陜西省地方標準-視頻監(jiān)控聯(lián)網(wǎng)共享系統(tǒng)管理平臺規(guī)范_圖文

1、 DB61/ T524- 2011 ,對 身份 鑒別 、管理用戶/ 應(yīng)按照GB/T zO27卜 zOOs中 4.2。 4的 要求 ,支 持對審計功能 的開啟和關(guān) 閉 應(yīng)。 業(yè)務(wù)用戶所實施 的操作 、其他與 系統(tǒng)安 全相關(guān)的事件 等實施 審計 ,并 做 出相應(yīng) 的審計響 、查詢等功能 。 、 安 全審計 日志宜采 用統(tǒng) 一 的格式 ,審 計 記錄信息應(yīng)能夠提供 導入 導 出 安 全審計數(shù)據(jù)應(yīng) 包括 a, 操作人身份 :用 戶身份 標識 : ; bl c dl e, f, 操作 :功 能操作 操作對象 :操 作 的對象 (如 DVR設(shè) 備 ; 操作類 型 :日 志管理 、用戶管 理 、配置管 理、

2、任務(wù)管 理等 操作 時間 :年 、 月 、 日、時 、分 、秒 ; ; ; 操作結(jié) 果 :成 功 、失敗 。 8.3.3 惡意代碼防護 進行有效 的安全防護 應(yīng)按照GB/T zO27 zOOG中 4.2.7的 要求 ,對 包括計算機 病毒在 內(nèi)的惡意代碼 。 8.3.4 備份 與故障恢復 al 、 息 、巡 檢信 息 、 聯(lián) 網(wǎng)系統(tǒng)應(yīng)對系 統(tǒng) 的基本 配置信息 、用戶信 息 、設(shè)備信 息 、權(quán) 限信 息 報警信 系統(tǒng) 重要操作 日志等進行分類并做 相應(yīng) 的定 重要事件 的視頻 圖像 、 與報警關(guān) 聯(lián) 的視音頻 信 息 、 期備份 ; bl ,對 重要的設(shè)備 應(yīng)進行 冗余 關(guān)鍵存 儲部件 宜采用

3、冗余 磁盤陣列技 術(shù)并支持 失效部件 的在線更換 配置 ,以 實現(xiàn) 雙機熱備 或者冷備 進行定期在 線維護 ,當 數(shù)據(jù)庫遭到破壞時 ,縮 短 數(shù)據(jù)庫 服務(wù)器 宜采用雙機 冗佘熱備 份 的方式 。 ; dl 恢復所 需時間 ,利 用 地理 上 的分離 在條件 具備 的情況下 ,應(yīng) 在異 地建 立 和維護 一個重要 數(shù)據(jù) 的備份存 儲系統(tǒng) 來保 證系統(tǒng)和數(shù)據(jù)對災(zāi) 難性事件 的抵御能力 制定 ,數(shù) 據(jù)恢 故障恢復 前應(yīng)制定 具體 合 理 的恢復 工 作計劃 ,故 障恢復方案應(yīng)根 據(jù)信息備份方案 ; ; 復完 成后應(yīng)檢 測數(shù)據(jù) 的完整性 。 8.3.5 應(yīng)急處 理 (各 類 對系統(tǒng)在 正常 工 作中發(fā)

4、 生的突發(fā)事件 應(yīng)制定安 全應(yīng)急處 理預案 ,并 組織實施應(yīng) 急處置演 習 。 處 理預案進行處 置或系統(tǒng) 自動 異常情 況 、安 全事件 、安 全事故 ,應(yīng) 由值班人 員或者維 護人員依 照應(yīng)急 降級 處 理 。 8.3.6 安 全管理 全管理教育和 定期 工 各級各 類 監(jiān)控 中心應(yīng)建 立 完善 的安 全管理制度 ,對 監(jiān)控 中心的 作人員應(yīng)進行安 技術(shù) 培訓 。 應(yīng)對 組成系統(tǒng) 的各種設(shè)備 定期進行安 全檢查和維護 。 8.4 信 息安全 、 及 業(yè) 務(wù)審計 、網(wǎng)絡(luò)間隔 信息安 全主要包括 用戶身份 認 證 、接 入設(shè)備認 證 、用戶權(quán) 限管 理 訪 問控制 離。 8.4.1 用戶身份認

