DB32-T 4432-2022 視頻監(jiān)控聯(lián)網(wǎng)信息安全 自動(dòng)化漏洞掃描技術(shù)規(guī)范

ICS13.310CCSA91江蘇省地方標(biāo)準(zhǔn)DB32/T4432—2022視頻監(jiān)控聯(lián)網(wǎng)信息安全自動(dòng)化漏洞掃描技術(shù)規(guī)范Informationsecurityofvideomonitoringnetwork—Technicalspecificationsforautomaticvulnerabilityscanning2022-12-31發(fā)布2023-01-31實(shí)施江蘇省市場(chǎng)監(jiān)督管理局DB32/T4432—2022前言 I1范圍 12規(guī)范性引用文件 13術(shù)語和定義、縮略語 14技術(shù)路線 25部署要求 36功能要求 36.1支持協(xié)議 36.2策略配置 36.3資產(chǎn)探測(cè) 36.4掃描分析 36.5監(jiān)測(cè)及輸出 57性能要求 58安全要求 58.1賬戶安全 58.2日志與審計(jì) 59管理要求 59.1版本管理 59.2系統(tǒng)更新 59.3文檔管理 6附錄A(資料性)視頻監(jiān)控聯(lián)網(wǎng)信息安全自動(dòng)化漏洞掃描報(bào)告模板 7IDB32/T4432—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由江蘇省軟件工程標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本文件起草單位:南京市產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)院(南京市質(zhì)量發(fā)展與先進(jìn)技術(shù)應(yīng)用研究院)、南京治煜信息科技有限公司、國網(wǎng)電力科學(xué)研究院有限公司、東南大學(xué)、江蘇蘇測(cè)檢測(cè)認(rèn)證有限公司、南京虎牙信息科技有限公司、江蘇省檢驗(yàn)檢疫科學(xué)技術(shù)研究院、公安部第三研究所、中國科學(xué)院信息工程研究所、中國工業(yè)互聯(lián)網(wǎng)研究院、中國信息通信研究院、上海電器科學(xué)研究所(集團(tuán))有限公司。1DB32/T4432—2022視頻監(jiān)控聯(lián)網(wǎng)信息安全自動(dòng)化漏洞掃描技術(shù)規(guī)范1范圍本文件規(guī)定了視頻監(jiān)控聯(lián)網(wǎng)信息安全自動(dòng)化漏洞掃描技術(shù)規(guī)范,包括技術(shù)路線、部署要求、功能要求、性能要求、安全要求和管理要求。本文件適用于視頻監(jiān)控聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)信息安全測(cè)試,包括但不限于智慧交通、城市安全、公共衛(wèi)生及家庭生活等視頻監(jiān)控聯(lián)網(wǎng)信息安全的自動(dòng)化漏洞掃描。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T5271.1—2000信息技術(shù)詞匯第1部分:基本術(shù)語GB/T37954—2019信息安全技術(shù)工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品技術(shù)要求及測(cè)試評(píng)價(jià)方法YD/T3463—2019漏洞掃描系統(tǒng)通用技術(shù)要求YD/T3492—2019視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)要求3術(shù)語和定義、縮略語3.1術(shù)語和定義下列術(shù)語和定義適用于本文件。漏洞vulnerability資產(chǎn)中能被威脅所利用的弱點(diǎn)。