GY-T 337-2020 广播电视网络安全等级保护定级指南.pdf-淘文阁

资源描述

《GY-T 337-2020 广播电视网络安全等级保护定级指南.pdf》由会员分享，可在线阅读，更多相关《GY-T 337-2020 广播电视网络安全等级保护定级指南.pdf（16页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、 GY 中华人民共和国广播电视和网络视听行业标准 GY/T 3372020 广播电视网络安全等级保护定级指南 Classification guide for classified protection of broadcasting cybersecurity 2020-11-23 发布 2020-11-23 实施国家广播电视总局发布 GY/T 3372020 I 目次前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 定级原理及流程.2 4.1 安全保护等级.2 4.2 定级要素.2 4.3 定级流程.4 5 确定定级对象.4 5.1 信息系统.4 5.2

2、广播电视网络设施.4 5.3 数据资源.5 5.4 广播电视网络安全等级保护对象分类.5 6 初步确定等级.5 6.1 确定受侵害的客体.5 6.2 初步确定定级对象的安全保护等级.6 7 专家评审.6 8 主管部门核准.6 9 公安机关备案审核.6 10 等级变更.6 附录 A（规范性）广播电视网络安全等级保护对象分类建议.7 附录 B（规范性）广播电视网络安全等级保护对象安全保护等级建议.9 参考文献.12 GY/T 3372020 II 前言本文件按照GB/T 1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件发布

3、机构不承担识别这些专利的责任。本文件由全国广播电影电视标准化技术委员会（SAC/TC 239）归口。本文件起草单位：国家广播电视总局监管中心、中央广播电视总台、北京广播电视台、中国有线电视网络有限公司、北京歌华有线电视网络股份有限公司、北京安信天行科技有限公司、北京华云安信息技术有限公司。本文件主要起草人：李炎、段垚、王昌明、程露、琚宏伟、唐峰、毕江、邓晖、周伟荣、黄美莹、肖国栋、柴晓瑜、高晨光、高原、李杨、彭海龙、王鸣皓。GY/T 3372020 1 广播电视网络安全等级保护定级指南 1 范围本文件描述了广播电视、网络视听节目服务相关等级保护对象的网络安全保护等级定级方法和定级流程。本文件

4、适用于中华人民共和国境内的且非涉及国家秘密的广播电视、网络视听节目服务相关等级保护对象的网络安全保护等级定级工作。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB 178591999 计算机信息系统安全保护等级划分准则 GB/T 222402020 信息安全技术网络安全等级保护定级指南 GB/T 250692010 信息安全技术术语 GB/T 311672014 信息安全技术云计算服务安全指南 3 术语和定义 GB 178591

5、999、GB/T 222402020、GB/T 250692010和GB/T 311672014界定的以及下列术语和定义适用于本文件。3.1 等级保护对象 target of classified protection 广播电视网络安全等级保护工作直接作用的对象。注：主要包括信息系统、广播电视网络设施和数据资源。来源：GB/T 222402020,3.2，有修改 3.2 信息系统 information system 应用、服务、信息技术资产或其他信息处理组件。注1：信息系统通常由计算机或者其他信息终端及相关设备组成，并按照一定的应用目标和规则进行信息处理或过程控制。注2：典型的信息系统如制作

6、、播出、集成等业务系统，及运营支撑、业务支撑、管理支撑等系统，云计算平台/系统以及采用移动互联技术的系统等。来源：GB/T 222402020,3.3，有修改 3.3 GY/T 3372020 2 广播电视网络设施 broadcasting network infrastructure 对广播电视和网络视听业务信息流通、网络运行等起基础支撑作用的网络设备设施。3.4 数据资源 data resources 具有或预期具有价值的数据集合。注：数据资源多以电子形式存在。来源：GB/T 222402020,3.5 3.5 受侵害的客体 object of infringement 受法律保护的、等级

7、保护对象受到破坏时所侵害的社会关系。注：本文件中简称“客体”。来源：GB/T 222402020,3.6 3.6 客观方面 objective 对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。来源：GB/T 222402020,3.7 4 定级原理及流程 4.1 安全保护等级根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全，社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素，等级保护对象的安全保护等级分为以下五级：a)第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法

