1、 GY 中华人民共和国广播电视和网络视听行业标准 GY/T 3522021 广播电视网络安全等级保护基本要求 Baseline for classified protection of broadcasting cybersecurity 2021 - 07 - 14 发布 2021 - 07 - 14 实施 国家广播电视总局 发 布 GY/T 3522021 I 目 次 前言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 3 5 广播电视网络安全等级保护概述 . 3 5.1 等级保护对象定级 . 3 5.2 不同等级的安全保护能力 . 3
2、5.3 安全通用要求和安全扩展要求 . 4 6 第一级安全要求 . 4 6.1 安全通用要求 . 4 6.2 云计算安全扩展要求 . 6 6.3 移动互联安全扩展要求 . 6 7 第二级安全要求 . 7 7.1 安全通用要求 . 7 7.2 云计算安全扩展要求 . 10 7.3 移动互联安全扩展要求 . 11 8 第三级安全要求 . 12 8.1 安全通用要求 . 12 8.2 云计算安全扩展要求 . 17 8.3 移动互联安全扩展要求 . 19 9 第四级安全要求 . 20 9.1 安全通用要求 . 20 9.2 云计算安全扩展要求 . 25 9.3 移动互联安全扩展要求 . 27 10 第
3、五级安全要求(略) . 28 11 安全物理环境要求 . 28 11.1 安全通用要求 . 28 11.2 云计算安全扩展要求 . 29 11.3 移动互联安全扩展要求 . 30 12 安全管理要求 . 30 12.1 安全通用要求 . 30 12.2 云计算安全扩展要求 . 37 GY/T 3522021 II 12.3 移动互联安全扩展要求 . 38 附录 A(规范性) 安全要求的选择和使用 . 39 附录 B(规范性) 等级保护对象整体安全保护能力的要求 . 42 附录 C(规范性) 等级保护安全框架和关键技术使用要求 . 43 附录 D(资料性) 云计算应用场景说明 . 45 附录 E
4、(资料性) 移动互联应用场景说明 . 46 参考文献 . 47 GY/T 3522021 III 前 言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国广播电影电视标准化技术委员会(SAC/TC 239)归口。 本文件起草单位:国家广播电视总局监管中心、央视国际网络有限公司、上海文化广播影视集团有限公司、国家广播电视总局广播电视规划院、国家广播电视总局广播电视科学研究院、公安部第三研究所(公安部信息安全等级保护评估中心)、北京广播电视台、北京歌华有线电视
5、网络股份有限公司、四川金熊猫新媒体有限公司、云南无线数字电视文化传媒股份有限公司、北京安信天行科技有限公司、广信智安(青岛)科技有限公司、杭州数梦工场科技有限公司。 本文件主要起草人:李炎、杨波、王宝石、姜峰、程明、林嗣雄、肖辉、宫铭豪、任卫红、毕江、林霖、郭东海、梁率、任晓炜、张程、刘晨、袁礼、王晓艳、梁厚鸿、彭海龙、王洪刚、党超辉、张俊、裴钰、胡恺、罗桂民、陈奇、杨木伟、董升来、李祯祚、赵少川、赵国全。 GY/T 3522021 1 广播电视网络安全等级保护基本要求 1 范围 本文件规定了广播电视网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。 本文件适用于指导分
6、等级的非涉密对象的安全建设和监督管理。对于涉及国家秘密的网络,应按照国家保密工作部门的相关规定和标准进行保护。 注:第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全要求,所以不在本文件中进行描述。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB 17859 计算机信息系统 安全保护等级划分准则 GB/T 222392019 信息安全技术 网络安全等级保护基本要求 GB/T 222402020 信息安全技术 网络
7、安全等级保护定级指南 GB/T 25069 信息安全技术 术语 GB/T 311672014 信息安全技术 云计算服务安全指南 GB/T 311682014 信息安全技术 云计算服务安全能力要求 GY/T 3372020 广播电视网络安全等级保护定级指南 GY 5067 广播电影电视建筑设计防火标准 3 术语和定义 GB 17859、GB/T 222392019、GB/T 222402020、GB/T 25069、GB/T 311672014、GB/T 311682014和GY/T 3372020界定的以及下列术语和定义适用于本文件。 3.1 广播电视网络安全 broadcasting cyb
8、ersecurity 通过采取必要措施,防范对广播电视网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 3.2 安全保护能力 security protection ability 能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。 来源:GB/T 222392019,3.2 3.3 云计算 cloud computing GY/T 3522021 2 通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。 注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备
