《廣播電視相關(guān)信息系統(tǒng)安全等級保護基本要求》分析

第第10頁共33頁廣電等級保護標(biāo)準(zhǔn)二級和三級根本要求分析概述為了適應(yīng)國家對于等級保護的工作要求，2022年5月，廣電總局首次公布行業(yè)信息安全標(biāo)準(zhǔn)性技術(shù)文件：〔GD/J037-2022〕〔〕〔GD/J038-2022〕〔〕202211月，廣電總局又公布行業(yè)信息安全測試標(biāo)準(zhǔn)性技術(shù)文件：〔GD/J044-2022〕〔〕2022〔以下簡稱“指導(dǎo)意見的指導(dǎo)意見。有必要對這幾份文件作深入的學(xué)習(xí)，本文就對這幾份文件作一些粗淺的分析，供大家參考。表格，根本上劃定了系統(tǒng)的范圍和等級標(biāo)準(zhǔn)，所以本文中重點也就對其次級和第三級的要求進展分析：23“測評要求”是針對“根本要求”所提出的各項要求提出測評的要求和標(biāo)準(zhǔn)，為廣電網(wǎng)絡(luò)公司預(yù)備測評供給指導(dǎo)；“指導(dǎo)意見”則是提出了很多具體的實施意見，為廣電網(wǎng)絡(luò)公司實施等級保護供給參考意見；所以在本文中，重點將對“根本要求”進展分析，同時在分析過程中將其他文件中的相關(guān)內(nèi)容補充到其中。不同的要求，物理要求和治理要求都是通用要求，不再細分各個不同的級別，如以下圖所示：級沒有該要求，固然在各個工程的細節(jié)下上還是有很多的差異的：“指導(dǎo)意見”的內(nèi)容概述如下：急備應(yīng)處播急理系處基統(tǒng)理本要流要求程求《有線數(shù)字電視系統(tǒng)安全指導(dǎo)意見》組織架構(gòu)與人員治理要求《有線數(shù)字電視系統(tǒng)安全指導(dǎo)意見》組織架構(gòu)與人員治理要求系統(tǒng)安全總體框架(9項)安全應(yīng)急要求機構(gòu)與職責(zé)安全治理制度要求人員治理要求參考框架邊界防護要求安全責(zé)任要求物理訪問掌握全網(wǎng)拓撲治理安全審計網(wǎng)絡(luò)隔離設(shè)備輸入輸出端口遠程維護治理賬號口令治理補丁及更治理終端安全狀態(tài)監(jiān)控應(yīng)2大塊：根底網(wǎng)絡(luò)安全二級二級三級1a)應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理力量和網(wǎng)絡(luò)帶寬具備冗余空間，a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理力量和網(wǎng)絡(luò)帶寬具備冗余空間，滿(網(wǎng)絡(luò)冗余)滿足業(yè)務(wù)頂峰期需要；足業(yè)務(wù)頂峰期需要；b)應(yīng)為聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系b)應(yīng)為信息系統(tǒng)的核心交換機、會聚交換機等關(guān)鍵網(wǎng)絡(luò)設(shè)備配置冗統(tǒng)的核心交換機、會聚交換機等關(guān)鍵網(wǎng)絡(luò)設(shè)備配置冗余；余，避開關(guān)鍵節(jié)點存在單點故障；2(安全域劃分和形成網(wǎng)絡(luò)縱深防護體系，聞制播系統(tǒng)中的直播演播室系統(tǒng)、播絡(luò)縱深防護體系，聞制播系統(tǒng)中的直播演播室系統(tǒng)、播出整備系邊界防護) 出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)應(yīng)位于縱深構(gòu)造內(nèi)部，統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)應(yīng)位于縱深構(gòu)造內(nèi)部，系統(tǒng)內(nèi)部不系統(tǒng)內(nèi)部不應(yīng)通過無線方式進展組網(wǎng)；應(yīng)依據(jù)信息系統(tǒng)功能、業(yè)務(wù)流程、網(wǎng)絡(luò)構(gòu)造層次、業(yè)務(wù)效勞對象等合理劃分網(wǎng)絡(luò)安全域；安全域內(nèi)應(yīng)依據(jù)業(yè)務(wù)類型、業(yè)務(wù)重要性、物理位置等因素，劃分不同的子網(wǎng)或網(wǎng)段，并依據(jù)便利治理和掌握的原則為各子網(wǎng)、網(wǎng)段安排地址段；同一安全域內(nèi)重要網(wǎng)段與其他網(wǎng)段之間應(yīng)實行牢靠的技術(shù)隔離手段；應(yīng)繪制與當(dāng)前運行狀況相符的網(wǎng)絡(luò)拓撲構(gòu)造圖。網(wǎng)絡(luò)設(shè)備防護 a)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進展身份鑒別，身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有簡單度要求并定期更換，用戶名和口令制止一樣；b)應(yīng)具有登錄失敗處理功能，可實行完畢會話、限制非法登錄次數(shù)和連接超時自動退出等措施；

