發(fā)布ICS35.240.99發(fā)布CCSL67備案號：備案號：黑龍江省地23方標(biāo)準 黑黑龍江省市場監(jiān)督管理局IDB23/T2847—2021 3 DB23/T2847—2021前言本文件按照GB/T1.1—2020《標(biāo)準化工作導(dǎo)則第1部分：標(biāo)準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起。本文件由黑龍江省廣播電視局提出并歸口。本文件起草單位：黑龍江廣播電視網(wǎng)絡(luò)股份有限公司、嘉利通科技股份有限公司、北京啟明星辰信息安全技術(shù)有限公司、新華三技術(shù)有限公司、杭州迪普科技股份有限公司、哈爾濱市標(biāo)準化研究院、黑龍江省智慧城市建設(shè)協(xié)會。本文件主要起草人：鄭皓仁、李博、姚賀晨、陳文貌、石冬青、余鵬飛、韓玲、李剛、趙玉明、張慶、宋偉、岳海濱、王振宇、劉勇、張勁男。1DB23/T2847—2021公共視頻監(jiān)控系統(tǒng)安全防護規(guī)范1范圍本文件規(guī)定了公共視頻監(jiān)控系統(tǒng)安全防護的術(shù)語和定義、縮略語、公共視頻監(jiān)控系統(tǒng)安全防護體系、等級保護合規(guī)要求、視頻采集設(shè)備接入?yún)^(qū)安全防護要求、系統(tǒng)應(yīng)用區(qū)安全防護要求、邊界接入?yún)^(qū)安全防護要求和日常維護與應(yīng)急管理要求。本文件適用于黑龍江省區(qū)域內(nèi)新建、擴建、改建的接入數(shù)據(jù)采集設(shè)備大于500路的公共視頻監(jiān)控系統(tǒng)建設(shè)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T28181—2016安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1802.1X認證IEEE802.1X定義的基于以太網(wǎng)端口進行網(wǎng)絡(luò)接入控制的認證協(xié)議，以太網(wǎng)設(shè)備對連接到接入端口上的用戶/設(shè)備身份進行認證(本地認證或發(fā)給認證服務(wù)器遠程認證)。3.2MAC認證基于以太網(wǎng)端口和MAC地址進行網(wǎng)絡(luò)接入控制的認證方法，以太網(wǎng)設(shè)備對連接到接入端口上的設(shè)備MAC地址進行認證(本地認證或發(fā)給認證服務(wù)器遠程認證)。3.3全生命周期設(shè)備入網(wǎng)、在網(wǎng)(上線、在線、下線、離線)、退網(wǎng)的整個過程。3.4設(shè)備直連入網(wǎng)的所有各類設(shè)備，包括物理設(shè)備(PC終端、啞終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等)和虛擬設(shè)備(虛擬機、虛擬桌面等)。3.5證書2DB23/T2847—2021用來標(biāo)識用戶或設(shè)備身份信息的數(shù)字證書，通常由證書服務(wù)器頒發(fā)給用戶或設(shè)備。4縮略語下列縮略語適用于本文件。4A：認證、授權(quán)、賬號、審計(Authentication、Authorization、Account、Audit)DDoS：分布式拒絕服務(wù)攻擊(Distributeddenialofserviceattack)FTP：文件傳輸協(xié)議(FileTransferProtocol)HTTP：超文本傳輸協(xié)議(HyperTextTransferProtocol)NETBIOS：網(wǎng)上基本輸入輸出系統(tǒng)(NetworkBasicInput/OutputSystem)ODBC：開放數(shù)據(jù)庫連接(OpenDatabaseConnectivity)POP3：郵件協(xié)議版本3(PostOfficeProtocol-Version3)SMTP：簡單郵件傳輸協(xié)議(SimpleMailTransferProtocol)SNMP：簡單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol)SQL：結(jié)構(gòu)化查詢語言(StructuredQueryLanguage)SYSLOG：系統(tǒng)記錄(SystemLog)XSS：跨站腳本攻擊(CrossSiteScriptAttack)5公共視頻監(jiān)控系統(tǒng)安全防護體系公共視頻監(jiān)控系統(tǒng)安全防護體系整體應(yīng)符合國家信息安全等級保護要求，應(yīng)建立視頻采集設(shè)備接入安全、應(yīng)用區(qū)安全、邊界接入安全三大單元，同時應(yīng)具備完善的日常維護與應(yīng)急管理機制。安全防護體系架構(gòu)示意圖見圖1。等級保護合規(guī)要求邊界接入?yún)^(qū)安全防護威脅檢測數(shù)據(jù)庫審計威脅檢測數(shù)據(jù)庫審計脆弱性管理日志管理網(wǎng)絡(luò)安全防護會話監(jiān)控惡意代碼查殺性能監(jiān)控運維管控視頻采集設(shè)備接入?yún)^(qū)安全防護預(yù)警平臺資產(chǎn)管理準入控制數(shù)據(jù)管控數(shù)據(jù)傳輸鏈路視頻傳輸鏈路訪問控制數(shù)據(jù)加密及數(shù)據(jù)完整性安全域隔離安全監(jiān)控日常維護與應(yīng)急管理應(yīng)急處理備份與故障恢復(fù)圖1安全防護體系架構(gòu)示意圖3DB23/T2847—20216等級保護合規(guī)要求公共視頻監(jiān)控系統(tǒng)應(yīng)參照信息安全技術(shù)網(wǎng)絡(luò)安全等級保護中二級或以上標(biāo)準進行建設(shè)。7視頻采集設(shè)備接入?yún)^(qū)安全防護要求7.1預(yù)警平臺應(yīng)建立能夠分區(qū)部署與管理的視頻采集設(shè)備接入監(jiān)管及風(fēng)險預(yù)警平臺，實現(xiàn)對資產(chǎn)的現(xiàn)狀、資產(chǎn)的類型、數(shù)量、分布情況、攝像機在線率等的實時監(jiān)管。對視頻采集設(shè)備能夠進行合規(guī)檢查，檢查項包括弱口令檢查、設(shè)備仿冒、入侵行為甄別，并可以實時告警。7.2資產(chǎn)管理7.2.1應(yīng)通過主動掃描、被動監(jiān)聽、手工設(shè)置等方式采集視頻監(jiān)控設(shè)備的屬性信息，建立有效合法的設(shè)備資產(chǎn)庫。采集信息包括但不限于IP地址、MAC地址、設(shè)備廠商、設(shè)備類型等。7.2.2應(yīng)具有一機一檔功能，能通過一機一檔屬性對終端進行認證。對一機一檔屬性配置不匹配的終端，進行阻斷和告警提示。7.3準入控制7.3.1應(yīng)采用基于設(shè)備的IP地址、MAC地址、設(shè)備指紋、視頻協(xié)議中的一種或多種進行資產(chǎn)信息校驗，針對未校驗通過的設(shè)備，實時生成告警信息。7.3.2應(yīng)采用物理硬件設(shè)備進行串行部署或旁掛引流部署。7.3.3準入控制功能的建設(shè)應(yīng)具備彈性擴展能力，可根據(jù)視頻采集設(shè)備建設(shè)進行準入能力的擴充。7.4數(shù)據(jù)管控7.4.1應(yīng)按GB/T28181-2016的規(guī)定執(zhí)行，能夠自動識別主流監(jiān)控廠家的私有協(xié)議特征庫，并支持手動擴展非主流監(jiān)控廠家的私有協(xié)議特征庫，建立合法數(shù)據(jù)、協(xié)議白名單。7.4.2對數(shù)據(jù)的管控應(yīng)對業(yè)務(wù)數(shù)據(jù)流進行逐包檢測，并和數(shù)據(jù)、協(xié)議白名單進行比對，放行匹配成功的數(shù)據(jù)，阻斷匹配失敗的數(shù)據(jù)并告警。7.4.3只允許授權(quán)的視頻數(shù)據(jù)、語音數(shù)據(jù)、圖片、控制信令等在網(wǎng)絡(luò)中傳輸，屏蔽其他數(shù)據(jù)。7.4.4對視頻時延影響應(yīng)低于20μs。