是通用要求,不再细分各个不同的级别,如下图所示:
物理要求这里就不进一步展开了,重点将放在技术要求和管理要求上。
其中技术要求更是重中之重,将作着重分析。
第二级和第三级的技术要求如下图所示,在大项上,两者主要的区别在于安全管理中心,另外在终端系统安全上,第三级有安全审计要求,第二级没有该要求,当然在各个项目的细节下上还是有很多的差异的:
“指导意见”的内容概述如下:
2网络安全
网络部分的要求分为基础网络安全和边界安全2大块:
2.1基础网络安全
二级
三级
结构安全1
(网络冗余)
a)应保证关键网络设备的业务处理能力和网络带宽具备冗余空间,满足业务高峰期需要;
b)应为新闻制播系统、播出整备系统、播出系统等播出直接相关系统的核心交换机、汇聚交换机等关键网络设备配置冗余;
a)应保证主要网络设备的业务处理能力和网络带宽具备冗余空间,满足业务高峰期需要;
b)应为信息系统的核心交换机、汇聚交换机等关键网络设备配置冗余,避免关键节点存在单点故障;
结构安全2
(安全域划分和边界防护)
c)应根据各信息系统与播出的相关程度进行层次化网络结构设计,形成网络纵深防护体系,新闻制播系统中的直播演播室系统、播出整备系统、播出系统等播出直接相关系统应位于纵深结构内部,系统内部不应通过无线方式进行组网;
d)应根据信息系统功能、业务流程、网络结构层次、业务服务对象等合理划分网络安全域;
e)安全域内应根据业务类型、业务重要性、物理位置等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
f)同一安全域内重要网段与其他网段之间应采取可靠的技术隔离手段;
g)应绘制与当前运行情况相符的网络拓扑结构图。
c)应根据各信息系统的播出相关度进行层次化网络结构设计,形成网络纵深防护体系,新闻制播系统中的直播演播室系统、播出整备系统、播出系统等播出直接相关系统应位于纵深结构内部,系统内部不应通过无线方式进行组网;
d)应根据信息系统功能、业务流程、网络结构层次、业务服务对象等合理划分网络安全域;
e)安全域内应根据业务类型、业务重要性、物理位置等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
f)同一安全域内重要网段与其它网段之间应采取可靠的技术隔离手段;
g)应绘制与当前运行情况相符的网络拓扑结构图。
网络设备防护
a)应对登录网络设备的用户进行身份鉴别,身份鉴别信息应具有不易被冒用的特点,口令应
有复杂度要求并定期更换,用户名和口令禁止相同;
b)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和连接超时自动退出等措
施;
c)应该对网络设备进行基本安全配置,关闭不必要的服务和端口;
d)应对网络设备的管理员登录地址进行限制,仅允许指定IP地址或IP段访问;
e)当对网络设备进行远程管理时,应采用HTTPS、SSH等安全的远程管理手段,防止用户身份
a)应对登录网络设备的用户进行身份鉴别,身份鉴别信息应具有不易被冒用的特点,口令应
有复杂度要求并定期更换,用户名和口令禁止相同;
b)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
c)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和连接超时自动退出等措
施;
d)应该对网络设备进行基本安全配置,关闭不必要的服务和端口;
e)应对网络设备的管理员登录地址进行限制,仅允许指定IP地址或IP段访问;
f)当对网络设备进行远程管理时,应采用HTTPS、SSH等安全的远程管理手段,防止用户身份
鉴别信息在网络传输过程中被窃听;
g)应实现网络设备特权用户的权限分离;
h)能够通过SNMPV3及以上版本或其它安全的网络管理协议提供网络设备的监控与管理接
口。
安全审计
a)应对关键网络设备的运行状况、用户行为等重要事件进行日志记录;
b)审计记录应包括事件的日期、时间、用户名、IP地址、事件类型、事件是否成功等;
c)应保护审计记录,避免受到未预期的删除、修改或覆盖等,审计记录至少保存90天;
d)应定期对审计记录进行分析,以便及时发现异常行为。