8、权益造成损害，但不危害国家安全、社会秩序和公共利益；b)第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全；c)第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害；d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害；e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重危害。4.2 定级要素 4.2.1 定级要素概述等级保护对象的定级要素包括：a)受侵害的客体；b)对客体的侵害程度。GY/T 337

9、2020 3 4.2.2 受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：a)公民、法人和其他组织的合法权益；b)社会秩序、公共利益；c)国家安全。侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利和利益等受到损害。侵害社会秩序的事项包括以下方面：影响国家机关、企事业单位、社会团体的生产秩序、教学科研秩序、医疗卫生秩序；影响公共场所的活动秩序、公共交通秩序；影响人民群众的生活秩序；其他影响社会秩序的事项。侵害公共利益的事项包括以下方面：影响社会成员使用公共设施；影响社会成员获取公开数据资源；影响社会成员接受公共服务等方面；其他影响公共利益的

10、事项。侵害国家安全的事项包括以下方面：影响国家政权稳固和领土主权、海洋权益完整；影响国家统一、民族团结和社会稳定；影响国家社会主义市场经济秩序和文化实力；其他影响国家安全的事项。4.2.3 对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此对客体的侵害外在表现为对等级保护对象的破坏，通过侵害方式、侵害后果和侵害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度分为以下三种：a)造成一般损害；b)造成严重损害；c)造成特别严重损害。三种侵害程度的描述如下：a)一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要

11、功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害；b)严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较高损害；c)特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常高损害。4.2.4 定级要素与安全保护等级的关系定级要素与安全保护等级的关系见表1。GY/T 3372020 4 表1 定级要素与安全保护等级的关系受侵害

12、的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级 4.3 定级流程等级保护对象定级流程如下：a)确定定级对象；b)初步确定等级；c)专家评审；d)主管部门核准；e)公安机关备案审核。安全保护等级初步确定为第二级及以上的等级保护对象，其网络运营者依据本文件组织进行专家评审、主管部门核准和备案审核，最终确定其安全保护等级。安全保护等级初步确定为第一级的等级保护对象，其网络运营者可参照本文件自行确定最终安全保护等级，可不进行专家评审、主管部门核准和备案审核

13、。5 确定定级对象 5.1 信息系统 5.1.1 定级对象的基本特征作为定级对象的信息系统应具有如下基本特征：a)具有确定的主要安全责任主体；b)承载相对独立的业务应用；c)包含相互关联的多个资源。5.1.2 云计算平台/系统在云计算环境中，建设公有云的单位，云服务客户侧的业务系统和云服务商侧的云计算平台需分别作为单独定级对象，并根据不同服务模式将云计算平台/系统划分为不同的定级对象。租用公有云服务的单位，对其使用的运行于云计算平台上的业务系统进行定级。使用私有云的单位，按所承载业务系统的最高等级对该私有云进行定级，运行于该私有云上的业务系统可独立定级；若私有云承载单一的业务系统，且该私有

14、云和业务系统由同一安全责任主体运维，可合并定级。5.1.3 采用移动互联技术的系统采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素，可作为一个整体独立定级或与相关联业务系统一起定级，各要素不单独定级。5.2 广播电视网络设施 GY/T 3372020 5 对于广播电视传输网等网络设施宜根据安全责任主体、业务类型或服务地域等因素将其划分为不同的定级对象。当安全责任主体相同时，跨地域的专用网络可作为一个整体对象定级；当安全责任主体不同时，需根据安全责任主体和服务区域划分为若干个定级对象。5.3 数据资源数据资源可单独定级。当安全责任主体相同时，大数据、大数据平台/系统宜作为

15、一个整体对象定级；当安全责任主体不同时，大数据和大数据平台/系统应独立定级。5.4 广播电视网络安全等级保护对象分类根据广电行业实际情况，按照定级对象的基本特征，综合考虑定级对象的责任单位、业务类型和业务重要性等因素，将广播电视网络安全等级保护对象按照机构类别及承载的业务种类进行分类，应使用附录A的建议。对于较为庞大的网络设施和信息系统，为了体现分等级保护、优化信息安全资源配置的原则，可将其划分为多个定级对象。如果等级保护对象责任边界一致，业务关联度较大，也可将附录A中的多个系统合并为一个等级保护对象进行定级。6 初步确定等级 6.1 确定受侵害的客体 6.1.1 定级对象受到破坏时侵害的客