8系統(tǒng)應(yīng)用區(qū)安全防護要求8.1網(wǎng)絡(luò)安全防護8.1.1應(yīng)明確系統(tǒng)應(yīng)用區(qū)劃分，并在各區(qū)域部署防護設(shè)備，具備訪問控制、入侵防御、惡意代碼查殺能力。8.1.2應(yīng)確保系統(tǒng)應(yīng)用區(qū)與核心交換之間的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信，實現(xiàn)基于IP、端口的邊界訪問控制，同時應(yīng)實現(xiàn)對網(wǎng)絡(luò)攻擊行為的檢測、阻斷、網(wǎng)絡(luò)層惡意代碼的查殺。8.2威脅檢測8.2.1已知威脅檢測4DB23/T2847—2021具備對于病毒、蠕蟲、木馬、DDoS、掃描、SQL注入、XSS、緩沖區(qū)溢出、欺騙劫持等攻擊行為以及網(wǎng)絡(luò)資源濫用行為、網(wǎng)絡(luò)流量異常等威脅的檢測能力。8.2.2未知威脅檢測通過記錄和分析網(wǎng)絡(luò)連接信息、會話信息、流量信息，發(fā)現(xiàn)未知威脅，識別異常主機。8.3會話監(jiān)控8.3.1流量監(jiān)控識別并監(jiān)控會話的協(xié)議類型、傳輸方向、數(shù)據(jù)流量。8.3.2互聯(lián)關(guān)系監(jiān)控監(jiān)控系統(tǒng)內(nèi)、境內(nèi)、境外的互聯(lián)關(guān)系，宜采用可視化技術(shù)展示互聯(lián)關(guān)系或互聯(lián)拓撲。8.3.3威脅監(jiān)控通過對掃描探測、蠕蟲病毒、木馬連接、訪問頻次異常、訪問流量異常等異常行為的綜合分析，發(fā)現(xiàn)系統(tǒng)中存在異常主機。8.4數(shù)據(jù)庫審計8.4.1審計結(jié)果應(yīng)具有較高的細粒度。8.4.2審計的數(shù)據(jù)庫類別應(yīng)覆蓋傳統(tǒng)數(shù)據(jù)庫、國產(chǎn)數(shù)據(jù)庫、大數(shù)據(jù)型數(shù)據(jù)庫。8.4.3審計引擎宜與審計數(shù)據(jù)中心分離，便于審計性能與存儲空間的擴展。8.5惡意代碼查殺8.5.1部署防病毒系統(tǒng)，對終端、服務(wù)器中的重要文件、程序進行掃描檢測，及時發(fā)現(xiàn)惡意代碼，并進行有效的阻斷或隔離。8.5.2應(yīng)定期更新防病毒系統(tǒng)特征庫。8.6脆弱性管理8.6.1使用主機存活探測、智能端口檢測、操作系統(tǒng)指紋識別等技術(shù)，發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)各類資產(chǎn)的弱點和漏洞。8.6.2應(yīng)識別應(yīng)用系統(tǒng)漏洞、操作系統(tǒng)漏洞、中間件漏洞、數(shù)據(jù)庫漏洞，Web代碼漏洞，配置合規(guī)漏洞。洞8.7性能監(jiān)控8.7.1應(yīng)對網(wǎng)絡(luò)中各類資產(chǎn)的性能和運行狀態(tài)進行監(jiān)控，及時發(fā)現(xiàn)運行故障、性能不足等問題。8.7.2監(jiān)控的目標(biāo)應(yīng)包括主機(操作系統(tǒng)、中間件、數(shù)據(jù)庫等)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備。8.7.3應(yīng)針對不同的監(jiān)控目標(biāo)設(shè)置專項的監(jiān)控指標(biāo)。8.8日志管理8.8.1應(yīng)通過Syslog、SNMP、FTP、NETBIOS、ODBC、Shell腳本等協(xié)議進行不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志進行采集并轉(zhuǎn)換成統(tǒng)一的格式。5DB23/T2847—20218.8.2應(yīng)對各類日志關(guān)聯(lián)分析，關(guān)聯(lián)方式包括歷史關(guān)聯(lián)、多設(shè)備關(guān)聯(lián)、多系統(tǒng)關(guān)聯(lián)等，并可自定義關(guān)聯(lián)分析規(guī)則。