10-网络广播电视台实施细则XXXX1009

附件10《广播电视安全播出管理规定》网络广播电视台实施细则（暂行）国家新闻出版广电总局二〇一四年十月1总则第一条为指导和规范网络广播电视台安全播出管理和信息安全管理工作，根据《广播电视安全播出管理规定》、《广播电视相关信息系统安全等级保护基本要求》、《关于开办网络广播电视台有关问题的通知》、《关于促进主流媒体发展网络广播电视台的意见》，制订本实施细则。第二条本实施细则适用于网络广播电视台的技术系统配置及运行、维护、技术管理工作。本细则中的网络广播电视台是指以宽带互联网、移动通信网络为节目传播载体的电台、电视台。第三条网络广播电视台主要由信源采集、内容生产、内容发布、增值服务、传输分发网络、业务运营管理、安全管理、监控辅助等子系统构成。系统配置要求总体网络架构第四条网络广播电视台内部网络应根据应用系统、业务流程、数据流向和播出安全相关度进行网络结构设计，网络结构应有清晰的层次，以便于进行网络逻辑隔离、访问控制、结构调整和应急处理，不同网络边界之间应设置网络访问控制。第五条核心网络的业务处理能力和网络带宽应具备冗余空间；应为网络设备、通信线路和重要的应用服务器、数据库服务器配置冗余，避免关键点存在单点故障，要定期对冗余配置进行验证测试。第六条内部网络应根据业务类型、功能、重要性、工作职责、信息等级、服务流程、终端用户和物理位置等因素划分安全域，并按2照方便管理和控制的原则划分不同的子网或网段，为各子网、网段分配地址段，业务边界应清晰；各安全域应当按照面临的风险，采用不同的安全防护策略和措施；后台管理、数据库、播出等相关系统与其他系统之间应有可靠的隔离防护措施。第七条应采取措施使管理链路和数据交换链路隔离，通过专用内部管理网络访问管理设备，防止密码和管理信息泄露；采取可靠措施防止来自非授权IP地址的用户登陆管理网络设备；采取安全防护措施实现数据安全交互。任何用户的终端设备不应直接接入核心层网络设备；第八条当与外部网络互联时，应在网络边界系统设置病毒防范和防止网络攻击装置；应采取网络入侵防范和访问控制措施实现对进、出内部网络的服务和访问的审计和控制；内容制作系统、内容分发系统和内容传输分发网络之间应通过(虚拟)专网建立连接，以形成相对封闭的专用线路。供配电系统第九条外部电源应符合以下规定：应接入两路外电，其中至少一路应为专线；当一路外电发生故障时，另一路外电不应同时受到损坏。第十条供配电系统应符合以下规定：（一）高、低压供配电应符合现行国家、行业标准和规范；（二）应设对应于不同外电的、互为备用的工艺专用变压器；播出负荷供电应设两个以上引自不同工艺专用变压器的独立低压回路，单母线分段供电并具备自动或手动互投功能；主要播出负荷应采用不间断电源（UPS）供电，UPS电池组后备时间应满足实际负荷工作30分钟以上；应配置自备电源，保证播出负荷、机房空调等相关负荷连3续运行；主备播出设备、双电源播出设备应分别接入不同的UPS供电回路。第十一条智能电源设备应实施必要的信息安全防护，禁止通过外部网络进行远程维护。信源技术系统第十二条信源技术系统主要完成包括信源接入、信号处理、信号分配传送等功能。第十三条重要节目信源接入应采用至少两路不同物理路由或不同传输方式的链路，且能够满足主备信源间自动、手动切换和应急跳接。信源分配链路应具备冗余，各分配环节关键设备应根据节目重要程度进行合理规划。第十四条应对所有信源接入进行安全性检测，严格管理有关端口和登陆帐号、密码及操作权限；应对通过网络传输的信源进行安全检测过滤，并采取防入侵攻击措施，并设置内容审核接口。第十五条对于有群众参与或外来信号的现场直播节目，应通过演播室进行信号连接，并配置延时和切断装置。内容生产技术系统第十六条内容生产技术系统主要完成包括制作、收录、编目、加工、审核、媒资管理、内容编排等功能。第十七条演播室应配置延时和切断装置，并根据节目内容提前准备好垫片以应对突发状况；现场实况直播现场时钟宜与演播室和播控的时钟应保持一致。