9、等。 来源:GB/T 311672014,3.1 3.4 云服务商 cloud service provider 云计算服务的供应方。 注:云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。 来源:GB/T 311672014,3.3 3.5 云服务客户 cloud service customer 为使用云计算服务同云服务商建立业务关系的参与方。 来源:GB/T 311682014,3.4 3.6 云计算平台/系统 cloud computing platform/system 云服务商提供的云计算基础设施及其上的服务软件的集合。 来源:GB/T 22239201
10、9,3.6 3.7 虚拟机监视器 hypervisor 运行在基础物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享硬件。 来源:GB/T 222392019,3.7 3.8 宿主机 host machine 运行虚拟机监视器的物理服务器。 来源:GB/T 222392019,3.8 3.9 移动互联 mobile communication 采用无线通信技术将移动终端接入有线网络的过程。 来源:GB/T 222392019,3.9 3.10 移动终端 mobile device 在移动业务中使用的终端设备,包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。 来源:GB
11、/T 222392019,3.10 3.11 无线接入设备 wireless access device 采用无线通信技术将移动终端接入有线网络的通信设备。 来源:GB/T 222392019,3.11 3.12 无线接入网关 wireless access gateway 部署在无线网络与有线网络之间,对有线网络进行安全防护的设备。 来源:GB/T 222392019,3.12 3.13 移动应用软件 mobile application 针对移动终端开发的应用软件。 GY/T 3522021 3 来源:GB/T 222392019,3.13 3.14 等级保护对象 target of cl
12、assified protection 广播电视网络安全等级保护工作直接作用的对象。 注:主要包括信息系统、广播电视网络设施和数据资源。 来源:GY/T 3372020,3.1 3.15 外部网络 external network 本等级保护对象之外的网络。 3.16 敏感数据 sensitive data 包括但不限于未经广播电视行政主管部门批准发布的行业统计数据、行业企事业经营数据、用户数据。 4 缩略语 下列缩略语适用于本文件。 AP 无线访问接入点(Wireless Access Point) DDoS 分布式拒绝服务(Distributed Denial of Service) HT
13、TPS 超文本安全传输协议(Hyper Text Transfer Protocol over SecureSocket Layer) IaaS 基础设施即服务(Infrastructure-as-a-Service) IP 互联网协议(Internet Protocol) IT 信息技术(Information Technology) PaaS 平台即服务(Platform-as-a-Service) SaaS 软件即服务(Software-as-a-Service) SSID 服务集标识(Service Set Identifier) SSH 安全外壳(Secure Shell) TCB
14、可信计算基(Trusted Computing Base) VPN 虚拟专用网络(Virtual Private Network) WEP 有线等效加密(Wired Equivalent Privacy) WPS WiFi保护设置(WiFi Protected Setup) 5 广播电视网络安全等级保护概述 5.1 等级保护对象定级 等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。 广播电视网络安全保护等级确定方法见GY/T 3372020。 5.2 不同等级
15、的安全保护能力 不同级别的等级保护对象应具备的基本安全保护能力如下。 GY/T 3522021 4 第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。 第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。 第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥
16、有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。 第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。 第五级安全保护能力:略。 注:在本文件中,加粗字部分表示较高等级中增加或增强的要求。 5.3 安全通用要求和安全扩展要求 由于业务目标的不同、使用技
17、术的不同、应用场景的不同等因素,不同的等级保护对象会以不同的形态出现,表现形式可能称之为基础信息网络、信息系统(包含采用移动互联等技术的系统)、云计算平台/系统、大数据平台/系统等。形态不同的等级保护对象面临的威胁有所不同,安全保护需求也会有所差异。为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要求和安全扩展要求。 安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,应根据安全保护等级实现相应级别的安全通用要求;安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。安全通用
