1范围
本文件规定了公共视频监控系统安全防护的术语和定义、缩略语、公共视频监控系统安全防护体系、等级保护合规要求、视频采集设备接入区安全防护要求、系统应用区安全防护要求、边界接入区安全防护要求和日常维护与应急管理要求。 本文件适用于新建、扩建、改建的接入数据采集设备大于500路的公共视频监控系统建设。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T28181—2016安全防范视频监控联网系统信息传输、交换、控制技术要求
3术语和定义
下列术语和定义适用于本文件。
3.1
802.1X认证
IEEE802.1X定义的基于以太网端口进行网络接入控制的认证协议,以太网设备对连接到接入端口上的用户/设备身份进行认证(本地认证或发给认证服务器远程认证)。 3.2
MAC认证
基于以太网端口和MAC地址进行网络接入控制的认证方法,以太网设备对连接到接入端口上的设备MAC地址进行认证(本地认证或发给认证服务器远程认证)。
3.3
全生命周期
设备入网、在网(上线、在线、下线、离线)、退网的整个过程。
3.4
设备
直连入网的所有各类设备,包括物理设备(PC终端、哑终端、服务器、网络设备、安全设备等)和虚拟设备(虚拟机、虚拟桌面等)。
3.5
证书
用来标识用户或设备身份信息的数字证书,通常由证书服务器颁发给用户或设备。
4缩略语
下列缩略语适用于本文件。
4A:认证、授权、账号、审计(Authentication、Authorization、Account、Audit)
DDoS:分布式拒绝服务攻击(Distributed denial of service attack)
FTP:文件传输协议(File Transfer Protocol)
HTTP:超文本传输协议(HyperText Transfer Protocol)
NETBIOS:网上基本输入输出系统(Network Basic Input/Output System)
ODBC:开放数据库连接(Open Database Connectivity)证据智能系统
POP3:邮件协议版本3(Post Office Protocol -Version 3)
SMTP:简单邮件传输协议(Simple Mail Transfer Protocol)
SNMP:简单网络管理协议(Simple Network Management Protocol)
SQL:结构化查询语言(Structured Query Language)
SYSLOG:系统记录(System Log)
XSS:跨站脚本攻击(Cross Site Script Attack)
5公共视频监控系统安全防护体系
公共视频监控系统安全防护体系整体应符合国家信息安全等级保护要求,应建立视频采集设备接入安全、应用区安全、边界接入安全三大单元,同时应具备完善的日常维护与应急管理机制。安全防护体系架构示意图见图1。视频采集设备接入区安全防护预警平台资产管理准入控制数据管控
日常维护与应急管理
备份与故障恢复应急处理
恶意代码查杀脆弱性管理性能监控日志管理运维管控
边界接入区安全防护
数据传输链路
视频传输链路
访问控制
数据加密及数
据完整性
硬件加密设备安全域隔离安全监控
系统应用区安全防护网络安全防护威胁检测会话监控数据库审计等级保护合规要求
图1安全防护体系架构示意图
6等级保护合规要求
公共视频监控系统应参照信息安全技术网络安全等级保护中二级或以上标准进行建设。
7视频采集设备接入区安全防护要求
7.1预警平台
应建立能够分区部署与管理的视频采集设备接入监管及风险预警平台,实现对资产的现状、资产的类型、数量、分布情况、摄像机在线率等的实时监管。对视频采集设备能够进行合规检查,检查项包括弱口令检查、设备仿冒、入侵行为甄别,并可以实时告警。
7.2资产管理
7.2.1应通过主动扫描、被动监听、手工设置等方式采集视频监控设备的属性信息,建立有效合法的设备资产库。采集信息包括但不限于IP地址、MAC地址、设备厂商、设备类型等。
7.2.2应具有一机一档功能,能通过一机一档属性对终端进行认证。对一机一档属性配置不匹配的终端,进行阻断和告警提示。
7.3准入控制
保安对讲机
7.3.1应采用基于设备的IP地址、MAC地址、设备指纹、视频协议中的一种或多种进行资产信息校验,针对未校验通过的设备,实时生成告警信息。
7.3.2应采用物理硬件设备进行串行部署或旁挂引流部署。
7.3.3准入控制功能的建设应具备弹性扩展能力,可根据视频采集设备建设进行准入能力的扩充。
7.4数据管控
7.4.1应按GB/T28181-2016的规定执行,能够自动识别主流监控厂家的私有协议特征库,并支持手动扩展非主流监控厂家的私有协议特征库,建立合法数据、协议白名单。
7.4.2对数据的管控应对业务数据流进行逐包检测,并和数据、协议白名单进行比对,放行匹配成功的数据,阻断匹配失败的数据并告警。
