公共視頻監(jiān)控系統(tǒng)安全技術(shù)防范要求

公共視頻監(jiān)控系統(tǒng)安全技術(shù)防范要求范圍本標(biāo)準(zhǔn)規(guī)定了公共視頻監(jiān)控系統(tǒng)安全防護(hù)規(guī)范，包括等級保護(hù)合規(guī)要求、視頻采集設(shè)備接入?yún)^(qū)安全防護(hù)要求、系統(tǒng)應(yīng)用區(qū)安全防護(hù)要求、邊界接入?yún)^(qū)安全防護(hù)要求、日常維護(hù)與應(yīng)急管理要求。本標(biāo)準(zhǔn)適用于XX省區(qū)域內(nèi)新建、擴(kuò)建、改建的接入數(shù)據(jù)采集設(shè)備大于500路的公共視頻監(jiān)控系統(tǒng)建設(shè)。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T28181-2016安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要GB/35114-2017公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求術(shù)語和定義下列術(shù)語和定義適用于本文件。公共視頻監(jiān)控系統(tǒng)由政府行業(yè)部門主管，對公共區(qū)域的重點處所進(jìn)行實時視頻監(jiān)控、采集、分析的電子系統(tǒng)。設(shè)備指直連入網(wǎng)的所有各類設(shè)備，包括物理設(shè)備（PC終端、啞終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）和虛擬設(shè)備（虛擬機(jī)、虛擬桌面等）。全生命周期指設(shè)備入網(wǎng)、在網(wǎng)（上線、在線、下線、離線）、退網(wǎng)的整個過程。證書指用來標(biāo)識用戶或設(shè)備身份信息的數(shù)字證書，通常由證書服務(wù)器頒發(fā)給用戶或設(shè)備。802.1X認(rèn)證指IEEE802.1X定義的基于以太網(wǎng)端口進(jìn)行網(wǎng)絡(luò)接入控制的認(rèn)證協(xié)議，以太網(wǎng)設(shè)備對連接到接入端口上的用戶/設(shè)備身份進(jìn)行認(rèn)證（本地認(rèn)證或發(fā)給認(rèn)證服務(wù)器遠(yuǎn)程認(rèn)證）。MAC認(rèn)證指基于以太網(wǎng)端口和MAC地址進(jìn)行網(wǎng)絡(luò)接入控制的認(rèn)證方法，以太網(wǎng)設(shè)備對連接到接入端口上的設(shè)備MAC地址進(jìn)行認(rèn)證（本地認(rèn)證或發(fā)給認(rèn)證服務(wù)器遠(yuǎn)程認(rèn)證）?？s略語下列縮略語適用于本文件。4A認(rèn)證、授權(quán)、賬號、審計（Authentication、Authorization、Account、Audit）DDoS分布式拒絕服務(wù)供給（Distributeddenialofserviceattack）FTP文件傳輸協(xié)議（FileTransferProtocol）HTTP超文本傳輸協(xié)議（HyperTextTransferProtocolNETBIOS網(wǎng)上基本輸入輸出系統(tǒng)（NetworkBasicInput/OutputSystem）ODBC開放數(shù)據(jù)庫連接（OpenDatabaseConnectivity）OPSEC_LEA安全開放平臺_取有效地址指令（OpenPlatformforSecurity_Loadeffectiveaddress）POP3郵件協(xié)議版本3（PostOfficeProtocol-Version3）SYSLOG系統(tǒng)記錄（SystemLog）SMTP簡單郵件傳輸協(xié)議（SimpleMailTransferProtocol）SNMP簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol）SQL結(jié)構(gòu)化查詢語言（StructuredQueryLanguage）WMI系統(tǒng)插件（WindowsManagementInstrumentation）XSS跨站腳本攻擊（CrossSiteScriptAttack）公共視頻監(jiān)控系安全防護(hù)體系安全防護(hù)體系整體應(yīng)符合國家信息安全等級保護(hù)要求，在系統(tǒng)自身信息安全防護(hù)建設(shè)方面，應(yīng)建立視頻采集設(shè)備接入安全、應(yīng)用區(qū)安全、邊界接入安全三大單元，同時應(yīng)具備完善的日常維護(hù)與應(yīng)急管理機(jī)制。