第十八条收录环节应具备状态监控及报警功能，并可对收录结果进行查询、审核。4第十九条在编目、加工等环节应设定多重强制性人工审核，在确认审核通过之后，方可进入媒资管理及发布环节。第二十条应在节目入库、节目上线前配置内容和技术审核环节，确保节目的准确性及完整性。媒资管理应具备恢复机制，并定期进行节目文件完整性校验。第二十一条页面模板在正式发布前，应进行预发布和审核，待审核通过后方可发布；应进行发布节目关联测试，确保内容发布的有效性；应对发布的页面模板进行归档备份，页面模板压缩包应加密保存；使用备份的页面模板前应进行文件完整性检查，以防止内容被篡改。内容发布技术系统第二十二条对将发布的内容应设置内容和技术审核环节，经审核通过后方可发布。内容发布过程应具备日志记录、审计功能，并应采取措施对已经发布的内容进行监控。内容发布系统应通过内容分发网络与互联网连接。第二十三条应将节目发布库和对应节目数据库分别存储于不同设备。应支持数据库自动备份与恢复功能，支持屏蔽前台提交的敏感字符。传输分发网络第二十四条传输分发网络应采用两路不同物理路由或不同传输方式的链路。应启用校验、认证及防篡改机制，确保数据、内容与内容发布系统的一致性。第二十五条传输分发网络应配置防入侵策略，关闭不必要的端口与服务，并定期进行安全扫描和加固，应实时监测传输分发网络安5全防护的有效性。第二十六条应对传输分发网络的出口带宽等参数进行合理配置，确保用户访问流畅；传输分发网络处理能力应具备至少20%的冗余，能够满足业务高峰期需要。第二十七条传输分发网络应支持容灾、防盗链、防攻击功能和快速恢复能力，应采用冗余机制配置相关节点，保证服务的可用性。第二十八条对于第三方传输分发网络，应配置远程监控、维护平台和具备认证、加密的数据访问通道，以方便网络广播电视台系统管理员集中监控管理和内容更新。应要求第三方传输分发网络提供7×24小时技术支持服务，以便及时发现解决相关故障。业务运营管理技术系统第二十九条业务运营管理系统主要包括用户管理、认证鉴权、计费管理、域名管理等功能。第三十条用户、计费等核心数据应进行备份，并配备相关安全防护措施，以防止数据被泄露、窃取及篡改。每次备份数量不少于2份，备份介质应异地存放，妥善保管。第三十一条认证鉴权系统的用户管理数据（如帐号、口令等）应以加密方式存储，用户鉴别信息需满足复杂度要求，保证身份鉴别信息不易被冒用。第三十二条域名解析系统应具有冗余、恢复和防护能力，以保证系统的正常工作。其他技术系统第三十三条增值服务系统应具备应用接入申请、人工审核及注销功能。应采取相关安全措施，以防止内容被篡改。应采取相关监控6措施，保证内容的准确性和完整性。第三十四条数据库在设计时任何类型的入口都应在安全规则和文档中说明，应有恢复机制；安全结构应防止外部干扰和破坏，数据库管理系统进程应与用户进程隔离，核心数据库应部署数据库审计与风险控制系统。第三十五条应部署Web应用攻击防护设备，并应具备监控往返流量的功能。Web应用攻击防护设备应该部署简便、操作便利、对现有网络影响很小。第三十六条应对节目内容进行数字版权录入及管理，保证版权安全。第三十七条客户端上线前应对其功能及代码进行安全审核，以避免恶意代码、恶意行为等风险的影响。应建立客户端应急发布、升级、版本管理和回退机制。第三十八条应配置产品测试环境，对软、硬件产品上线前进行模拟测试。有条件的单位宜建设包括所有业务功能在内的、独立的最小测试系统，测试系统各模块软件版本应与现网保持一致。安全监控管理中心第三十九条应配置安全监控管理中心，实现全网的安全管理，从监控、审计、风险、运维等方面，对网络及业务系统的运行状况、系统性能、维护情况、操作情况、外联情况、远程访问情况、安全情况和系统升级、漏洞修复、审计等进行监控、记录和管理，对异态应当设置多种报警形式。第四十条远程访问监控应能够支持安全监控管理中心的集中管理，对异常业务交易及时报告，具备对监控事件的实时性响应和报警功能，并能够根据异常事件的类型和严重程度进入相关事件处理流7程；可以对访问用户的来源进行监控。