DB3502T 120-2024 智慧安防小區(qū) 前端安防物聯(lián)感知設(shè)備及服務(wù)平臺安全規(guī)范

發(fā)布發(fā)布廈門市市場監(jiān)督管理局2024060520240605Smartsecurityresidentialarea—Safetyspecificationforfront-endsecurityobjectsensingdeviceandserviceplatformICS35.020CCSICS35.020CCSL78福 建 省 廈 門 市 地 方 標(biāo) 準(zhǔn)DB3502/T120—2024智慧安小區(qū) 前端安防聯(lián)感知及服務(wù)臺安全范DB3502/T120DB3502/T120—2024DB3502/T120DB3502/T120—2024II12 理度 8參考獻 9目 次前言 II1范引文件 1語定義 1體求 2據(jù)類 2端防聯(lián)知安全 2據(jù)生周安護 3絡(luò)全 5統(tǒng)全 6臺境全 7維全 8IIII前 言本文按GB/T1.1—2020《準(zhǔn)工導(dǎo)則 第部分標(biāo)化件結(jié)和起規(guī)》定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由廈門市安全技術(shù)防范協(xié)會提出。本文件由廈門市公安局歸口。智慧安防小區(qū) 前端安防物聯(lián)感知設(shè)及服務(wù)平臺安全規(guī)范范圍本文件規(guī)定了智慧安防小區(qū)前端安防物聯(lián)感知設(shè)備及服務(wù)平臺的數(shù)據(jù)分類、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、平臺環(huán)境安全、運維安全以及管理制度等要求。本文件適用于規(guī)范廈門市智慧安防小區(qū)前端安防物聯(lián)感知設(shè)備及服務(wù)平臺的安全管理工作，其它類型住宅可參照使用。（GB/T22239—2019 信安全術(shù) 網(wǎng)安等保護本求GB35114 GB/T36951 息全術(shù) 聯(lián)感終應(yīng)安全術(shù)求GB50348 GA/T1400.4 公視像信應(yīng)系統(tǒng) 第4：接協(xié)要求GA/T1781 GA/T1400.4界定的以及下列術(shù)語和定義適用于本文件。智慧安防小區(qū)smartsecurityresidentialarea前端安防物聯(lián)感知設(shè)備front-endsecurityobjectsensingdevice智慧安防小區(qū)服務(wù)平臺intelligentsecuritycommunityserviceplatform智慧安防小區(qū)前端安防物聯(lián)感知數(shù)據(jù)管理平臺，通過前端安防物聯(lián)感知設(shè)備采集數(shù)據(jù),并使用相關(guān)技術(shù)進行分析處理,為小區(qū)提供安防預(yù)警、事件處置、服務(wù)優(yōu)化等智能化安防管理的服務(wù)平臺。1智慧安防小區(qū)安防數(shù)據(jù)按照數(shù)據(jù)內(nèi)容可分為感知數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)和其他數(shù)據(jù)，其中：——————其他數(shù)據(jù)：智慧安防小區(qū)能提供的其他類型數(shù)據(jù)。設(shè)備訪問控制應(yīng)符合以下要求：————支持銷毀或停用多余的、過期的賬號，禁止共享賬號；——520——IP——支持數(shù)據(jù)權(quán)限控制，防止訪問非授權(quán)數(shù)據(jù)，訪問控制的粒度至少包括IP/MAC等屬性；——新建及改造小區(qū)的公共安全視頻類設(shè)備應(yīng)采用基于GB35114的身份認證技術(shù)，實現(xiàn)可信登錄；——支持設(shè)置最大會話數(shù)量；——支持日志導(dǎo)出。