安全防護(hù)體系架構(gòu)圖見圖1。安全防護(hù)體系架構(gòu)圖等級保護(hù)合規(guī)要求公共視頻監(jiān)控系統(tǒng)接入攝像頭數(shù)量達(dá)到500路以上或具備結(jié)構(gòu)化數(shù)據(jù)分析能力的系統(tǒng)，應(yīng)參照等級保護(hù)二級或以上標(biāo)準(zhǔn)進(jìn)行建設(shè)。視頻采集設(shè)備接入?yún)^(qū)安全防護(hù)要求預(yù)警系統(tǒng)應(yīng)建立能夠分區(qū)部署與管理的可視化視頻傳輸網(wǎng)前端接入資產(chǎn)監(jiān)管及風(fēng)險預(yù)警系統(tǒng)，做到監(jiān)管資產(chǎn)的現(xiàn)狀、資產(chǎn)的類型、數(shù)量、分布情況、攝像頭在線率等。對前端攝像機(jī)能夠進(jìn)行合規(guī)檢查，檢查項包括弱口令檢查、設(shè)備仿冒、入侵行為甄別，并可以實時告警。資產(chǎn)管理應(yīng)具備前端設(shè)備主動掃描、被動監(jiān)聽和手工設(shè)置等能力。應(yīng)通過采集視頻采集設(shè)備接入?yún)^(qū)中物理設(shè)備的屬性信息建立有效合法的設(shè)備資產(chǎn)庫。采集信息包括但不限于IP地址、MAC地址、設(shè)備廠商、設(shè)備類型等。應(yīng)具有一機(jī)一檔功能，能通過一機(jī)一檔屬性對終端進(jìn)行認(rèn)證。對一機(jī)一檔屬性配置不匹配的終端，進(jìn)行阻斷和告警提示。準(zhǔn)入控制應(yīng)采用基于設(shè)備的IP地址、MAC地址、設(shè)備指紋、視頻協(xié)議中的一種或多種進(jìn)行資產(chǎn)信息校驗，針對位校驗通過的設(shè)備，實時生成告警信息。應(yīng)采用物理硬件設(shè)備進(jìn)行串行部署或旁掛引流部署。準(zhǔn)入控制功能的建設(shè)應(yīng)具備彈性擴(kuò)展能力，可根據(jù)視頻采集設(shè)備建設(shè)進(jìn)行準(zhǔn)入能力的擴(kuò)充。數(shù)據(jù)管控應(yīng)兼容GB/T28181-2016協(xié)議，能夠自動識別主流監(jiān)控廠家的私有協(xié)議特征庫，并支持手動擴(kuò)展非主流監(jiān)控廠家的私有協(xié)議特征庫，建立合法數(shù)據(jù)、協(xié)議白名單。對數(shù)據(jù)的管控應(yīng)做到對業(yè)務(wù)數(shù)據(jù)流進(jìn)行逐包檢測，并和數(shù)據(jù)、協(xié)議白名單進(jìn)行比對，匹配成功的數(shù)據(jù)將被放行，匹配失敗的數(shù)據(jù)將被阻斷并告警。應(yīng)做到只允許授權(quán)的視頻數(shù)據(jù)、語音數(shù)據(jù)、圖片、控制信令等在網(wǎng)絡(luò)中傳輸，其他數(shù)據(jù)一概屏蔽，視頻時延要求低于20微秒。系統(tǒng)應(yīng)用區(qū)安全防護(hù)要求網(wǎng)絡(luò)安全防護(hù)應(yīng)明確系統(tǒng)應(yīng)用區(qū)劃分，并在各區(qū)域部署防護(hù)設(shè)備，提供訪問控制、入侵防御、惡意代碼查殺能力。應(yīng)確保系統(tǒng)應(yīng)用區(qū)與核心交換之間的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信，實現(xiàn)基于IP、端口的邊界訪問控制，同時應(yīng)實現(xiàn)對網(wǎng)絡(luò)攻擊行為的檢測和阻斷及網(wǎng)絡(luò)層惡意代碼的查殺。威脅檢測已知威脅檢測提供對于病毒、蠕蟲、木馬、DDoS、掃描、SQL注入、XSS、緩沖區(qū)溢出、欺騙劫持等攻擊行為以及網(wǎng)絡(luò)資源濫用行為、網(wǎng)絡(luò)流量異常等威脅的檢測能力。