【正文】 請和審批流程，并限制和監(jiān)控其活動范圍。 溝通和合作 要求如下： a) 應加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題； b) 應加強與系統(tǒng)內(nèi)外相關(guān)工作單位的合作與溝通，確保信息安全各項工作的順利開展； c) 具有三級及以上信息系統(tǒng)的單位應聘請信息安全專家作為常年的安全顧問，指導信息安全建設，參與安全規(guī)劃和安全評審等。 安全方案設計 要求如下： a) 根據(jù)信息系統(tǒng)的等級劃分情況，應由專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃，統(tǒng)一考慮信息安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設規(guī)劃、遠期和近期建設計劃等； b) 應根據(jù)國家和行業(yè)標準、規(guī)范合理設計信息系統(tǒng)的信息安全方案和策略，制定詳細的建設方案； c) 應組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息安全的規(guī)劃、建設方案等進行論證和審定，并且經(jīng)過批準后，才能正式實施； d) 應根據(jù)等級測評、安全評估的結(jié)果調(diào)整和修訂信息安全的規(guī)劃、建設方案等。 等級測評 要求如下： a) 在系統(tǒng)運行過程中，應按照國家和行業(yè)標準、規(guī)范要求對系統(tǒng)進行等級測評，發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改； b) 應在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進行安全改造，發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改； c) 應選擇國家和行業(yè)認可的信息安全資質(zhì)單位進行等級測評。 惡意代碼防范管理 要求如下： a) 應提高所有用戶的防病毒意識，及時告知防病毒軟件版本，在讀取移動存儲設備上的數(shù)據(jù)以及網(wǎng)絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網(wǎng)絡系統(tǒng)之前也應進行病毒檢查； b) 應對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定； c) 應定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進行記錄，對防惡意代碼產(chǎn)品上截獲的危險病毒或惡意代碼進行及時分析處理，并形成書面的報表和總結(jié)匯報。 。 網(wǎng)絡安全管理 要求如下： a) 應指定專人對網(wǎng)絡進行管理，負責運行日志、網(wǎng)絡監(jiān)控記錄的日常維護和報警信息分析和處理工作； b) 應建立網(wǎng)絡安全管理制度，對網(wǎng)絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定； c) 應根據(jù)廠家提供的軟件升級版本對網(wǎng)絡設備進行更新，并在更新前對現(xiàn)有的重要文件進行備份； d) 應定期對網(wǎng)絡系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進行及時的修補，播出直接相關(guān)的信息網(wǎng)絡根據(jù)需要進行； e) 應保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準； f) 應定期檢查信息系統(tǒng)非法接入和非法外聯(lián)的行為。 系統(tǒng)交付 要求如下： a) 應制定詳細的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設備、軟件和文檔等進行清點； b) 應對負責系統(tǒng)運行維護的技術(shù)人員進行相應的技能培訓； c) 應提供系統(tǒng)建設過程中的文檔和指導用戶進行系統(tǒng)運行維護的文檔。 外部人員訪問管理 要求如下： a) 應確保在外部人員訪問受控區(qū)域前先提出申請，批準后由專人全程陪同或監(jiān)督，并登記備案； b) 應對外部人員允許訪問的區(qū)域、系統(tǒng)、設備、信息等內(nèi)容進行書面的規(guī)定，并按照規(guī)定執(zhí)行。 安全管理機構(gòu) 崗位設置 要求如下： a) 應成立指導和管理信息安全工作的委員會或領(lǐng)導小組，其最高領(lǐng)導由單位主管領(lǐng)導委任或授權(quán)； b) 應設立信息安全管理工作的職能部門，負責信息安全各項工作的組織和落實，配備專職安全管理員； c) 具有第三級及以上信息系統(tǒng)的單位應設立系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位，并明確各個工作崗位的職責、分工和技能要求； d) 應制定文件明確安全管理機構(gòu)各個部門和崗位的職責。 審計管理 要求如下： a) 應對基礎(chǔ)網(wǎng)絡、邊界安全、服務器及應用系統(tǒng)的安全審計進行集中管理； b) 應對審計記錄進行統(tǒng)計、查詢、分析及生成審計報表； c) 應對90天以上的審計日志進行歸檔，歸檔日志至少保存一年以上。 通信保密性 信息系統(tǒng)與外部網(wǎng)絡進行通信時，在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術(shù)進行會話初始化驗證，并對通信過程中的用戶身份鑒別信息等敏感信息字段進行加密。 