DB3502T 120-2024 智慧安防小区 前端安防物联感知设备及服务平台安全规范

发布发布厦门市市场监督管理局2024060520240605Smartsecurityresidentialarea—Safetyspecificationforfront-endsecurityobjectsensingdeviceandserviceplatformICS35.020CCSICS35.020CCSL78福 建 省 厦 门 市 地 方 标 准DB3502/T120—2024智慧安小区 前端安防联感知及服务台安全范DB3502/T120DB3502/T120—2024DB3502/T120DB3502/T120—2024II12 理度 8参考献 9目 次前言 II1范引文件 1语定义 1体求 2据类 2端防联知安全 2据生周安护 3络全 5统全 6台境全 7维全 8IIII前 言本文按GB/T1.1—2020《准工导则 第部分标化件结和起规》定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由厦门市安全技术防范协会提出。本文件由厦门市公安局归口。智慧安防小区 前端安防物联感知设及服务平台安全规范范围本文件规定了智慧安防小区前端安防物联感知设备及服务平台的数据分类、数据安全、网络安全、系统安全、平台环境安全、运维安全以及管理制度等要求。本文件适用于规范厦门市智慧安防小区前端安防物联感知设备及服务平台的安全管理工作，其它类型住宅可参照使用。（GB/T22239—2019 信安全术 网安等保护本求GB35114 GB/T36951 息全术 联感终应安全术求GB50348 GA/T1400.4 公视像信应系统 第4：接协要求GA/T1781 GA/T1400.4界定的以及下列术语和定义适用于本文件。智慧安防小区smartsecurityresidentialarea前端安防物联感知设备front-endsecurityobjectsensingdevice智慧安防小区服务平台intelligentsecuritycommunityserviceplatform智慧安防小区前端安防物联感知数据管理平台，通过前端安防物联感知设备采集数据,并使用相关技术进行分析处理,为小区提供安防预警、事件处置、服务优化等智能化安防管理的服务平台。1智慧安防小区安防数据按照数据内容可分为感知数据、基础数据和其他数据，其中：——————其他数据：智慧安防小区能提供的其他类型数据。设备访问控制应符合以下要求：————支持销毁或停用多余的、过期的账号，禁止共享账号；——520——IP——支持数据权限控制，防止访问非授权数据，访问控制的粒度至少包括IP/MAC等属性；——新建及改造小区的公共安全视频类设备应采用基于GB35114的身份认证技术，实现可信登录；——支持设置最大会话数量；——支持日志导出。前端设备宜具备防篡改和数据加密功能，其中数据加密应采用国家密码主管部门批准的密码算法，前端视频类设备宜符合GB35114中B级及以上的设备要求。2前端安防物联感知设备应牢固可靠并符合以下要求：——GB/T36951——安装工艺应符合GB50348中的相关要求。前端安防物联感知设备应确保固件安全，具体要求如下：——应选择经厂家或权威机构测试的稳定安全可靠的固件；——固件升级应经过授权，并符合相关安全策略；——设备应支持固件备份及版本回退。运行安全监测具体要求如下：——前端安防物联感知设备宜具备上传设备在线运行状态功能；——前端安防物联感知设备宜具备监测设备异常的检测手段,包括检测设备被遮挡、移动以及重要部件被破坏等异常；——告警信息应实时上传至智慧安防小区服务平台，并由专人复核处置。前端设备应具备日志功能，具体要求如下：——IPIP——6Syslog数据采集安全数据采集安全具体要求如下：——GB35114B——SSL/TSL——数据采集应支持定位溯源；——数据采集过程宜支持安全审计及监测。数据传输安全数据传输安全具体要求如下：——数据传输通道应具有抗电磁干扰、防破坏、防窃取的适宜措施；——GB35114BGA/T17813——数据传输应具有时间戳、序列号等数据传输新鲜性保护能力。