1、主要完成数字电视用户信息的录入、更新、认证、授权、计费等功能2) 主机/存储设备表5 00000000000信息系统主机/存储设备设备名称操作系统/数据库管理系统收费工作站PCWindows XP/-2数据库服务器-1IBM X3650 M3SOLARIS/ Oracle3数据库服务器-24接口服务器Linux/-5测试服务器-16测试服务器-27认证服务器-18认证服务器-23) 网络互联设备表6 00000000000信息系统网络互联设备用 途中兴ZXR10 8908核心交换机汇聚交换机2.1.4 系统测评结论等级测评结论为“基本符合”,差距项分布如下表所示:名称测评指标部分符合项不符合项
2、高风险项技术要求物理安全基础网络安全边界安全服务器安全应用安全数据安全及备份恢复管理要求总要求安全管理机构人员安全管理系统建设管理系统运维管理10三、 整改依据1) GB 17859-1999 信息安全技术 计算机信息系统安全保护等级划分准则;2) 广播电视相关信息系统安全等级保护基本要求(GD/J038-2011)3) 广播电视相关信息系统安全等级保护测评要求(GD/J044-2012);4) 信息系统安全等级保护定级报告;5) 数字电视综合运营支撑(BOSS)系统安全等级保护测评报告;四、 整改内容4.1 数字电视综合运营支撑(BOSS)系统4.1.1 物理安全1. 相关要求及依据详见GD
3、/J038-2011有关物理安全要求。为满足要求, 通过部署防盗报警系统及火灾自动报警系统和灭火系统,开展机房运维管理和环境管理,提高机房的安全性。2. 安全现状及整改措施类别测评内容结果记录涉及资产符合情况整改措施物理访问控制b)需进入播出机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。进入机房由专人陪同,缺少来访人员进入机房的审批记录部分符合设置来访人员进行机房审批记录防盗窃和防破坏c)应利用光、电等技术设置机房防盗报警系统;机房缺少防盗报警系统不符合部署防盗报警系统机房环境b) 机房应有防水防潮措施,应充分考虑水管泄漏和凝露的可能性,并做好相应的预防措施;机房窗户缺少防水防渗
4、处理,机房的窗户、屋顶和墙壁未出现漏水、渗透和返潮现象,机房内空调排水管进行加固防渗、防漏处理,机房空调具有除湿功能,缺少防水防潮处理记录 定期开展机房运维和环境管理d)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内;机房内具有专业空调,可对机房内温度进行自动调节,具有空调定期检查和维护记录,缺少机房湿度控制设置增加机房湿度调节设施机房消防设施b)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房内具有日常值守人员,机房具有干粉灭火器,缺少自动灭火设备部署火灾自动报警系统和自动灭火系统4.1.2 基础网络安全详见GD/J038-2011有关
5、基础网络安全要求。为满足要求, 通过部署动态令牌及日志服务器并完善设备基本配置要求,定期开展设备维护,达到基础网络安全要求。安全审计c)应保护审计记录,避免受到未预期的删除、修改或覆盖等,审计记录至少保存 90 天;缺少对审计日志进行必要保护交换机对日志进行集中管理,定期进行分析d) 应定期对审计记录进行分析,以便及时发现异常行为;未定期对审计记录进行分析网络设备防护e) 当对网络设备进行远程管理时,应采用HTTPS、SSH等安全的远程管理手段,防止用户身份鉴别信息在网络传输过程中被窃听;远程管理设备时采用telnet方式进行采用SSH 远程管理4.1.3 边界安全3. 相关要求及依据详见GD
6、/J038-2011有关边界安全要求。为满足要求, 通过修改配置,设置日志集中管理并定期分析,提供边界安全性。4. 安全现状及整改措施恶意代码防范a) 应在信息系统的网络边界处进行恶意代码检测和清除,并维护恶意代码库的升级和检测系统的更新,播出整备系统、播出系统等播出直接相关系统的边界可根据需要进行部署BOSS系统在边界处未设置恶意代码防范措施在网络边界部署恶意代码防范设备b) 防恶意代码产品应与信息系统内部防恶意代码产品具有不同的恶意代码库入侵防范a)应在信息系统的网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等,播出整