未知威脅檢測通過記錄和分析網(wǎng)絡(luò)連接信息、會話信息、流量信息，發(fā)現(xiàn)未知威脅，識別異常主機(jī)。會話監(jiān)控流量監(jiān)控識別會話的協(xié)議類型、會話傳輸?shù)姆较?、會話產(chǎn)生的流量?；ヂ?lián)關(guān)系監(jiān)控監(jiān)控系統(tǒng)內(nèi)、境內(nèi)、境外的互聯(lián)關(guān)系，可采用可視化技術(shù)展示互聯(lián)關(guān)系或互聯(lián)拓?fù)?。威脅監(jiān)控通過對掃描探測、蠕蟲病毒、木馬連接、訪問頻次異常、訪問流量異常等異常行為的綜合分析，發(fā)現(xiàn)系統(tǒng)中存在異常的資產(chǎn)。數(shù)據(jù)庫審計審計結(jié)果應(yīng)具有較高的細(xì)粒度?？蓪徲嫷臄?shù)據(jù)庫類別應(yīng)能覆蓋傳統(tǒng)數(shù)據(jù)庫、國產(chǎn)數(shù)據(jù)庫、大數(shù)據(jù)型數(shù)據(jù)庫。審計引擎與審計數(shù)據(jù)中心分離，便于審計性能與存儲空間的擴(kuò)展。惡意代碼查殺部署防病毒系統(tǒng)，對終端、服務(wù)器中的重要文件、程序進(jìn)行掃描檢測，及時發(fā)現(xiàn)惡意代碼，并進(jìn)行有效的阻斷或隔離。應(yīng)定期更新防病毒系統(tǒng)特征庫。脆弱性管理使用主機(jī)存活探測、智能端口檢測、操作系統(tǒng)指紋識別等技術(shù)，發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)各類資產(chǎn)的弱點和漏洞。應(yīng)能夠識別操作系統(tǒng)漏洞、中間件漏洞、數(shù)據(jù)庫漏洞，Web代碼漏洞，配置合規(guī)漏洞。性能監(jiān)控應(yīng)對網(wǎng)絡(luò)中各類資產(chǎn)的性能和運行狀態(tài)進(jìn)行監(jiān)控，及時發(fā)現(xiàn)運行故障、性能不足等問題。監(jiān)控的目標(biāo)應(yīng)包括主機(jī)（操作系統(tǒng)、中間件、數(shù)據(jù)庫等）、網(wǎng)絡(luò)設(shè)備、安全設(shè)備。應(yīng)針對不同的監(jiān)控目標(biāo)設(shè)置專項的監(jiān)控指標(biāo)。日志管理應(yīng)通過Syslog、SNMP、FTP、OPSECLEA、NETBIOS、ODBC、WMI、Shell腳本等協(xié)議進(jìn)行不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志進(jìn)行采集并轉(zhuǎn)換成統(tǒng)一的格式。應(yīng)能夠?qū)Ω黝惾罩娟P(guān)聯(lián)分析，關(guān)聯(lián)方式包括歷史關(guān)聯(lián)、多設(shè)備關(guān)聯(lián)、多系統(tǒng)關(guān)聯(lián)等，并可自定義關(guān)聯(lián)分析規(guī)則。應(yīng)預(yù)留充足的日志存儲空間，保證日志存儲時限不低于180天。運維管控應(yīng)建立完善的運維管理體系，設(shè)置專用運維區(qū)域和運維主機(jī)，同時部署運維管控系統(tǒng)如堡壘機(jī)或4A系統(tǒng)，實現(xiàn)運維人員的單點登錄、身份認(rèn)證、權(quán)限管理、行為審計等功能。邊界接入?yún)^(qū)安全防護(hù)要求數(shù)據(jù)傳輸鏈路在公共視頻監(jiān)控系統(tǒng)與其他系統(tǒng)之間，應(yīng)建設(shè)數(shù)據(jù)資源交互鏈路。該鏈路支持在安全隔離情況下數(shù)據(jù)資源（如：數(shù)據(jù)庫、文件等）的雙向同步。在安全防護(hù)的基礎(chǔ)上，滿足其他系統(tǒng)與視聯(lián)網(wǎng)之間數(shù)據(jù)資源共享與安全交換的需求。視頻傳輸鏈路在公共視頻監(jiān)控系統(tǒng)與其他系統(tǒng)之間，應(yīng)通過建設(shè)視頻資源交互鏈路，實現(xiàn)視頻信息安全防護(hù)，滿足將其他系統(tǒng)視頻資源接入公共視頻監(jiān)控系統(tǒng)，并且可以對其他網(wǎng)絡(luò)用戶共享公共視頻監(jiān)控系統(tǒng)中視頻資源。