DB23T 2847-2021公共视频监控系统安全防护规范

发布ICS35.240.99发布CCSL67备案号：备案号：黑龙江省地23方标准 黑黑龙江省市场监督管理局IDB23/T2847—2021 3 DB23/T2847—2021前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起。本文件由黑龙江省广播电视局提出并归口。本文件起草单位：黑龙江广播电视网络股份有限公司、嘉利通科技股份有限公司、北京启明星辰信息安全技术有限公司、新华三技术有限公司、杭州迪普科技股份有限公司、哈尔滨市标准化研究院、黑龙江省智慧城市建设协会。本文件主要起草人：郑皓仁、李博、姚贺晨、陈文貌、石冬青、余鹏飞、韩玲、李刚、赵玉明、张庆、宋伟、岳海滨、王振宇、刘勇、张劲男。1DB23/T2847—2021公共视频监控系统安全防护规范1范围本文件规定了公共视频监控系统安全防护的术语和定义、缩略语、公共视频监控系统安全防护体系、等级保护合规要求、视频采集设备接入区安全防护要求、系统应用区安全防护要求、边界接入区安全防护要求和日常维护与应急管理要求。本文件适用于黑龙江省区域内新建、扩建、改建的接入数据采集设备大于500路的公共视频监控系统建设。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T28181—2016安全防范视频监控联网系统信息传输、交换、控制技术要求3术语和定义下列术语和定义适用于本文件。3.1802.1X认证IEEE802.1X定义的基于以太网端口进行网络接入控制的认证协议，以太网设备对连接到接入端口上的用户/设备身份进行认证(本地认证或发给认证服务器远程认证)。3.2MAC认证基于以太网端口和MAC地址进行网络接入控制的认证方法，以太网设备对连接到接入端口上的设备MAC地址进行认证(本地认证或发给认证服务器远程认证)。3.3全生命周期设备入网、在网(上线、在线、下线、离线)、退网的整个过程。3.4设备直连入网的所有各类设备，包括物理设备(PC终端、哑终端、服务器、网络设备、安全设备等)和虚拟设备(虚拟机、虚拟桌面等)。3.5证书2DB23/T2847—2021用来标识用户或设备身份信息的数字证书，通常由证书服务器颁发给用户或设备。4缩略语下列缩略语适用于本文件。4A：认证、授权、账号、审计(Authentication、Authorization、Account、Audit)DDoS：分布式拒绝服务攻击(Distributeddenialofserviceattack)FTP：文件传输协议(FileTransferProtocol)HTTP：超文本传输协议(HyperTextTransferProtocol)NETBIOS：网上基本输入输出系统(NetworkBasicInput/OutputSystem)ODBC：开放数据库连接(OpenDatabaseConnectivity)POP3：邮件协议版本3(PostOfficeProtocol-Version3)SMTP：简单邮件传输协议(SimpleMailTransferProtocol)SNMP：简单网络管理协议(SimpleNetworkManagementProtocol)SQL：结构化查询语言(StructuredQueryLanguage)SYSLOG：系统记录(SystemLog)XSS：跨站脚本攻击(CrossSiteScriptAttack)5公共视频监控系统安全防护体系公共视频监控系统安全防护体系整体应符合国家信息安全等级保护要求，应建立视频采集设备接入安全、应用区安全、边界接入安全三大单元，同时应具备完善的日常维护与应急管理机制。安全防护体系架构示意图见图1。等级保护合规要求边界接入区安全防护威胁检测数据库审计威胁检测数据库审计脆弱性管理日志管理网络安全防护会话监控恶意代码查杀性能监控运维管控视频采集设备接入区安全防护预警平台资产管理准入控制数据管控数据传输链路视频传输链路访问控制数据加密及数据完整性安全域隔离安全监控日常维护与应急管理应急处理备份与故障恢复图1安全防护体系架构示意图3DB23/T2847—20216等级保护合规要求公共视频监控系统应参照信息安全技术网络安全等级保护中二级或以上标准进行建设。7视频采集设备接入区安全防护要求7.1预警平台应建立能够分区部署与管理的视频采集设备接入监管及风险预警平台，实现对资产的现状、资产的类型、数量、分布情况、摄像机在线率等的实时监管。