DB32/Txxxx—2022視頻監(jiān)控聯(lián)網(wǎng)信息安全自動(dòng)化漏洞掃描技術(shù)規(guī)范范圍本文件規(guī)定了視頻監(jiān)控聯(lián)網(wǎng)信息安全自動(dòng)化漏洞掃描技術(shù)規(guī)范，包括技術(shù)路線、部署要求、功能要求、性能要求、安全要求和管理要求。本文件適用于視頻監(jiān)控聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)信息安全測(cè)試，包括但不限于智慧交通、城市安全、公共衛(wèi)生及家庭生活等視頻監(jiān)控聯(lián)網(wǎng)信息安全的自動(dòng)化漏洞掃描。規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T5271.1—2000信息技術(shù)詞匯第1部分：基本術(shù)語(yǔ)GB/T37954—2019信息安全技術(shù)工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品技術(shù)要求及測(cè)試評(píng)價(jià)方法YD/T3463—2019漏洞掃描系統(tǒng)通用技術(shù)要求YD/T3492—2019視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)要求術(shù)語(yǔ)、定義和縮略語(yǔ)術(shù)語(yǔ)、定義下列術(shù)語(yǔ)和定義適用于本文件。漏洞vulnerability資產(chǎn)中能被威脅所利用的弱點(diǎn)。[來(lái)源：GB/T37954—2019，3.1]漏洞掃描系統(tǒng)vulnerabilityscanningsystem一種針對(duì)安全漏洞開(kāi)展主動(dòng)檢測(cè)的系統(tǒng)，可依據(jù)一定的策略，對(duì)目標(biāo)系統(tǒng)進(jìn)行安全漏洞的掃描，發(fā)現(xiàn)安全漏洞、驗(yàn)證安全漏洞并提出相應(yīng)的改進(jìn)意見(jiàn)。[來(lái)源：YD/T3463—2019，2.1.1]視頻監(jiān)控系統(tǒng)videosurveillancesystem由前端采集、傳輸、存儲(chǔ)、管理、顯示等組成，利用視頻技術(shù)探測(cè)、監(jiān)視設(shè)防區(qū)域并實(shí)時(shí)顯示、記錄現(xiàn)場(chǎng)圖像的電子系統(tǒng)或網(wǎng)絡(luò)。[來(lái)源：YD/T3492—2019，3.1.1]固件firmware功能上獨(dú)立于主存儲(chǔ)器，通常存儲(chǔ)在只讀存儲(chǔ)器（ROM）中的指令和相關(guān)數(shù)據(jù)的有序集。[來(lái)源：GB/T5271.1—2000，01.01.09]可視化visualization利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù)，將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來(lái)，并進(jìn)行交互處理的理論、方法和技術(shù)。[來(lái)源：YD/T3463—2019，2.1.4]縮略語(yǔ)下列縮略語(yǔ)適用于本文件。CVE：公共漏洞和暴露（CommonVulnerabilities&Exposures）CNVD：國(guó)家信息安全漏洞共享平臺(tái)（ChinaNationalVulnerabilityDatabase）CNNVD：中國(guó)國(guó)家信息安全漏洞庫(kù)（ChinaNationalVulnerabilityDatabaseofInformationSecurity）DVR：數(shù)字式錄像機(jī)（DigitalVideoRecorder）NVR：網(wǎng)絡(luò)視頻錄像機(jī)（NetworkVideoRecorder）技術(shù)路線通過(guò)接入目標(biāo)系統(tǒng)網(wǎng)絡(luò)，提取視頻監(jiān)控設(shè)備信息，并行執(zhí)行固件漏洞檢測(cè)、網(wǎng)絡(luò)協(xié)議漏洞檢測(cè)、業(yè)務(wù)交互內(nèi)容漏洞檢測(cè)的三大檢測(cè)內(nèi)容，最終分析檢測(cè)數(shù)據(jù)并輸出可視化結(jié)果及漏洞掃描報(bào)告。技術(shù)路線圖見(jiàn)圖1。漏洞檢測(cè)與分析漏洞檢測(cè)與分析系統(tǒng)部署接入設(shè)備識(shí)別輸出可視化結(jié)果固件漏洞檢測(cè)網(wǎng)絡(luò)協(xié)議漏洞檢測(cè)業(yè)務(wù)交互內(nèi)容漏洞檢測(cè)圖1技術(shù)路線圖部署要求部署模式應(yīng)符合YD/T3463-2019第3章的要求。功能要求支持協(xié)議支持協(xié)議類型包括TCP/IP、UDP、RTSP、SOAP、UPNP、ONVIF等。策略配置配置向?qū)呙璨呗詰?yīng)支持可視化配置，包括但不限于以下內(nèi)容：任務(wù)信息的可視化，如：任務(wù)名稱、任務(wù)ID等；掃描范圍的可視化，如：?jiǎn)我辉O(shè)備、多設(shè)備、多網(wǎng)段、連續(xù)IP節(jié)點(diǎn)等；掃描周期的可視化，如：僅一次、每周、每月或精確至具體時(shí)間等；掃描方式的可視化，如：全自動(dòng)識(shí)別、人工增強(qiáng)等；掃描目標(biāo)的可視化，如：攝像頭設(shè)備、DVR/NVR、視頻監(jiān)控管理平臺(tái)等。應(yīng)支持針對(duì)常見(jiàn)廠商、架構(gòu)的攝像頭以及支撐攝像頭運(yùn)行的上下游設(shè)備做檢測(cè)，做到對(duì)視頻專網(wǎng)內(nèi)設(shè)備的全覆蓋。注1：全自動(dòng)識(shí)別指視頻監(jiān)控聯(lián)網(wǎng)自動(dòng)化漏洞掃描系統(tǒng)自動(dòng)探測(cè)攝像頭設(shè)備信息，并自動(dòng)進(jìn)行漏洞分析。注2：人工增強(qiáng)指在系統(tǒng)自動(dòng)探測(cè)的基礎(chǔ)上，根據(jù)用戶自主補(bǔ)充的攝像頭設(shè)備信息，進(jìn)行增強(qiáng)化的掃描與分析。策略優(yōu)化掃描策略應(yīng)支持結(jié)合攝像頭指紋特征等信息進(jìn)行調(diào)整，提升掃描效率及精確度。資產(chǎn)探測(cè)通過(guò)資產(chǎn)探測(cè)進(jìn)行資產(chǎn)收集，資產(chǎn)信息收集應(yīng)符合YD/T3463—2019中5.1.2的規(guī)定。資產(chǎn)探測(cè)應(yīng)形成視頻監(jiān)控設(shè)備信息表，包括但不限于以下內(nèi)容：視頻監(jiān)控設(shè)備基本信息：IP信息、MAC地址信息、廠商信息、版本號(hào)等；視頻監(jiān)控設(shè)備擴(kuò)展信息：協(xié)議信息、設(shè)備序列號(hào)、運(yùn)行特征、端口號(hào)、Web信息、組件版本等。掃描分析掃描規(guī)則漏洞掃描規(guī)則基于漏洞數(shù)據(jù)庫(kù)，漏洞數(shù)據(jù)庫(kù)應(yīng)包括CVE、CNVD、CNNVD等主流安全漏洞庫(kù)，宜包括自主挖掘與收集的漏洞。狀態(tài)監(jiān)測(cè)視頻監(jiān)控聯(lián)網(wǎng)自動(dòng)化漏洞掃描系統(tǒng)每次發(fā)送檢測(cè)數(shù)據(jù)包前，應(yīng)對(duì)視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的性能狀態(tài)與響應(yīng)情況進(jìn)行監(jiān)測(cè)，如：網(wǎng)絡(luò)性能壓力、響應(yīng)狀態(tài)碼、響應(yīng)報(bào)文特征等。目標(biāo)系統(tǒng)狀態(tài)異常時(shí)，應(yīng)立即停止掃描，并同步報(bào)送預(yù)警信息至監(jiān)控端。固件漏洞檢測(cè)檢測(cè)對(duì)象固件漏洞檢測(cè)對(duì)象為視頻監(jiān)控終端的二進(jìn)制固件代碼。檢測(cè)過(guò)程通過(guò)自動(dòng)化解包、虛擬化運(yùn)行、特征匹配等對(duì)二進(jìn)制固件代碼進(jìn)行檢測(cè)。檢查點(diǎn)檢測(cè)固件相關(guān)文件信息，如：固件名稱、固件大小、固件的文件系統(tǒng)類型、固件文件結(jié)構(gòu)、固件架構(gòu)、組件版本等。對(duì)固件進(jìn)行安全檢測(cè)，通過(guò)固件逆向、虛擬化運(yùn)行、漏洞特征分析、漏洞緩解措施檢測(cè)等方法進(jìn)行檢測(cè)，分析固件代碼的安全問(wèn)題，如：漏洞存在情況、漏洞分類、漏洞出現(xiàn)位置。網(wǎng)絡(luò)協(xié)議漏洞檢測(cè)檢測(cè)對(duì)象網(wǎng)絡(luò)協(xié)議漏洞檢測(cè)對(duì)象為視頻監(jiān)控終端與后端服務(wù)等傳輸過(guò)程的協(xié)議數(shù)據(jù)包，分析對(duì)象包括但不限于常見(jiàn)的視頻監(jiān)控典型協(xié)議，如：RTSP、SOAP、UPNP、ONVIF等。檢測(cè)過(guò)程檢測(cè)視頻監(jiān)控指紋特征等信息，自動(dòng)產(chǎn)生模糊測(cè)試腳本，執(zhí)行對(duì)每個(gè)待測(cè)設(shè)備的注入測(cè)試。