ICS13.310CCSA91江蘇省地方標準DB32/T4432—2022視頻監(jiān)控聯(lián)網(wǎng)信息安全自動化漏洞掃描技術(shù)規(guī)范Informationsecurityofvideomonitoringnetwork—Technicalspecificationsforautomaticvulnerabilityscanning2022-12-31發(fā)布2023-01-31實施江蘇省市場監(jiān)督管理局DB32/T4432—2022前言 I1范圍 12規(guī)范性引用文件 13術(shù)語和定義、縮略語 14技術(shù)路線 25部署要求 36功能要求 36.1支持協(xié)議 36.2策略配置 36.3資產(chǎn)探測 36.4掃描分析 36.5監(jiān)測及輸出 57性能要求 58安全要求 58.1賬戶安全 58.2日志與審計 59管理要求 59.1版本管理 59.2系統(tǒng)更新 59.3文檔管理 6附錄A(資料性)視頻監(jiān)控聯(lián)網(wǎng)信息安全自動化漏洞掃描報告模板 7IDB32/T4432—2022本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分:標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由江蘇省軟件工程標準化技術(shù)委員會提出并歸口。本文件起草單位:南京市產(chǎn)品質(zhì)量監(jiān)督檢驗院(南京市質(zhì)量發(fā)展與先進技術(shù)應(yīng)用研究院)、南京治煜信息科技有限公司、國網(wǎng)電力科學(xué)研究院有限公司、東南大學(xué)、江蘇蘇測檢測認證有限公司、南京虎牙信息科技有限公司、江蘇省檢驗檢疫科學(xué)技術(shù)研究院、公安部第三研究所、中國科學(xué)院信息工程研究所、中國工業(yè)互聯(lián)網(wǎng)研究院、中國信息通信研究院、上海電器科學(xué)研究所(集團)有限公司。1DB32/T4432—2022視頻監(jiān)控聯(lián)網(wǎng)信息安全自動化漏洞掃描技術(shù)規(guī)范1范圍本文件規(guī)定了視頻監(jiān)控聯(lián)網(wǎng)信息安全自動化漏洞掃描技術(shù)規(guī)范,包括技術(shù)路線、部署要求、功能要求、性能要求、安全要求和管理要求。本文件適用于視頻監(jiān)控聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)信息安全測試,包括但不限于智慧交通、城市安全、公共衛(wèi)生及家庭生活等視頻監(jiān)控聯(lián)網(wǎng)信息安全的自動化漏洞掃描。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T5271.1—2000信息技術(shù)詞匯第1部分:基本術(shù)語GB/T37954—2019信息安全技術(shù)工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品技術(shù)要求及測試評價方法YD/T3463—2019漏洞掃描系統(tǒng)通用技術(shù)要求YD/T3492—2019視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)要求3術(shù)語和定義、縮略語3.1術(shù)語和定義下列術(shù)語和定義適用于本文件。漏洞vulnerability資產(chǎn)中能被威脅所利用的弱點。[來源:GB/T37954—2019,3.1]漏洞掃描系統(tǒng)vulnerabilityscanningsystem一種針對安全漏洞開展主動檢測的系統(tǒng),可依據(jù)一定的策略,對目標系統(tǒng)進行安全漏洞的掃描,發(fā)現(xiàn)安全漏洞、驗證安全漏洞并提出相應(yīng)的改進意見。[來源:YD/T3463—2019,2.1.1]視頻監(jiān)控系統(tǒng)videosurveillancesystem由前端采集、傳輸、存儲、管理、顯示等組成,利用視頻技術(shù)探測、監(jiān)視設(shè)防區(qū)域并實時顯示、記錄現(xiàn)場圖像的電子系統(tǒng)或網(wǎng)絡(luò)。[來源:YD/T3492—2019,3.1.1]2DB32/T4432—2022固件firmware功能上獨立于主存儲器,通常存儲在只讀存儲器(ROM)中的指令和相關(guān)數(shù)據(jù)的有序集。[來源:GB/T5271.1—2000,01.01.09]可視化visualization利用計算機圖形學(xué)和圖像處理技術(shù),將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來,并進行交互處理的理論、方法和技術(shù)。