[來源:GB/T37954—2019,3.1]漏洞掃描系統(tǒng)vulnerabilityscanningsystem一種針對(duì)安全漏洞開展主動(dòng)檢測(cè)的系統(tǒng),可依據(jù)一定的策略,對(duì)目標(biāo)系統(tǒng)進(jìn)行安全漏洞的掃描,發(fā)現(xiàn)安全漏洞、驗(yàn)證安全漏洞并提出相應(yīng)的改進(jìn)意見。[來源:YD/T3463—2019,2.1.1]視頻監(jiān)控系統(tǒng)videosurveillancesystem由前端采集、傳輸、存儲(chǔ)、管理、顯示等組成,利用視頻技術(shù)探測(cè)、監(jiān)視設(shè)防區(qū)域并實(shí)時(shí)顯示、記錄現(xiàn)場(chǎng)圖像的電子系統(tǒng)或網(wǎng)絡(luò)。[來源:YD/T3492—2019,3.1.1]2DB32/T4432—2022固件firmware功能上獨(dú)立于主存儲(chǔ)器,通常存儲(chǔ)在只讀存儲(chǔ)器(ROM)中的指令和相關(guān)數(shù)據(jù)的有序集。[來源:GB/T5271.1—2000,01.01.09]可視化visualization利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù),將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來,并進(jìn)行交互處理的理論、方法和技術(shù)。[來源:YD/T3463—2019,2.1.4]3.2縮略語下列縮略語適用于本文件。CNNVD:中國國家信息安全漏洞庫(ChinaNationalVulneraBilityDataBaseofInformationsecuri-ty)CNVD:國家信息安全漏洞共享平臺(tái)(ChinaNationalVulneraBilityDataBase)CVE:公共漏洞和暴露(CommonVulneraBilities&Exposures)DVR:數(shù)字式錄像機(jī)(DigitalVideoRecorder)NVR:網(wǎng)絡(luò)視頻錄像機(jī)(NetworkVideoRecorder)4技術(shù)路線通過接入目標(biāo)系統(tǒng)網(wǎng)絡(luò),提取視頻監(jiān)控設(shè)備信息,并行執(zhí)行固件漏洞檢測(cè)、網(wǎng)絡(luò)協(xié)議漏洞檢測(cè)、業(yè)務(wù)交互內(nèi)容漏洞檢測(cè)的三大檢測(cè)內(nèi)容,最終分析檢測(cè)數(shù)據(jù)并輸出可視化結(jié)果及漏洞掃描報(bào)告。技術(shù)路線圖見圖1。圖1技術(shù)路線圖3DB32/T4432—20225部署要求部署模式應(yīng)符合YD/T3463—2019第3章的要求。6功能要求6.1支持協(xié)議支持協(xié)議類型包括TCP/IP、UDP、RTSP、SOAP、UPNP、ONVIF等。6.2策略配置6.2.1配置向?qū)呙璨呗詰?yīng)支持可視化配置,包括但不限于以下內(nèi)容:a)任務(wù)信息的可視化,如任務(wù)名稱、任務(wù)ID等;B)掃描范圍的可視化,如單一設(shè)備、多設(shè)備、多網(wǎng)段、連續(xù)IP節(jié)點(diǎn)等;c)掃描周期的可視化,如僅一次、每周、每月或精確至具體時(shí)間等;d)掃描方式的可視化,如全自動(dòng)識(shí)別、人工增強(qiáng)等;e)掃描目標(biāo)的可視化,如攝像頭設(shè)備、DVR/NVR、視頻監(jiān)控管理平臺(tái)等。應(yīng)支持針對(duì)常見廠商、架構(gòu)的攝像頭以及支撐攝像頭運(yùn)行的上下游設(shè)備做檢測(cè),做到對(duì)視頻專網(wǎng)內(nèi)設(shè)備的全覆蓋。注1:全自動(dòng)識(shí)別指視頻監(jiān)控聯(lián)網(wǎng)自動(dòng)化漏洞掃描系統(tǒng)自動(dòng)探測(cè)攝像頭設(shè)備信息,并自動(dòng)進(jìn)行漏洞分析。