《广电BOSS系统等级保护测评整改方案.docx》由会员分享,可在线阅读,更多相关《广电BOSS系统等级保护测评整改方案.docx(28页珍藏版)》请在第一文库网上搜索。
1、数字电视综合运营支撑(BOSS)系统等级保护整改方案2023年12月目录-概述1二、系统现状12.1 数字电视综合运营支撑(BOSS)系统12.1.1 系雌述2.1.2 系统拓扑图12.1.3 系统构成22.1.4 系统测评结论3三、整改依据4四、整改内容44.1 数字电视综合运营支撑(BOSS)系统44.1.1 物理安全44.1.2 基础网络安全54.1.3 界安全64.1.4 主机群74.1.5 总要求94.1.6 安全管理机构94.1.7 人员安全管理124.1.8 系统建设管理134.1.9 系统运维管理16五、方案总结20附件一:设备清单:口息21附件二:管理制度及表单条目清单22信
2、息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。实施信息安全等级保护制度,信息系统运营使用单位和主管部门能按照标准进行安全建设、整改,信息系统安全也有了T衡量尺度。信息系统根J居其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度分成五个安全保护等级(从第一级到第五级逐级增高)。本方案主要针对信息系统的现状,依据信息系统等级保护评测工作的f数字全自动播出信息系统等级保护定级报告、数字电视综合运营支撑(BOSS)系统等级保护测评报告、
3、的现有的状况和等保相关要求差SEa/深入分析,并以满足等保需求为基础,对信息系统的建设整改进行规划设计。二2.1 数字电视综合运营方(BOSS)系统2.1.1 系雌述BOSS系统业务信息包括:数字电视客户基本资料(、地址、电话等),缴费i稼、授权情况、欠费信就机顶盒设备信息等。为该信息麴淀级的责任单位,该系统已被定级为三级(S2A2G2)。21.2系触扑图核心设备部署了中兴通信的ZXR1O8908万蝴由交换机,19个乡镇以及城区汇聚节点均部署ZXR1O8905万兆路由交换机。具体网络拓扑如下图所示:2.1.3系统构成1)业务应用软件表4信息系统业务应用软件软件名称主要功能1数字电视综合运营支撑
4、(BOSS)系统主要完成数字电视用户信息的录入、更新、认证、授权、计费等功能2)表5信息系统主机府储设备设备名称系统/数据库管理系统1收费工作站PCWindowsXP/2幡库服务器-1IBMX3650M3SO1ARIS/Orac1e3数据库服务器-2IBMX3650M3SO1ARIS/Orac1e相设备名称操作系库统4接口服务器IBMX3650M31inux/-5测试服务器-1IBMX3650M31inux/-6测试服务器-2IBMX3650M31inux/7认证服务器-1IBMX3650M31inux/8认证服务器-2IBMX3650M31inux/-3)网络互联设备表6信息系统网络互联设备
5、设备名称用途1)ZXR1O8908核心交换机2中兴ZXRIO8908襦交换机2.1.4系统测评结论等级测评结论为“基本符合”,差S巨项分布如下表所示:名称测评指S部份符合项不符合项高风险项技术要求物理安全400基础网络安全200边界安全030服务器安全310应用安全510数据安全及备份恢复100管理要求总要求000安全管理机构500人员安全管理410系统建设管理500系统运维管理1020三盥好螭1)GB17859-1999信息安全技术计算机信息系统安全保护等级划分准则;2)E电视相关信息系统安全等级保护基本要求(GD/J038-2023)3)广播电视相关信息系统安全等级保护测评要求(GD/J0
6、44-2023);4)信息系统安全等级保护定级报告;5)数字电视综合运营支撑(BOSS)系统安全等级保护测评报告;四、盥炳容4.1 数字电峻合运营朝(BOSS)系统4.1.1 物理安全1 .相关要求及依据详见GD/J038-2023有关物理安全要求。为满足要求,通过部署防盗报警系统及火灾自动报警系统和灭火系统,开展机房运维管理和环境管理,提高机房的安全性。2 .安全现状及整改措施类SU测评内容结果记录涉及资产况整雌施物理访问mob)需进入播出机房的来访人员应经过申请和审批流程,并限制和监控因话才带围进入机房由专人陪同,缺少来访人员进入机房的审批记录部份符合设置来访人员进行木帽审批记录防盗IS坏
7、C)应利用光、电等技术设置机房防盗报警系统;机房缺少防盗报警系统不符合部署防盗报警系统岷襁b)机房应有防水防潮措施,应充分考虑水管泄漏和凝露的可能性,并做好相应的预防措施;机房窗户缺少防水防渗处理,机房的窗户、屋顶和墙壁未浮现漏水、渗透和返潮现象,机房内空调排水管进行加固防渗、防漏处理,机房空调具有除湿功能,缺少曲永附湖仆理汜手不符合定期开展机房运维和环境管理d)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内;机房内具有专业空调,可对机房内温度进行自动调节,具有空调定期检查和维护记录,缺少机房湿度控制设置韶腑合增加机房湿度调节设施消防瞬b)机房应设置火灾自动消防