对视频采集设备能够进行合规检查，检查项包括弱口令检查、设备仿冒、入侵行为甄别，并可以实时告警。7.2资产管理7.2.1应通过主动扫描、被动监听、手工设置等方式采集视频监控设备的属性信息，建立有效合法的设备资产库。采集信息包括但不限于IP地址、MAC地址、设备厂商、设备类型等。7.2.2应具有一机一档功能，能通过一机一档属性对终端进行认证。对一机一档属性配置不匹配的终端，进行阻断和告警提示。7.3准入控制7.3.1应采用基于设备的IP地址、MAC地址、设备指纹、视频协议中的一种或多种进行资产信息校验，针对未校验通过的设备，实时生成告警信息。7.3.2应采用物理硬件设备进行串行部署或旁挂引流部署。7.3.3准入控制功能的建设应具备弹性扩展能力，可根据视频采集设备建设进行准入能力的扩充。7.4数据管控7.4.1应按GB/T28181-2016的规定执行，能够自动识别主流监控厂家的私有协议特征库，并支持手动扩展非主流监控厂家的私有协议特征库，建立合法数据、协议白名单。7.4.2对数据的管控应对业务数据流进行逐包检测，并和数据、协议白名单进行比对，放行匹配成功的数据，阻断匹配失败的数据并告警。7.4.3只允许授权的视频数据、语音数据、图片、控制信令等在网络中传输，屏蔽其他数据。7.4.4对视频时延影响应低于20μs。8系统应用区安全防护要求8.1网络安全防护8.1.1应明确系统应用区划分，并在各区域部署防护设备，具备访问控制、入侵防御、恶意代码查杀能力。8.1.2应确保系统应用区与核心交换之间的访问和数据流通过边界设备提供的受控接口进行通信，实现基于IP、端口的边界访问控制，同时应实现对网络攻击行为的检测、阻断、网络层恶意代码的查杀。8.2威胁检测8.2.1已知威胁检测4DB23/T2847—2021具备对于病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为、网络流量异常等威胁的检测能力。8.2.2未知威胁检测通过记录和分析网络连接信息、会话信息、流量信息，发现未知威胁，识别异常主机。8.3会话监控8.3.1流量监控识别并监控会话的协议类型、传输方向、数据流量。8.3.2互联关系监控监控系统内、境内、境外的互联关系，宜采用可视化技术展示互联关系或互联拓扑。8.3.3威胁监控通过对扫描探测、蠕虫病毒、木马连接、访问频次异常、访问流量异常等异常行为的综合分析，发现系统中存在异常主机。8.4数据库审计8.4.1审计结果应具有较高的细粒度。8.4.2审计的数据库类别应覆盖传统数据库、国产数据库、大数据型数据库。8.4.3审计引擎宜与审计数据中心分离，便于审计性能与存储空间的扩展。8.5恶意代码查杀8.5.1部署防病毒系统，对终端、服务器中的重要文件、程序进行扫描检测，及时发现恶意代码，并进行有效的阻断或隔离。8.5.2应定期更新防病毒系统特征库。8.6脆弱性管理8.6.1使用主机存活探测、智能端口检测、操作系统指纹识别等技术，发现网络内各类资产的弱点和漏洞。8.6.2应识别应用系统漏洞、操作系统漏洞、中间件漏洞、数据库漏洞，Web代码漏洞，配置合规漏洞。洞8.7性能监控8.7.1应对网络中各类资产的性能和运行状态进行监控，及时发现运行故障、性能不足等问题。8.7.2监控的目标应包括主机(操作系统、中间件、数据库等)、网络设备、安全设备。8.7.3应针对不同的监控目标设置专项的监控指标。8.8日志管理8.8.1应通过Syslog、SNMP、FTP、NETBIOS、ODBC、Shell脚本等协议进行不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的日志进行采集并转换成统一的格式。5DB23/T2847—20218.8.2应对各类日志关联分析，关联方式包括历史关联、多设备关联、多系统关联等，并可自定义关联分析规则。8.8.3应预留充足的日志存储空间，保证日志存储时限不低于180天。8.9运维管控应建立完善的运维管理体系，设置专用运维区域和运维主机，同时部署运维管控系统(如堡垒机或4A系统)，实现运维人员的单点登录、身份认证、权限管理、行为审计等功能。9边界接入区安全防护要求9.1数据传输链路在公共视频监控系统与其他系统之间，应建设数据资源交互链路，该链路支持在安全隔离情况下数据资源(如：数据库、文件等)的双向同步。在安全防护的基础上，满足其他系统与公共视频监控系统之间数据资源共享与安全交换的需求。