應(yīng)通過無線方式進展組網(wǎng)；應(yīng)依據(jù)信息系統(tǒng)功能、業(yè)務(wù)流程、網(wǎng)絡(luò)構(gòu)造層次、業(yè)務(wù)效勞對象等合理劃分網(wǎng)絡(luò)安全域；安全域內(nèi)應(yīng)依據(jù)業(yè)務(wù)類型、業(yè)務(wù)重要性、物理位置等因素，劃分不同的子網(wǎng)或網(wǎng)段，并依據(jù)便利治理和掌握的原則為各子網(wǎng)、網(wǎng)段安排地址段；同一安全域內(nèi)重要網(wǎng)段與其它網(wǎng)段之間應(yīng)實行牢靠的技術(shù)隔離手段；應(yīng)繪制與當(dāng)前運行狀況相符的網(wǎng)絡(luò)拓撲構(gòu)造圖。應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進展身份鑒別，身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有簡單度要求并定期更換，用戶名和口令制止一樣； 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進展身份鑒別；應(yīng)具有登錄失敗處理功能，可實行完畢會話、限制非法登錄次數(shù)和連接超時自動退出等措施；應(yīng)當(dāng)對網(wǎng)絡(luò)設(shè)備進展根本安全配置，關(guān)閉不必要的效勞和端口；應(yīng)當(dāng)對網(wǎng)絡(luò)設(shè)備進展根本安全配置，關(guān)閉不必要的效勞和端口；e) 應(yīng)對網(wǎng)絡(luò)設(shè)備的治理員登錄地址進展限制僅允許指定IP地址或IP段訪問；應(yīng)對網(wǎng)絡(luò)設(shè)備的治理員登錄地址進展限制，僅允許指定IP地f) 當(dāng)對網(wǎng)絡(luò)設(shè)備進展遠程治理時，應(yīng)承受S、SSH等安全的遠址或IP段訪問； 程治理手段，防止用戶身份SSSH等安全的遠程治理手段，防止用戶身份

鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；應(yīng)實現(xiàn)網(wǎng)絡(luò)設(shè)備特權(quán)用戶的權(quán)限分別；能夠通過SNMPV3及以上版本或其它安全的網(wǎng)絡(luò)治理協(xié)議供給網(wǎng)絡(luò)設(shè)備的監(jiān)控與治理接口。安全審計 a)應(yīng)對關(guān)鍵網(wǎng)絡(luò)設(shè)備的運行狀況、用戶行為等重要大事進展日志記錄；審計記錄應(yīng)包括大事的日期、時間、用戶名、IP地址、大事類型、大事是否成功等；應(yīng)保護審計記錄，避開受到未預(yù)期的刪除、修改或掩蓋等，審計記錄至少保存90天；應(yīng)定期對審計記錄進展分析，以便準(zhǔn)時覺察特別行為。

應(yīng)對關(guān)鍵網(wǎng)絡(luò)設(shè)備的運行狀況、用戶行為等重要大事進展日志記錄；審計記錄應(yīng)包括大事的日期、時間、用戶名、IP地址、大事類型、大事是否成功等；應(yīng)保護審計記錄，避開受到未預(yù)期的刪除、修改或掩蓋等，審計記錄至少保存90天；應(yīng)定期對審計記錄進展分析，以便準(zhǔn)時覺察特別行為；應(yīng)為安全治理中心供給集中治理的接口。邊界安全二級二級三級訪問掌握a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問掌握設(shè)備，依據(jù)安全策略供給明確的允a)/許/拒絕訪問，掌握粒度為網(wǎng)段級；拒絕訪問，掌握粒度為IP地址段及端口級；b)通過外部網(wǎng)絡(luò)對信息系統(tǒng)進展訪問時應(yīng)使用安全方式接入，根b)應(yīng)對進出網(wǎng)絡(luò)的信息進展過濾，實現(xiàn)對應(yīng)用層協(xié)議命令級的掌握，據(jù)需要承受數(shù)字證書等強制認證方式，并對用戶權(quán)限進展治理，控僅允許、FTP、TELNET、SSH等信息系統(tǒng)使用的協(xié)議，禁制粒度為用戶級。 止一切未使用的通信協(xié)議和端口；重要網(wǎng)段應(yīng)承受IP與MAC地址綁定或其它網(wǎng)絡(luò)準(zhǔn)入掌握措施等技術(shù)手段防止地址哄騙；通過外部網(wǎng)絡(luò)對信息系統(tǒng)進展訪問時應(yīng)使用安全方式接入，依據(jù)需要承受數(shù)字證書等強制認證方式，并對用戶權(quán)限進展治理，掌握粒度為用戶級。應(yīng)限制與外部網(wǎng)絡(luò)連接的最大流量數(shù)及網(wǎng)絡(luò)連接數(shù),依據(jù)對業(yè)務(wù)效勞的重要次序來指定帶寬安排優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要業(yè)務(wù)；安全數(shù)據(jù)交換 a)播出系統(tǒng)與其它信息系統(tǒng)之間進展數(shù)據(jù)交換時，應(yīng)對文件類型及格式進展限定；b)應(yīng)限定可以通過移動介質(zhì)交換數(shù)據(jù)的主機，全部通過移動介質(zhì)上載的內(nèi)容應(yīng)經(jīng)過兩種以上的防惡意代碼產(chǎn)品進展惡意代碼檢查后，方可正式上載到內(nèi)部網(wǎng)絡(luò)；對藍光、P2等專業(yè)移動介質(zhì)可通過特定的防護機制進展上載；c〕信息系統(tǒng)與外部網(wǎng)絡(luò)進展數(shù)據(jù)交換時，應(yīng)通過數(shù)據(jù)交換區(qū)或?qū)Ｓ脭?shù)據(jù)交換設(shè)備等完成內(nèi)外網(wǎng)數(shù)據(jù)的安全交換；