前端設(shè)備宜具備防篡改和數(shù)據(jù)加密功能，其中數(shù)據(jù)加密應(yīng)采用國家密碼主管部門批準(zhǔn)的密碼算法，前端視頻類設(shè)備宜符合GB35114中B級及以上的設(shè)備要求。2前端安防物聯(lián)感知設(shè)備應(yīng)牢固可靠并符合以下要求：——GB/T36951——安裝工藝應(yīng)符合GB50348中的相關(guān)要求。前端安防物聯(lián)感知設(shè)備應(yīng)確保固件安全，具體要求如下：——應(yīng)選擇經(jīng)廠家或權(quán)威機構(gòu)測試的穩(wěn)定安全可靠的固件；——固件升級應(yīng)經(jīng)過授權(quán)，并符合相關(guān)安全策略；——設(shè)備應(yīng)支持固件備份及版本回退。運行安全監(jiān)測具體要求如下：——前端安防物聯(lián)感知設(shè)備宜具備上傳設(shè)備在線運行狀態(tài)功能；——前端安防物聯(lián)感知設(shè)備宜具備監(jiān)測設(shè)備異常的檢測手段,包括檢測設(shè)備被遮擋、移動以及重要部件被破壞等異常；——告警信息應(yīng)實時上傳至智慧安防小區(qū)服務(wù)平臺，并由專人復(fù)核處置。前端設(shè)備應(yīng)具備日志功能，具體要求如下：——IPIP——6Syslog數(shù)據(jù)采集安全數(shù)據(jù)采集安全具體要求如下：——GB35114B——SSL/TSL——數(shù)據(jù)采集應(yīng)支持定位溯源；——數(shù)據(jù)采集過程宜支持安全審計及監(jiān)測。數(shù)據(jù)傳輸安全數(shù)據(jù)傳輸安全具體要求如下：——數(shù)據(jù)傳輸通道應(yīng)具有抗電磁干擾、防破壞、防竊取的適宜措施；——GB35114BGA/T17813——數(shù)據(jù)傳輸應(yīng)具有時間戳、序列號等數(shù)據(jù)傳輸新鮮性保護能力。數(shù)據(jù)存儲安全數(shù)據(jù)存儲安全具體要求如下：——智慧安防小區(qū)服務(wù)平臺的存儲介質(zhì)應(yīng)為掉電不易失存的介質(zhì)，宜選用國產(chǎn)化存儲介質(zhì)；————數(shù)據(jù)存儲設(shè)備遭受損壞后，宜能恢復(fù)系統(tǒng)并保證數(shù)據(jù)不丟失；————數(shù)據(jù)存儲時長不低于30天。數(shù)據(jù)使用安全數(shù)據(jù)在線使用具體要求如下：————在線觀看音視頻等數(shù)據(jù)時，通過水印保護音視頻等數(shù)據(jù)安全，應(yīng)對截錄屏等違規(guī)行為進行追溯。數(shù)據(jù)離線使用具體要求如下：————————合法授權(quán)的播放器軟件訪問采用安全技術(shù)或服務(wù)存儲的音視頻等數(shù)據(jù)時，可通過水印保護音視頻等數(shù)據(jù)安全，對截錄屏的違規(guī)行為進行追溯；————非法定授權(quán)單位和個人不得下載音視頻等數(shù)據(jù)。6——應(yīng)提供統(tǒng)一的日志安全審計系統(tǒng)；——應(yīng)全部啟用安全相關(guān)的日志記錄功能；——針對賬戶管理、登錄事件、系統(tǒng)事件、策略更改、賬戶登錄事件的成功/失敗開啟審計。4數(shù)據(jù)銷毀安全數(shù)據(jù)銷毀應(yīng)符合以下要求：————應(yīng)建立物理銷毀和邏輯銷毀的數(shù)據(jù)銷毀方法和技術(shù)，明確不同類別和級別的數(shù)據(jù)銷毀方式和技術(shù)要求；——————應(yīng)建立數(shù)據(jù)銷毀效果評估和復(fù)核機制，檢查已被銷毀的數(shù)據(jù)是否還能訪問；————組網(wǎng)類型前端安防物聯(lián)感知設(shè)備與智慧安防小區(qū)服務(wù)平臺之間的組網(wǎng)類型分為兩種，分別為互聯(lián)網(wǎng)組網(wǎng)以及智能專網(wǎng)組網(wǎng)，其中：——GB/T22239—2019——GB/T22239—2019互聯(lián)網(wǎng)組網(wǎng)——————區(qū)域邊界完整性保護：應(yīng)在區(qū)域邊界設(shè)置探測器，探測非法外聯(lián)等行為；——BIOS安全通信網(wǎng)絡(luò)設(shè)計要求包括但不限于：——5————智能專網(wǎng)組網(wǎng)本項要求包括：——————可信驗證：應(yīng)基于可信根對區(qū)域邊界計算節(jié)點的BIOS、引導(dǎo)程序、操作系統(tǒng)內(nèi)核等進行可信驗證，并在檢測到其可信性受到破壞后進行報警。