9.2视频传输链路在公共视频监控系统与其他系统之间，应通过建设视频资源交互链路，实现视频信息安全防护，满足将其他系统视频资源接入公共视频监控系统，并可与其他网络用户共享公共视频监控系统中视频资源。支持视频流和视频控制信令的双向或单向传输，能够实现视频资源的相互调用。9.3访问控制9.3.1在公共视频监控系统与其他系统边界区域出口之间应部署防火墙设备，实现对进出非法访问的9.3.2应根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。9.3.3应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。9.3.4应在会话处于非活跃一定时间或会话结束后终止网络连接。9.3.5应限制网络最大流量数及网络连接数。9.3.6应对重要网段采取技术手段防止地址欺骗。9.3.7应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。9.3.8安全设备性能应不低于两倍实际业务流量，以满足突发流量和未来扩展的需求。9.4数据加密及数据完整性9.4.1数据交换系统数据安全对进出公共视频监控系统的数据进行完整性保护和合规性检查。利用完整性保护技术保证数据的完整性，确保交互数据未经破坏、篡改。通过对数据格式和内容合规性检查，及时发现和阻止违反安全策略的数据传输并告警。文件安全交换6DB23/T2847—2021应支持对文件的类型、扩展名、格式、内容的识别和检查，支持对文件进行病毒查杀，对检查出来的不符合项进行报警和审计，文件交换完成后应自动删除已交换的暂存文件。数据库安全交换应支持对数据库用户、数据表、数据字段的选择和过滤，数据库交换完成后应自动删除已交换的数据记录，支持对传输任务的源端文件策略、病毒查杀、同步周期、带宽分配等内容进行配置，支持对源端或目的端的数据库进行触发器清理操作。数据交换系统应支持服务转发功能需要使用请求服务的用户应在系统中注册用户信息，用户信息包括用户名、密码、访问IP段等。对用户可以访问的WebService资源进行注册，未经注册的资源将不允许访问。对用户访问WebService资源的请求参数和响应内容进行过滤，采用关键字过滤的方式检查请求参数的响应内容，对不合法的请求或响应不允许传输。9.4.2视频交换系统应按照预先注册的视频数据格式，对所传输的视频数据进行实时分析和过滤，对不符合格式的视频数据进行阻断和告警。视频数据与视频控制信令应按照不同的安全策略严格区分，分别进行处理和传输。9.5安全域隔离9.5.1公共视频监控系统与其他网络之间禁止通信协议交互，数据资源交互链路应采用安全数据交换系统作为核心隔离系统，实现内外网数据资源交互。为保证数据交换的安全性，安全数据交换系统应采用“数据交换系统+网闸”架构。9.5.2视频资源交互链路应采用视频安全交换接入系统作为核心隔离设备，实现内外网视频资源的交互。为保证视频传输的安全性，安全视频交换系统应采用“视频交换系统+网闸”架构。9.6安全监控9.6.1入侵防御宜在公共视频监控系统与其他专网边界区域出口部署入侵防御设备，对视频传输网中各种溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、病毒木马、蠕虫、网络异常、受控主机、系统漏洞攻击等行为进行入侵检测告警和阻断。9.6.2业务审计应对系统中各类网络设备、安全设备、操作系统、视频资源等产生的大量日志数据、运行状态数据进行收集和关联分析，及时发现安全威胁。应对异常流量、网络访问性能、系统服务性能、应用响应性能等关键性能指标进行智能分析，实现对关键业务系统中的网络异常、应用性能异常和网络行为异常的秒级发现。宜具备区分异常原因的智能回溯分析能力，提升对关键业务系统的运行保障能力和问题处置效率。9.6.3安全审计通过审计类设备，实现对网络、链路中网络流量信息和设备日志信息的全面审计。7DB23/T2847—20通过在边界区域部署集中监控与审计设备，实现安全监控、集中管理与审计。宜考虑级联部署，将各级系统信息逐级上报汇总。宜提供边界区域的拓扑视图，在视图上实时动态监控各种设备当前的运行状况、显示各个边界接入业务的流量及重要告警信息。视频审计类设备应采用旁路审计方式，对各部门用户访问视频资源汇聚系统、前端视频资源的行为进行信令级日志记录，记录内容包括设备类型、设备信息、源地址、目的地址、时间、操作类型、操作用户、操作信令。宜考虑级联部署，建设上、下级公共视频监控系统访问行为审计系统，记录各网用户对视频资源的信令级访问行