檢查點(diǎn)檢測(cè)網(wǎng)絡(luò)協(xié)議的完整性、保密性、可用性。協(xié)議完整性漏洞包括：視頻監(jiān)控協(xié)議指令與功能重放攻擊、訪問(wèn)控制與設(shè)備配置項(xiàng)篡改等。協(xié)議保密性漏洞包括：視頻監(jiān)控視頻流越權(quán)讀取、密鑰信息泄露、設(shè)備參數(shù)信息非法獲取等。協(xié)議可用性漏洞包括：視頻監(jiān)控設(shè)備拒絕服務(wù)、非法關(guān)機(jī)與重啟等。業(yè)務(wù)交互內(nèi)容漏洞檢測(cè)檢測(cè)對(duì)象業(yè)務(wù)交互內(nèi)容漏洞檢測(cè)對(duì)象為視頻監(jiān)控Web服務(wù)（如：Apache、Tomcat等）、視頻監(jiān)控Web服務(wù)所依賴的數(shù)據(jù)庫(kù)存儲(chǔ)服務(wù)（如：Mysql、Oracle、Redis、ClickHouse等）、視頻監(jiān)控Web服務(wù)所依賴的中間件服務(wù)（如：Docker、ElasticSearch、Kafka等）。檢測(cè)過(guò)程通過(guò)漏洞規(guī)則匹配對(duì)視頻監(jiān)控Web服務(wù)、視頻監(jiān)控?cái)?shù)據(jù)存儲(chǔ)服務(wù)、視頻監(jiān)控應(yīng)用服務(wù)所依賴的中間件進(jìn)行安全檢測(cè)。檢查點(diǎn)分析視頻監(jiān)控Web服務(wù)、視頻監(jiān)控應(yīng)用服務(wù)所依賴的數(shù)據(jù)存儲(chǔ)服務(wù)、視頻監(jiān)控應(yīng)用服務(wù)所依賴的中間件的漏洞信息、漏洞存在情況、漏洞分類等，如：SQL注入、跨站腳本攻擊、任意文件上傳等。監(jiān)測(cè)及輸出可視化監(jiān)測(cè)可視化監(jiān)測(cè)應(yīng)包括以下內(nèi)容：監(jiān)測(cè)被測(cè)設(shè)備的運(yùn)行結(jié)果。當(dāng)發(fā)現(xiàn)被測(cè)設(shè)備出現(xiàn)拒絕服務(wù)或者溢出錯(cuò)誤等問(wèn)題時(shí)，立即記錄相應(yīng)的輸入和輸出信息；監(jiān)測(cè)視頻監(jiān)控終端狀態(tài)，如：終端運(yùn)行狀態(tài)、終端網(wǎng)絡(luò)狀態(tài)等；監(jiān)測(cè)網(wǎng)內(nèi)攝像頭資產(chǎn)管理、攝像頭漏洞掃描、掃描器及漏洞庫(kù)狀態(tài)等信息；監(jiān)測(cè)網(wǎng)內(nèi)攝像頭資產(chǎn)數(shù)、已掃描設(shè)備數(shù)以及總掃描次數(shù)；監(jiān)測(cè)網(wǎng)內(nèi)各個(gè)設(shè)備的漏洞情況，如：云圖、漏洞觸發(fā)率排行表等。結(jié)果輸出結(jié)果輸出應(yīng)滿足以下要求：掃描結(jié)果應(yīng)支持自動(dòng)保存、歷史詳情查看、導(dǎo)出為結(jié)果報(bào)告；同一資產(chǎn)的兩次歷史掃描結(jié)果應(yīng)能夠進(jìn)行對(duì)比分析，確認(rèn)歷史漏洞是否修復(fù)；掃描結(jié)果內(nèi)容應(yīng)包括詳細(xì)的漏洞掃描信息，如：主機(jī)信息、端口信息、協(xié)議信息、漏洞存在情況、漏洞分類、漏洞位置、漏洞檢測(cè)與利用方式等；結(jié)果報(bào)告導(dǎo)出格式應(yīng)支持多種常見(jiàn)文件類型，如：PDF、DOC/DOCX、HTML等；結(jié)果報(bào)告應(yīng)支持版式及內(nèi)容自定義配置。報(bào)告模板參見(jiàn)附錄A。性能要求性能應(yīng)符合YD/T3463—2019第6章的要求，資產(chǎn)的并發(fā)掃描應(yīng)滿足：支持最大并發(fā)掃描資產(chǎn)數(shù)不低于100；支持最大并發(fā)掃描線程數(shù)不低于1000。安全要求賬戶安全賬戶安全應(yīng)符合YD/T3463—2019中7.1.2及7.2.2的要求。日志與審計(jì)日志與審計(jì)應(yīng)符合YD/T3463—2019中7.3的要求，且日志存儲(chǔ)時(shí)間應(yīng)不少于180天。管理要求版本管理版本管理應(yīng)符合YD/T3463—2019中8.1.1的要求。系統(tǒng)更新系統(tǒng)應(yīng)具有更新、升級(jí)產(chǎn)品和漏洞庫(kù)的能力。文檔管理文檔管理應(yīng)符合YD/T3463—2019中8.1.2的規(guī)定及以下要求：漏洞掃描報(bào)告結(jié)果應(yīng)能進(jìn)行人工審計(jì)；用戶文檔應(yīng)提供用戶手冊(cè)、操