18、要求和安全扩展要求共同构成了对等级保护对象的安全要求。安全要求的选择和使用应符合附录A的规定,整体安全保护能力的要求应符合附录B和附录C的规定。 本文件针对云计算、移动互联系统提出了安全扩展要求。云计算应用场景见附录D,移动互联应用场景见附录E,对于采用其他特殊技术或处于特殊应用场景的等级保护对象,应在安全风险评估的基础上,针对安全风险采取特殊的安全措施作为补充。 第6章至第10章分别针对不同安全保护等级的广播电视网络安全等级保护对象应该具有的安全保护能力,从安全通信网络、安全区域边界、安全计算环境、安全管理中心几个层面提出了相应的安全防护要求。根据广播电视安全播出管理规定及实施细则,广播电视
19、网络安全等级保护对象物理安全以及管理要求应符合第11章和第12章要求。 6 第一级安全要求 6.1 安全通用要求 6.1.1 安全通信网络 6.1.1.1 网络架构 要求如下: a) 应保证关键网络设备的业务处理能力满足业务高峰期需要; b) 应保证网络各个部分的带宽满足业务高峰期需要; GY/T 3522021 5 c) 应配备与实际运行情况相符的网络拓扑图。 6.1.1.2 通信传输 应采用校验技术保证通信过程中数据的完整性。 6.1.1.3 可信验证 可基于可信根对通信设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。 6.1.2 安全区域边界 6.1.2
20、.1 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 6.1.2.2 访问控制 要求如下: a) 应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。 6.1.2.3 可信验证 可基于可信根对边界设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。 6.1.3 安全计算环境 6.1.3.1 身份鉴别 要求如下: a) 应对登录
21、的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; b) 应启用登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 6.1.3.2 访问控制 要求如下: a) 应对登录的用户分配账户和权限; b) 应重命名或删除默认账户,修改默认账户的默认口令; c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在。 6.1.3.3 入侵防范 要求如下: a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; b) 应关闭不需要的系统服务、默认共享和高危端口。 GY/T 3522021 6 6.1.3.4 恶意代码防范 应安
22、装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。 6.1.3.5 可信验证 可基于可信根对计算设备的系统引导程序、系统程序等进行可信验证,在检测到其可信性受到破坏后进行报警。 6.1.3.6 数据完整性 应采用校验技术保证重要数据在传输过程中的完整性,包括但不限于调度信息、鉴别数据、重要业务数据和重要个人信息等。 6.1.3.7 数据备份恢复 应提供重要数据的本地数据备份与恢复功能。 6.2 云计算安全扩展要求 6.2.1 安全通信网络 6.2.1.1 网络架构 要求如下: a) 应保证云计算平台不承载高于其安全保护等级的业务应用系统; b) 应实现不同云服务客户虚
23、拟网络之间的隔离。 6.2.2 安全区域边界 6.2.2.1 访问控制 应在虚拟化网络边界部署访问控制机制,并设置访问控制规则。 6.2.3 安全计算环境 6.2.3.1 访问控制 要求如下: a) 应保证当虚拟机迁移时,访问控制策略随其迁移; b) 应允许云服务客户设置不同虚拟机之间的访问控制策略。 6.2.3.2 数据完整性和保密性 应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定。 6.3 移动互联安全扩展要求 6.3.1 安全区域边界 6.3.1.1 边界防护 应保证有线网络与无线网络边界之间的访问和数据流通过无线接入安全网关设备。 6.3.1.2 访问控
24、制 GY/T 3522021 7 无线接入设备应开启接入认证功能,并且禁止使用WEP方式进行认证,如使用口令,长度不小于8位字符。 6.3.2 安全计算环境 6.3.2.1 移动应用管控 应具有选择软件安装、运行的功能。 7 第二级安全要求 7.1 安全通用要求 7.1.1 安全通信网络 7.1.1.1 网络架构 要求如下: a) 应保证关键网络设备的业务处理能力满足业务高峰期需要; b) 应保证网络各个部分的带宽满足业务高峰期需要; c) 应根据系统功能、业务流程、网络结构层次、业务服务对象等因素划分不同网络区域,并按照方便安全管理和控制的原则为各网络区域分配地址; 应根据系统功能、业务流程
25、、网络结构层次、业务服务对象等因素划分不同网络区域,并按照方便安全管理和控制的原则为各网络区域分配地址; d) 应避免将播出直接相关系统等重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; 应避免将播出直接相关系统等重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; e) 应配备与实际运行情况相符的网络拓扑图。 7.1.1.2 通信传输 应采用校验技术保证通信过程中数据的完整性。 7.1.1.3 可信验证 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警
