上海市公共区域电子屏及相关信息系统安全自评估指引

2020-08-03 13:53:14 上海市信息网络安全管理协会 825

  01、总则

  根据《中华人民共和国网络安全法》的相关要求,为进一步规范、指导本市公共区域内电子屏及相关信息系统的安全防护工作,有效防范电子屏发布法律、行政法规禁止发布的信息,在上海市公安局网络安全保卫总队的指导下,上海市信息网络安全管理协会组织有关专家,研究制定了《本市公共区域电子屏及相关信息系统安全自评估指引》(简称《指引》)。电子屏运营责任单位应依据《中华人民共和国网络安全法》落实网络安全保护责任,开展等级保护测评工作,并根据本指引开展安全自查。

  02、适用范围

  本指引适用对象为本市公共区域内部署的电子屏以及相关播控系统。本指引适用于电子屏运营责任单位开展安全防范及安全检查工作。本指引所涉及的电子屏包括显示屏、交互式电子触控屏、智能电视机、电子走字屏、投影屏等。本指引所涉及的电子屏播控系统包括网络播控系统、本地播控软件、内容发布移动应用等。

  03、参考依据

  GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》。

  04、技防要求

  4.1 物理管控

  a)播控系统、播控终端应放置在安全可控区域内,出入口应配备电子门禁或门锁对进出人员进行鉴别、记录;

  b)播控系统、播控终端所在区域应配备监控摄像或由专人值守,确保相关设备处于受控状态;

  c)应将通信线缆铺设在隐蔽安全处,信息箱(即线路连接处)处于锁控状态,不易受到物理损坏。

  4.2 网络管控

  a)电子屏所连接的网络环境应受控,且相对独立,与其他无关或不可控网络保持隔离;

  b)电子屏原则上不允许部署在公共网络(如公共无线网络)上,若因业务需要必须部署在公共网络上的,应通过身份鉴别、IP/MAC地址绑定等技术手段加强电子屏与播控系统/终端之间的访问控制,并通过加密通道或电子签名校验机制,确保发布内容的完整性。

  4.3 播控系统及终端管控

  a)播控终端应进行必要的安全加固措施,如启用日志审计策略,密码策略,屏保等安全策略;

  b)播控终端应安装防病毒软件,并定期进行病毒库更新,在使用移动介质前应确保先进行病毒查杀;

  c)播控终端应做到专机专用,并对所连接的网络进行管控,不应与除业务必须相连的网络之外的其他网络进行连接,尤其是无线网络;

  d)播控系统应开启必备的防护功能,如设置有一定强度登录密码、开启操作日志等;对于通过互联网进行内容推送的播控系统,应加强网络安全防护措施。

  4.4 电子屏管控

  a)应通过视频监控或专人定时巡查等方式对电子屏播放内容进行监控;

  b)应尽可能选择具备一键关机功能的电子屏,发生问题时可及时关闭电子屏;

  c)应对电子屏的外部接口(如无线、有线、蓝牙、红外、USB等)进行有效管控,关闭或物理封闭不需要的外部接口以及视频播放功能(如无线投射功能),避免恶意人员利用外部接口播放不良信息;

  d)若电子屏为交互式电子触控屏,应对其操作系统进行安全加固,采用沙箱等技术手段部署交互程序,并完善容错机制,避免程序出错后,获得触控屏操作系统权限;

  e)使用无线进行管理电子走字屏,应通过设置高强度密码、隐藏无线SSID等方式加强对无线网络的管理;其余走字屏应提供并开启身份认证功能,设置高强度密码,防止恶意登录。

  05、运营要求

  5.1 人员管控

  a)应配备能够满足日常管理和应急需要的后台审核、前台巡查、技术保障等专业人员,或购买相关专业服务;

  b)应安排专人负责内容发布以及日常技术维护,并对掌握发布权限的人员及相关技术保障人员进行有效管理;

  c)人员变动时,应及时终止相关权限,如取回钥匙、禁用账号等;若账号无法禁用的,应及时修改密码,确保离岗人员无权限发布信息。

  5.2 内容管控

  a)应建立健全内容发布审查制度,规范内容发布流程;

  b)制度中应明确信息发布人员和审核人员职责,并按照制度严格落实,留存相关审核记录;

  5.3 应急预案

  a)应制定应急处置预案,预案场景应至少覆盖信息误发或篡改、设备故障等场景,处置方式包括一键关屏、切断电源等,并建立应急人员名单,包括联系人、联系方式等内容;

  b)应定期对应急预案进行演练,并留存相关演练记录;

  c)应与电子屏所在地的物业或业主方建立联动机制,协助责任方进行应急处置,提高处置效率,减低不良影响。

本文转载自上海市信息网络安全管理协会公众号,版权归作者所有,转载仅用于信息传递,不代表万方安全立场。