7.4.3只允许授权的视频数据、语音数据、图片、控制信令等在网络中传输,屏蔽其他数据。
7.4.4对视频时延影响应低于20μs。
8系统应用区安全防护要求
8.1网络安全防护
8.1.1应明确系统应用区划分,并在各区域部署防护设备,具备访问控制、入侵防御、恶意代码查杀能力。
8.1.2应确保系统应用区与核心交换之间的访问和数据流通过边界设备提供的受控接口进行通信,实现基于IP、端口的边界访问控制,同时应实现对网络攻击行为的检测、阻断、网络层恶意代码的查杀。
8.2威胁检测
王水提金8.2.1已知威胁检测
具备对于病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为、网络流量异常等威胁的检测能力。
8.2.2未知威胁检测
通过记录和分析网络连接信息、会话信息、流量信息,发现未知威胁,识别异常主机。
8.3会话监控
8.3.1流量监控
识别并监控会话的协议类型、传输方向、数据流量。
8.3.2互联关系监控
监控系统内、境内、的互联关系,宜采用可视化技术展示互联关系或互联拓扑。
8.3.3威胁监控
通过对扫描探测、蠕虫病毒、木马连接、访问频次异常、访问流量异常等异常行为的综合分析,发现系统中存在异常主机。
8.4数据库审计
8.4.1审计结果应具有较高的细粒度。
8.4.2审计的数据库类别应覆盖传统数据库、国产数据库、大数据型数据库。
8.4.3审计引擎宜与审计数据中心分离,便于审计性能与存储空间的扩展。
8.5恶意代码查杀
8.5.1部署防病毒系统,对终端、服务器中的重要文件、程序进行扫描检测,及时发现恶意代码,并进行有效的阻断或隔离。
8.5.2应定期更新防病毒系统特征库。
化石工艺品8.6脆弱性管理
8.6.1使用主机存活探测、智能端口检测、操作系统指纹识别等技术,发现网络内各类资产的弱点和漏洞。
8.6.2应识别应用系统漏洞、操作系统漏洞、中间件漏洞、数据库漏洞,Web代码漏洞,配置合规漏洞。
8.7性能监控
8.7.1应对网络中各类资产的性能和运行状态进行监控,及时发现运行故障、性能不足等问题。
8.7.2监控的目标应包括主机(操作系统、中间件、数据库等)、网络设备、安全设备。
8.7.3应针对不同的监控目标设置专项的监控指标。
8.8日志管理
8.8.1应通过Syslog、SNMP、FTP、NETBIOS、ODBC、Shell脚本等协议进行不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的日志进行采集并转换成统一的格式。
8.8.2应对各类日志关联分析,关联方式包括历史关联、多设备关联、多系统关联等,并可自定义关联分析规则。
8.8.3应预留充足的日志存储空间,保证日志存储时限不低于180天。
8.9运维管控
应建立完善的运维管理体系,设置专用运维区域和运维主机,同时部署运维管控系统(如堡垒机或4A系统),实现运维人员的单点登录、身份认证、权限管理、行为审计等功能。
9边界接入区安全防护要求
9.1数据传输链路
在公共视频监控系统与其他系统之间,应建设数据资源交互链路,该链路支持在安全隔离情况下数据资源(如:数据库、文件等)的双向同步。在安全防护的基础上,满足其他系统与公共视频监控系统之间数据资源共享与安全交换的需求。
9.2视频传输链路
在公共视频监控系统与其他系统之间,应通过建设视频资源交互链路,实现视频信息安全防护,满足将其他系统视频资源接入公共视频监控系统,并可与其他网络用户共享公共视频监控系统中视频资源。支持视频流和视频控制信令的双向或单向传输,能够实现视频资源的相互调用。
9.3访问控制
9.3.1在公共视频监控系统与其他系统边界区域出口之间应部署防火墙设备,实现对进出非法访问的限制。
9.3.2应根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。
9.3.3应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。
9.3.4应在会话处于非活跃一定时间或会话结束后终止网络连接。
9.3.5应限制网络最大流量数及网络连接数。
不锈钢精密冲压9.3.6应对重要网段采取技术手段防止地址欺骗。
9.3.7应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
9.3.8安全设备性能应不低于两倍实际业务流量,以满足突发流量和未来扩展的需求。
9.4数据加密及数据完整性
9.4.1数据交换系统
9.4.1.1数据安全
对进出公共视频监控系统的数据进行完整性保护和合规性检查。利用完整性保护技术保证数据的完整性,确保交互数据未经破坏、篡改。通过对数据格式和内容合规性检查,及时发现和阻止违反安全策略的数据传输并告警。
9.4.1.2文件安全交换