注2:人工增強(qiáng)指在系統(tǒng)自動(dòng)探測(cè)的基礎(chǔ)上,根據(jù)用戶自主補(bǔ)充的攝像頭設(shè)備信息,進(jìn)行增強(qiáng)化的掃描與分析。6.2.2策略優(yōu)化掃描策略應(yīng)支持結(jié)合攝像頭指紋特征等信息進(jìn)行調(diào)整,提升掃描效率及精確度。6.3資產(chǎn)探測(cè)通過資產(chǎn)探測(cè)進(jìn)行資產(chǎn)收集,資產(chǎn)信息收集應(yīng)符合YD/T3463—2019中5.1.2的規(guī)定。資產(chǎn)探測(cè)應(yīng)形成視頻監(jiān)控設(shè)備信息表,包括但不限于以下內(nèi)容:a)視頻監(jiān)控設(shè)備基本信息:IP信息、MAC地址信息、廠商信息、版本號(hào)等;B)視頻監(jiān)控設(shè)備擴(kuò)展信息:協(xié)議信息、設(shè)備序列號(hào)、運(yùn)行特征、端口號(hào)、weB信息、組件版本等。6.4掃描分析6.4.1掃描規(guī)則漏洞掃描規(guī)則基于漏洞數(shù)據(jù)庫,漏洞數(shù)據(jù)庫應(yīng)包括CVE、CNVD、CNNVD等主流安全漏洞庫,宜包括自主挖掘與收集的漏洞。6.4.2狀態(tài)監(jiān)測(cè)視頻監(jiān)控聯(lián)網(wǎng)自動(dòng)化漏洞掃描系統(tǒng)每次發(fā)送檢測(cè)數(shù)據(jù)包前,應(yīng)對(duì)視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的性能狀態(tài)與響應(yīng)情況進(jìn)行監(jiān)測(cè),如:網(wǎng)絡(luò)性能壓力、響應(yīng)狀態(tài)碼、響應(yīng)報(bào)文特征等。目標(biāo)系統(tǒng)狀態(tài)異常時(shí),應(yīng)立即停止掃描,并同步報(bào)送預(yù)警信息至監(jiān)控端。4DB32/T4432—20226.4.3固件漏洞檢測(cè)6.4.3.1檢測(cè)對(duì)象固件漏洞檢測(cè)對(duì)象為視頻監(jiān)控終端的二進(jìn)制固件代碼。6.4.3.2檢測(cè)過程通過自動(dòng)化解包、虛擬化運(yùn)行、特征匹配等對(duì)二進(jìn)制固件代碼進(jìn)行檢測(cè)。6.4.3.3檢查點(diǎn)檢測(cè)固件相關(guān)文件信息,如:固件名稱、固件大小、固件的文件系統(tǒng)類型、固件文件結(jié)構(gòu)、固件架構(gòu)、組件版本等。對(duì)固件進(jìn)行安全檢測(cè),通過固件逆向、虛擬化運(yùn)行、漏洞特征分析、漏洞緩解措施檢測(cè)等方法進(jìn)行檢測(cè),分析固件代碼的安全問題,如漏洞存在情況、漏洞分類、漏洞出現(xiàn)位置。6.4.4網(wǎng)絡(luò)協(xié)議漏洞檢測(cè)6.4.4.1檢測(cè)對(duì)象網(wǎng)絡(luò)協(xié)議漏洞檢測(cè)對(duì)象為視頻監(jiān)控終端與后端服務(wù)等傳輸過程的協(xié)議數(shù)據(jù)包,分析對(duì)象包括但不限于常見的視頻監(jiān)控典型協(xié)議,如RTSP、SOAP、UPNP、ONVIF等。6.4.4.2檢測(cè)過程檢測(cè)視頻監(jiān)控指紋特征等信息,自動(dòng)產(chǎn)生模糊測(cè)試腳本,執(zhí)行對(duì)每個(gè)待測(cè)設(shè)備的注入測(cè)試。6.4.4.3檢查點(diǎn)檢測(cè)網(wǎng)絡(luò)協(xié)議的完整性、保密性、可用性。協(xié)議完整性漏洞包括:視頻監(jiān)控協(xié)議指令與功能重放攻擊、訪問控制與設(shè)備配置項(xiàng)篡改等。協(xié)議保密性漏洞包括:視頻監(jiān)控視頻流越權(quán)讀取、密鑰信息泄露、設(shè)備參數(shù)信息非法獲取等。協(xié)議可用性漏洞包括:視頻監(jiān)控設(shè)備拒絕服務(wù)、非法關(guān)機(jī)與重啟等。