【GY广播电视行业标准】 广播电视网络安全等级保护基本要求

中华人民共和国广播电视和网络视听行业标准GY/T352—2021
广播电视网络安全等级保护基本要求Baseline for classified protection of broadcasting cybersecurity2021-07-14发布
国家广播电视总局
2021-07-14实施
-nrKaeerKAca-
2规范性引用文件
3术语和定义
4缩略语
5广播电视网络安全等级保护概述5.1等级保护对象定级
5.2不同等级的安全保护能力
安全通用要求和安全扩展要求
6第一级安全要求
安全通用要求
云计算安全扩展要求
移动互联安全扩展要求
7第二级安全要求
安全通用要求
云计算安全扩展要求
移动互联安全扩展要求
8第三级安全要求
安全通用要求
云计算安全扩展要求
移动互联安全扩展要求
9第四级安全要求
安全通用要求
云计算安全扩展要求
9.3移动互联安全扩展要求
10第五级安全要求（略）
11安全物理环境要求
11.1安全通用要求
11.2云计算安全扩展要求，
11.3移动互联安全扩展要求
12安全管理要求
12.1安全通用要求
12.2云计算安全扩展要求
-rKaeerKAca-
GY/T352—2021
GY/T352-2021
12.3移动互联安全扩展要求
附录A（规范性）
附录B（规范性）
附录C（规范性）
附录D（资料性）
附录E（资料性）
参考文献
安全要求的选择和使用
等级保护对象整体安全保护能力的要求等级保护安全框架和关键技术使用要求云计算应用场景说明，
移动互联应用场景说明...
rKaeerKAca-
GY/T352-2021
本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国广播电影电视标准化技术委员会（SAC/TC239）归口。本文件起草单位：国家广播电视总局监管中心、央视国际网络有限公司、上海文化广播影视集团有限公司、国家广播电视总局广播电视规划院、国家广播电视总局广播电视科学研究院、公安部第三研究所（公安部信息安全等级保护评估中心）、北京广播电视台、北京歌华有线电视网络股份有限公司、四川金熊猫新媒体有限公司、云南无线数字电视文化传媒股份有限公司、北京安信天行科技有限公司、广信智安（青岛）科技有限公司、杭州数梦工场科技有限公司。本文件主要起草人：李炎、杨波、王宝石、姜峰、程明、林嗣雄、肖辉、宫铭豪、任卫红、毕江、林霖、郭东海、梁率、任晓炜、张程、刘晨、袁礼、王晓艳、梁厚鸿、彭海龙、王洪刚、党超辉、张俊、裴钰、胡恺、罗桂民、陈奇、杨木伟、董升来、李祯、赵少川、赵国全。-irKaeeiKAca
-nrKaeerKAca-
1范围
广播电视网络安全等级保护基本要求GY/T352-2021
本文件规定了广播电视网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。
本文件适用于指导分等级的非涉密对象的安全建设和监督管理。对于涉及国家秘密的网络，应按照国家保密工作部门的相关规定和标准进行保护。注：第五级等级保护对象是非常重要的监督管理对象，对其有特殊的管理模式和安全要求，所以不在本文件中进行描述。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB17859计算机信息系统安全保护等级划分准则GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T22240—2020信息安全技术网络安全等级保护定级指南GB/T25069信息安全技术术语
GB/T31167—2014信息安全技术云计算服务安全指南GB/T31168—2014信息安全技术云计算服务安全能力要求GY/T337—2020广播电视网络安全等级保护定级指南GY5067广播电影电视建筑设计防火标准3术语和定义
GB17859、GB/T22239—2019、GB/T22240—2020、GB/T25069、GB/T31167—2014、GB/T31168—2014和GY/T337一2020界定的以及下列术语和定义适用于本文件。3.1
广播电视网络安全broadcasting cybersecurity通过采取必要措施，防范对广播电视网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。3.2
Jsecurityprotectionability
安全保护能力
能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。[来源：GB/T22239—2019,3.2]
云计算cloudcomputing
-nrKaeerKAca-
GY/T352-2021
通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。［来源：GB/T31167—2014,3.1]3.4
云服务商cloudserviceprovider云计算服务的供应方。