支持視頻流和視頻控制信令的雙向傳輸，能夠?qū)崿F(xiàn)視頻資源的相互調(diào)用?？蓪ζ胀ㄒ曨l用戶實現(xiàn)基于級別的優(yōu)先級操作，保證高優(yōu)先級用戶可用性。訪問控制在公共視頻監(jiān)控系統(tǒng)與其他系統(tǒng)邊界區(qū)域出口之間應(yīng)部署防火墻設(shè)備，實現(xiàn)對進(jìn)出區(qū)非法訪問的限制。應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級。應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制。應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接。應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙。應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個用戶。設(shè)備性能應(yīng)不低于兩倍實際業(yè)務(wù)流量，以滿足突發(fā)流量和未來擴(kuò)展的需求。數(shù)據(jù)加密及數(shù)據(jù)完整性數(shù)據(jù)交換系統(tǒng)數(shù)據(jù)安全對進(jìn)出公共視頻監(jiān)控系統(tǒng)的數(shù)據(jù)進(jìn)行完整性保護(hù)和合規(guī)性檢查。利用完整性保護(hù)技術(shù)保證數(shù)據(jù)的完整性，確保交互數(shù)據(jù)未經(jīng)破壞、篡改。通過對數(shù)據(jù)格式和內(nèi)容合規(guī)性檢查，及時發(fā)現(xiàn)和阻止違反安全策略的數(shù)據(jù)傳輸并告警。文件安全交換對于文件交換，應(yīng)支持對文件的類型、擴(kuò)展名、格式、內(nèi)容的識別和檢查，支持對文件進(jìn)行病毒查殺，對檢查出來的不符合項進(jìn)行報警和審計，文件交換完成后應(yīng)自動刪除已交換的文件。數(shù)據(jù)庫安全交換對于數(shù)據(jù)庫交換，應(yīng)支持對數(shù)據(jù)庫用戶、數(shù)據(jù)表、數(shù)據(jù)字段的選擇和過濾，數(shù)據(jù)庫交換完成后應(yīng)自動刪除已交換的數(shù)據(jù)記錄，支持對傳輸任務(wù)的源端文件策略、病毒查殺、同步周期、帶寬分配等內(nèi)容進(jìn)行配置，支持對源端或目的端的數(shù)據(jù)庫進(jìn)行觸發(fā)器清理操作。數(shù)據(jù)交換系統(tǒng)應(yīng)支持服務(wù)轉(zhuǎn)發(fā)功能需要使用請求服務(wù)的用戶必須在系統(tǒng)中注冊用戶信息，用戶信息包括用戶名、密碼、訪問IP段等。對用戶可以訪問的WebService資源進(jìn)行注冊，未經(jīng)注冊的資源將不允許訪問。對用戶訪問WebService資源的請求參數(shù)和響應(yīng)內(nèi)容進(jìn)行過濾，采用關(guān)鍵字過濾的方式檢查請求參數(shù)的響應(yīng)內(nèi)容，對不合法的請求或響應(yīng)不允許傳輸。視頻交換系統(tǒng)應(yīng)按照預(yù)先注冊的視頻數(shù)據(jù)格式，對所傳輸?shù)囊曨l數(shù)據(jù)進(jìn)行實時分析和過濾，對不符合格式的視頻數(shù)據(jù)進(jìn)行阻斷和報警。視頻數(shù)據(jù)與視頻控制信令應(yīng)按照不同的安全策略嚴(yán)格區(qū)分，分別進(jìn)行處理和雙向傳輸。安全域隔離公共視頻監(jiān)控系統(tǒng)與其他網(wǎng)絡(luò)之間禁止通信協(xié)議交互，數(shù)據(jù)資源交互鏈路必須采用安全數(shù)據(jù)交換系統(tǒng)作為核心隔離系統(tǒng)，實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)資源交互。為保證數(shù)據(jù)交換的安全性，安全數(shù)據(jù)交換系統(tǒng)應(yīng)采用“數(shù)據(jù)交換系統(tǒng)+網(wǎng)閘”架構(gòu)。視頻資源交互鏈路同樣必須采用視頻安全交換接入系統(tǒng)作為核心隔離設(shè)備，實現(xiàn)內(nèi)外網(wǎng)視頻資源的交互。