a)应对关键网络设备的运行状况、用户行为等重要事件进行日志记录;
b)审计记录应包括事件的日期、时间、用户名、IP地址、事件类型、事件是否成功等;
c)应保护审计记录,避免受到未预期的删除、修改或覆盖等,审计记录至少保存90天;
d)应定期对审计记录进行分析,以便及时发现异常行为;
e)应为安全管理中心提供集中管理的接口。
2.2边界安全
二级
三级
访问控制
a)应在网络边界部署访问控制设备,根据安全策略提供明确的允许/拒绝访问,控制粒度为网段级;
b)通过外部网络对信息系统进行访问时应使用安全方式接入,根据需要采用数字证书等强制认证方式,并对用户权限进行管理,控制粒度为用户级。
a)应在网络边界部署访问控制设备,根据安全策略提供明确的允许/拒绝访问,控制粒度为IP地址段及端口级;
b)应对进出网络的信息进行过滤,实现对应用层协议命令级的控制,仅允许HTTP、FTP、TELNET、SSH等信息系统使用的协议,禁止一切未使用的通信协议和端口;
c)重要网段应采用IP与MAC地址绑定或其它网络准入控制措施等技术手段防止地址欺骗;
d)通过外部网络对信息系统进行访问时应使用安全方式接入,根据需要采用数字证书等强制认证方式,并对用户权限进行管理,控制粒度为用户级。
e)应限制与外部网络连接的最大流量数及网络连接数,按照对业务服务的重要次序来指定
带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要业务;
安全数据交换
a)播出系统与其它信息系统之间进行数据交换时,应对文件类型及格式进行限定;
b)应限定可以通过移动介质交换数据的主机,所有通过移动介质上载的内容应经过两种以上
的防恶意代码产品进行恶意代码检查后,方可正式上载到内部网络;对蓝光、P2等专业移
动介质可通过特定的防护机制进行上载;
c)信息系统与外部网络进行数据交换时,应通过数据交换区或专用数据交换设备等完成内外
网数据的安全交换;
d)数据交换区对外应通过访问控制设备与外部网络进行安全隔离,对内应采用安全的方式进
行数据交换,必要时可通过协议转换的手段,以信息摆渡的方式实现数据交换;
a)播出系统与其它信息系统之间进行数据交换时,应对文件类型及格式进行限定;
b)应限定可以通过移动介质交换数据的主机,所有通过移动介质上载的内容应经过两种以上
的防恶意代码产品进行恶意代码检查后,方可正式上载到内部网络;对蓝光、P2等专业移
动介质可通过特定的防护机制进行上载;
c)信息系统与外部网络进行数据交换时,应通过数据交换区或专用数据交换设备完成内外网
数据的安全交换;
d)数据交换区对外应通过访问控制设备与外部网络进行安全隔离,对内应采用安全的方式进
行数据交换,必要时可通过协议转换的手段,以信息摆渡的方式实现数据交换;
入侵防范
应在与外部网络连接的网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
a)应在信息系统的网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等,播出整备系统、播出系统等信息系统的边界可根据需要进行部署;
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
恶意代码防范
a)应在与外部网络连接的网络边界处进行恶意代码检测和清除,并维护恶意代码库的升级和
检测系统的更新;
b)防恶意代码产品应与信息系统内部防恶意代码产品具有不同的恶意代码库。
a)应在信息系统的网络边界处进行恶意代码检测和清除,并维护恶意代码库的升级和检测系
统的更新,播出整备系统、播出系统等播出直接相关系统的边界可根据需要进行部署;
b)防恶意代码产品应与信息系统内部防恶意代码产品具有不同的恶意代码库。
边界完整性
应能够对内部网络用户私自联到外部网络的行为进行检查。
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
安全审计
a)应在与外部网络连接的网络边界处进行数据通信行为审计;
b)审计记录应包括事件的日期、时间、用户名、IP地址、事件类型、事件是否成功等;
c)应保护审计记录,避免受到未预期的删除、修改或覆盖等,审计记录至少保存90天;
d)应定期对审计记录进行分析,以便及时发现异常行为。