16、体定级对象的安全主要包括业务信息安全和系统服务安全，安全保护等级由业务信息安全和系统服务安全相关的受侵害客体和对客体的侵害程度来确定。分析各类定级对象与广播电视业务的相关性，分析定级对象信息安全或系统服务安全与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系，从而确定定级对象受到破坏时所侵害的客体。与安全播出直接相关的定级对象业务信息安全或系统服务安全受到破坏，可能直接造成安全播出事故，侵害社会公众收听收看广播电视节目的合法权益，可能引起社会秩序混乱乃至社会动荡、可能侵害国家安全。与安全播出相关的定级对象业务信息安全或系统服务安全受到破坏，可能造成安全播出事故，侵害社会公

17、众收听收看广播电视节目的合法权益，可能引起社会秩序混乱，可能侵害公共利益。其他定级对象业务信息安全或系统服务安全受到破坏，可能会给本单位造成一定的财产损失、经济纠纷、法律纠纷等，侵害本单位的权益。6.1.2 定级对象受到破坏对客体的侵害程度定级对象业务信息安全或系统服务安全受到破坏时，对客体的侵害程度与定级对象承载业务及其系统服务的重要性、覆盖面、影响程度、用户规模等有关。国家级广播电视播出系统等定级对象业务信息覆盖全国，社会影响力大，这些系统的业务信息安全或系统服务安全受到破坏，可能直接造成播出事故，对社会秩序、公共利益造成特别严重损害，对国家安全造成严重损害。省级及省会城市、计划单列市、

18、地市及以下级别的播出系统等定级对象，其业务信息有一定的覆盖面和社会影响力，这些系统的业务信息安全或系统服务安全受到破坏，可能直接造成播出事故，对社会秩序、公共利益造成严重损害，对国家安全造成损害。GY/T 3372020 6 全国或跨省的运营支撑系统、管理支撑系统等定级对象，与广播电视播出业务有较为密切的联系，这些系统的业务信息安全或系统服务安全受到破坏，可能导致广播电视业务能力下降，破坏严重时可能造成播出事故，侵害社会公众收听收看广播电视节目的合法权益，对社会秩序和公共利益造成严重损害。全省或跨地市的运营支撑系统、管理支撑系统等定级对象，业务信息安全或系统服务安全受到破坏，可能导致广播电视业

19、务能力下降，破坏严重时可能造成播出事故，侵害部分区域社会公众收听收看广播电视节目的合法权益，对社会秩序和公共利益造成一般损害。6.2 初步确定定级对象的安全保护等级根据定级对象业务信息安全、系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，建议定级对象的安全保护等级，广播电视网络安全等级保护对象分级应使用附录B中表B.1表B.13的建议。各单位根据本单位网络业务功能，进行参照定级，安全等级应不低于建议级别。对于承载多个业务功能的网络，应以建议的最高安全等级进行定级。对于将云计算平台作为定级对象，需根据其承载或将要承载的业务系统的重要程度确定其安全保护等级，原则上不低于其承载的业务系统

20、的安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统，原则上其安全保护等级不低于第三级。未在建议表中列出的广播电视网络安全等级保护对象，应根据其承载的业务功能，参照GB/T 222402020或本文件进行定级。7 专家评审定级对象的网络运营者应按照本文件对等级保护对象进行定级，安全保护等级初步确定为第二级及以上的，需组织网络安全专家和业务专家对定级结果的合理性进行评审，并出具专家评审意见。8 主管部门核准定级对象的网络运营者应将专家评审后的定级结果报行业主管部门。9 公安机关备案审核定级对象的网络运营者需按照相关管理规定，将定级结果提交公安机关进行备案审核，审核不

21、通过，其网络运营者需组织重新定级；审核通过后最终确定定级对象的安全保护等级。10 等级变更当等级保护对象所处理的业务信息和系统服务范围发生变化，可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时，需根据第6章重新确定定级对象和安全保护等级。GY/T 3372020 7 附录 A（规范性）广播电视网络安全等级保护对象分类建议广播电视网络安全等级保护对象分类建议见表A.1。表A.1 广播电视网络安全等级保护对象分类建议序号分类定级对象描述 1 广播/电视中心播出系统实现节目播出和播出控制的信息系统。融合媒体发布系统面向社交媒体、客户端等内容发布