8.8.3應(yīng)預(yù)留充足的日志存儲空間，保證日志存儲時限不低于180天。8.9運維管控應(yīng)建立完善的運維管理體系，設(shè)置專用運維區(qū)域和運維主機，同時部署運維管控系統(tǒng)(如堡壘機或4A系統(tǒng))，實現(xiàn)運維人員的單點登錄、身份認證、權(quán)限管理、行為審計等功能。9邊界接入?yún)^(qū)安全防護要求9.1數(shù)據(jù)傳輸鏈路在公共視頻監(jiān)控系統(tǒng)與其他系統(tǒng)之間，應(yīng)建設(shè)數(shù)據(jù)資源交互鏈路，該鏈路支持在安全隔離情況下數(shù)據(jù)資源(如：數(shù)據(jù)庫、文件等)的雙向同步。在安全防護的基礎(chǔ)上，滿足其他系統(tǒng)與公共視頻監(jiān)控系統(tǒng)之間數(shù)據(jù)資源共享與安全交換的需求。9.2視頻傳輸鏈路在公共視頻監(jiān)控系統(tǒng)與其他系統(tǒng)之間，應(yīng)通過建設(shè)視頻資源交互鏈路，實現(xiàn)視頻信息安全防護，滿足將其他系統(tǒng)視頻資源接入公共視頻監(jiān)控系統(tǒng)，并可與其他網(wǎng)絡(luò)用戶共享公共視頻監(jiān)控系統(tǒng)中視頻資源。支持視頻流和視頻控制信令的雙向或單向傳輸，能夠?qū)崿F(xiàn)視頻資源的相互調(diào)用。9.3訪問控制9.3.1在公共視頻監(jiān)控系統(tǒng)與其他系統(tǒng)邊界區(qū)域出口之間應(yīng)部署防火墻設(shè)備，實現(xiàn)對進出非法訪問的9.3.2應(yīng)根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級。9.3.3應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制。9.3.4應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接。9.3.5應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。9.3.6應(yīng)對重要網(wǎng)段采取技術(shù)手段防止地址欺騙。9.3.7應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶。9.3.8安全設(shè)備性能應(yīng)不低于兩倍實際業(yè)務(wù)流量，以滿足突發(fā)流量和未來擴展的需求。9.4數(shù)據(jù)加密及數(shù)據(jù)完整性9.4.1數(shù)據(jù)交換系統(tǒng)數(shù)據(jù)安全對進出公共視頻監(jiān)控系統(tǒng)的數(shù)據(jù)進行完整性保護和合規(guī)性檢查。利用完整性保護技術(shù)保證數(shù)據(jù)的完整性，確保交互數(shù)據(jù)未經(jīng)破壞、篡改。通過對數(shù)據(jù)格式和內(nèi)容合規(guī)性檢查，及時發(fā)現(xiàn)和阻止違反安全策略的數(shù)據(jù)傳輸并告警。文件安全交換6DB23/T2847—2021應(yīng)支持對文件的類型、擴展名、格式、內(nèi)容的識別和檢查，支持對文件進行病毒查殺，對檢查出來的不符合項進行報警和審計，文件交換完成后應(yīng)自動刪除已交換的暫存文件。數(shù)據(jù)庫安全交換應(yīng)支持對數(shù)據(jù)庫用戶、數(shù)據(jù)表、數(shù)據(jù)字段的選擇和過濾，數(shù)據(jù)庫交換完成后應(yīng)自動刪除已交換的數(shù)據(jù)記錄，支持對傳輸任務(wù)的源端文件策略、病毒查殺、同步周期、帶寬分配等內(nèi)容進行配置，支持對源端或目的端的數(shù)據(jù)庫進行觸發(fā)器清理操作。數(shù)據(jù)交換系統(tǒng)應(yīng)支持服務(wù)轉(zhuǎn)發(fā)功能需要使用請求服務(wù)的用戶應(yīng)在系統(tǒng)中注冊用戶信息，用戶信息包括用戶名、密碼、訪問IP段等。對用戶可以訪問的WebService資源進行注冊，未經(jīng)注冊的資源將不允許訪問。