注：云服务商管理、运营、支撑云计算的计算基础设施及软件，通过网络交付云计算的资源。[来源：GB/T31167—2014,3.3]
云服务客户cloud servicecustomer为使用云计算服务同云服务商建立业务关系的参与方。［来源：GB/T31168—2014,3.4]3.6
云计算平台/系统
cloudcomputingplatform/system云服务商提供的云计算基础设施及其上的服务软件的集合。［来源：GB/T22239—2019,3.6]3.7
虚拟机监视器
hypervisor
运行在基础物理服务器和操作系统之间的中间软件层，可充许多个操作系统和应用共享硬件［来源：GB/T22239—2019,3.7]3.8
宿主机hostmachine
运行虚拟机监视器的物理服务器。［来源：GB/T22239—2019,3.8]3.9
移动互联mobilecommunication
采用无线通信技术将移动终端接入有线网络的过程。［来源：GB/T22239—2019,3.9]3.10
移动终端mobiledevice
在移动业务中使用的终端设备，包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。来源：GB/T22239-—2019.3.10
无线接入设备
wirelessaccessdevice
采用无线通信技术将移动终端接入有线网络的通信设备。［来源：GB/T22239—2019,3.11]3.12
wireless access gateway
无线接入网关
部署在无线网络与有线网络之间，对有线网络进行安全防护的设备［来源：GB/T22239—2019,3.12]3.13wwW.bzxz.Net
移动应用软件
mobileapplication
针对移动终端开发的应用软件。2
-rrKaeerKAca-
［来源：GB/T22239—2019,3.13]3.14
等级保护对象target of classified protection广播电视网络安全等级保护工作直接作用的对象。注：主要包括信息系统、广播电视网络设施和数据资源。［来源：GY/T337—2020,3.1]
外部网络externalnetwork
本等级保护对象之外的网络。
敏感数据
居sensitivedata
GY/T352-2021
包括但不限于未经广播电视行政主管部门批准发布的行业统计数据、行业企事业经营数据、用户数据。4缩略语
下列缩略语适用于本文件。
AP无线访问接入点（WirelessAccessPoint）DDos分布式拒绝服务（DistributedDenialofService）HTTPS超文本安全传输协议（HyperTextTransferProtocoloverSecureSocketLayer）Iaas基础设施即服务（Infrastructure-as-a-Service）IP互联网协议（InternetProtocol）IT信息技术（InformationTechnology）PaaS平台即服务（Platform-as-a-Service）Saas
软件即服务（Software-as-a-Service）服务集标识（ServiceSetIdentifier）SSH
安全外壳（SecureShell）
可信计算基（TrustedComputingBase）虚拟专用网络（VirtualPrivateNetwork）有线等效加密（WiredEquivalentPrivacy）WiFi保护设置（WiFiProtectedSetup）5广播电视网络安全等级保护概述5.1等级保护对象定级
等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，：由低到高被划分为五个安全保护等级。
广播电视网络安全保护等级确定方法见GY/T337—2020。5.2不同等级的安全保护能力
不同级别的等级保护对象应具备的基本安全保护能力如下。3
-rrKaeerKAca-
GY/T352-2021
第一级安全保护能力：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。第二级安全保护能力：应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能。第三级安全保护能力：应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能第四级安全保护能力：应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够及时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速恢复所有功能第五级安全保护能力：略。
注：在本文件中，加粗字部分表示较高等级中增加或增强的要求。5.3安全通用要求和安全扩展要求由手业务自标的不同、使用技术的不同、应用场景的不同等因素，不同的等级保护对象会以不同的形态出现，表现形式可能称之为基础信息网络、信息系统（包含采用移动互联等技术的系统）、云计算平台/系统、大数据平台/系统等。形态不同的等级保护对象面临的威胁有所不同，安全保护需求也会有所差异。为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护，等级保护要求分为安全通用要求和安全扩展要求，