7、备系统、播出系统等信息系统的边界可根据需要进行部署BOSS系统在边界处未设置入侵防御措施在网络边界部署入侵防范设备a) 应在与外部网络连接的网络边界处进行数据通信行为审计BOSS系统与CA系统、VOD、营业厅相连,缺少对系统网络边界处进行数据通信的行为进行审计在与外部网络连接的网络边界处进行数据通信行为审计,并对审计日志进行集中管理和日常分析b) 审计记录应包括事件的日期、时间、用户名、IP 地址、事件类型、事件是否成功等c) 应保护审计记录,避免受到未预期的删除、修改或覆盖等,审计记录至少保存 90 天d) 应定期对审计记录进行分析,以便及时发现异常行为4.1.4 主机安全详见GD/J038
8、-2011有关主机要求。为满足要求, 通过修改主机安全配置,设置登陆口令复杂度限制、登陆失败措施、开启安全审计、定期升级系统和打补丁,提高主机操作系统和数据库的安全性。身份鉴别a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别,应为不同用户分配不同的用户名,不能多人使用同一用户名;技术部多人使用同一管理员账户,不同用户未分配不同的用户名数据库服务器-1/2测试服务器-1/2认证服务器-1/2数据库系统-1/2每个自然人对应使用一个账户,避免账户共享情况b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;操作系统缺少口令长度、更新周期、复杂性限
9、制对操作系统和数据库配置用户口令有效期的强制提醒与更新功能,使口令设置时系统具有复杂度检查和长度限制c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;操作系统未启用登录失败处理功能启用登录失败处理功能,口令尝试超过规定次数锁定账户c) 应实现操作系统和数据库系统特权用户的权限分离;操作系统和数据库管理员由同一人担任,权限未分离为操作系统管理员和数据库管理员岗位配备不同的人员,同时补充相应人员岗位职责a) 安全审计应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;审计功能未开启或审计不全面,未定期对审计记录进行分析启用本地安全审计功能或部署堡垒机等第三方审
10、计系统,审计策略配置登录登出、权限变更、重要文件增删行为等事件内容a) 操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新系统补丁未及时升级通过设置专门的升级服务器等方式保持对操作系统安全补丁的及时更新,并补充完善相关系统升级制度和升级记录应部署具有统一管理功能的防恶意代码软件,并定期更新防恶意代码软件版本和恶意代码库;新闻制播系统、播出整备系统、播出系统等播出直接相关系统的核心服务器可根据需要进行部署和更新。操作系统未部署具有统一管理功能的防恶意代码软件 不符合建议操作系统安装企业版或网络版杀毒软件进行统一管理4.1.5 总要求详见GD
11、/J038-2011有关总要求。为满足要求,制定信息安全工作的总体方针和安全策略管理制度和操作规程安全管理制度体系等制度达到目的或检查要求。a) 应制定信息安全工作的总体方针和安全策略,说明安全工作的总体目标、范围、原则和安全框架等;缺少信息安全工作的总体方针和安全策略文件/补充信息安全工作的总体方针和安全策略,主要内容包括机构安全工作的总体目标、范围、方针、原则、和安全框架b) 应成立指导和管理信息安全工作的领导小组,设立信息安全管理工作的职能部门;00000000000关于成立信息安全保护工作的通知 余广电【2012】42号,明确成立了信息安全工作的领导小组,但未设立信息安全管理工作的职能