[來源:YD/T3463—2019,2.1.4]3.2縮略語下列縮略語適用于本文件。CNNVD:中國國家信息安全漏洞庫(ChinaNationalVulneraBilityDataBaseofInformationsecuri-ty)CNVD:國家信息安全漏洞共享平臺(ChinaNationalVulneraBilityDataBase)CVE:公共漏洞和暴露(CommonVulneraBilities&Exposures)DVR:數(shù)字式錄像機(DigitalVideoRecorder)NVR:網(wǎng)絡(luò)視頻錄像機(NetworkVideoRecorder)4技術(shù)路線通過接入目標系統(tǒng)網(wǎng)絡(luò),提取視頻監(jiān)控設(shè)備信息,并行執(zhí)行固件漏洞檢測、網(wǎng)絡(luò)協(xié)議漏洞檢測、業(yè)務(wù)交互內(nèi)容漏洞檢測的三大檢測內(nèi)容,最終分析檢測數(shù)據(jù)并輸出可視化結(jié)果及漏洞掃描報告。技術(shù)路線圖見圖1。圖1技術(shù)路線圖3DB32/T4432—20225部署要求部署模式應(yīng)符合YD/T3463—2019第3章的要求。6功能要求6.1支持協(xié)議支持協(xié)議類型包括TCP/IP、UDP、RTSP、SOAP、UPNP、ONVIF等。6.2策略配置6.2.1配置向?qū)呙璨呗詰?yīng)支持可視化配置,包括但不限于以下內(nèi)容:a)任務(wù)信息的可視化,如任務(wù)名稱、任務(wù)ID等;B)掃描范圍的可視化,如單一設(shè)備、多設(shè)備、多網(wǎng)段、連續(xù)IP節(jié)點等;c)掃描周期的可視化,如僅一次、每周、每月或精確至具體時間等;d)掃描方式的可視化,如全自動識別、人工增強等;e)掃描目標的可視化,如攝像頭設(shè)備、DVR/NVR、視頻監(jiān)控管理平臺等。應(yīng)支持針對常見廠商、架構(gòu)的攝像頭以及支撐攝像頭運行的上下游設(shè)備做檢測,做到對視頻專網(wǎng)內(nèi)設(shè)備的全覆蓋。注1:全自動識別指視頻監(jiān)控聯(lián)網(wǎng)自動化漏洞掃描系統(tǒng)自動探測攝像頭設(shè)備信息,并自動進行漏洞分析。注2:人工增強指在系統(tǒng)自動探測的基礎(chǔ)上,根據(jù)用戶自主補充的攝像頭設(shè)備信息,進行增強化的掃描與分析。6.2.2策略優(yōu)化掃描策略應(yīng)支持結(jié)合攝像頭指紋特征等信息進行調(diào)整,提升掃描效率及精確度。6.3資產(chǎn)探測通過資產(chǎn)探測進行資產(chǎn)收集,資產(chǎn)信息收集應(yīng)符合YD/T3463—2019中5.1.2的規(guī)定。資產(chǎn)探測應(yīng)形成視頻監(jiān)控設(shè)備信息表,包括但不限于以下內(nèi)容:a)視頻監(jiān)控設(shè)備基本信息:IP信息、MAC地址信息、廠商信息、版本號等;B)視頻監(jiān)控設(shè)備擴展信息:協(xié)議信息、設(shè)備序列號、運行特征、端口號、weB信息、組件版本等。6.4掃描分析6.4.1掃描規(guī)則漏洞掃描規(guī)則基于漏洞數(shù)據(jù)庫,漏洞數(shù)據(jù)庫應(yīng)包括CVE、CNVD、CNNVD等主流安全漏洞庫,宜包括自主挖掘與收集的漏洞。6.4.2狀態(tài)監(jiān)測視頻監(jiān)控聯(lián)網(wǎng)自動化漏洞掃描系統(tǒng)每次發(fā)送檢測數(shù)據(jù)包前,應(yīng)對視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的性能狀態(tài)與響應(yīng)情況進行監(jiān)測,如:網(wǎng)絡(luò)性能壓力、響應(yīng)狀態(tài)碼、響應(yīng)報文特征等。目標系統(tǒng)狀態(tài)異常時,應(yīng)立即停止掃描,并同步報送預(yù)警信息至監(jiān)控端。4DB32/T4432—20226.4.3固件漏洞檢測6.4.3.1檢測對象固件漏洞檢測對象為視頻監(jiān)控終端的二進制固件代碼。6.4.3.2檢測過程通過自動化解包、虛擬化運行、特征匹配等對二進制固件代碼進行檢測。6.4.3.3檢查點檢測固件相關(guān)文件信息,如:固件名稱、固件大小、固件的文件系統(tǒng)類型、固件文件結(jié)構(gòu)、固件架構(gòu)、組件版本等。對固件進行安全檢測,通過固件逆向、虛擬化運行、漏洞特征分析、漏洞緩解措施檢測等方法進行檢測,分析固件代碼的安全問題,如漏洞存在情況、漏洞分類、漏洞出現(xiàn)位置。