本項要求包括：————可信連接驗證：通信節(jié)點應(yīng)采用具有網(wǎng)絡(luò)可信連接保護功能的系統(tǒng)軟件或可信根支撐的信息技術(shù)產(chǎn)品，在設(shè)備連接網(wǎng)絡(luò)時，對源和目標(biāo)平臺身份進行可信驗證。身份鑒別————訪問控制本項要求包括：——應(yīng)對登錄的用戶分配賬戶和權(quán)限；——應(yīng)重命名或刪除默認賬戶，修改默認賬戶的默認口令；——應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；————————用戶訪問服務(wù)平臺時，根據(jù)用戶的不同安全級別，訪問相應(yīng)數(shù)據(jù)。677應(yīng)采用標(biāo)準(zhǔn)機柜對設(shè)備或主要部件進行固定，并對設(shè)備用途及使用禁忌設(shè)置顯著標(biāo)識,應(yīng)采取防鼠防蟲措施。防雷擊防火主要設(shè)備安裝場所禁止堆放易燃易爆品及其他雜物，應(yīng)配備滅火器材，宜配備煙感探測。防水溫濕度控制應(yīng)配備必要的溫濕度顯示及調(diào)節(jié)設(shè)施，使場所溫濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。電力供應(yīng)應(yīng)采用穩(wěn)定可靠的供電線路，應(yīng)為主要設(shè)備配備UPS，UPS供電時長宜不低于2小時。入侵防范本項要求包括：——應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序；——應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口；——應(yīng)定期進行安全隱患排查，對中高危漏洞及時進行修復(fù)。惡意代碼防范應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件，并定期進行升級和更新防惡意代碼庫。防破壞運維工作開展應(yīng)滿足以下要求：——應(yīng)委托具備相應(yīng)運維能力的公司進行運維，簽訂保密協(xié)議。運維公司應(yīng)安排具備相應(yīng)技能的人員開展運維工作，運維人員應(yīng)按照安全策略、規(guī)程和工具開展運維；——運維工作前，應(yīng)對運維人員身份進行登記核實；——運維過程中，應(yīng)安排利益無相關(guān)人員全程陪同，嚴禁運維人員擅自拷貝、修改、刪除設(shè)備中存儲的信息；需要將設(shè)備帶離現(xiàn)場維修時，需經(jīng)書面同意后安全拆除并妥善保管；存儲部件出現(xiàn)故障，如不能保證信息安全，應(yīng)由具有數(shù)據(jù)恢復(fù)資質(zhì)的單位進行處理后再進行維修；——運維結(jié)束后，應(yīng)對運維過程進行記錄，記錄中應(yīng)包括維護日期、維護內(nèi)容、進入及離開時間、運維人員（簽名）、陪同人員（簽名）等信息。應(yīng)建立服務(wù)平臺使用、運行、維護管理制度，包括但不限于以下要求：————物業(yè)服務(wù)企業(yè)或者其他管理人、系統(tǒng)承建廠商和任何個人不得私自留存智慧安防小區(qū)系統(tǒng)所采集的各類信息數(shù)據(jù)，不得將數(shù)據(jù)用于商業(yè)用途；——————————應(yīng)對主要設(shè)備安裝場所的安全管理做出規(guī)定，包括物理訪問、物品進出和環(huán)境安全等方面；————899參 考 文 獻GB/T21741－2021 GB/T22240－2020 信息全術(shù) 網(wǎng)安等級護級GB/T25070－2019 信息全術(shù) 網(wǎng)安等級護全計術(shù)求GB/T25724－20