播出系統(tǒng)與其它信息系統(tǒng)之間進展數(shù)據(jù)交換時，應(yīng)對文件類型及格式進展限定；的內(nèi)容應(yīng)經(jīng)過兩種以上的防惡意代碼產(chǎn)品進展惡意代碼檢查后，方可正式上載到內(nèi)部網(wǎng)絡(luò)；對藍光、P2等專業(yè)移動介質(zhì)可通過特定的防護機制進展上載；信息系統(tǒng)與外部網(wǎng)絡(luò)進展數(shù)據(jù)交換時，應(yīng)通過數(shù)據(jù)交換區(qū)或?qū)Ｓ脭?shù)據(jù)交換設(shè)備完成內(nèi)外網(wǎng)數(shù)據(jù)的安全交換；數(shù)據(jù)交換區(qū)對外應(yīng)通過訪問掌握設(shè)備與外部網(wǎng)絡(luò)進展安全隔離，對內(nèi)應(yīng)承受安全的方式進行數(shù)據(jù)交換，必要時可通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實現(xiàn)數(shù)據(jù)交換；

內(nèi)應(yīng)承受安全的方式進行數(shù)據(jù)交換，必要時可通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實現(xiàn)數(shù)據(jù)交換；入侵防范 應(yīng)在與外部網(wǎng)絡(luò)連接的網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、a)應(yīng)在信息系統(tǒng)的網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。

擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等，需要進展部署；當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)峻入侵大事時應(yīng)供給報警。惡意代碼防范 a)應(yīng)在與外部網(wǎng)絡(luò)連接的網(wǎng)絡(luò)邊界處進展惡意代碼檢測和去除，并維護惡意代碼庫的升級和檢測系統(tǒng)的更；b)防惡意代碼產(chǎn)品應(yīng)與信息系統(tǒng)內(nèi)部防惡意代碼產(chǎn)品具有不同的惡意代碼庫。

應(yīng)在信息系統(tǒng)的網(wǎng)絡(luò)邊界處代碼庫的升級和檢測系統(tǒng)的更，需要進展部署；防惡意代碼產(chǎn)品應(yīng)與信息系統(tǒng)內(nèi)部防惡意代碼產(chǎn)品具有不同的惡意代碼庫。邊界完整性 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進展檢查。 a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進展檢查，準(zhǔn)確定出位置，并對其進展有效阻斷；b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進展檢查，準(zhǔn)確定出位置，并對其進展有效阻斷。定出位置，并對其進展有效阻斷。安全審計a)應(yīng)在與外部網(wǎng)絡(luò)連接的網(wǎng)絡(luò)邊界處進展數(shù)據(jù)通信行為審計；a)應(yīng)在與外部網(wǎng)絡(luò)連接的網(wǎng)絡(luò)邊界處進展數(shù)據(jù)通信行為審計；b)審計記錄應(yīng)包括大事的日期、時間、用戶名、IP地址、大事b)審計記錄應(yīng)包括大事的日期、時間、用戶名、IP地址、大事類型、類型、大事是否成功等；大事是否成功等；c)應(yīng)保護審計記錄，避開受到未預(yù)期的刪除、修改或掩蓋等，審c)應(yīng)保護審計記錄，避開受到未預(yù)期的刪除、修改或掩蓋等，審計記90天；90天；d)應(yīng)定期對審計記錄進展分析，以便準(zhǔn)時覺察特別行為。d)應(yīng)定期對審計記錄進展分析，以便準(zhǔn)時覺察特別行為；e)應(yīng)為安全治理中心供給集中治理的接口。爭論對上述內(nèi)容進展一下分析和整理，我們可以覺察等保對于網(wǎng)絡(luò)安全可以分為以下幾塊：1應(yīng)依據(jù)各信息系統(tǒng)的播出相關(guān)度進展層次化網(wǎng)絡(luò)構(gòu)造設(shè)計，形成網(wǎng)絡(luò)縱深防護體系，聞制播系統(tǒng)中的直播演播室系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)應(yīng)位于縱深構(gòu)造內(nèi)部，系統(tǒng)內(nèi)部不應(yīng)通過無線方式進展組網(wǎng)；應(yīng)依據(jù)信息系統(tǒng)功能、業(yè)務(wù)流程、網(wǎng)絡(luò)構(gòu)造層次、業(yè)務(wù)效勞對象等合理劃分網(wǎng)絡(luò)安全域；安全域內(nèi)劃分不同的子網(wǎng)或網(wǎng)段應(yīng)繪制與當(dāng)前運行狀況相符的網(wǎng)絡(luò)拓撲構(gòu)造圖。2同一安全域內(nèi)重要網(wǎng)段與其它網(wǎng)段之間應(yīng)實行牢靠的技術(shù)隔離手段；“邊界安全”局部明確定義了訪問掌握、安全數(shù)據(jù)交換、入侵防范，惡意代碼防范，邊界完整性等邊界防護要求；345明顯其中分級分域和邊界防護是其中的重點，在“指導(dǎo)意見”中給出了一個參考安全框架解決方案：“指導(dǎo)意見”相關(guān)內(nèi)容有線數(shù)字電視系統(tǒng)按功能區(qū)域范圍不同可劃分為：四個區(qū)域：內(nèi)部系統(tǒng)區(qū)、內(nèi)部互聯(lián)區(qū)、內(nèi)部公共區(qū)、業(yè)務(wù)用戶區(qū)兩種外部通道：為和外部專用通道、雙向網(wǎng)絡(luò)和互聯(lián)網(wǎng)接口營業(yè)廳市級BOSS營業(yè)廳市級BOSSOA內(nèi)容交換災(zāi)備

內(nèi)部互聯(lián)區(qū)Internet 遠程Internet遠程維護增值業(yè)務(wù)內(nèi)容供給監(jiān)管節(jié)目分發(fā)雙向網(wǎng)絡(luò)電腦機頂盒網(wǎng)管客戶端雙向網(wǎng)絡(luò)電腦機頂盒網(wǎng)管客戶端辦公網(wǎng)絡(luò)內(nèi)部系統(tǒng)區(qū)接入認證和AAA認證系統(tǒng)運營支撐系統(tǒng)雙向互動業(yè)務(wù)系統(tǒng)直播系統(tǒng)