数据存储安全数据存储安全具体要求如下：——智慧安防小区服务平台的存储介质应为掉电不易失存的介质，宜选用国产化存储介质；————数据存储设备遭受损坏后，宜能恢复系统并保证数据不丢失；————数据存储时长不低于30天。数据使用安全数据在线使用具体要求如下：————在线观看音视频等数据时，通过水印保护音视频等数据安全，应对截录屏等违规行为进行追溯。数据离线使用具体要求如下：————————合法授权的播放器软件访问采用安全技术或服务存储的音视频等数据时，可通过水印保护音视频等数据安全，对截录屏的违规行为进行追溯；————非法定授权单位和个人不得下载音视频等数据。6——应提供统一的日志安全审计系统；——应全部启用安全相关的日志记录功能；——针对账户管理、登录事件、系统事件、策略更改、账户登录事件的成功/失败开启审计。4数据销毁安全数据销毁应符合以下要求：————应建立物理销毁和逻辑销毁的数据销毁方法和技术，明确不同类别和级别的数据销毁方式和技术要求；——————应建立数据销毁效果评估和复核机制，检查已被销毁的数据是否还能访问；————组网类型前端安防物联感知设备与智慧安防小区服务平台之间的组网类型分为两种，分别为互联网组网以及智能专网组网，其中：——GB/T22239—2019——GB/T22239—2019互联网组网——————区域边界完整性保护：应在区域边界设置探测器，探测非法外联等行为；——BIOS安全通信网络设计要求包括但不限于：——5————智能专网组网本项要求包括：——————可信验证：应基于可信根对区域边界计算节点的BIOS、引导程序、操作系统内核等进行可信验证，并在检测到其可信性受到破坏后进行报警。本项要求包括：————可信连接验证：通信节点应采用具有网络可信连接保护功能的系统软件或可信根支撑的信息技术产品，在设备连接网络时，对源和目标平台身份进行可信验证。身份鉴别————访问控制本项要求包括：——应对登录的用户分配账户和权限；——应重命名或删除默认账户，修改默认账户的默认口令；——应及时删除或停用多余的、过期的账户，避免共享账户的存在；————————用户访问服务平台时，根据用户的不同安全级别，访问相应数据。677应采用标准机柜对设备或主要部件进行固定，并对设备用途及使用禁忌设置显著标识,应采取防鼠防虫措施。防雷击防火主要设备安装场所禁止堆放易燃易爆品及其他杂物，应配备灭火器材，宜配备烟感探测。防水温湿度控制应配备必要的温湿度显示及调节设施，使场所温湿度的变化在设备运行所允许的范围之内。电力供应应采用稳定可靠的供电线路，应为主要设备配备UPS，UPS供电时长宜不低于2小时。入侵防范本项要求包括：——应遵循最小安装的原则，仅安装需要的组件和应用程序；——应关闭不需要的系统服务、默认共享和高危端口；——应定期进行安全隐患排查，对中高危漏洞及时进行修复。恶意代码防范应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。防破坏运维工作开展应满足以下要求：——应委托具备相应运维能力的公司进行运维，签订保密协议。运维公司应安排具备相应技能的人员开展运维工作，运维人员应按照安全策略、规程和工具开展运维；——运维工作前，应对运维人员身份进行登记核实；——运维过程中，应安排利益无相关人员全程陪同，严禁运维人员擅自拷贝、修改、删除设备中存储的信息；需要将设备带离现场维修时，需经书面同意后安全拆除并妥善保管；存储部件出现故障，如不能保证信息安全，应由具有数据恢复资质的单位进行处理后再进行维修；——运维结束后，应对运维过程进行记录，记录中应包括维护日期、维护内容、进入及离开时间、运维人员（签名）、陪同人员（签名）等信息。应建立服务平台使用、运行、维护管理制度，包括但不限于以下要求：————物业服务企业或者其他管理人、系统承建厂商和任何个人不得私自留存智慧安防小区系统所采集的各类信息数据，不得将数据用于商业用途；——————————应对主要设备安装场所的安全管理做出规定，包括物理访问、物品进出和环境安全等方面；————899参 考 文 献GB/T21741－2021 GB/T22240－2020 信息全术 网安等级护级GB/T25070－2019 信息全术 网安等级护全计术求GB/T25724－20