访问控制应至少满足如下要求： a）应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下应拒绝所有过 除非明确允许，否则就禁止：

b 应对源地址、目的地址、源端口 目的端口和协议等进行检查，以允许/拒绝数据包进出； d 应能根据会话状态信息对数据 的允许/拒绝访问控制，控制粒度为端口级； e 应确保互动信息汇聚/交互模块与互动准备模块在逻辑层面实现网络隔离与单向访问，只允许 互动准备模块主动连接汇聚服务器获取数 不允许汇聚服务器反向主动连接，

5. 4. 1 身份鉴别

家具标准5.4.1.1演播室互动系统身份鉴别

演播室互动系统身份鉴别应至少满足如下要求： a）对演播室互动系统用户账号应进行唯一标识和鉴别，身份鉴别信息具有复杂度要求并定期更 换； D 演播室互动系统的客户端及管理终端接入系统前，应对该终端进行唯一性标识和鉴别，如利用 设备IP地址、MAC地址、智能终端识别码等进行标识； C 对直播连线模式应确保参与互动的账号是通过本系统或符合要求的实名认证的账号，才允许向 系统发送连线请求信息； d 对系统特权账号和视频直播连线账号的访问应采用密码技术结合口令、生物技术等两种以上组 合的鉴别技术进行身份鉴别。

4. 1.2互动客户端身份

5. 4. 2 访问控制

5.4.2.1演播室互动系统访问控制

演播室互动系统访问控制应至少满足如下要求： a）应分配个人账号，设置最小权限； b） 应重命名系统默认账号或修改这些账号的默认口令，不允许匿名用户登录； c）应定期检查用户账户使用情况，及时删除或停用多余的、过期的账号，避免共享账号的存在 d）应授予管理用户所需的最小权限，实现管理用户的权限分离：

e）对演播室互动信息汇聚/交互模块的管理端口或地址，应限制从互联网远程访问，对系统管理 的连接实施监视，在发现非授权连接时，应立即进行应急处置； 应对演播室互动直播准备模块远程执行特权命令进行限制（如互动信息上屏、直播连线上屏 等），应由操作人员在服务器本地执行； 应明确由授权人对演播室互动系统用户、角色或设备的标识符进行设定、分配或禁用操作，并 防止标识符的重用。

4. 2. 2互动客户端访间

5. 4. 3安全审计

5.4.3.1演播室互动系统安全审计

演播室互动系统安全审计应至少满足如下要求： a 演播室互动系统应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事 件进行审计； b 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； c）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

5.4.3.2互动客户端安全审计

应确保每条回传到系统的互动信息与其用户的安全属性（如账号等）相关联，以保障信息的安全溯 源和审计。

5.4. 4 入侵防范

入侵防范应至少满足如下要求： a) 应遵循最小安装的原则，仅安装需要的组件和应用程序； b）应关闭不需要的系统服务、默认共享和高危端口； C 应通过设定终端接入方式或网络地址范围对需要接入系统的终端进行限制； 应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞； e) 应对互动信息汇聚/交互模块进行安全加固，提高互动信息汇聚/交互服务的安全性。

5.4. 5 恶意代码防范

恶意代码防范应至少满足如下要求： a）应采用白名单、黑名单或其他方式，在互动信息汇聚/交互模块所在网络出入口上实施恶意代 码防护机制； b) 应安装防恶意代码软件或配置具有相应功能的软件，建立相应维护机制，确保恶意代码库及时 更新：

C 离恶意代码，并向管理员通告： d 在互动活动开始前，演播室互动或网络直播相关的管理终端和存储介质，应进行恶意代码扫描 确认无风险后再与互动系统或设备连接

5. 4. 6 资源控制

5.4.6.1演播室互动系统资源控制

演播室互动系统资源控制应至少满足如下要求： 应限制单个用户或进程对演播室互动系统资源的最大使用限度； 应对演播室互动系统重要服务器的运行状态、CPU使用率、内存使用率、应用联网及带宽等情 况进行监控； C 应对演播室互动系统数据库的运行状态、进程占用CPU时间及内存大小、配置和告警数据等进 行监控； d）应对演播室互动系统重要应用软件的运行状态、响应时间等进行监控。