5、 證 8.4.1.1 用戶身份標 識 22 DB61/ T524- 2011 應(yīng)對聯(lián) 網(wǎng)系統(tǒng) 的所有用戶進 行統(tǒng) 一 的唯 一標識 ,編 碼規(guī)范見GA/TGGg。 OB中 第 9章 的要求 。 8.4.1.2 用戶身份認證機 制 聯(lián) 網(wǎng)系統(tǒng)應(yīng)在 以下方 式 中選擇 一 種或者多種方 式進行用戶身份 認 證 a, 靜態(tài) 口令機制 (用 戶名/密 碼方式 ; : bl c dl el fl gl h, 動態(tài) 口令機制 ; 基于智能 卡的認證 ; 基于沖擊 /口 向 的 USBKey認 證 應(yīng) ; 基于 PKI/CA體 系數(shù)字證書的 USBKey認 證 基于人體生物特征識別 的認證 ; ; 采用基于

6、 PKI/CA體 系數(shù)字證書的 USBKey認 證 方式時應(yīng)采 用統(tǒng) 一 的公鑰證 書格式 。 對系統(tǒng)管理 員 、超級管理員宜 附加基于人體生物特征識別 的認證 ; 基于數(shù)字證 書和靜態(tài) 口令兩種方式 的用戶身份認證 。 8.4.1.3 單點登陸與全網(wǎng)漫游 聯(lián) 網(wǎng)系統(tǒng)應(yīng) 支持授權(quán)用戶 單點登陸與全 網(wǎng)漫游 的功能 。 8.4.1.3.1 單點登錄功 能要求 聯(lián) 網(wǎng)系統(tǒng)應(yīng)支持用戶只經(jīng)過 一 次身份認證 ,即 可訪 問不 同安全域 的應(yīng)用系統(tǒng) 。 聯(lián) 網(wǎng)系統(tǒng)We叫 艮 務(wù)器 、應(yīng)用服 務(wù)器應(yīng)在用戶 身份認證成功后 ,保 存用戶 的認證標識和 身份標識 。當 用戶訪 問不 同的應(yīng)用 網(wǎng)絡(luò) 時 ,We

7、叫 艮 務(wù)器 、應(yīng)用服 務(wù)器后 臺應(yīng)用程序應(yīng) 根據(jù)其身份標識來確定該用戶 的 用戶類型 。 8.4.1.3.2 全 網(wǎng)漫游功 能要求 聯(lián) 網(wǎng)系統(tǒng)應(yīng) 采用統(tǒng) 一 的公鑰證 書格式 ,以 保 證 在各級應(yīng)用系統(tǒng) 中均可被識 別 。 聯(lián) 網(wǎng)系統(tǒng)應(yīng) 采用統(tǒng) 一 的認證方 式 ,以 保證不 同應(yīng)用 網(wǎng)絡(luò)之 間用戶 的身份認證 。 8.4.2 接入設(shè)備 認證 應(yīng)對接入聯(lián) 網(wǎng)系統(tǒng) 的所有設(shè)備進 行統(tǒng) 一 的唯一 標識 ,編 碼規(guī)范見GA/T6Gg。 zOOs中 第 9章 的要求 。 接 入 設(shè)備認證應(yīng)根 據(jù)不 同情況采 用不 同的認證方 式 。對非SIP設(shè) 備 ,宜 通過設(shè)備代理來進 行認證 對標準 SIP

8、可 信設(shè)備應(yīng)采用數(shù) 字 證 書的認證方式 。 設(shè)備認證的流 程見GA/T ss9。 s- OB中 第 8、 9章 的要求 。 ; 8.4.3 用戶授權(quán) 策略與杈 限管理 8.4.3.1 用戶管理 用戶按使用性質(zhì) 分為兩類 業(yè) 務(wù)用戶 :使 用系統(tǒng)執(zhí)行業(yè) 務(wù)操作 的用戶 (例 如訪 問實時視頻 、訪 問歷史業(yè) 務(wù)信息 、進行攝 像機云 : 臺 、鏡頭控制等操 作 。 業(yè) 務(wù)用戶應(yīng)分配業(yè) 務(wù)權(quán) 限 ,不 應(yīng)具備管理權(quán) 限 。 管 理 用戶 :能 夠?qū)ο到y(tǒng)軟硬 件 資源 、 系統(tǒng)運行狀態(tài) 以及安全配置 等進行管理的用戶 ,具 有管理權(quán) 限 。 聯(lián) 網(wǎng)系統(tǒng)宜 按照 一 定的規(guī)則將具 有相 同屬性或特征