22、的信息系统。制播一体化系统实现节目制作播出一体化的信息系统。播出整备系统为播出进行节目准备和信号（信息流）调度的信息系统。媒资系统实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。制作系统实现内容制作以及为制作业务提供辅助服务的信息系统。融合媒体采集与制作系统面向社交媒体、客户端等内容生产和集成的信息系统。业务支撑系统实现各业务系统互联互通及基础性服务支撑的信息系统。管理支撑系统实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。2 融媒体中心省级技术平台为县级融媒体中心媒体服务、党建服务、政务服务、公共服务、增值服务等业务开展提供

23、技术支撑、运营维护的省级云平台。融媒体中心播出/发布系统实现融媒体中心节目播出/内容发布的信息系统。其他系统融媒体中心除播出/发布系统外的信息系统。3 集成平台（含IPTV、移动多媒体广播、手机电视、互联网电视、直播卫星等的集成播控平台和节目集成平台）播控系统实现节目播出控制、编码复用、加密传输的信息系统。互动系统实现互动功能以及为互动业务提供辅助服务的信息系统。媒资系统实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。制作系统实现内容制作以及为制作业务提供辅助服务的信息系统。运营支撑系统实现业务运营和用户管理的信息系统。管理支撑系统实现终端及业务系统的监测、安全管理、

24、运维管理、生产管理和版权管理等功能的信息系统。4 有线电视平台播出系统实现节目播出和播出控制的信息系统。互动系统实现互动功能以及为互动业务提供辅助服务的信息系统。宽带系统实现用户接入互联网，实现电脑等终端上网业务的信息系统。运营支撑系统实现业务运营和用户管理的信息系统。媒资系统实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。制作系统实现内容制作以及为制作业务提供辅助服务的信息系统。管理支撑系统实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。GY/T 3372020 8 表 A.1（续）序号分类定级对象描述 5 基础网络承

25、载网基础光缆网络、城域网等基础信息网络及其控制系统。运营支撑系统实现业务运营和用户管理的信息系统。管理支撑系统实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。6 网络广播电视台网站系统实现面向公众提供音视频服务的业务网站。播出系统实现节目播出和播出控制的信息系统。互动系统实现互动功能以及为互动业务提供辅助服务的信息系统。媒资系统实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。制作系统实现内容制作以及为制作业务提供辅助服务的信息系统。运营支撑系统实现业务运营和用户管理的信息系统。管理支撑系统实现各业务系统的监测、安全管理、运

26、维管理、生产管理、广告管理和版权管理等功能的信息系统。7 互联网视听节目服务机构（不含网络广播电视台）网站系统实现面向公众提供音视频服务的业务网站。播出系统实现节目播出和播出控制的信息系统。互动系统实现互动功能以及为互动业务提供辅助服务的信息系统。8 无线台站调度控制系统实现资源管理、资源调度、生成播发和效果评估等功能的信息系统。管理支撑系统实现监测监管、调度指挥、安全管理、运维管理、生产管理和版权管理等功能的信息系统。9 卫星地球站上行功率控制系统实现实时判断异常情况，自动、手动提升上行功率，并具备异地接收、上行自环检测等防止功率误提升技术措施的信息系统。10 应急广播中心

27、制作播发系统实现信息接入、信息处理、信息制作和审核播发等功能的信息系统。调度控制系统实现资源管理、资源调度、生成播发和效果评估等功能的信息系统。11 监测监管指挥调度系统实现安全播出资源管理、应急联动指挥等功能的信息系统。监测监管系统实现广播电视节目监测监管、监听监看的信息系统。12 数据资源大数据具有数量巨大、来源多样、生成极快、且多变等特征并且难以用传统数据体系结构有效处理的包含大量数据集的数据。大数据系统实现大数据参考体系结构的全部或部分功能的信息系统。13 通用系统门户网站系统a 实现提供某类综合性互联网信息资源和有关信息服务的信息系统。电子政务系统面向政府机构的信

