GAT 669.2-2008标准规范下载简介
GAT 669.2-2008 城市监控报警联网系统 技术标准 第2部分:安全技术要求公钥基础设施publickeyinfrastructure 包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制证书的产生、管理、存储、分 发和撤销等功能。 .1.2 公钥证书publickeycertificate 用户的公钥连同其他信息,并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。 1. 3 证书认证机构 certification authority 负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密组
GA/T669.22008
注册机构registrationauthority 为用户办理证书申请、身份审核、证书下载、证书更新、证书注销以及密钥恢复等实际业务的 构或业务受理点。
DB21/T 3163-2019 辽宁省绿色建筑施工图设计评价规程PKI/CAPublicKeyInfrastructure/CertificationAuthority公钥基础设施/认证机构
联网系统安全设计应符合国家或行业相应的告
联网系统安全设计应采用先进的设计思想和方法,尽量采用国内、外先进技术(例如:主动防御技术 等)。所采用的先进技术应符合当地环境条件、监视对象、监控方式、维护保养以及投资规模等实际情 况;应合理设置系统功能、恰当进行系统配置和设备选型,保证其具有较高的性价比,满足业务管理的 需求。
联网系统安 以便利用现有资源及应用升级。 4.4开放性和兼容性原则 对安全子系统的升级、扩充、更新以及功能变化应有较强的适应能力。即当这些因素发生变化时, 安全子系统可以不作修改或作少量修改就能在新环境下运行
4.4开放性和兼容性原
确性,在硬件的选型和配置、软件的组织 和设计方法的选择、数据的安全性和完整性以及系统的运行和管理等方面都应采取必要的措施。防止 由内在因素和硬件环境造成的错误和灾难性故障,确保系统可靠性
应采用系统优化设计,综合考虑安全子系统的整体性、相关性、目的性、实用性和环境适应性。 与应用系统的结合应相对简单、独立。
4.7技术与管理相结合原则
联网系统安全体系应遵循技术与管理相结合的原则进行设计和实施,各种安全技术应该与运行 机制、人员思想教育与技术培训、安全规章制度建设相结合,从社会系统工程的角度综合考患,最大阝 发挥人防、物防、技防相结合的作用
应根据应用需求确定信息安全等级保护级别,并遵照信息安全等级保护原则,选择适合系统的安 户措施。
按照设备的使用范围以 计相应的安全域,安全域内应进行安全认 证和权限分配,保证相关业务和影 ,控制权限的意征
为设备或用户分配权限时,应在不影响业务的情况下,实现功能明确、设备明确、时段明确和“权网 小化”,以有效进行权限管理
GA/T 669.22008
5联网系统安全技术体系总体框架和认证及权限管理结构
联网系统安全技术体系总体框架如图1所示,可以分为物理(实体)安全、通信和网络安全、运行安 全以及信息(数据)安全四个层面。 物理安全主要包括监控中心电源安全、电磁兼容性安全、环境安全、设备安全、防雷接地、记录介质 安全六个方面。 通信和网络安全主要包括网络传输安全、公安专网的接人安全、公安专网的输出安全三个方面。 运行安全主要包括安全监控、安全审计、恶意代码防护、备份与故障恢复、应急处理、安全管理六个 方面。 信息安全主要包括用户身份认证、接人设备认证、用户权限管理、访问控制及业务审计、数据加密及 数据完整性保护、安全域隔离六个方面。
5.2认证及权限管理结构
图1安全技术体系总体框架
联网系统认证及权限管理结构如图2所示。公钥基础设施(PKI)和权限管理系统(PMS)都通过安 全管理系统为安全支撑平台提供基础服务。公钥基础设施(PKI)为联网系统设备和用户发放数字证 书,并提供对证书有效性以及证书撤销列表(CRL)的查询服务。权限管理系统(PMS)保存系统权限策 略和权限数据,为用户提供权限查询服务。安全管理系统负责用户管理,并从公钥基础设施(PKI)获取 数字证书和CRL信息,从权限管理系统(PMS)获取权限信息,为安全支撑平台提供基础服务。 安全支撑平台为联网系统提供用户身份认证及单点登录、接入设备认证、数字签名、数据加密、访问 控制等安全服务,以保证应用系统的可用性、完整性和机密性,
6.1监控中心电源安全
图2认证及权限管理结构
监控中心配电系统应满足GB50348一2004中3.12的要求 监控中心应配备用电源,备用电源应能保证对监控中心内关键设备延长供电不少于8h。