內(nèi)部公共區(qū)內(nèi)部系統(tǒng)區(qū)：由各主、備業(yè)務(wù)系統(tǒng)和相關(guān)業(yè)務(wù)支撐系統(tǒng)組成，其中，業(yè)務(wù)系統(tǒng)主要包括直播系統(tǒng)和雙向互動業(yè)務(wù)系統(tǒng)等，業(yè)務(wù)支撐系統(tǒng)主要包括運營支撐系統(tǒng)和認證系統(tǒng)等。內(nèi)部系統(tǒng)區(qū)與其他各區(qū)域及通道間存在不同的互聯(lián)關(guān)系。內(nèi)部互聯(lián)區(qū)：由連接內(nèi)部系統(tǒng)區(qū)中各系統(tǒng)的相關(guān)互聯(lián)通道以及營業(yè)廳終端和OA組成，通過這些互聯(lián)通道，前述各系統(tǒng)與其相應(yīng)的下級系統(tǒng)、災(zāi)備系統(tǒng)〔異地〕以及營業(yè)廳終端等實現(xiàn)互聯(lián)。其中，一個省級系統(tǒng)的下級系統(tǒng)是指與該省級系統(tǒng)互聯(lián)的相應(yīng)市級系統(tǒng)。主要包括：省-市-縣后臺互聯(lián)通道：主要包括運營支撐系統(tǒng)多級之間的互聯(lián)通道、與營業(yè)廳終端互聯(lián)通道等。內(nèi)容交換通道：指上下級系統(tǒng)間交換節(jié)目或業(yè)務(wù)內(nèi)容的通道，可以為單向或雙向傳輸通道。災(zāi)備通道：指內(nèi)部系統(tǒng)區(qū)中各系統(tǒng)與其相應(yīng)災(zāi)備系統(tǒng)〔異地〕間的數(shù)據(jù)同步通道。OA：指辦公自動化系統(tǒng)及與其它各級OA系統(tǒng)的互聯(lián)通道。內(nèi)部公共區(qū)：指公司內(nèi)部的公共區(qū)域，主要包含辦公網(wǎng)絡(luò)和網(wǎng)管/監(jiān)控客戶端。辦公網(wǎng)絡(luò)：辦公網(wǎng)絡(luò)可接入的終端設(shè)備的隨便性大、可控性弱，有線、無線局域網(wǎng)并存，網(wǎng)絡(luò)環(huán)境簡單。雙向回傳通道。：包含范圍較廣，如：系統(tǒng)或設(shè)備的遠程維護接入通道；增值業(yè)務(wù)通道〔廣告、政務(wù)、生活效勞、網(wǎng)游、電商等第三方增值業(yè)務(wù)供給商互聯(lián)；內(nèi)容供給通道〔o、EPG等內(nèi)容供給商互聯(lián)通道；監(jiān)管通道〔總局監(jiān)管中心節(jié)目監(jiān)管通道；節(jié)目分發(fā)〔接收直播節(jié)目流的通道〕等。這些出口或通過互聯(lián)網(wǎng)遠程連接，或通過廣電國家干線網(wǎng)絡(luò)遠程連接。：此處雙向網(wǎng)絡(luò)特指可供給機頂盒回傳或可供給寬帶接入效勞的網(wǎng)絡(luò)，互聯(lián)網(wǎng)接口亦特指寬帶上網(wǎng)的出口。雙向網(wǎng)絡(luò)與內(nèi)部系統(tǒng)區(qū)有信令傳輸通道。邊界防護建議方案：統(tǒng)訪問權(quán)限的嚴(yán)格掌握、部署安全緩沖區(qū)、部署安全審計系統(tǒng)等手段確保內(nèi)部系統(tǒng)邊界穩(wěn)定。邊界雙向網(wǎng)絡(luò)的互聯(lián)網(wǎng)邊界防護

防護策略1、在互聯(lián)網(wǎng)邊界部署外部和內(nèi)部兩級異構(gòu)防火墻進展安全訪問掌握。2、在互聯(lián)網(wǎng)邊界出口路由器處部署IPSDDOS。3IDS并準(zhǔn)時進展策略更，監(jiān)控特別網(wǎng)絡(luò)行為，實現(xiàn)安全內(nèi)容審計。4、外層防火墻外部接口對內(nèi)安全策略只允許開放對外所必需的效勞端口。只應(yīng)允許互聯(lián)網(wǎng)區(qū)域訪問第一層防火墻內(nèi)提WEB〔如郵件系統(tǒng)〕的負載均衡設(shè)備的虛擬IP5、設(shè)備宜部署主機防病毒軟件。內(nèi)部系統(tǒng)區(qū)的外部專用通道邊界防護

