县级融媒体中心网络安全规范

附件 1 县级融媒体中心网络安全规范中共中央宣传部新闻局国家广播电视总局科技司 2019 年 4 月 9 日目次前言 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语、定义和缩略语 .................................................................. 1 3.1 术语和定义 ...................................................................... 1 3.2 缩略语 .......................................................................... 2 4 网络安全总体要求 .................................................................... 2 4.1 概述 ............................................................................ 2 4.2 基本要求 ........................................................................ 2 5 网络安全技术要求 .................................................................... 3 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 概述 ............................................................................ 3 物理环境 ........................................................................ 3 网络系统 ........................................................................ 3 主机系统 ........................................................................ 5 应用系统 ........................................................................ 7 数据及备份恢复 .................................................................. 8 内容监控 ........................................................................ 9 安全管理中心 .................................................................... 9 6 网络安全运维要求 .................................................................... 9 6.1 概述 ............................................................................ 9 6.2 介质管理 ........................................................................ 9 6.3 设备管理 ........................................................................ 9 6.4 恶意代码防范管理 ............................................................... 10 6.5 漏洞防范管理 ................................................................... 10 6.6 配置管理 ....................................................................... 10 6.7 密码管理 ....................................................................... 10 6.8 备份与恢复管理 ................................................................. 10 6.9 安全事件处置 ................................................................... 10 6.10 应急预案管理 .................................................................. 10 6.11 终端接入管理 .................................................................. 11 6.12 风险评估管理 .................................................................. 11 参考文献 ............................................................................. 12 前言本规范按照GB/T 1.1—2009给出的规则起草。请注意本规范的某些内容可能涉及专利。本规范发布机构不承担识别这些专利的责任。县级融媒体中心网络安全规范 1 范围本规范规定了县级融媒体中心的网络安全要求，包括技术要求、管理要求和运维要求。本规范适用于县级融媒体中心的网络安全建设和监督管理。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB 17859—1999 计算机信息系统安全保护等级划分准则 GB/T 22239—2008 信息安全技术信息系统安全等级保护基本要求 GB/T 22240—2008 信息安全技术信息系统安全等级保护定级指南 GB/T 25069—2010 信息安全技术术语 GY/T 321—2019 县级融媒体中心省级技术平台规范要求 GD/J 037—2011 广播电视相关信息系统安全等级保护定级指南 GD/J 038—2011 广播电视相关信息系统安全等级保护基本要求 GM/T 0054—2018 信息系统密码应用基本要求县级融媒体中心建设规范（广电发[2019]5 号）县级融媒体中心运行维护规范 3 术语、定义和缩略语 3.1 术语和定义 GB/T 25069—2010、GB 17859—1999、GB/T 22239—2008、GD/J 038—2011界定的以及下列术语和定义适用于本文件。 3.1.1 县级融媒体中心 county-level converged media center 整合县级广播电视、报刊、新媒体等资源，开展媒体服务、党建服务、政务服务、公共服务、增值服务等业务的融合媒体平台。 3.1.2 省级技术平台 province-level technical platform 为县级融媒体中心媒体服务、党建服务、政务服务、公共服务、增值服务等业务开展提供技术支撑、运营维护的省级云平台。 3.1.3 安全保护能力 security protection ability 能够抵御威胁、发现安全事件以及在遭到损害后能够恢复到先前状态等的程度。 1 3.2 缩略语下列缩略语适用于本文件。 API 应用程序编程接口（Application Programming Interface） HTTPS 安全套接字层超文本传输协议（Hyper Text Transfer Protocol over Secure socket layer） IP 互联网协议（Internet Protocol） SSH 安全外壳协议（Secure SHell） VPN 虚拟专用网络（Virtual Private Network） PC 个人计算机（Personal Computer） USB 通用串行总线（Universal Serial Bus） 4 网络安全总体要求 4.1 概述县级融媒体中心网络安全是县级融媒体中心建设的组成部分，县级融媒体中心网络安全措施包括技术措施、管理措施和运维措施，利用省级技术平台开展的业务系统、第三方业务系统及互联网渠道通过边界防护与县级融媒体中心对接，网络安全体系框架如图1所示。互联网渠道省级技术平台第三方业务系统边界防护网络系统主机系统应用系统管理措施数据及备份恢复安全管理中心物理环境技术措施县级融媒体中心图 1 网络安全体系框架 4.2 基本要求 2 内容监控运维措施网络安全应满足以下要求： a) 县级融媒体中心在建设时应同步规划和设计安全方案，建设网络安全体系，保障网络安全； b) 县级融媒体中心应按照 GB/T 22240—2008 和 GD/J 037—2011 确定县级融媒体中心网络安全保护等级； c) 县级融媒体中心部署在省级技术平台的业务系统网络安全应符合 GY/T 321—2019 第 11 章的规定； d) 县级融媒体中心与省级技术平台的信息互通，采用安全的网络通道或接口进行信息传输，应符合《县级融媒体中心建设规范》5.1 的规定； e) 县级融媒体中心与第三方的信息互通时，应有身份识别、认证、授权、信息隔离和加密等相关安全手段； f) 县级融媒体中心的广播电视播出系统