對用戶訪問WebService資源的請求參數(shù)和響應(yīng)內(nèi)容進行過濾，采用關(guān)鍵字過濾的方式檢查請求參數(shù)的響應(yīng)內(nèi)容，對不合法的請求或響應(yīng)不允許傳輸。9.4.2視頻交換系統(tǒng)應(yīng)按照預(yù)先注冊的視頻數(shù)據(jù)格式，對所傳輸?shù)囊曨l數(shù)據(jù)進行實時分析和過濾，對不符合格式的視頻數(shù)據(jù)進行阻斷和告警。視頻數(shù)據(jù)與視頻控制信令應(yīng)按照不同的安全策略嚴格區(qū)分，分別進行處理和傳輸。9.5安全域隔離9.5.1公共視頻監(jiān)控系統(tǒng)與其他網(wǎng)絡(luò)之間禁止通信協(xié)議交互，數(shù)據(jù)資源交互鏈路應(yīng)采用安全數(shù)據(jù)交換系統(tǒng)作為核心隔離系統(tǒng)，實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)資源交互。為保證數(shù)據(jù)交換的安全性，安全數(shù)據(jù)交換系統(tǒng)應(yīng)采用“數(shù)據(jù)交換系統(tǒng)+網(wǎng)閘”架構(gòu)。9.5.2視頻資源交互鏈路應(yīng)采用視頻安全交換接入系統(tǒng)作為核心隔離設(shè)備，實現(xiàn)內(nèi)外網(wǎng)視頻資源的交互。為保證視頻傳輸?shù)陌踩?，安全視頻交換系統(tǒng)應(yīng)采用“視頻交換系統(tǒng)+網(wǎng)閘”架構(gòu)。9.6安全監(jiān)控9.6.1入侵防御宜在公共視頻監(jiān)控系統(tǒng)與其他專網(wǎng)邊界區(qū)域出口部署入侵防御設(shè)備，對視頻傳輸網(wǎng)中各種溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務(wù)、病毒木馬、蠕蟲、網(wǎng)絡(luò)異常、受控主機、系統(tǒng)漏洞攻擊等行為進行入侵檢測告警和阻斷。9.6.2業(yè)務(wù)審計應(yīng)對系統(tǒng)中各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、視頻資源等產(chǎn)生的大量日志數(shù)據(jù)、運行狀態(tài)數(shù)據(jù)進行收集和關(guān)聯(lián)分析，及時發(fā)現(xiàn)安全威脅。應(yīng)對異常流量、網(wǎng)絡(luò)訪問性能、系統(tǒng)服務(wù)性能、應(yīng)用響應(yīng)性能等關(guān)鍵性能指標(biāo)進行智能分析，實現(xiàn)對關(guān)鍵業(yè)務(wù)系統(tǒng)中的網(wǎng)絡(luò)異常、應(yīng)用性能異常和網(wǎng)絡(luò)行為異常的秒級發(fā)現(xiàn)。宜具備區(qū)分異常原因的智能回溯分析能力，提升對關(guān)鍵業(yè)務(wù)系統(tǒng)的運行保障能力和問題處置效率。9.6.3安全審計通過審計類設(shè)備，實現(xiàn)對網(wǎng)絡(luò)、鏈路中網(wǎng)絡(luò)流量信息和設(shè)備日志信息的全面審計。7DB23/T2847—20通過在邊界區(qū)域部署集中監(jiān)控與審計設(shè)備，實現(xiàn)安全監(jiān)控、集中管理與審計。宜考慮級聯(lián)部署，將各級系統(tǒng)信息逐級上報匯總。宜提供邊界區(qū)域的拓撲視圖，在視圖上實時動態(tài)監(jiān)控各種設(shè)備當(dāng)前的運行狀況、顯示各個邊界接入業(yè)務(wù)的流量及重要告警信息。視頻審計類設(shè)備應(yīng)采用旁路審計方式，對各部門用戶訪問視頻資源匯聚系統(tǒng)、前端視頻資源的行為進行信令級日志記錄，記錄內(nèi)容包括設(shè)備類型、設(shè)備信息、源地址、目的地址、時間、操作類型、操作用戶、操作信令。宜考慮級聯(lián)部署，建設(shè)上、下級公共視頻監(jiān)控系統(tǒng)訪問行為審計系統(tǒng)，記錄各網(wǎng)用戶對視頻資源的信令級訪問行