4. 6.2互动客户端资源

互动客户端资源控制应至少满足如下要求： a）应能够对互动客户端的最大并发会话连接数进行限制； b）应能够对单个账号的多重并发会话进行限制

虚拟化安全应至少满足如下要求： a 应提供实时的虚拟机监控机制，通过带内或带外的技术手段对虚拟机的运行状态、资源占用、 迁移情况等信息进行监控； b 应确保虚拟机的镜像安全，提供虚拟机镜像文件的完整性校验功能； C 支持不同应用场景间的物理资源与虚拟资源、虚拟资源与虚拟资源之间的安全隔离； d 提供虚拟化平台操作管理员权限分离机制，设置网络管理、账号管理、系统管理等不同的管理 员账号； 应对虚拟机网络接口的带宽进行管理； f） 逻辑或物理存储体应受到存储数据安全控制的监控和保护； 名 将虚拟化平台的各类操作和事件作为可审计源，进行记录和追溯： 应保证平台的管理流量与业务流量分离； 1 应能识别和监控虚拟机之间、虚拟机与物理机之间、虚拟机与宿主机之间的流量； J 应保证本系统的计算资源池与其他无关计算资源池之间的隔离； k 应避免虚拟机通过网络非授权访问宿主机，并依据安全策略控制虚拟机间的访问； 1 当进行远程管理时，管理终端和虚拟化平台边界设备之间应建立双向身份验证机制

内容检测应至少满足如下要求： a）对汇聚的互动信息内容，应能对有害信息和视频进行识别和过滤，并将有害内容自动隔离： b）对于跨功能域边界的互动数据，需要进行完整性校验，避免传输过程中的数据丢失或篡改

软件容错应至少满足如下要求： a）互动客户端应用软件应提供数据有效性检验功能，保证通过人机接口输入或通信接口输入的数 据长度、格式、范围、数据类型等符合设定要求； D 互动直播连线期间发生信号中断时，应能检测并切换到演播室垫播信号或应急信号； 演播室互动系统应采用缓存技术、完整性校验和恢复技术降低互动直播连线音视频传输的误码 率； d）互动客户端应用软件应提供自动保护功能，当故障发生时保证数据不丢失

5.4.10数据备份恢复

5.4.11剩余信息保护

复应至少提供演播室互动系统重要数据的本地数

当互动客户端软件卸载时，用户鉴别信息所在的存储空间应保证被释放或重新分配前得到完全清 。

6. 1 安全管理制度

系统安全管理制度应至少满足如下要求： 应制定演播室互动系统网络安全规章制度，覆盖物理、网络、主机系统、数据、应用和管理等 层面，并发布至内外部相关人员； b 在网络安全策略或计划发生变更时，应评审和更新网络安全规章制度，以确保其持续适用和有 效； C 应对系统管理员建立操作规程和管理规定； d）应建立监督机制以检查和确保网络安全规章制度的落实情况

6. 2 安全管理机构

系统安全管理机构应至少满足如下要求： a）应设立安全岗位，如安全管理员，明确岗位职责，并由该岗位负责人负责与网络安全管理部门 沟通协调，对其进行安全意识教育和岗位技能培训； b 应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和 重要资源的访问等关键活动进行审批，并保存关键活动的审批过程记录。

安全管理人员应至少满足如下要求： 应指定专人负责操作演播室互动信息发布和直播连线的信号切换，并对该人员进行安全操作和 安全意识培训，确保发布的互动信息内容安全； 安全管理员应对演播室互动系统网络安全资源需求进行详细分析，并确保这些资源的可用性； c）人员离职后应立即禁止该人员对系统的访问，终止或撤销该人员的身份鉴别凭证，收回该人员 所有涉及安全的本机构相关资产； 第三方供应商（如服务组织、合同商、系统开发商、集成商等）应具有人员安全管理要求，包 括安全角色和责任，要求第三方供应商遵守本机构的人员安全策略与管理规程。