惡意代碼防范 應部署具有統(tǒng)一管理功能的防惡意代碼軟件，并定期更新防惡意代碼軟件版本和惡意代碼庫；新聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心服務器可根據(jù)需要進行部署和更新。 訪問控制 應依據(jù)安全策略控制用戶對資源的訪問，禁止通過USB、光驅(qū)等外設進行數(shù)據(jù)交換，關(guān)閉不必要的服務和端口等。 安全審計 要求如下： a) 應對關(guān)鍵網(wǎng)絡設備的運行狀況、用戶行為等重要事件進行日志記錄； b) 審計記錄應包括事件的日期、時間、用戶名、IP地址、事件類型、事件是否成功等； c) 應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等，審計記錄至少保存90天； d) 應定期對審計記錄進行分析，以便及時發(fā)現(xiàn)異常行為； e) 應為安全管理中心提供集中管理的接口。 通信完整性 信息系統(tǒng)與外部網(wǎng)絡進行通信時，應采用校驗碼技術(shù)、特定的音視頻文件格式、特定協(xié)議或等同強度的技術(shù)手段等進行傳輸，保證通信過程中的數(shù)據(jù)完整性。 入侵防范 要求如下： a) 操作系統(tǒng)應遵循最小安裝的原則，僅安裝業(yè)務需要的組件和應用程序，關(guān)閉不必要的服務和端口； b) 應定期更新操作系統(tǒng)補丁，新聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心服務器可根據(jù)需要進行更新。 終端系統(tǒng)安全 身份鑒別 應對登錄終端操作系統(tǒng)的用戶進行身份標識和鑒別，口令應有復雜度要求并定期更換，用戶名和口令禁止相同。6 第二級防護要求 基礎(chǔ)網(wǎng)絡安全 結(jié)構(gòu)安全 要求如下： a) 應保證關(guān)鍵網(wǎng)絡設備的業(yè)務處理能力和網(wǎng)絡帶寬具備冗余空間，滿足業(yè)務高峰期需要； b) 應為新聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心交換機、匯聚交換機等關(guān)鍵網(wǎng)絡設備配置冗余； c）應根據(jù)各信息系統(tǒng)與播出的相關(guān)程度進行層次化網(wǎng)絡結(jié)構(gòu)設計，形成網(wǎng)絡縱深防護體系，新聞制播系統(tǒng)中的直播演播室系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)應位于縱深結(jié)構(gòu)內(nèi)部，系統(tǒng)內(nèi)部不應通過無線方式進行組網(wǎng)； d) 應根據(jù)信息系統(tǒng)功能、業(yè)務流程、網(wǎng)絡結(jié)構(gòu)層次、業(yè)務服務對象等合理劃分網(wǎng)絡安全域； e) 安全域內(nèi)應根據(jù)業(yè)務類型、業(yè)務重要性、物理位置等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段； f) 同一安全域內(nèi)重要網(wǎng)段與其他網(wǎng)段之間應采取可靠的技術(shù)隔離手段； g) 應繪制與當前運行情況相符的網(wǎng)絡拓撲結(jié)構(gòu)圖。 邊界完整性 應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查。 安全審計 要求如下： a) 應對系統(tǒng)中的接口服務器、Web服務器、應用服務器、數(shù)據(jù)庫服務器等重要服務器的操作系統(tǒng)和數(shù)據(jù)庫進行審計，審計粒度為用戶級； b) 審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件； c) 審計記錄至少應包括事件的日期、時間、類型、用戶名、客戶端IP地址、訪問對象、結(jié)果等； d) 應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等，審計記錄至少保存90天； e) 應定期對審計記錄進行分析，以便及時發(fā)現(xiàn)異常行為。 安全審計 要求如下： a) 應提供新聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)安全審計功能； b) 審計內(nèi)容應包括用戶登錄、修改配置、核心業(yè)務操作等重要行為，以及系統(tǒng)資源的異常使用等； c) 審計記錄至少應包括事件的日期和時間、事件類型、客戶端IP地址、描述和結(jié)果等； d) 應保證無法刪除、修改或覆蓋審計記錄，審計記錄至少保存90天。 7 第三級防護要求 基礎(chǔ)網(wǎng)絡安全 結(jié)構(gòu)安全 要求如下： a) 應保證主要網(wǎng)絡設備的業(yè)務處理能力和網(wǎng)絡帶寬具備冗余空間，滿足業(yè)務高峰期需要； b) 應為信息系統(tǒng)的核心交換機、匯聚交換機等關(guān)鍵網(wǎng)絡設備配置冗余，避免關(guān)鍵節(jié)點存在單點故障； c）應根據(jù)各信息系統(tǒng)的播出相關(guān)度進行層次化網(wǎng)絡結(jié)構(gòu)設計，形成網(wǎng)絡縱深防護體系，新聞制播系統(tǒng)中的直播演播室系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)應位于縱深結(jié)構(gòu)內(nèi)部，系統(tǒng)內(nèi)部不應通過無線方式進行組網(wǎng)； d) 應根據(jù)信息系統(tǒng)功能、業(yè)務流程、