监控中心机房应满足GB/T20271一2006中4.1.1.1的要求,选择机房场地、实现机房内部安全 防火、防水、防潮、空调降温、防静电。 通信线路的安全应按照GB/T20271一2006中4.1.1.2的要求对通信线路进行安全防
主要指三类设备:联网系统前端设备、通讯设备(路由器、交换机等)和监控中心主机设备(终端计算 机、服务器等)。根据设备所处位置的不同,又可分为室内设备、室外设备和移动设备。 应按照GB/T20271一2006中4.1.2.1的设备标记要求、计算中心防盗要求和机房外部设备防盗 要求,实现设备的安全保护。 应按照GB/T20271—2006中4.1.2.2的基本运行支持要求、安全可用要求和不间断运行要求设 计和实现设备的可用程度。 硬件设备应符合GB4943一2001中关于电击火实发热机械辐射化学等安全方面的要或
应综合设计系统的防雷和接地。系统各组成部分的防雷和接地设计应符合GB50348一2004中 3.9的规定。
GA/T669.22008
当联网系统使用公安专网、公共网络、无线网络进行传输时,应分别符合相关部门对各个网络的安 全管理规定或标准。 公共网络、无线网络在条件允许的情况下宜采用虚拟专用网络(VPN)或者传输层安全(TLS)协议 来保证传输的安全
7.2公安专网的接入与输出安全
公安专网应专网专用,当其他网络需要与公安专网进行数据交换时,应采取相应措施保障公安专网 的安全。宜在如下方案中选择 a) 将模拟视频输出信号接人由公安部门认可的视频编码设备,然后接入公安监控系统。 b) 社会监控中心将数字图像单向传输给公安监控中心。当与公安专网接口时,应符合公安专网 的安全管理规定。 c) 公安监控中心将数字图像输出给社会监控中心时,应按照公安专网的安全管理规定经安全隔 离设备后方可输出。
当不能解决公安专网与其他网络的隔离问题时,宜在公安监控中心设置两套完全物理隔离的监控 系统,一套直接连接公安专网,另一套连接社会监控中心。
应按照GB/T20271一2006中4.2.3的要求,设置分布式探测器,实时监测网络数据流,监视和记 录内、外部用户出人网络的相关操作。宜使用防火墙、防毒软件、入侵检测系统、漏洞扫描工具来提高网 络通信的安全性。
应按照GB/T20271一2006中4.2.7的要求,对包括计算机病毒在内的恶意代码进行有效 防护
配置,以实现双机热备或者冷备
GA/T 669.22008
各级各类监控中心应建立完善的安 期技术培训 应对组成系统的各种设备定期进行安全检查和维护
联网系统应建立CA机构。其主要职责如下: a)为本辖区内用户、设备签发证书; b)本级证书撤销列表(CRL)的创建和维护; c)管理、维护所签发的证书。
9.1.2数字证书类型
联网系统PKI体系涉及三种证书类型: a)用户证书; b) 设备证书,其中包括服务器证书和其他设备证书; cCA证书。 用户是指公安用户及政府其他部门需要共享监控业务信息的用户;设备是指服务器和其他设备 CA证书是指认证机构自身的证书
应支持X.509V3标准证书,并支持所有X.509V3标准定义的扩展。应支持X.509V2证书撤销 列表(CRL)。统一的用户证书格式、设备证书格式见附录A.1和A.2;统一的CRL格式见附录B。
应支持X.509V3标准证书,并支持所有X.509V3标准定义的扩展。应支持X.509V2证书撤销
联网系统所签发的证书应支持以下方式存储: a) 移动存储介质:如硬盘、U盘、存储IC卡等; b) 硬盘:通过文件的方式存储在硬盘上或通过证书管理器进行存储和管理; c) 智能卡:带有算法的IC卡; d) USBKey:USB接口的、带有算法的令牌; e 专用加密设备:如加密机,通常用于产生、存储和管理密钥和公钥证书。
联网系统应采用网络时间协议(NTP) 系统中的一台主服务器时间为基准实现全网时间校正;当时间精度要求较高时宜采用GPS授时技术 双标准时间,采用简单网络时间协议(SNTP)来实现系统时间校正。当时间戳截做为可信依据时宜引
人时间戳机构(TSA),采用直接连接时间传输技术提供可信赖的且不可抵赖的时间截服务。时 周期可根据实际情况设定
9.3.2用户身份认证机
联网系统应在以下方式中选择一种或者多种方式进行用户身份认证。 a)静态口令机制(用户名/密码方式); 动态口令机制; 基于智能卡的认证; d) 基于冲击/响应的USBKey认证; e) 基于PKI/CA体系数字证书的USBKey认证; f)基于人体生物特征识别的认证。 采用基于PKI/CA体系数字证书的USBKey认证方式时应采用统一的公钥证书格式。对系统管 员、超级管理员宜附加基于人体生物特征识别的认证。 基于数字证书和静态口令两种方式的用户身份认证过程参见附录C。
9.3.3单点登录与全网漫游
a)联网系统应支持用户只经过一次身份认证,即可访问不同安全域的应用系统。 b)I 联网系统Web服务器、应用服务器应在用户身份认证成功后,保存用户的认证标识和身份标 识。当用户访问不同的安全域时,Web服务器、应用服务器后台应用程序应根据其身份标识 来确定该用户的用户类型