1、在邊界部署防火墻進展安全訪問掌握2、以安全要求通則為基準(zhǔn)，各接口分別制定防護策略。3、部署堡壘機，對內(nèi)部系統(tǒng)的維護操作必需通過堡壘機驗證后操作，內(nèi)部系統(tǒng)區(qū)的主機僅允許堡壘機的IP地址訪問，實現(xiàn)對內(nèi)部系統(tǒng)維護訪問的單點掌握。45.6(應(yīng)制止設(shè)備的遠程維護。發(fā)生緊急大事需要遠程技術(shù)支持時，應(yīng)經(jīng)過逐級審批；必需承受專線接入方式，傳輸通道必需進展安全加密，僅臨時開放遠程查詢權(quán)限；處理完畢完成后，馬上物理斷開。遠程操作時發(fā)生的全部登錄和操作行為必需被審計。)5、各級有線播送電視網(wǎng)絡(luò)運營機構(gòu)應(yīng)加強對第三方業(yè)務(wù)、系統(tǒng)和設(shè)備供給商的治理，制訂相關(guān)治理制度，建立標(biāo)準(zhǔn)的業(yè)務(wù)規(guī)劃、運行和維護流程。內(nèi)部系統(tǒng)區(qū)與雙向網(wǎng)絡(luò)的邊界防護

1、在邊界處部署防火墻策略進展安全訪問掌握。2、防火墻對內(nèi)安全策略應(yīng)僅允許開放業(yè)務(wù)系統(tǒng)需要的雙向回傳通道的相應(yīng)端口。3IDS并準(zhǔn)時進展策略更，監(jiān)控特別行為和特別流量。4、部署獨立日志效勞器，內(nèi)部系統(tǒng)區(qū)的日志均保存到獨立的日志效勞器上，日志效勞器除日志效勞外關(guān)閉其他任何服務(wù)，僅允許掌握臺登錄，保證在系統(tǒng)特別時，有據(jù)可查。面對用戶直接訪問的邊界防護

終端用戶不得直接訪問效勞系統(tǒng)后臺，可通過設(shè)置DMZ區(qū)隔離用戶與后臺系統(tǒng)。終端用戶直接訪問的門戶或其他效勞系統(tǒng)，如用戶接入門戶、自效勞系統(tǒng)門戶、營業(yè)廳門戶等應(yīng)部署：1、防拒絕效勞攻擊設(shè)備，對進出互聯(lián)網(wǎng)的流量進展清洗。2、防病毒網(wǎng)關(guān)設(shè)備，作為企業(yè)版防病毒的補充，防止WEB3、網(wǎng)頁防篡改系統(tǒng)，對DMZ4、用戶行為治理系統(tǒng)，監(jiān)測和掌握用戶訪問系統(tǒng)的操作。5、負載均衡設(shè)備?？梢猿惺苘浖蛴布姆绞綄崿F(xiàn)。對于承受硬件設(shè)備進展負載均衡的，要求負載均衡器上虛擬IP端口〔與防火墻互聯(lián)的端口〕和實際效勞器的端口分屬不同的區(qū)域。假設(shè)效勞器通過軟件方式實現(xiàn)負載均衡，盡量把負載均衡效勞器與業(yè)務(wù)效勞器分別。內(nèi)部系統(tǒng)區(qū)與內(nèi)部公共區(qū)邊界防護

1、在內(nèi)部公共區(qū)邊界處部署前置機，對內(nèi)部系統(tǒng)區(qū)的訪問通過前置機轉(zhuǎn)發(fā)。2、在內(nèi)部公共區(qū)邊界處部署網(wǎng)絡(luò)流量治理系統(tǒng)實時監(jiān)控網(wǎng)絡(luò)中的特別流量，進展帶寬限制。3、網(wǎng)管客戶端和網(wǎng)絡(luò)公司辦公網(wǎng)絡(luò)間應(yīng)嚴(yán)格制止數(shù)據(jù)互訪；4、對網(wǎng)管帳號依據(jù)申請、審批、安排、審核等流程進展治理和掌握。4、對網(wǎng)管帳號依據(jù)申請、審批、安排、審核等流程進展治理和掌握。5、辦公終端應(yīng)部署主機防病毒軟件。以下策略和防護手段可以依據(jù)各地區(qū)實際狀況，選擇部署：6、在該接口邊界的網(wǎng)絡(luò)設(shè)備上部署IDS并準(zhǔn)時進展策略更，監(jiān)控特別網(wǎng)絡(luò)行為，實現(xiàn)安全內(nèi)容審計。內(nèi)部系統(tǒng)區(qū)與內(nèi)部互聯(lián)區(qū)邊1、在IP承載網(wǎng)邊界處部署防火墻IP地址，不能允許非內(nèi)部互聯(lián)區(qū)網(wǎng)段的地址訪問界防護內(nèi)部系統(tǒng)區(qū)。2、在該接口邊界核心安全區(qū)側(cè)的網(wǎng)絡(luò)設(shè)備上部署IDS并準(zhǔn)時進展策略更，監(jiān)控特別網(wǎng)絡(luò)行為，實現(xiàn)安全內(nèi)容審計。安全要求通則中的要求：5.2全網(wǎng)拓撲治理要求嚴(yán)禁未經(jīng)審批備案的連接變更和端口開通，必需實現(xiàn)全部數(shù)據(jù)流向明確可掌控。全部設(shè)備的配置文件必需存檔備查，對于配置文件的任何修改必需經(jīng)過審批。全部軟件的部署、安裝、更、卸載等必需經(jīng)審批，軟件部署位置、版本、治理員賬號口令等信息必需備案備查。5.4網(wǎng)絡(luò)隔離治理要求原則上內(nèi)外網(wǎng)應(yīng)實現(xiàn)物理隔離。公網(wǎng)絡(luò)、外單位網(wǎng)絡(luò)、國際互聯(lián)網(wǎng)或其他公共網(wǎng)絡(luò)。必需嚴(yán)格掌握各業(yè)務(wù)系統(tǒng)之間的訪問和接口之間的互通，尤其是與互聯(lián)網(wǎng)的連接?？膳c內(nèi)部系統(tǒng)區(qū)連通的網(wǎng)絡(luò)制止連接任何無線局域網(wǎng)。系統(tǒng)安全系統(tǒng)安全分為效勞端系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全和備份恢復(fù)三局部：效勞端系統(tǒng)安全二級 三級身份鑒別 a)應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進展身份標(biāo)識和鑒別， 數(shù)據(jù)庫系統(tǒng)的用戶進展身份標(biāo)識和鑒別，應(yīng)為應(yīng)為不同用戶安排不同的用戶名，不能多人使用同一用戶名；系統(tǒng)治理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)定期更換，用戶名和口令制止一樣；應(yīng)啟用登錄失敗處理功能，可實行完畢會話、限制非法登錄次數(shù)和自動退出等措施；SSSH等安全的