6.4.5業(yè)務(wù)交互內(nèi)容漏洞檢測(cè)6.4.5.1檢測(cè)對(duì)象業(yè)務(wù)交互內(nèi)容漏洞檢測(cè)對(duì)象為視頻監(jiān)控weB服務(wù)(如Apache、Tomcat等)、視頻監(jiān)控weB服務(wù)所依賴的數(shù)據(jù)庫存儲(chǔ)服務(wù)(如Mysql、Oracle、Redis、clickHouse等)、視頻監(jiān)控weB服務(wù)所依賴的中間件服務(wù)(如Docker、ElasticSearch、kafka等)。6.4.5.2檢測(cè)過程通過漏洞規(guī)則匹配對(duì)視頻監(jiān)控weB服務(wù)、視頻監(jiān)控?cái)?shù)據(jù)存儲(chǔ)服務(wù)、視頻監(jiān)控應(yīng)用服務(wù)所依賴的中間件進(jìn)行安全檢測(cè)。6.4.5.3檢查點(diǎn)分析視頻監(jiān)控weB服務(wù)、視頻監(jiān)控應(yīng)用服務(wù)所依賴的數(shù)據(jù)存儲(chǔ)服務(wù)、視頻監(jiān)控應(yīng)用服務(wù)所依賴的中間件的漏洞信息、漏洞存在情況、漏洞分類等,如SQL注入、跨站腳本攻擊、任意文件上傳等。5DB32/T4432—20226.5監(jiān)測(cè)及輸出6.5.1可視化監(jiān)測(cè)可視化監(jiān)測(cè)應(yīng)包括以下內(nèi)容:a)監(jiān)測(cè)被測(cè)設(shè)備的運(yùn)行結(jié)果。當(dāng)發(fā)現(xiàn)被測(cè)設(shè)備出現(xiàn)拒絕服務(wù)或者溢出錯(cuò)誤等問題時(shí),立即記錄相應(yīng)的輸入和輸出信息;B)監(jiān)測(cè)視頻監(jiān)控終端狀態(tài),如:終端運(yùn)行狀態(tài)、終端網(wǎng)絡(luò)狀態(tài)等;c)監(jiān)測(cè)網(wǎng)內(nèi)攝像頭資產(chǎn)管理、攝像頭漏洞掃描、掃描器及漏洞庫狀態(tài)等信息;d)監(jiān)測(cè)網(wǎng)內(nèi)攝像頭資產(chǎn)數(shù)、已掃描設(shè)備數(shù)以及總掃描次數(shù);e)監(jiān)測(cè)網(wǎng)內(nèi)各個(gè)設(shè)備的漏洞情況,如云圖、漏洞觸發(fā)率排行表等。6.5.2結(jié)果輸出結(jié)果輸出應(yīng)滿足以下要求:a)掃描結(jié)果應(yīng)支持自動(dòng)保存、歷史詳情查看、導(dǎo)出為結(jié)果報(bào)告;B)同一資產(chǎn)的兩次歷史掃描結(jié)果應(yīng)能夠進(jìn)行對(duì)比分析,確認(rèn)歷史漏洞是否修復(fù);c)掃描結(jié)果內(nèi)容應(yīng)包括詳細(xì)的漏洞掃描信息,如主機(jī)信息、端口信息、協(xié)議信息、漏洞存在情況、漏洞分類、漏洞位置、漏洞檢測(cè)與利用方式等;d)結(jié)果報(bào)告導(dǎo)出格式應(yīng)支持多種常見文件類型,如PDF、DOC/DOCX、HTML等;e)結(jié)果報(bào)告應(yīng)支持版式及內(nèi)容自定義配置。報(bào)告模板參見附錄A。7性能要求性能應(yīng)符合YD/T3463—2019第6章的要求,資產(chǎn)的并發(fā)掃描應(yīng)滿足:a)支持最大并發(fā)掃描資產(chǎn)數(shù)不低于100;B)支持最大并發(fā)掃描線程數(shù)不低于1000。8安全要求8.1賬戶安全賬戶安全應(yīng)符合YD/T3463—2019中7.1.2及7.2.2的要求。8.2日志與審計(jì)日志與審計(jì)應(yīng)符合YD/T3463—2019中7.3的要求,且日志存儲(chǔ)時(shí)間應(yīng)不少于180d。9管理要求9.1版本管理版本管理應(yīng)符合YD/T3463—2019中8.1.1的要求。9.2系統(tǒng)更新系統(tǒng)應(yīng)具有更新、升級(jí)產(chǎn)品和漏洞庫的能力。6DB32/T4432—20229.3文檔管理文檔管理應(yīng)符合YD/T3463—2019中