12、部门补充信息安全管理工作的职能部门,并明确职能部门的职责c) 应制定各项信息安全制度和操作规程,明确信息安全管理各项要求,形成由安全方针、管理制度、细化流程等构成的全面的信息安全管理制度体系,使等级保护工作常态化、制度化。缺少各项安全管理制度文档,缺少全面的信息安全管理制度体系制定各项安全管理制度和操作规程制定信息安全管理制度体系文件,制度体系由总体方针、安全策略、管理制度、操作规程等构成4.1.6 安全管理机构详见GD/J038-2011有关管理机构要求。为满足要求, 系统管理审批管理制度、系统管理审批记录、安全检查制度、安全检查管理制度和补充完善岗位职责、安全检查记录等制度,保障系统的安全
13、。岗位设置b)应设立信息安全管理工作的职能部门,负责信息安全各项工作的组织和落实,配备专职安全管理员;设立信息安全组织机构,负责信息安全各项工作的组织和落实未配备专职的安全管理员补充岗位职责,明确安全管理员的职责,配备专职的安全管理员未设立信息安全组织机构设立信息安全组织机构,明确机构的职责,配备专职的安全管理员d) 应制定文件明确安全管理机构各个部门和岗位的职责。缺少职能部门的职责和岗位职责文件补充部门职责和岗位职责,主要内容包括:安全主管、各个方面的负责人的岗位职责的具体设置,主要内容包括:网络管理员、机房管理员、系统管理员、安全管理员、数据库管理员、审计员、应用系统管理员等岗位的具体设置
14、,并清晰、明确各个岗位的职责范围授权和审批b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;缺少审批管理制度(系统变更、重要操作、物理访问和系统接入等事项),缺少逐级审批的文档增加系统管理审批管理制度:主要内容包括明确对系统投入运行、网络系统接入和重要资源的访问、变更管理、产品采购等关键活动的审批部门和批准人进行规定,明确审批流程c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;缺少审批管理制度文档增加逐级审批的文档对审批过程进行记录,增加审批事项的审查记录,包括审批事项、审批部门、审批人的变更进
15、行评审等内容,对关键活动的审批进行记录d)应记录审批过程并保存审批文档。缺少关键活动的审批过程记录沟通和合作a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题;不定期召开协调会议,电话、邮件、当面沟通,沟通内容历史问题的解决,缺少组织内部机构之间以及信息安全职能部门内部的安全工作会议文件,经检查,通讯录,明确了组织机构内部人员联系表增加会议纪要,包括组织内部机构之间以及信息安全职能部门内部的安全工作会议文件b) 应加强与系统内外相关工作单位的合作与沟通,确保信息安全各项工作的顺利开展;与信息内外相关工作单位建立了
16、沟通与合作机构,邮件、电话进行联系,包括业务,安全等,但缺少单独的工作文件或记录增加会议纪要,包括与系统内外相关工作单位的合作与沟通的记录审核和检查a)安全管理员应负责定期进行信息安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;1个月检查一次,包括日常运行、备份等,未包括漏洞检查,经检查,缺少安全检查的记录或报告补充安全检查记录,明确检查的周期,检查的内容包括系统日常运行、系统漏洞和数据备b)应定期进行全面信息安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;对信息系统未进行全面的安全检查,缺少安全检查管理制度增加安全检查制度,
17、明确检查内容包括技术措施有效性和安全管理制度执行情况等方面;增加安全检查文档,明确了定期进行全面安全检查,明确了检查内容等c)信息安全主管部门应制定安全检查表格实施安全检查, 汇总安全检查数据, 形成安全检查报告,并对安全检查结果进行通报。缺少全面的安全检查缺少全面的安全检查报告增加安全检查报告安全检查时的安全检查表结果通告记录,包括检查内容、检查时间、检查人员、检查数据汇总表、检查结果等内容的描述制度管理a) 应建立信息安全管理制度、操作规程等从访问控制、系统设计、系统建设、系统验收、系统运维、应急处置、人员管理、文件档案管理、审核检查等方面规范各项信息安全管理工作;缺少各项安全管理制度(访