不同用戶安排不同的用戶名，不能多人使用同一用戶名；系統(tǒng)治理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)定期更換，用戶名和口令制止一樣；應(yīng)啟用登錄失敗處理功能，可實行完畢會話、限制非法登錄次數(shù)和自動退出等措施；當(dāng)對效勞器進展遠程治理時，應(yīng)承受SSSH等安全的遠程遠程治理手段，防止用戶身份鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。治理手段，防止用戶身份鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；應(yīng)承受兩種或兩種以上組合的鑒別技術(shù)對治理用戶進展身份鑒別。訪問掌握 a)應(yīng)啟用訪問掌握功能，依據(jù)安全策略掌握用戶對資源的訪問， a)應(yīng)啟用訪問掌握功能，依據(jù)安全策略掌握用戶對資源的訪問，根USB、光驅(qū)等外設(shè)進展數(shù)據(jù)交換，關(guān)閉不必要的效勞和端口等；b)應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分別；

據(jù)需要制止通過USB、光驅(qū)等外設(shè)進展數(shù)據(jù)交換，關(guān)閉不必要的效勞和端口等；應(yīng)依據(jù)治理用戶的角色安排權(quán)限，實現(xiàn)治理用戶的權(quán)限分別，僅授Windows系統(tǒng)默認帳戶，予治理用戶所需的最小權(quán)限；修改帳戶的默認口令；應(yīng)準(zhǔn)時刪除多余的、過期的帳戶，避開存在共享帳戶。

應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分別；Windows系統(tǒng)默認帳戶，修改帳戶的默認口令；應(yīng)準(zhǔn)時刪除多余的、過期的帳戶，避開共享帳戶的存在；應(yīng)對高風(fēng)險效勞器的重要信息資源設(shè)置敏感標(biāo)記，并應(yīng)依據(jù)安全策略嚴(yán)格掌握用戶對有敏感標(biāo)記的重要信息資源的操作。入侵防范 a)操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝業(yè)務(wù)需要的組件和應(yīng)用程序，關(guān)閉不必要的效勞和端口；b)應(yīng)定期更操作系統(tǒng)補丁，聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心效勞器可依據(jù)需要進展更。

操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，關(guān)閉不必要的端口和效勞；定期更操作系統(tǒng)補丁，聞制播系統(tǒng)、需要進展更；應(yīng)能夠檢測到對重要效勞器進展入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)峻入侵大事時供給報警；受到破壞后具有恢復(fù)的措施。惡意代碼防范 應(yīng)部署具有統(tǒng)一治理功能的防惡意代碼軟件并定期更防惡意代碼軟件版本和惡意代碼庫；聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心效勞器可依據(jù)需要進展部署和更。

應(yīng)部署具有統(tǒng)一治理功能的防惡意代碼軟件，并定期更防惡意代碼軟件版本和惡意代碼庫；聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心效勞器可依據(jù)需要進展部署和更。資源掌握 a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；應(yīng)依據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。

應(yīng)依據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度；應(yīng)能夠?qū)ο到y(tǒng)的效勞水平降低到預(yù)先規(guī)定的最小值進展檢測和報警。冗余配置聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心效勞器應(yīng)具有冗余配置。安全審計a)Web效勞器、應(yīng)用效勞器、數(shù)據(jù)庫戶級；審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的特別使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)大事；審計記錄至少應(yīng)包括大事的日期、時間、類型、用戶名、客戶IP地址、訪問對象、結(jié)果等；應(yīng)保護審計記錄，避開受到未預(yù)期的刪除、修改或掩蓋等，審計記錄至少保存90天；應(yīng)定期對審計記錄進展分析，以便準(zhǔn)時覺察特別行為。

聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心效勞器應(yīng)具有冗余配置，并能夠在發(fā)生故障時進展準(zhǔn)時切換。Web效勞器、應(yīng)用效勞器、數(shù)據(jù)庫效勞令的使用及其它與審計相關(guān)的信息；審計記錄至少應(yīng)包括大事的日期、時間、類型、用戶名、客戶端IP地址、訪問對象、結(jié)果等；應(yīng)保護審計進程，避開受到未預(yù)期的中斷；應(yīng)保護審計記錄，避開受到未預(yù)期的刪除、修改或掩蓋等，審計記錄至少保存90天；應(yīng)定期對審計記錄進展分析，以便準(zhǔn)時覺察特別行為；應(yīng)為安全治理中心供給集中治理的接口。應(yīng)用安全二級 三級身份鑒別

應(yīng)供給獨立的登錄掌握模塊，或者將登錄掌握模塊集成到統(tǒng)一

應(yīng)供給獨立的登錄掌握模塊戶認證系統(tǒng)中，應(yīng)對登錄應(yīng)用系統(tǒng)的用戶進展身份標(biāo)識和鑒別，應(yīng)為別，應(yīng)為不同用戶安排不同的用戶名，不能多人使用同一用戶名；不同用戶安排不同的用戶名，不能多人使用同一用戶名；應(yīng)供給用戶身份標(biāo)識唯一和鑒別信息簡單度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識；系統(tǒng)治理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)定期更換，用戶名和口令制止一樣；應(yīng)啟用登錄失敗處理功能，可實行完畢會話、限制非法登錄次數(shù)和自動退出等措施。