28、息服务和信息处理系统。数据中心系统实现广播电视业务信息集中处理、存储、传输、交换、管理的信息系统。邮件系统办公用电子邮件信息系统。面向公众移动互联系统实现面向社会公众提供信息服务的具有移动客户端的信息系统。内部生产移动互联系统实现系统内部生产管理的具有移动客户端的信息系统。a 包含但不限于行业内政府网站、重要单位的机构网站等。GY/T 3372020 9 附录 B（规范性）广播电视网络安全等级保护对象安全保护等级建议广播电视网络安全等级保护对象安全保护等级建议见表B.1表B.13。表 B.1 广播/电视中心网络安全保护等级建议序号网络分类安全保护等级国家级省级、副省级地

29、市级县级 1 播出系统第四级第三级第三级第三级 2 融合媒体发布系统第三级第三级第三级第二级 3 制播一体化系统第三级第三级第二级第二级 4 播出整备系统第二级第二级第二级第二级 5 媒资系统第二级第二级第二级第二级 6 制作系统第二级第二级第二级第二级 7 融合媒体采集与制作系统第二级第二级第二级第二级 8 业务支撑系统第二级第二级第二级第二级 9 管理支撑系统第二级第二级第二级第二级表 B.2 融媒体中心安全保护等级建议序号网络分类安全保护等级 1 省级技术平台第三级 2 融媒体中心播出/发布系统第三级

30、3 其他系统第二级表 B.3 集成平台网络安全保护等级建议序号网络分类安全保护等级 1 播控系统第三级 2 互动系统第三级 3 媒资系统第二级 4 制作系统第二级 5 运营支撑系统第二级 6 管理支撑系统第二级 GY/T 3372020 10 表 B.4 有线电视平台网络安全保护等级建议序号网络分类安全保护等级全国或跨省全省或跨地市地市及以下县级 1 播出系统第三级第三级第二级 2 互动系统第三级第三级第二级 3 宽带系统第三级第三级第二级 4 运营支撑系统第三级第三级第二级 5 媒资系统第二级第二级第二级 6 制作系统第二级

31、第二级第二级 7 管理支撑系统第二级第二级第二级表 B.5 基础网络安全保护等级建议序号网络分类安全保护等级全国或跨省全省或跨地市 1 承载网第三级第二级 2 运营支撑系统第三级第二级 3 管理支撑系统第二级第二级表 B.6 网络广播电视台网络安全保护等级建议序号网络分类安全保护等级 1 网站系统第三级 2 播出系统第三级 3 互动系统第三级 4 媒资系统第二级 5 制作系统第二级 6 运营支撑系统第二级 7 管理支撑系统第二级表 B.7 互联网视听节目服务机构（不含网络广播电视台）网络安全保护等级建议序号网络分类安全保护等级 1

32、网站系统第三级 2 播出系统第三级 3 互动系统第三级 GY/T 3372020 11 表 B.8 无线台站网络安全保护等级建议序号网络分类安全保护等级国家级省级 1 调度控制系统第三级第二级 2 管理支撑系统第二级第二级表 B.9 卫星地球站网络安全保护等级建议序号网络分类安全保护等级国家级省级 1 上行功率控制系统第三级第二级表 B.10 应急广播网络安全保护等级建议序号网络分类安全保护等级国家级省级地市及以下 1 制作播发系统第三级第三级第二级 2 调度控制系统第三级第三级第二级表 B.11 监测监管网络安全保护等级建

33、议序号网络分类安全保护等级国家级省级 1 指挥调度系统第三级第二级 2 监测监管系统第二级第二级表 B.12 数据资源网络安全保护等级建议序号网络分类安全保护等级 1 大数据系统第三级 2 大数据第三级表 B.13 通用系统网络安全保护等级建议序号网络分类安全保护等级国家级省级、副省级地市及以下 1 门户网站系统第三级第三级第二级 2 电子政务系统第三级第三级第二级 3 数据中心系统第三级第三级第二级 4 邮件系统第三级第二级第二级 5 面向公众移动互联系统第三级第三级第二级 6 内部生产移动互联系统第二级第二级第二级 GY/T 3372020 12 参考文献 1 GB/T 311682014 信息安全技术云计算服务安全能力要求 2 GB/T 352952017 信息技术大数据术语 3 GB/T 355892017 信息技术大数据技术参考模型 4 GY/T 3212019 县级融媒体中心省级技术平台规范要求 5 县级融媒体中心建设规范（广电发20195号）_

展开阅读全文