广播电视信息系统安全等级保护要求

"此文档是关于广播电视相关信息系统的安全等级保护基本要求，主要涵盖了第二级防护的多个方面，包括基础网络安全、安全审计以及网络设备防护。同时，文档也提及了边界安全和安全数据交换的控制要求。" 在《广播电视相关信息系统安全等级保护基本要求》中，第二级防护针对的是那些具有一定安全需求但不涉及核心业务的系统。这一部分的防护要求旨在确保系统在正常运行和业务高峰期的稳定性和安全性。 6.1 基础网络安全要求： - 关键网络设备需要具备冗余空间，以应对业务高峰期的流量需求，确保服务不间断。 - 对于播出直接相关的系统，如新闻制播、播出整备和播出系统，其关键网络设备应配置冗余，以降低故障风险。 - 网络结构应按照播出相关程度进行层次化设计，形成深度防御体系，确保播出系统位于最安全的层次，避免无线组网带来的潜在风险。 - 合理划分网络安全域，根据业务功能、流程、层次和服务对象确定，以加强管理和控制。 - 安全域内的子网和网段应根据业务类型、重要性等因素分配地址段，并实施有效隔离。 - 维护准确的网络拓扑图，以便于监控和管理。 6.1.2 安全审计要求： - 关键网络设备和用户行为的重要事件必须记录在日志中，以便进行事后分析。 - 日志记录应包含关键信息，如事件时间、用户、IP地址、事件类型和结果等。 - 保护审计记录不被意外修改或删除，至少保存90天，以便定期分析异常行为。 6.1.3 网络设备防护要求： - 用户登录网络设备时需进行身份鉴别，密码应有复杂度要求并定期更换，禁止用户名和密码相同。 - 设备应具有登录失败处理机制，例如结束会话、限制非法登录次数和超时自动退出。 - 对网络设备进行安全配置，关闭非必要的服务和端口，降低被攻击的风险。 - 限制管理员登录的IP地址或IP段，增强设备管理的安全性。 - 远程管理时，使用HTTPS、SSH等安全协议，防止身份信息在传输中被截取。 6.2 边界安全： - 在网络边界设置控制设备，基于安全策略实现明确的允许或拒绝访问，控制粒度细化到网段级别。 - 外部网络接入信息系统时，应使用安全方式，如数字证书强制认证，并进行用户权限管理。 6.2.2 安全数据交换要求： - 广播系统与其他系统间的数据交换需对文件类型和格式进行检查，以防止恶意代码的传播。 这些要求旨在建立一个全面、多层次的安全防护体系，确保广播电视相关信息系统的稳定运行，同时保护敏感信息免受未经授权的访问、篡改或泄露。通过严格遵循这些规定，可以显著提高系统的安全性和可靠性。