a)应在与外部网络连接的网络边界处进行数据通信行为审计;
b)审计记录应包括事件的日期、时间、用户名、IP地址、事件类型、事件是否成功等;
c)应保护审计记录,避免受到未预期的删除、修改或覆盖等,审计记录至少保存90天;
d)应定期对审计记录进行分析,以便及时发现异常行为;
e)应为安全管理中心提供集中管理的接口。
2.3讨论
对上述内容进行一下分析和整理,我们可以发现等保对于网络安全可以分为以下几块:
1、分级分域
Ø应根据各信息系统的播出相关度进行层次化网络结构设计,形成网络纵深防护体系,新闻制播系统中的直播演播室系统、播出整备系统、播出系统等播出直接相关系统应位于纵深结构内部,系统内部不应通过无线方式进行组网;
Ø应根据信息系统功能、业务流程、网络结构层次、业务服务对象等合理划分网络安全域;
Ø安全域内应根据业务类型、业务重要性、物理位置等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
Ø应绘制与当前运行情况相符的网络拓扑结构图。
2、边界防护
Ø同一安全域内重要网段与其它网段之间应采取可靠的技术隔离手段;
Ø“边界安全”部分明确定义了访问控制、安全数据交换、入侵防范,恶意代码防范,边界完整性等边界防护要求;
3、网络冗余
4、网络设备防护
5、安全审计
显然其中分级分域和边界防护是其中的重点,在“指导意见”中给出了一个参考安全框架解决方案:
“指导意见”相关内容
分级分域建议方案:
有线数字电视系统按功能区域范围不同可划分为:
Ø四个区域:
内部系统区、内部互联区、内部公共区、业务用户区
Ø两种外部通道:
为和外部专用通道、双向网络和互联网接口
(1)内部系统区:
由各主、备业务系统和相关业务支撑系统组成,其中,业务系统主要包括直播系统和双向互动业务系统等,业务支撑系统主要包括运营支撑系统和认证系统等。
内部系统区与其他各区域及通道间存在不同的互联关系。
(2)内部互联区:
由连接内部系统区中各系统的相关互联通道以及营业厅终端和OA组成,通过这些互联通道,前述各系统与其相应的下级系统、灾备系统(异地)以及营业厅终端等实现互联。
其中,一个省级系统的下级系统是指与该省级系统互联的相应市级系统。
主要包括:
省-市-县后台互联通道:
主要包括运营支撑系统多级之间的互联通道、与营业厅终端互联通道等。
内容交换通道:
指上下级系统间交换节目或业务内容的通道,可以为单向或双向传输通道。
灾备通道:
指内部系统区中各系统与其相应灾备系统(异地)间的数据同步通道。
OA:
指办公自动化系统及与其它各级OA系统的互联通道。
(3)内部公共区:
指公司内部的公共区域,主要包含办公网络和网管/监控客户端。
网管客户端和系统监控客户端:
客户端主机与各业务系统的网管或监测功能模块互联,可以控制内部系统。
办公网络:
办公网络可接入的终端设备的随意性大、可控性弱,有线、无线局域网并存,网络环境复杂。
(4)业务用户区:
指有线电视网的用户,包括有线电视用户(机顶盒终端)和宽带接入用户(计算机终端),具备双向宽带接入或双向回传通道。
(5)外部专用通道:
包含范围较广,如:
系统或设备的远程维护接入通道;增值业务通道(广告、政务、生活服务、网游、电商等第三方增值业务提供商互联);内容提供通道(VoD、EPG等内容提供商互联通道);监管通道(总局监管中心节目监管通道);节目分发(接收直播节目流的通道)等。
这些出口或通过互联网远程连接,或通过广电国家干线网络远程连接。
(6)双向网络与互联网接口:
此处双向网络特指可提供机顶盒回传或可提供宽带接入服务的网络,互联网接口亦特指宽带上网的出口。
双向网络与内部系统区有信令传输通道。
边界防护建议方案:
内部系统区与其他各区边界应部署有足够强度的安全防护,落实系统安全管理要求,通过对防火墙访问策略的详细制定、对设备系统访问权限的严格控制、部署安全缓冲区、部署安全审计系统等手段确保内部系统边界稳定。
边界
防护策略
双向网络的互联网边界防护
1、在互联网边界部署外部和内部两级异构防火墙进行安全访问控制。
2、在互联网边界出口路由器处部署IPS和防DDOS。
3、在核心交换设备处部署IDS并及时进行策略更新,监控异常网络行为,实现安全内容审计。
4、外层防火墙外部接口对内安全策略只允许开放对外所必需的服务端口。