6.4.4網(wǎng)絡(luò)協(xié)議漏洞檢測6.4.4.1檢測對象網(wǎng)絡(luò)協(xié)議漏洞檢測對象為視頻監(jiān)控終端與后端服務(wù)等傳輸過程的協(xié)議數(shù)據(jù)包,分析對象包括但不限于常見的視頻監(jiān)控典型協(xié)議,如RTSP、SOAP、UPNP、ONVIF等。6.4.4.2檢測過程檢測視頻監(jiān)控指紋特征等信息,自動產(chǎn)生模糊測試腳本,執(zhí)行對每個待測設(shè)備的注入測試。6.4.4.3檢查點檢測網(wǎng)絡(luò)協(xié)議的完整性、保密性、可用性。協(xié)議完整性漏洞包括:視頻監(jiān)控協(xié)議指令與功能重放攻擊、訪問控制與設(shè)備配置項篡改等。協(xié)議保密性漏洞包括:視頻監(jiān)控視頻流越權(quán)讀取、密鑰信息泄露、設(shè)備參數(shù)信息非法獲取等。協(xié)議可用性漏洞包括:視頻監(jiān)控設(shè)備拒絕服務(wù)、非法關(guān)機與重啟等。6.4.5業(yè)務(wù)交互內(nèi)容漏洞檢測6.4.5.1檢測對象業(yè)務(wù)交互內(nèi)容漏洞檢測對象為視頻監(jiān)控weB服務(wù)(如Apache、Tomcat等)、視頻監(jiān)控weB服務(wù)所依賴的數(shù)據(jù)庫存儲服務(wù)(如Mysql、Oracle、Redis、clickHouse等)、視頻監(jiān)控weB服務(wù)所依賴的中間件服務(wù)(如Docker、ElasticSearch、kafka等)。6.4.5.2檢測過程通過漏洞規(guī)則匹配對視頻監(jiān)控weB服務(wù)、視頻監(jiān)控數(shù)據(jù)存儲服務(wù)、視頻監(jiān)控應(yīng)用服務(wù)所依賴的中間件進行安全檢測。6.4.5.3檢查點分析視頻監(jiān)控weB服務(wù)、視頻監(jiān)控應(yīng)用服務(wù)所依賴的數(shù)據(jù)存儲服務(wù)、視頻監(jiān)控應(yīng)用服務(wù)所依賴的中間件的漏洞信息、漏洞存在情況、漏洞分類等,如SQL注入、跨站腳本攻擊、任意文件上傳等。5DB32/T4432—20226.5監(jiān)測及輸出6.5.1可視化監(jiān)測可視化監(jiān)測應(yīng)包括以下內(nèi)容:a)監(jiān)測被測設(shè)備的運行結(jié)果。當發(fā)現(xiàn)被測設(shè)備出現(xiàn)拒絕服務(wù)或者溢出錯誤等問題時,立即記錄相應(yīng)的輸入和輸出信息;B)監(jiān)測視頻監(jiān)控終端狀態(tài),如:終端運行狀態(tài)、終端網(wǎng)絡(luò)狀態(tài)等;c)監(jiān)測網(wǎng)內(nèi)攝像頭資產(chǎn)管理、攝像頭漏洞掃描、掃描器及漏洞庫狀態(tài)等信息;d)監(jiān)測網(wǎng)內(nèi)攝像頭資產(chǎn)數(shù)、已掃描設(shè)備數(shù)以及總掃描次數(shù);e)監(jiān)測網(wǎng)內(nèi)各個設(shè)備的漏洞情況,如云圖、漏洞觸發(fā)率排行表等。6.5.2結(jié)果輸出結(jié)果輸出應(yīng)滿足以下要求:a)掃描結(jié)果應(yīng)支持自動保存、歷史詳情查看、導(dǎo)出為結(jié)果報告;B)同一資產(chǎn)的兩次歷史掃描結(jié)果應(yīng)能夠進行對比分析,確認歷史漏洞是否修復(fù);c)掃描結(jié)果內(nèi)容應(yīng)包括詳細的漏洞掃描信息,如主機信息、端口信息、協(xié)議信息、漏洞存在情況、漏洞分類、漏洞位置、漏洞檢測與利用方式等;d)結(jié)果報告導(dǎo)出格式應(yīng)支持多種常見文件類型,如PDF、DOC/DOCX、HTML等;e)結(jié)果報告應(yīng)支持版式及內(nèi)容自定義配置。報告模板參見附錄A。7性能要求性能應(yīng)符合YD/T3463—2019第6章的要求,資產(chǎn)的并發(fā)掃描應(yīng)滿足:a)支持最大并發(fā)掃描資產(chǎn)數(shù)不低于100;B)支持最大并發(fā)掃描線程數(shù)不低于1000。8安全要求8.1賬戶安全賬戶安全應(yīng)符合YD/T3463—2019中7.1.2及7.2.2的要求。8.2日志與審計日志與審計應(yīng)符合YD/T3463—2019中7.3的要求,且日志存儲時間應(yīng)不少于180d。9管理要求9.1版本管理版本管理應(yīng)符合YD/T3463—2019中8.1.1的要求。9.2系統(tǒng)更新系統(tǒng)應(yīng)具有更新、升級產(chǎn)品和漏洞庫的能力。6DB32/T4432—20229.3文檔管理文檔管理應(yīng)符合YD/T3463—2019中