18、问控制、系统设计、系统建设、系统验收、系统运维、应急处置、人员管理、文件档案管理、审核检查等方面)增加各项安全管理制度,明确访问控制、系统设计、系统建设、系统验收、系统运维、人员管理、文件档案管理、审核检查等方面b) 信息安全管理部门负责制定信息安全管理制度和操作规程,并进行版本控制;缺少安全管理制度文档增加安全管理制度文档,规范制度的版本管理c) 应组织专家和相关部门人员对安全管理制度和操作规程进行论证和审定,并定期对其合理性和适用性进行审定,根据需要进行修订;不定期对其合理性和适用性进行审定,根据需要进行修订缺少管理制度评审记录增加管理制度评审记录,包括评审内容、评审周期、参加人员和评审等
19、4.1.7 人员安全管理详见GD/J038-2011有关人员安全管理要求。为满足要求,通过制定保密协议、岗位安全协议、人员离职管理制度、离岗人员交接记录外来人员访问管理制度、外部人员访问重要区域的批准文档、外部人员访问重要区域的登记记录等人员管理制度,保障系统的安全。人员上岗b)应签署保密协议和岗位安全协议。对从事关键岗位的人员未签署保密协议和岗位安全协议增加保密协议,对关键岗位的人员签署保密协议,包括安全责任、违约责任、协议的有效期限和责任人签字等内容 增加岗位安全协议,包括安全责任、违约责任、协议的有效期限和责任人签字等内容人员离岗a) 应规范人员离岗过程,及时终止离岗员工的所有访问权限;
20、缺少人员离岗管理制度增加人员离岗管理制度,包括规范人员离岗过程,及时终止离岗员工的所有访问权限等内容b) 应取回各种身份证件、钥匙、徽章等以及单位提供的软硬件设备;缺少人员交接记录增加离岗手续记录表交接手续登记表,取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等 c) 应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。缺少人员调离记录,缺少离职人员的保密承诺文档增加保密承诺文档,明确要求关键岗位调离人员承诺相关保密义务后方可离开培训与考核b) 应对信息安全各相关岗位的人员定期进行安全技能、政策及安全认知的考核;年度考核记录,未包括安全技能和安全知识的考核
21、补充人员安全技术考核制度、人员考核记录,考核的内容包括安全技能及安全认知等 c) 应对信息安全培训和考核情况进行记录并保存。缺少安全教育和培训记录增加安全教育和培训记录,包括培训时间、地点、参与人员、培训内容、培训结果等外部人员访问管理a)应确保在外部人员访问受控区域前先提出书面申请,得到授权或审批,批准后由专人全程陪同或监督,并登记备案;访问受控区域前经过相关人员的批准,同意后有专人陪同,缺少外部人员访问重要区域的批准文档,缺少外部人员访问重要区域的登记记录增加 外部人员访问重要区域的批准文档、外部人员访问重要区域的登记记录,主要内容明确对外部人员访问机房等重要区域应经相关部门或负责人批准,
22、明确外部人员访问的范围、外部人员进入的条件、外部人员进入的访问控制措施b)对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。缺少外部人员访问管理制度增加外来人员访问管理制度,明确允许外部人员访问的范围,外部人员进入的条件,外部人员进入的访问控制措施等;对允许外部人员访问的区域、系统、设备和信息等进行明确规定4.1.8 系统建设管理详见GD/J038-2011有关系统建设管理要求。为满足要求,我们通过增加安全设计方案、工程实施文档、测试验收文档、方案评审记录、软件开发管理规范和系统交付清单等方式来加强系统的安全。安全方案设计a)根据信息系统的等级划分情况,应由专门的部门对信息系统的安全建设进行总体规划,统一考虑信息安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划、远期和近期建设计划等;技术运维部负责信息系统的总体规划,经检查,缺少系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案、近期安全建设计划和远期安全建设计划等配套文件增加总体安全策略