為保證視頻傳輸?shù)陌踩?，安全視頻交換系統(tǒng)應(yīng)采用“視頻交換系統(tǒng)+網(wǎng)閘”架構(gòu)。安全監(jiān)控入侵防御應(yīng)在公共視頻監(jiān)控系統(tǒng)與其他專網(wǎng)邊界區(qū)域出口部署入侵防御設(shè)備，對視頻傳輸網(wǎng)中各種溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務(wù)、病毒木馬、蠕蟲、網(wǎng)絡(luò)異常、受控主機(jī)、系統(tǒng)漏洞攻擊等行為進(jìn)行入侵檢測告警和阻斷，實現(xiàn)全網(wǎng)威脅分析和展現(xiàn)。業(yè)務(wù)審計應(yīng)對系統(tǒng)中各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、視頻資源等產(chǎn)生的大量日志數(shù)據(jù)、運行狀態(tài)數(shù)據(jù)進(jìn)行收集和關(guān)聯(lián)分析，及時發(fā)現(xiàn)安全威脅。應(yīng)對異常流量、網(wǎng)絡(luò)訪問性能、系統(tǒng)服務(wù)性能、應(yīng)用響應(yīng)性能等關(guān)鍵性能指標(biāo)進(jìn)行智能分析，實現(xiàn)對關(guān)鍵業(yè)務(wù)系統(tǒng)中的網(wǎng)絡(luò)異常、應(yīng)用性能異常和網(wǎng)絡(luò)行為異常的秒級發(fā)現(xiàn)。能夠區(qū)分異常原因的智能回溯分析，提升對關(guān)鍵業(yè)務(wù)系統(tǒng)的運行保障能力和問題處置效率。安全審計通過審計類設(shè)備，實現(xiàn)對網(wǎng)絡(luò)、鏈路中網(wǎng)絡(luò)流量信息和設(shè)備日志信息的全面審計。通過在邊界隔離區(qū)部署集中監(jiān)控與審計設(shè)備，實現(xiàn)安全監(jiān)控、集中管理與審計。應(yīng)考慮級聯(lián)部署，將各級系統(tǒng)信息逐級上報匯總。應(yīng)能夠提供整個系統(tǒng)總拓?fù)湟晥D，在視圖上能夠?qū)崟r動態(tài)監(jiān)控各種設(shè)備當(dāng)前的運行狀況、顯示各個邊界接入業(yè)務(wù)的實時流量、顯示整個系統(tǒng)的重要報警信息。視頻審計類設(shè)備應(yīng)采用旁路審計方式，對各部門用戶訪問視頻資源匯聚系統(tǒng)、前端視頻資源的行為進(jìn)行信令級日志記錄，記錄內(nèi)容包括設(shè)備類型、設(shè)備信息、源地址、目的地址、時間、操作類型、操作用戶、操作信令。應(yīng)考慮級聯(lián)部署，建設(shè)上、下級視聯(lián)網(wǎng)視頻訪問行為審計系統(tǒng)，記錄各網(wǎng)用戶對視頻資源的信令級訪問行為。日常維護(hù)與應(yīng)急管理要求備份與故障修復(fù)應(yīng)做好視頻采集設(shè)備接入安全、應(yīng)用區(qū)安全、邊界接入安全等安全設(shè)備的故障和災(zāi)難應(yīng)急響應(yīng)實施預(yù)案，對重要數(shù)據(jù)定期備份。建立起對違規(guī)行為等安全事件進(jìn)行鑒別、取證、攻擊者追蹤等緊急響應(yīng)處理流程和工作機(jī)制，將安全事件造成的損失降至最低。部分網(wǎng)絡(luò)安全設(shè)備、邊界隔離設(shè)備系統(tǒng)應(yīng)支持雙機(jī)熱備，出現(xiàn)單點故障問題時，可通過雙機(jī)熱備實現(xiàn)無縫切換，保證數(shù)據(jù)資源的正常傳輸及視頻資源的正常瀏覽。應(yīng)急處理應(yīng)建立健全網(wǎng)絡(luò)安全應(yīng)急處理機(jī)制，有效預(yù)防、及時控制和最大限度消除視聯(lián)網(wǎng)信息安全各類突發(fā)事件的危害和影響。服務(wù)器到遭入侵的，立即停止該服務(wù)器對外發(fā)布信息，并通過訪問控制等控制手段對該服務(wù)器啟用最高級別限制，查找、彌補安全漏洞后，恢復(fù)正常的信息并定位攻擊來源。由于病毒或網(wǎng)絡(luò)攻擊造成網(wǎng)絡(luò)癱瘓的，應(yīng)及時與上級有關(guān)部門和相關(guān)專業(yè)公司保持聯(lián)系，針對具體情況拿出修復(fù)方案