8、系统,能够自动检测火情、自动报警,并自动灭火;机房内具有日常值守人员,机房具有干粉灭火器,缺少自动灭火设备韶萌合部署火灾自动报警系统和自动灭火系统4.1.2基础网络安全1 .相关要求及依据详见GD/J038-2023有关基础网络安全要求。为满足要求,通过部署动态令牌及日志服务器并完善设备基本配置要求,定期开展设备维护,达到基础网络安全要求。2 .安全现状及整改措施颊测评内容记录涉及资产整改措施C)应用户审,避免受到未预期的删除、修改或者覆盖等,审计记W至小厚在Q缺少对审计日志进行必要像户交换机和合对日志进行集中,獭螃分析d)应定期对审计记录进未定期对审计记录对日志进行集中彳亍分析,以便及时发现
9、异常行为;进行分析合,薄跖分析胡户e)当对网络设备进行远程管理时,应采用HTTPS、SSH等安全的远程管理手段,防止用户身份鉴别信息在网络传输过程中被窃听;远程管理设备时采用te1net方式进行交换机不符合采用SSH远程管理4.1.3边界冷3 .相关要求及依据详见GD/J038-2023有关边界安全要求。为满足要求,通过修改配置,设置日志集中管理并定期分析,提供边界安维4 .安全现状及整改措施类Si1测评内容结果记录资产情况码a)应在信息系统的网络边界处进行恶意代码检测和清除,并维护恶意代码库的升级和检测系统的更新,播出整备系统、播出系统等播出直接相关系统的边界可根据需要讲行部署BOSS系统在
10、边界处未设置恶意代码防范措施和合在网络边界部署恶意代码防范设备b)防恶意代码产品应与信息系统内部防恶意代码产品具有不同的恶意代码库BOSS系统在边界处未设置恶意代码防范措施称合a)应在信息系统的网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等,播出整备系统、播出系统等BOSS系统在边界处未设置入侵谨防措施称合在网络边界部署入侵防范设备信息系统的边界可根据需要讲行部署a)应在与外部网络连接的网络边界处进行数据通信行为审计BOSS麴朽CA系究VOD,营业厅相连,缺外寸网络边界处进行数据通信的行为进行审计和合在与外部网络连接的网
11、络边界处进行数据通信行为审计,并对审计日志进行集中管理和日常分析b)审计记录应包括事件的日期、时间、用户名、IP地址、事件类型、事件是否成功等BOSS系统与CA系统VOD,营业厅相连,缺少对系统网络边界处进行数据通信的行为进行审计襁合c)应保护审计记录,避免受到未预期的删除、修改或者覆盖等,审计记录至少保存90天BOSS系统与CA系统VOD,营业厅相连,缺少对系统网络边界处进行数据通信的行为进行审计襁合d)应定期对审计iS录进行分析,以便及时发现异常行为BOSS系统与CA系统VODx营业厅相连,缺少对系统网络边界处进行数据通信的行为进行审计襁合4.1.4主机通1 .相关要求及依据详见GD/J0
12、38-2023有关主机要求。为满足要求,通过修改主机安全配置,设置登陆口令复杂度限制、登陆失购昔瓶开启安全审计、定期升级系绷Dtt补丁,提高主机操作系绷口数据库的2 .安全现状及整改措施类别测评内容结果记录涉及资产品身份鉴a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别,应为不同用户分配不同的用户名,不能多人使用同技术部多人使用同殿账户,不同用户未分配不同的用户名收费工作站数据库服务器-1/2接口服务器测试服务器-1/2认宙艮务器-1/2称合每个自然人对应使妒,避免账户共享情况一用户名;辘库系统-1/2b)操作系统和能g库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并
13、定期更换;操作系统缺少口令长复獭周阻复杂性限制收费工作站雌库服务器-1/2接口服务器测试服务器1/2认证务器-1/2数据库系统-1/2数字电视综合运营支撑(BOSS)系统种合对操作系统和数据库配置用户口令有效期的强制提醒与更新功能,使口令设置时系统具有复杂度检查和长度限制c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;操作系统未启用登录失败处理功能收费工作站辘库服务器-1/2接口服务器测务器-1/2认邮务器-1/2数据库系统-1/2数字电视综合运营支撑(BOSS)系统松合启用登录失败处能,口令尝试超过规定次数锁定账户C)应实现操作系统和数据库系统特权用户的权B盼离
14、;操作系统和数据库管理员由同一人担任,权限未分离数据库系统-1/2种合为操作系统管理员和数据库管理员岗位配备不同的/品,同耕卜充相应人员岗位职责s审计a)安全审计应覆盖到服务器和重要客户端上的每一个操作系统用户和数据库用户;审计功能未开启或者审计不全面,未定期对审计记录进行分析雌库服务器-1/2接口服务器测试服务器1/2认证务器-1/2数据库系统-1/2柏合启用本地安全审计功能或者部署堡垒机等第三方审计赭S,第8S配置登录登出、权限变更、文件增删行为等事件内容入侵腕a)操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新系统补丁未及时升级收费工作站雌库服务器-1/2接口服务器测试服务器-1/
免费区 