9、的用戶劃分 為 一 組 ,進 行用戶組 管理 。 8.4.3.2 權(quán) 限管理 在監(jiān)控 中心 內(nèi) ,權(quán) 限管理應(yīng)包括 下列 內(nèi)容 : DB61/ T524- 2011 al b, cl dl 提供增 加 、修改 、刪除和查詢 用戶權(quán) 限等 功能 配相應(yīng) 的權(quán) 限 。除安全管 理員外 單獨設(shè) 立 安 全管 理 員 ,專 門負責 為本 中心的每個合 法用戶分 限轉(zhuǎn)授 給其他 用戶 。安全管 理 員除 任何用 戶不得 擅 自更改其權(quán) 限 、不得越權(quán) 操作 、不得將 其權(quán) 他數(shù)據(jù) 完成 授權(quán) 功能外 ,不 能瀏覽 、修改 、刪除系 統(tǒng)中 的任何其 高優(yōu)先 級用戶 可搶 占低優(yōu) 先級 用戶所 占用 的資源

10、 礎(chǔ) 上進行 。 在 監(jiān)控 中心 間 ,用 戶權(quán) 限管 理應(yīng)在各級 監(jiān)控 中心授權(quán) 的基 ; , ; ; 8.4.4 訪 問控制 與業(yè)務(wù)審計 8.4.4.1 訪 問控制 上 ,系 統(tǒng) 宜采用某種 訪 問控制模型對用 聯(lián) 網(wǎng)系統(tǒng)應(yīng)實現(xiàn) 統(tǒng) 一 的用戶管 理和授權(quán) ,在 身份 鑒別的基礎(chǔ) 證書的訪 問控制 。 基于角色 的訪 問控制 應(yīng)提 戶進行訪 問控制 (例 如基 于角色 的訪 問控制 或者 基于屬性 色 的增加 、修改 、刪除等功能 ,并 且對角色 供對委 托授權(quán) 和角色繼承功 能的支 持 ;角 色管 理應(yīng)能提供角 的操作提 供審計接 口。 8.4.4.2 業(yè)務(wù)審計 聯(lián) 網(wǎng)系統(tǒng)應(yīng) 對 以下事

11、 件 進行 業(yè) 務(wù)審計 ,并 保 留記錄 ,以 各 用戶 登錄和身份驗 證 ; 查驗 : c, dl 非 法或異常 事件 用戶越權(quán) 行為 ; ; 持有權(quán) 限變 更操作 。 8.4.4.3 數(shù)據(jù) 庫安 全審計 增加數(shù) 據(jù)庫安全管 理軟件 ,應(yīng) 對數(shù)據(jù) 庫 的復制 、 安 系統(tǒng)管 理員 、 全管 理員三 權(quán)分離 。 數(shù)據(jù)庫 管 理員 、 刪除進行審計 ,并 保 留記錄 ,以 備 查驗 。 8.4.5 網(wǎng)絡(luò) 間隔離 應(yīng)進行 相應(yīng) 的隔離 。當需要在 網(wǎng)絡(luò)之 監(jiān)控 中心 局域 網(wǎng) 、公安專 網(wǎng) 、公共 網(wǎng)絡(luò)等不 同的應(yīng) 用 網(wǎng)絡(luò)之間 全隔離措施 。 間進行數(shù) 據(jù)交換 時 ,應(yīng) 采用 國家 、行 業(yè)管理

12、部 門認 可 的安 9 系統(tǒng)維 護管理體 系 系統(tǒng)維 護管 理子系統(tǒng)依托 的系統(tǒng)資源 主要有 :管 理服務(wù)器 、安全服務(wù)器等 。 9.1 設(shè)備管理 應(yīng)具備 設(shè)備注冊 、配置 、統(tǒng)計 、狀態(tài) 查詢 、測試 、診斷 、校 時等功能 ,有 故障隔離報警能力 。 9.2 日志管理 運行情況 和用戶 的操作記錄 自動 生成 日志應(yīng) 包括本 地 日志 、遠程設(shè)備 日志 、報警 日志 。能夠?qū)?系統(tǒng) 能。 日志 ,且 所有 日志能夠?qū)?出 ,并 具有禁 止修改 日志數(shù)據(jù) 的保護功 9.3 安 全管理 應(yīng)有身份 認 證和密鑰管 理 (網(wǎng) 絡(luò)安全 、數(shù)據(jù)安全 、機房安 全 、設(shè)備安全見安全要求 '。 24 9.4 DB61/ T524