只应允许互联网区域访问第一层防火墙内提供WEB或指定服务(如邮件系统)的负载均衡设备的虚拟IP地址和服务端口。
5、设备宜部署主机防病毒软件。
内部系统区的外部专用通道边界防护
1、在边界部署防火墙进行安全访问控制
2、以安全要求通则为基准,各接口分别制定防护策略。
3、部署堡垒机,对内部系统的维护操作必须通过堡垒机验证后操作,内部系统区的主机仅允许堡垒机的IP地址访问,实现对内部系统维护访问的单点控制。
4、远程维护应按5.6节要求执行。
(应禁止设备的远程维护。
发生紧急事件需要远程技术支持时,应经过逐级审批;必须采用专线接入方式,传输通道必须进行安全加密,仅临时开放远程查询权限;处理完毕完成后,立即物理断开。
远程操作时发生的所有登录和操作行为必须被审计。
)
5、各级有线广播电视网络运营机构应加强对第三方业务、系统和设备提供商的管理,制订相关管理制度,建立规范的业务规划、运行和维护流程。
内部系统区与双向网络的边界防护
1、在边界处部署防火墙策略进行安全访问控制。
2、防火墙对内安全策略应仅允许开放业务系统需要的双向回传通道的相应端口。
3、部署IDS并及时进行策略更新,监控异常行为和异常流量。
4、部署独立日志服务器,内部系统区的日志均保存到独立的日志服务器上,日志服务器除日志服务外关闭其他任何服务,仅允许控制台登录,保证在系统异常时,有据可查。
内部系统区面向用户直接访问的边界防护
终端用户不得直接访问服务系统后台,可通过设置DMZ区隔离用户与后台系统。
终端用户直接访问的门户或其他服务系统,如用户接入门户、自服务系统门户、营业厅门户等应部署:
1、防拒绝服务攻击设备,对进出互联网的流量进行清洗。
2、防病毒网关设备,作为企业版防病毒的补充,防止WEB访问带来的安全威胁。
3、网页防篡改系统,对DMZ区服务器进行保护。
4、用户行为管理系统,监测和控制用户访问系统的操作。
5、负载均衡设备。
可以采用软件或硬件的方式实现。
对于采用硬件设备进行负载均衡的,要求负载均衡器上虚拟IP端口(与防火墙互联的端口)和实际服务器的端口分属不同的区域。
如果服务器通过软件方式实现负载均衡,尽量把负载均衡服务器与业务服务器分离。
内部系统区与内部公共区边界防护
1、在内部公共区边界处部署前置机,对内部系统区的访问通过前置机转发。
2、在内部公共区边界处部署网络流量管理系统实时监控网络中的异常流量,进行带宽限制。
3、网管客户端和网络公司办公网络间应严格禁止数据互访;
4、对网管帐号依据申请、审批、分配、审核等流程进行管理和控制。
5、办公终端应部署主机防病毒软件。
以下策略和防护手段可以根据各地区实际情况,选择部署:
6、在该接口边界的网络设备上部署IDS并及时进行策略更新,监控异常网络行为,实现安全内容审计。
内部系统区与内部互联区边界防护
1、在IP承载网边界处部署防火墙,防火墙应限制相关业务的端口和IP地址,不能允许非内部互联区网段的地址访问内部系统区。
2、在该接口边界核心安全区侧的网络设备上部署IDS并及时进行策略更新,监控异常网络行为,实现安全内容审计。
安全要求通则中的要求:
5.2全网拓扑管理要求
应具备明确的、与实际相符的全网拓扑及连接方案,安全域划分明确,业务边界清晰。
严禁未经审批备案的连接变更和端口开通,必须实现所有数据流向明确可掌控。
所有设备的配置文件必须存档备查,对于配置文件的任何修改必须经过审批。
所有软件的部署、安装、更新、卸载等必须经审批,软件部署位置、版本、管理员账号口令等信息必须备案备查。
5.4网络隔离管理要求
原则上内外网应实现物理隔离。
内部系统区和内部互联区中各系统禁止与外部网络直接连接。
外部网络指本单位广播电视生产业务相关信息系统之外的网络,如办公网络、外单位网络、国际互联网或其他公共网络。
针对必要的系统间互联需求,必须进行连通性方案设计、安全策略部署、数据流向控制、日常监控维护以及安全审计等方面的工作。
应关断所有非必需的访问路径,仅开通必要的系统间访问端口,制定详细的访问控制策略,保证数据流向可控,并备案备查。
必须严格控制各业务系统之间的访问和接口之间的互通,尤其是与互联网的连接。
内部系统区中各系统除专用的业务传送和双向网的信令回传外,禁止与互联网直接连接。
可与内部系统区连通的网络禁止连接任何无线局域网。