22239一2019中8.1.9对安全建设管理进行管

6.5. 1 运维操作安全

运维操作安全应全少满足如下要求： a 应编制并保存演播室互动系统资产清单，包括资产责任部门、重要程度和使用人等内容，并根 据资产的重要程度对移动终端进行标识管理，根据其价值选择相应的管理措施； D 应根据运行维护计划进行检查和记录，并对维护记录进行审查； C 应审批和监视所有维护行为，包括现场维护、远程维护； d 在对系统组件进行维护或维修后，应检查所有可能受影响的安全措施，以确认其仍正常发挥功 能； e 在维护记录中，至少应包括：维护日期和时间、维护人员姓名、陪同人员姓名、维护活动描述 被转移或替换的设备列表等信息； f 应对维护工具的使用进行审批、控制和监视，确保维护工具未被非授权使用； g) 应建立对维护人员的授权流程，并对已获得授权的人员建立列表； h 确保只有列表中的维护人员才可在陪同人员的监管下开展维护活动； 1 应定期对系统的安全功能实施验证，验证失败时通知安全管理员； J 应建立完整性评估流程，确保系统的软件、固件和信息的完整性，并具备检测系统软件非授权 更改的能力； K 演播室互动客户端软件应支持更新，至少采取一种安全机制，保证升级的时效性和准确性，并 保证终端应用软件安全机制的有效性

6.5.2配置管理安全

配置管理安全应至少满足如下要求： a）应按照演播室互动系统配置要求制定、记录并维护系统的基线配置； 当系统重新安装、更新系统组件、发生重大变更时，应重新审查和更新系统基线配置水利工艺、技术交底，以便必 要时恢复配置： C 应明确需要定期变更的受控配置列表，并每周对病毒库、入侵检测规则库、防火墙规则库、漏 洞库等网络安全相关重要配置项进行更新； d 应保留系统中受控配置的变更记录； e 对系统实施变更之前，应对受控配置变更项进行测试、验证和记录； f 应限制系统开发方和集成方对生产环境中信息系统依赖的硬件、软件和固件进行直接变更

6.5.3远程维护安全

远程维护安全应至少满足如下要求： a）应禁止系统远程运维管理策略，信息系统和各类终端设备禁止开通互联网远程控制权限，严禁 私自安装远程控制类软件。 b 针对系统运维，原则上只允许通过安全认证的运维终端通过堡垒主机对后台服务器进行操作， 不允许运维终端直接访问后台服务器。 C 如确因工作原因，需要互联网远程控制权限或安装远程控制软件的，开通前应报网络安全管理 部门审批同意，在使用过程中加强对远端设备操作行为的管理和监控，在建立远程维护和诊断

会话时应采取 元成后及时大 ，并再次将相关情况通知网络安 或认证中心的特殊互动系统， 须由该设备提供商或服务提

6.5.4 安全事件处置

安全事件处置应至少满足如下要求： a）应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全 事件的现场处理、事件报告和后期恢复的管理职责等； b） 应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程， 总结经验教训。

紧固件标准6.5.5应急预案管理

应急预案管理应至少满足如下要求： a）应制定演播室互动系统的应急预案和应对不同安全事件的专项预案，并每年至少进行一次演 练； b） 应制定安全事件处理计划，并对安全事件进行监控和报告； 应对系统操作人员进行应急响应培训，并在演播室互动系统有重大变更时，重新开展培训。

[1]GD/J037—2011 级保护定级指南 2]GD/J038一2011广播电视相关信息系统安全等级保护基本要求 [3]新闻出版广播影视网络安全管理办法（试行）（新广办发[201714号）