第四十一条病毒监控应能够支持集联控制，能够支持安全监控管理中心的集中管理，具备报警功能。第四十二条监控系统应符合以下规定：（一）应具备对远程访问、信源接入、信号分配传送等环节实时监听监看能力；应对编码器输出、内容发布、内容分发网络等重要节点信号的码流、视音频等进行自动监测，并具备信号、码流异态声光报警功能；（二）应配置网管监控系统，对系统中主要设备具备远程管控能力，对播出及信息系统关键设备、软件、网络、存储等状态等进行实时监测，并具备异态声光报警功能；（三）应对所有监控工作进行记录；应采用录音、录像或者保存技术监测信息等方式对直播节目的安全播出状况及信号的质量进行记录，异态信息应保存一年以上。第四十三条电力和环境监测应符合以下规定：（一）应符合《电子信息系统机房设计规范》（GB50174）的有关规定；（二）应配置具备声光报警功能的电力和环境集中监控系统，对配电系统中的主要运行参数和关键设备运行情况进行集中监测，并对机房的温度、湿度等环境状态进行监测。第四十四条应对节目上载、系统操作、设备机房、UPS主机及电池室、缆线集中点、室外设备等播出相关的重点部位设置视频安防监控系统；应严格对机房门禁系统进行权限控制，防范机房非法进入。基础软硬件设备技术要求第四十五条网络广播电视台基础软硬件设备主要包括通用系统8软件、编转码设备、服务器、存储、网络设备、网络安全设备等。各软硬件设备指标和采购，应符合国家和行业的有关规定及标准规范要求。第四十六条编转码设备应具备双电源、主备输出接口，在断电或者重启后，应保留原有配置信息；编转码设备应根据业务需要配备在线冗余。第四十七条直播用视音频系统输出的主备路信号应来自于不同的播出切换设备；切换台、调音台等关键设备宜配置双电源。第四十八条通用操作系统及数据库软件应能与业务系统完全兼容，并根据业务需要能够进行补丁升级。第四十九条数据库服务器和关键业务应用服务器应采用双机或多机构成高可用集群系统；配件应具备热插拔功能；应根据服务器的总数量配置一定比例的冗余。第五十条存储设备应支持数据镜像以及数据保护功能。存储容量占用率峰值应不超过设计存储容量的80%，超过80%时应进行数据迁移或扩容。第五十一条交换机平均无故障运行时间应大于1万小时；核心交换机应为双机，背板、系统板、I/O板等关键配件应考虑冗余、电源、风扇应可热插拔；每台交换机负载不应超过处理能力的50%。第五十二条网络安全设备应符合国家和行业有关要求，满足系统安全防护的需要，硬件设备平均无故障运行时间应大于25000小时。机房环境第五十三条机房温度、湿度、防尘、静电防护、接地、布线、外部环境应符合《电子信息系统机房设计规范》（GB50174）中A级9电子信息系统机房的有关规定。第五十四条机房消防设施的配置应符合《广播电视建筑设计防火规范》（GY5067）的有关规定。第五十五条机房安全防范应符合《电子信息系统机房设计规范》（GB50174）、《广播电影电视系统重点单位重要部位的风险等级和安全防护级别》（GA586）的有关规定。应对重要设备进行电磁屏蔽，防止外部磁场对设备的干扰和电磁信号泄露。第五十六条存放重要数据、软件的各类记录存储介质的存储地点应符合防火、防水、防震、防腐、防鼠害、防虫蛀、防静电、防磁、防盗和温度要求，确保其不受损、不丢失、不被非法访问和信息不泄露。第五十七条中心节点的互联网数据中心（IDC）机房应选择离网络广播电视台业务中心较近的主要中心城市。省级以下IDC机房应选择在覆盖区域范围内的骨干网节点上。租用的第三方机构IDC机房应符合《电子计算机系统安全规范》、《计算站场地技术要求》和《计算站场地安全要求》及国家有关规定。维护器材第五十八条应设立备品备件库，系统核心服务器、交换机重要部件应配置备件，常规服务器、工作站、交换机等应根据系统规模配置相应数量的备品，系统应常备线缆、跳线等应急工具。第五十九条应配置维护、检修、故障处理所需的工