3系统安全
系统安全分为服务端系统安全、应用安全、数据安全和备份恢复三部分:
3.1服务端系统安全
二级
三级
身份鉴别
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别,应为不同用户分配不同的用户名,不能多人使用同一用户名;
b)系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应定期更换,用户名和口令禁止相同;
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
d)当对服务器进行远程管理时,应采用HTTPS、SSH等安全的远程管理手段,防止用户身份鉴别信息在网络传输过程中被窃听。
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别,应为不同用户分配不同的用户名,不能多人使用同一用户名;
b)系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应定期更换,用户名和口令禁止相同;
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
d)当对服务器进行远程管理时,应采用HTTPS、SSH等安全的远程管理手段,防止用户身份鉴别信息在网络传输过程中被窃听;
e)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
访问控制
a)应启用访问控制功能,依据安全策略控制用户对资源的访问,根据需要禁止通过USB、光驱等外设进行数据交换,关闭不必要的服务和端口等;
b)应实现操作系统和数据库系统特权用户的权限分离;
c)应限制默认帐户的访问权限,重命名Windows系统默认帐户,修改帐户的默认口令;
d)应及时删除多余的、过期的帐户,避免存在共享帐户。
a)应启用访问控制功能,依据安全策略控制用户对资源的访问,根据需要禁止通过USB、光驱等外设进行数据交换,关闭不必要的服务和端口等;
b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
c)应实现操作系统和数据库系统特权用户的权限分离;
d)应限制默认帐户的访问权限,重命名Windows系统默认帐户,修改帐户的默认口令;
e)应及时删除多余的、过期的帐户,避免共享帐户的存在;
f)应对高风险服务器的重要信息资源设置敏感标记,并应依据安全策略严格控制用户对有敏感标记的重要信息资源的操作。
入侵防范
a)操作系统应遵循最小安装的原则,仅安装业务需要的组件和应用程序,关闭不必要的服务
和端口;
b)应定期更新操作系统补丁,新闻制播系统、播出整备系统、播出系统等播出直接相关系统的核心服务器可根据需要进行更新。
a)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,关闭不必要的端口和服务;
b)通过设置升级服务器等方式定期更新操作系统补丁,新闻制播系统、播出整备系统、播出系统等播出直接相关系统的核心服务器可根据需要进行更新;
c)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
d)应能够对操作系统重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。
恶意代码防范
应部署具有统一管理功能的防恶意代码软件,并定期更新防恶意代码软件版本和恶意代码库;新闻制播系统、播出整备系统、播出系统等播出直接相关系统的核心服务器可根据需要进行部署和更新。
应部署具有统一管理功能的防恶意代码软件,并定期更新防恶意代码软件版本和恶意代码库;新闻制播系统、播出整备系统、播出系统等播出直接相关系统的核心服务器可根据需要进行部署和更新。
资源控制
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
b)应根据
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 广播电视相关信息系统安全等级保护基本要求 广播电视 相关 信息系统安全 等级 保护 基本要求 分析