26、,并将验证结果形成审计记录送至安全管理中心可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 7.1.2 安全区域边界 7.1.2.1 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 7.1.2.2 访问控制 要求如下: a) 应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; c) 应对源地址、目的地址、源端口、目的端口
27、和协议等进行检查,以允许/拒绝数据包进出; d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。 7.1.2.3 入侵防范 GY/T 3522021 8 应在关键网络节点处监视网络攻击行为。 应在关键网络节点处监视网络攻击行为。 7.1.2.4 恶意代码防范 应在关键网络节点处进行恶意代码检测和清除,并维护恶意代码防护机制有效性,及时升级和更新特征库应在关键网络节点处进行恶意代码检测和清除,并维护恶意代码防护机制有效性,及时升级和更新特征库。 7.1.2.5 安全审计 要求如下: a) 应在网络边界、重要网络节
28、点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; b) 审计记录应包括事件的日期、时间、IP 地址、事件类型、事件是否成功及其他与审计相关的信息; 审计记录应包括事件的日期、时间、IP 地址、事件类型、事件是否成功及其他与审计相关的信息; c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 7.1.2.6 可信验证 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参
29、数和边界防护应用程序等进行可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 7.1.3 安全计算环境 7.1.3.1 身份鉴别 要求如下: a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; b) 应启用登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; c) 当进行远程管理时,应采取必要措施防止鉴
30、别信息在网络传输过程中被窃听,如:HTTPS、SSH、VPN 等。 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听,如:HTTPS、SSH、VPN 等。 7.1.3.2 访问控制 要求如下: a) 应对登录的用户分配账户和权限; b) 应重命名或删除默认账户,修改默认账户的默认口令; c) 无法重命名或删除的默认账户,应阻止其直接远程登录;无法重命名或删除的默认账户,应阻止其直接远程登录; d) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; e) 应授予管理用户所需的最小权限,实现管理用户的权限分离; 应授予管理用户所需的最小权限,实现管理用户的权限分离; f)
31、 应限制未登录用户的使用权限,可对匿名用户使用记录进行追溯。 应限制未登录用户的使用权限,可对匿名用户使用记录进行追溯。 7.1.3.3 安全审计 要求如下: a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 应对审计记录进行
32、保护,定期备份,避免受到未预期的删除、修改或覆盖等。 7.1.3.4 入侵防范 GY/T 3522021 9 要求如下: a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; b) 应关闭不需要的系统服务、默认共享和高危端口; c) 应能通过漏洞扫描工具、人工漏洞排查等手段,发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;应能通过漏洞扫描工具、人工漏洞排查等手段,发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; d) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限
33、制; e) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。 7.1.3.5 恶意代码防范 应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。 7.1.3.6 可信验证 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,在检测到其可信性受到破
34、坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 7.1.3.7 数据完整性 应采用校验技术保证重要数据在传输过程中的完整性,包括但不限于调度信息、鉴别数据、重要业务数据和重要个人信息等。 7.1.3.8 数据备份恢复 要求如下: a) 应提供重要数据的本地数据备份与恢复功能; b) 应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备份场地。 应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备份场地。 7.1.3.9 剩余信息保护 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。 7.1.