應(yīng)供給用戶身份標(biāo)識唯一和鑒別信息簡單度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識；系統(tǒng)治理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)定期更換，用戶名和口令制止一樣；應(yīng)啟用登錄失敗處理功能，可實行完畢會話、限制非法登錄次數(shù)和自動退出等措施；應(yīng)對治理用戶和重要業(yè)務(wù)操作用戶承受兩種或兩種以上組合的鑒別技術(shù)對其身份進展鑒別。訪問掌握 a)應(yīng)啟用訪問掌握功能，依據(jù)安全策略掌握用戶對資源的訪問， a)應(yīng)啟用訪問掌握功能，依據(jù)安全策略掌握用戶對資源的訪問，掌握掌握粒度為文件和數(shù)據(jù)庫表級； 粒度為文件、數(shù)據(jù)庫表級；b)刪除臨時帳戶和測試帳戶，重命名默認帳戶，修改其默認口令，限限制其訪問權(quán)限，不允許匿名用戶登錄；訪問掌握的掩蓋范圍應(yīng)包括與資源訪問相關(guān)的主體〔信息系統(tǒng)用戶、客體〔用戶所訪問的數(shù)據(jù)〕及它們之間的操作〔讀、寫、修改、刪除等；

制其訪問權(quán)限，不允許匿名用戶登錄；訪問掌握的掩蓋范圍應(yīng)包括與資源訪問相關(guān)的主體〔信息系統(tǒng)用戶、客體〔用戶所訪問的數(shù)據(jù)〕及它們之間的操作〔讀、寫、修改、刪除等；應(yīng)授予不同帳戶為完成各自擔(dān)當(dāng)任務(wù)所需的最小權(quán)限，并在它權(quán)限、一般系統(tǒng)用戶不建議擁有系統(tǒng)治理員權(quán)限等。

應(yīng)授予不同帳戶為完成各自擔(dān)當(dāng)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。如系統(tǒng)治理員不建議擁有系統(tǒng)審計員權(quán)限、一般系統(tǒng)用戶不建議擁有系統(tǒng)治理員權(quán)限等；應(yīng)對高風(fēng)險效勞器的重要信息資源設(shè)置敏感標(biāo)記，并應(yīng)依據(jù)安全策略嚴(yán)格掌握用戶對有敏感標(biāo)記的重要信息資源的操作。通信完整性信息系統(tǒng)與外部網(wǎng)絡(luò)進展通信時，應(yīng)承受校驗碼技術(shù)、特定的音視頻文件格式、特定協(xié)議或等同強度的技術(shù)手段等進展傳輸，保證通信過程中的數(shù)據(jù)完整性。

應(yīng)承受校驗碼技術(shù)、特定的音視頻文件格式、特定協(xié)議或等同強度的技術(shù)手段等進展傳輸，保證通信過程中的數(shù)據(jù)完整性。通信保密性信息系統(tǒng)與外部網(wǎng)絡(luò)進展通信時，在通信雙方建立連接之前，應(yīng)用身份鑒別信息等敏感信息字段進展加密。軟件容錯 a)應(yīng)供給數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通信接口輸入的數(shù)據(jù)長度、格式、范圍、數(shù)據(jù)類型等符合設(shè)定要求，防止諸如SQL注入、跨站攻擊、溢出攻擊等惡意行為，對非法輸入進展明確的錯誤提示并報警；b)當(dāng)軟件發(fā)生故障時，信息系統(tǒng)應(yīng)能夠連續(xù)供給局部功能，確保能夠?qū)嵤┦瓜到y(tǒng)恢復(fù)正?；虮Ｗo數(shù)據(jù)安全的必要措施。資源掌握 a)當(dāng)信息系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動完畢會話；

信息系統(tǒng)與外部網(wǎng)絡(luò)進展通信時，在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進展會話初始化驗證，并對通信過程中的用戶身份鑒別信息等敏感信息字段進展加密。應(yīng)供給數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通信接口輸入的數(shù)據(jù)長度格式、范圍、數(shù)據(jù)類型等符合設(shè)定要求，防止諸如SQL注入、跨站攻擊、溢出攻擊等惡意行為，對非法輸入進展明確的錯誤提示并報警；應(yīng)供給自動保護功能，當(dāng)故障發(fā)生時自動保護當(dāng)前狀態(tài)，保證系統(tǒng)能夠進展恢復(fù)。當(dāng)信息系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動完畢會話；應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接及單個帳戶的多重并發(fā)會話進展限制。

應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接及單個帳戶的多重并發(fā)會話進展限制；應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進展限制；應(yīng)能夠?qū)σ粋€訪問帳戶或一個懇求進程占用的資源安排最大限額和最小限額；應(yīng)能夠?qū)ο到y(tǒng)效勞水平降低到預(yù)先規(guī)定的最小值進展檢測和報警。安全審計 a)應(yīng)供給聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)安全審計功能；b)審計內(nèi)容應(yīng)包括用戶登錄、修改配置、核心業(yè)務(wù)操作等重要行為，以及系統(tǒng)資源的特別使用等；