3.2全网漫游功能要求
)联网系统应采用统一的公钥证书格式,以保证在各级应用系统中均可被识别 b)联网系统应采用统一的认证方式,以保证不同安全域之间用户的身份认证。
9.4.1应对接人联网系统的所有设备进行统一的唯一标识,编码规范见GA/T669.7一2008中第9章 的要求。 9.4.2接人设备认证应根据不同情况采用不同的认证方式。对非SIP设备,宜通过设备代理来进行认 证;对标准SIP可信设备应采用数字证书的认证方式。设备认证的流程见GA/T669.5一2008中第8 章、第9章的要求。
9.5用户授权策略与权限管理
根据用户对联网系统使用性质的不同,将用户分为两大类: 业务用户:使用系统执行业务操作的用户(例如访问实时视频、访问历史业务信息、进行摄像机 云台、镜头控制等操作)。 b)管理用户:能够对系统软硬件资源、系统运行状态以及安全配置等进行管理的用户。 联网系统宜根据实际需求按照用户职责细化用户分类。业务用户通常可细化为操作员、值班员等 管理用户通常可细化为系统管理员、安全管理员等。 用户宜赋予不同的优先级。 联网系统宜按照一定的规则将具有相同属性或特征的用户划分为一组,进行用户组管理
授权应遵循以下策略: a)联网系统应制定符合实际情况的授权模型; b)基础授权策略标准应统一; c)各级监控中心各自对用户授权
用户权限分为两大类:业务权限和管理权限。业务用户不应具备管理权限。 在监控中心内,权限管理应包括下列内容: a)提供增加、修改、删除和查询用户权限等功能。 b)单独设立安全管理员,专门负责为本中心的每个合法用户分配相应的权限。除安全管理员 外,任何用户不得擅自更改其权限、不得越权操作、不得将其权限转授给其他用户。安全管理 员除完成授权功能外,不能浏览、修改、删除系统中的任何其他数据。 高优先级用户可抢占低优先级用户所占用的资源。 在监控中心间,用户权限管理应在各级监控中心授权的基础上进行
9.6访问控制与业务审计
9.6访问控制与业务审计
联网系统应实现统一的用户管理和授权,在身份鉴别的基础上,系统宜采用某种访问控制模型对用 户进行访问控制(例如基于角色的访问控制或者基于属性证书的访问控制)。基于角色的访问控制应提 供对委托授权和角色继承功能的支持;角色管理应能提供角色的增加、修改、删除等功能,并且对角色的 操作提供审计接口
.7数据加密及数据完整性保护
应将联网系统划分为不同的安全域,如监控中心局域网、公安专网、公共网络等,不同的安全域之 进行相应的隔离。当需要在公网和专网之间进行数据交换时,应采用国家、行业管理部门认可的安 满离措施。
GA/T 669.22008
用户证书格式见表A.1
用户证书格式见表A.1。
附录A (规范性附录) 支持X.509V3的证书格式定义
表A.1用户证书格式定义
设备证书格式见表A.2。
表A.2设备证书格式定义
DB45/T 1625-2017 地质灾害危险性评估规程C.1用户身份认证流程
附录C (资料性附录) 数字证书和静态口令两种方式下的用户身份认证流程
附录C (资料性附录) 数字证书和静态口令两种方式下的用户身份认证流程
图C.1用户身份认证过程
GA/T669.2—2008
SY/T 6853-2019 油气输送管道工程 矿山法隧道设计规范C.2用户身份认证说明
用户身份认证说明如下: 用户访问应用系统,用户请求被应用系统前端的过滤器拦截,过滤器发现用户没有认证,将用 户重定向到认证服务器。 o) 用户访问认证服务器的登录页面,可以选择数字证书和静态口令两种方式登录。 1)静态口令方式: 用户通过HTTPPOST方式将用户名和密码提交到认证服务器,认证服务器通过查询用 户管理系统验证用户信息(包括口令策略等)。 2) 数字证书方式: 用户浏览器被重定向到认证服务器的双向安全套结字(SSL)端口,认证服务器通过SSI 握手与用户建立双向SSL通讯信道,并提取用户的公钥证书。认证服务器从信任库中查 询对应的CA根证书进行校验。 c)当用户身份认证成功后,认证服务器为用户创建一个用户令牌,保存用户认证信息,并创建 个临时凭证与用户令牌关联。然后将用户重定向到之前访问的应用系统,并在统一资源定位 符(URL)中附带该临时凭证。 ) 应用系统前端的过滤器再次拦截到请求,从URL中解析用户临时凭证,并与认证服务器通信 查询用户认证结果。 e: 过滤器收到认证服务器的返回结果,如果结果为真,确认本次认证成功。如果结果为假,拒绝 提供服务。 在首次认证成功的情况下,之后用户每次访问应用系统,不需要再进行身份认证过程,只需要 验证用户令牌的有效性即可,直到用户令牌过期为止。应用系统可以根据用户的身份信息决 定是否对用户提供服务
GA/T 669.22008