35、3.10 个人信息保护 要求如下: a) 应仅采集和保存业务必需的用户个人信息;应仅采集和保存业务必需的用户个人信息; b) 应禁止未授权访问和非法使用用户个人信息。 应禁止未授权访问和非法使用用户个人信息。 7.1.3.11 业务连续性保障 播出直接相关系统关键设备应配置冗余,当某节点设备出现故障时,切换到备份设备继续运行,切换过程不能对正常播出产生影响。 播出直接相关系统关键设备应配置冗余,当某节点设备出现故障时,切换到备份设备继续运行,切换过程不能对正常播出产生影响。 7.1.4 安全管理中心 7.1.4.1 系统管理 要求如下: a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令
36、或操作界面进行系统管理操作,并对这些操作进行审计; 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; GY/T 3522021 10 b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 7.1.4.2 审计管理 要求如下: a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全
37、审计操作,并对这些操作进行审计; 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; b) 应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 7.2 云计算安全扩展要求 7.2.1 安全通信网络 7.2.1.1 网络架构 要求如下: a) 应保证云计算平台不承载高于其安全保护等级的业务应用系统; b) 应实现不同云服务客户虚拟网络之间的隔离; c) 应具有根据云服务
38、客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 7.2.2 安全区域边界 7.2.2.1 访问控制 要求如下: a) 应在虚拟化网络边界部署访问控制机制,并设置访问控制规则; b) 应在不同等级的网络区域边界部署访问控制机制,并设置访问控制规则。 应在不同等级的网络区域边界部署访问控制机制,并设置访问控制规则。 7.2.2.2 入侵防范 要求如下: a) 应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等; 应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时
39、间、攻击流量等; b) 应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等; 应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等; c) 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。 7.2.2.3 安全审计 要求如下: a) 应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启; 应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启; b) 应保证云服务商对云服务客户系统和数据的操作可被云服务
40、客户审计。 应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。 7.2.3 安全计算环境 7.2.3.1 访问控制 要求如下: a) 应保证当虚拟机迁移时,访问控制策略随其迁移; b) 应允许云服务客户设置不同虚拟机之间的访问控制策略。 GY/T 3522021 11 7.2.3.2 镜像和快照保护 要求如下: a) 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务; 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务; b) 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改。 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改。
41、 7.2.3.3 数据完整性和保密性 要求如下: a) 应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定; b) 应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限; 应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限; c) 应保证虚拟机镜像和快照文件备份在不同物理服务器; 应保证虚拟机镜像和快照文件备份在不同物理服务器; d) 应确保虚拟机迁移过程中重要数据的完整性, 并在检测到完整性受到破坏时采取必要的恢复措施。 应确保虚拟机迁移过程中重要数据的完整性, 并在检测到完整性受到破坏时采取必要的恢复措施。 7.
42、2.3.4 数据备份恢复 要求如下: a) 云服务客户应在本地保存其业务数据的备份; 云服务客户应在本地保存其业务数据的备份; b) 应提供查询云服务客户数据及备份存储位置的能力。 应提供查询云服务客户数据及备份存储位置的能力。 7.2.3.5 剩余信息保护 要求如下: a) 应保证虚拟机所使用的内存和存储空间回收时得到完全清除; 应保证虚拟机所使用的内存和存储空间回收时得到完全清除; b) 云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除。 云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除。 7.3 移动互联安全扩展要求 7.3.1 安全区域边界 7.3.1.