應(yīng)能供給掩蓋到每個用戶的審計功能；審計內(nèi)容應(yīng)包括用戶登錄、修改配置、核心業(yè)務(wù)操作等重要行為，以及系統(tǒng)資源的特別使用等；審計記錄至少應(yīng)包括大事的日期和時間、大事類型、客戶端IP地審計記錄至少應(yīng)包括大事的日期和時間、大事類型、客戶端IP 址、描述和結(jié)果等；地址、描述和結(jié)果等； d)應(yīng)保證無法單獨中斷審計進程；應(yīng)保證無法刪除、修改或掩蓋審計記錄，審計記錄至少保存90 e)應(yīng)保證無法刪除修改或掩蓋審計記錄審計記錄至少保存90天；天。 f)應(yīng)供給對審計記錄數(shù)據(jù)進展統(tǒng)計、查詢、分析及生成審計報表的功能；g)應(yīng)為安全治理中心供給集中治理的接口。數(shù)據(jù)安全和備份恢復(fù)二級二級三級數(shù)據(jù)完整性應(yīng)能夠檢測到用戶身份鑒別信息、調(diào)度信息、播出節(jié)目等重要業(yè)應(yīng)能夠檢測到系統(tǒng)治理數(shù)據(jù)、用戶身份鑒別信息、調(diào)度信息、播出節(jié)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。目等重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲過程中完整性受到破壞，并在檢測到其完整性遭到破壞時實行必要的恢復(fù)措施。數(shù)據(jù)保密性應(yīng)承受加密或其他有效措施實現(xiàn)用戶身份鑒別信息的存儲保密性。應(yīng)承受加密或其他有效措施實現(xiàn)用戶身份鑒別信息的存儲保密性。備份與恢復(fù)應(yīng)能夠?qū)χ匾獦I(yè)務(wù)信息進展備份和恢復(fù)。完全數(shù)據(jù)備份至少每周一次，增量備份或差分備份至少每天一次，備份介質(zhì)應(yīng)在數(shù)據(jù)執(zhí)行所在場地外存放；b)應(yīng)能夠?qū)χ匾畔⑦M展異地備份，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。爭論系統(tǒng)局部的安全主要可以分為以下幾塊：LDAP等名目效勞等技術(shù)實現(xiàn)統(tǒng)一用戶身份識別和認證。軟件部署，防火墻等方法進展內(nèi)部加固；軟件容錯和資源掌握(防DDOS攻擊)：防止諸如SQL注入、跨站攻擊、溢出攻擊等惡意行為，可以通過內(nèi)部漏洞檢測系統(tǒng)檢測應(yīng)用系統(tǒng)此類漏洞；數(shù)據(jù)完整性和保密性,核心是數(shù)據(jù)通信和存儲過程中的防篡改機制和防竊聽機制；其中“應(yīng)承受校驗碼技術(shù)、特定的音視頻文件格式、特定協(xié)議或等同強度的技術(shù)手段等進展傳輸，保證通信過程中的數(shù)據(jù)完整性重點關(guān)注。主機冗余和備份恢復(fù)：其中3級要求重要信息異地備份，是一個相比照較高的要求。安全審計；指導(dǎo)意見安全要求通則中的要求：設(shè)備輸入輸出端口治理要求系統(tǒng)、設(shè)備間內(nèi)容復(fù)制、軟件更等，宜承受只讀光盤方式傳輸。遠程維護治理要求權(quán)限；處理完畢完成后，馬上物理斷開。遠程操作時發(fā)生的全部登錄和操作行為必需被審計。賬號口令治理要求定賬號申請、審批、安排、更、審核等流程。賬號口令必需明確區(qū)分操作權(quán)限，嚴(yán)格掌握具有治理員權(quán)限的賬號使用范圍。賬號口令必需專人專用，全部系統(tǒng)、全部賬號的登錄退出操作必需逐條記錄并備案備查；人員權(quán)限發(fā)生變化〔含調(diào)動、離職等全部賬號口令權(quán)限必需馬上重安排或中止。關(guān)鍵用戶認證宜配置雙因素認證方式。3個月。補丁及更治理要求以及活動之間的接口。補丁或更必需由具備權(quán)限的人員手動操作，嚴(yán)禁開啟自動更。終端安全終端系統(tǒng)安全二級二級三級身份鑒別應(yīng)對登錄終端操作系統(tǒng)的用戶進展身份標(biāo)識和鑒別，口令應(yīng)有復(fù)應(yīng)對登錄終端操作系統(tǒng)的用戶進展身份標(biāo)識和鑒別，口令應(yīng)有簡單度雜度要求并定期更換，用戶名和口令制止一樣。訪問掌握應(yīng)依據(jù)安全策略掌握用戶對資源的訪問，制止通過USB等外設(shè)應(yīng)依據(jù)安全策略掌握用戶對資源的訪問，制止通過USB、光驅(qū)等外進展數(shù)據(jù)交換，關(guān)閉不必要的效勞和端口等。設(shè)進展數(shù)據(jù)交換，關(guān)閉不必要的效勞和端口等。入侵防范a)操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，序，并保持操作系統(tǒng)補丁準(zhǔn)時得到更。聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的終端可依據(jù)需要進展更。

并保持系統(tǒng)補丁準(zhǔn)時得到更；通過設(shè)置升級效勞器等方式定期更操作系統(tǒng)補?。宦勚撇ハ到y(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的終端可依據(jù)需要進展更。惡意代碼防范 應(yīng)部署具有統(tǒng)一集中治理功能的防惡意代碼軟件并定期更防惡應(yīng)部署具有統(tǒng)一集中治理功能的防惡意代碼軟件，并定期更防惡意意代碼軟件版本和惡意代碼庫；聞制播系統(tǒng)、播出整備系統(tǒng)、代碼軟件版本和