安全通用要求针对共性化保护需求提出，等级保护对象无论以何种形式出现，应根据安全保护等级实现相应级别的安全通用要求：安全扩展要求针对个性化保护需求提出，需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求。安全要求的选择和使用应符合附录A的规定，整体安全保护能力的要求应符合附录B和附录C的规定。
本文件针对云计算、移动互联系统提出了安全扩展要求。云计算应用场景见附录D，移动互联应用场景见附录E，对于采用其他特殊技术或处于特殊应用场景的等级保护对象，应在安全风险评估的基础上，针对安全风险采取特殊的安全措施作为补充，第6章至第10章分别针对不同安全保护等级的广播电视网络安全等级保护对象应该具有的安全保护能力，从安全通信网络、安全区域边界、安全计算环境、安全管理中心儿个层面提出了相应的安全防护要求。根据《广播电视安全播出管理规定》及实施细则，广播电视网络安全等级保护对象物理安全以及管理要求应符合第11章和第12章要求。
6第一级安全要求
6.1安全通用要求
6.1.1安全通信网络
6.1.1.1网络架构
要求如下：
a）应保证关键网络设备的业务处理能力满足业务高峰期需要；b）应保证网络各个部分的带宽满足业务高峰期需要：4
nrKaeerKAca
c）应配备与实际运行情况相符的网络拓扑图。6.1.1.2通信传输
应采用校验技术保证通信过程中数据的完整性。6.1.1.3可信验证
GY/T352-2021
可基于可信根对通信设备的系统引导程序、系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。
6.1.2安全区域边界
6.1.2.1边界防护
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。6.1.2.2访问控制
要求如下：
应在网络边界根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有a)
通信：
应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；c）
应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出6.1.2.3可信验证
可基于可信根对边界设备的系统引导程序、系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。
安全计算环境
身份鉴别
要求如下：
a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；
b）应启用登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
6.1.3.2访问控制
要求如下：
a）应对登录的用户分配账户和权限：b）应重命名或删除默认账户，修改默认账户的默认口令：c）应及时删除或停用多余的、过期的账户，避免共享账户的存在。6.1.3.3入侵防范
要求如下：
a）应遵循最小安装的原则，仅安装需要的组件和应用程序：b）应关闭不需要的系统服务、默认共享和高危端口。5
-rrKaeerKAca-
GY/T352-2021
6.1.3.4恶意代码防范
应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。6.1.3.5
可信验证
可基于可信根对计算设备的系统引导程序、系统程序等进行可信验证，在检测到其可信性受到破坏后进行报警。
6.1.3.6数据完整性
应采用校验技术保证重要数据在传输过程中的完整性，包括但不限于调度信息、鉴别数据、重要业务数据和重要个人信息等。
6.1.3.7数据备份恢复
应提供重要数据的本地数据备份与恢复功能。6.2云计算安全扩展要求
6.2.1安全通信网络
6.2.1.1网络架构
要求如下：
a）应保证云计算平台不承载高于其安全保护等级的业务应用系统：b）应实现不同云服务客户虚拟网络之间的隔离，6.2.2号
安全区域边界
6.2.2.1访问控制
应在虚拟化网络边界部署访问控制机制，并设置访问控制规则。6.2.3安全计算环境
6.2.3.1访问控制
要求如下：
a）应保证当虚拟机迁移时，访问控制策略随其迁移：b）应允许云服务客户设置不同虚拟机之间的访问控制策略6.2.3.2数据完整性和保密性
应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定。6.3移动互联安全扩展要求
6.3.1安全区域边界
6.3.1.1边界防护
应保证有线网络与无线网络边界之间的访问和数据流通过无线接入安全网关设备2访问控制
-rrKaeerKAca-
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。