43、1 边界防护 应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。 7.3.1.2 访问控制 要求如下: a) 无线接入设备应开启接入认证功能,并且禁止使用 WEP 方式进行认证,如使用口令,长度不小于 8位字符; b) 应保证无线网络通过受控的边界设备接入内部网络。 应保证无线网络通过受控的边界设备接入内部网络。 7.3.1.3 入侵防范 要求如下: a) 应能够检测到非授权无线接入设备和非授权移动终端的接入行为; 应能够检测到非授权无线接入设备和非授权移动终端的接入行为; b) 应能够检测到针对无线接入设备的网络扫描、DDoS 攻击、密钥破解、中间人攻击和欺骗攻击等行为;
44、应能够检测到针对无线接入设备的网络扫描、DDoS 攻击、密钥破解、中间人攻击和欺骗攻击等行为; c) 应能够检测到无线接入设备的 SSID 广播、WPS 等高风险功能的开启状态; 应能够检测到无线接入设备的 SSID 广播、WPS 等高风险功能的开启状态; d) 应禁用无线接入设备和无线接入网关存在风险的功能,如:SSID 广播、WEP 认证等; 应禁用无线接入设备和无线接入网关存在风险的功能,如:SSID 广播、WEP 认证等; e) 应禁止多个 AP 使用同一个认证密钥。 应禁止多个 AP 使用同一个认证密钥。 GY/T 3522021 12 7.3.2 安全计算环境 7.3.2.1 移动
45、终端管控 要求如下: a) 应保证移动终端安装、注册并运行终端管理客户端软件; 应保证移动终端安装、注册并运行终端管理客户端软件; b) 移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,如:远程锁定、远程数据擦除等; 移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,如:远程锁定、远程数据擦除等; c) 发布直播数据的移动终端宜为专用终端。 7.3.2.2 移动应用管控 要求如下: a) 应具有选择应用软件安装、运行的功能; b) 应只允许指定证书签名的应用软件安装和运行; 应只允许指定证书签名的应用软件安装和运行; c) 专用移动应用软件应具备防二次打包工具
46、篡改程序文件,以防止移动应用程序的代码、图片、配置、布局等被增加、修改或删除。 专用移动应用软件应具备防二次打包工具篡改程序文件,以防止移动应用程序的代码、图片、配置、布局等被增加、修改或删除。 8 第三级安全要求 8.1 安全通用要求 8.1.1 安全通信网络 8.1.1.1 网络架构 要求如下: a) 应保证网络设备网络设备的业务处理能力满足业务高峰期需要; b) 应保证网络各个部分的带宽满足业务高峰期需要; c) 应根据系统功能、业务流程、网络结构层次、业务服务对象等因素划分不同网络区域,并按照方便安全管理和控制的原则为各网络区域分配地址; d) 应避免将播出直接相关系统等重要网络区域部
47、署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; e) 应具备通信线路、关键网络设备、关键安全设备和关键计算设备的硬件冗余,保证系统的可用性; 应具备通信线路、关键网络设备、关键安全设备和关键计算设备的硬件冗余,保证系统的可用性; f) 应具备不同路由的双链路接入保障; 应具备不同路由的双链路接入保障; g) 应配备与实际运行情况相符的网络拓扑图。 8.1.1.2 通信传输 要求如下: a) 应采用校验技术、密码技术或特定协议转换技术校验技术、密码技术或特定协议转换技术保证通信过程中数据的完整性; b) 应采用密码技术或应采用密码技术或特定协议转换技术保证通信过程中数据的保
48、密性。 特定协议转换技术保证通信过程中数据的保密性。 8.1.1.3 可信验证 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可信验证并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 GY/T 3522021 13 8.1.2 安全区域边界 8.1.2.1 边界防护 要求如下: a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; b) 应能够对非授权设备私自联到内部网络的行为进行检查和限制; 应能够对非授权设备私自联到内部
49、网络的行为进行检查和限制; c) 应能够对内部用户非授权联到外部网络的行为进行检查和限制; 应能够对内部用户非授权联到外部网络的行为进行检查和限制; d) 播出直接相关系统应禁止通过无线方式进行组网,非播出直接相关系统应限制无线网络的使用,强化无线网络区域边界防护措施,保证无线网络通过受控边界设备接入内部网络。 播出直接相关系统应禁止通过无线方式进行组网,非播出直接相关系统应限制无线网络的使用,强化无线网络区域边界防护措施,保证无线网络通过受控边界设备接入内部网络。 8.1.2.2 访问控制 要求如下: a) 应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有
50、通信; b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力; e) 通过外部网络对信息系统进行访问时应使用安全方式接入,对用户和权限进行管理,赋予最小访问权限,控制粒度为用户级; 通过外部网络对信息系统进行访问时应使用安全方式接入,对用户和权限进行管理,赋予最小访问权限,控制粒度为用户级; f) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制; 应对进出网络的数据流实现基于应用协议和应用内容的
个人主页
