标准规范下载简介
YD∕T 3492-2019 视频监控系统网络安全技术要求.pdf由前端采集、传输、存储、管理、显示等组成,利用视频技术探测、监视设防区域并实时显示 现场图像的电子系统或网络。
接入协议accessprotoco
视频监控设备按照统一的协议接入到视频监控系统中,即接入协议,主要包括ONVIF、PSIA
私有协议privateprotocol
视频监控管理平台videosurveillancemanagementplatform 运用视频监控联网、数字图像信息处理等技术,对视频监控设备进行统一管理和控制TB/T 2135-2018标准下载,可满足 模视频监控系统的不同业务需求的平台。
视频监控系统是金融、公安、电信、交通、司法、文教卫、能源、楼宇等众多行业对重点部门 场所进行实时监控的物理基础,管理部门可通过它获得有效数据、图像或声音信息,对突发性异
YD/T3492—2019件的过程进行及时的监视和记忆,用以提供高效、及时地指挥和高度、布置警力、处理案件等。视频监控系统的主要发展面向数字化、网络化、高清智能化,并与视音频编解码技术、视频图像处理技术、嵌入式系统开发技术等多项核心技术及云计算、大数据、人脸识别、深度学习、视频结构化等前瞻技术相结合,在工业自动化、智能家居、智慧城市等新兴业务得到延伸应用。视频监控系统可以直观、准确、实时的采集视频、音频等信息,实现对关键区域进行实时监控。视频监控系统按功能分为前端采集、传输、存储、管理、显示共五层的功能架构,各层典型设备如图1所示。视频监控系统中主要设备类型的范围,可参考附录A.1。示移动终端矩阵切换器层管理层管理服务器流媒体服务器存储NVRDVR......层输交换机无线路由器层前端采集层网络摄像机模拟摄像机图1#视频监控系统五层结构视频监控系统安全,指的是由硬件、固件、软件和协议构成的整体安全,涵盖了选型、部署、运行、使用、维护等各个环节。视频监控系统安全要求分为通用技术要求和各层功能要求两部分。5视频监控系统功能安全通用技术要求5.1技术要求5.1.1物理和环境安全5.1.1.1物理位置选择部署在户外和监控现场的前端采集、编码、处理、存储、传输、安全控制等设备,应安装在普通行人接触不到的地方。5.1.1.2物理访问控制本项应满足如下要求:3
YD/T 34922019
a)部署在户外和监控现场的前端采集、编码、处理、存储、传输、安全控制等设备,应采用封闭 加锁方式: b) 部署在监控现场的架杆等前端辅助设备,应醒目标注严禁攀爬等字样; C 应建立监控中心出入的工作人员身份验证机制,根据不同级别的授权,对进入监控中心的人员 及其活动实时监视; d)监控中心和设备机房应配置电子门禁系统,控制、鉴别和记录进入的人员。
5.1.2通信和网络安全
5.1.2.1网络架构
本项应满足如下要求: a)不允许重要行业或敏感部门的设备直接联入到互联网中; b)视频监控网络应进行物理隔离或者划分VLAN等逻辑隔离
5.1.2.2通信传输
本项应满足如下要求: a)公共网络、无线网络在条件允许的情况下,宜采用虚拟专用网络或者传输层安全(例如TLS) 协议来保证传输的安全; b)对于重要行业或敏感部门,应构建可信网络环境,保证通信传输的可信性。
5.1.2.3无线使用控制
本项应满足如下要求: a)应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络; b)对于通过无线方式连接的视频监控设备,应采用满足相关安全标准的加密算法等,保证通信链 路的安全性。
5.1.2.4接入安全
本项应满足如下要求: a)应具备接入对象认证机制,保证接入监控网络的设备身份合法性; )应具备对非授权的视频监控设备私自联到内部网络的行为进行限制或检查的能力,一旦有未经 认证的的设备试图接入时,应能够及时发现非法接入的设备源地址,向网络管理员告警,并及 时阻挡; 视频监控接入协议实地部署时应具备足够的安全健壮性,需定期进行安全健壮性的测试; d)接入设备应根据不同情况采用不同的认证方式; e)对非SIP设备,宜通过设备代理来进行认证; f)对标准SIP可信设备,应采用数字证书的认证方式; g)对于采用ONVIF、PSIA等协议作为管理平台与视频监控设备进行统一接入协议的,宜采用SIP 作为接入认证协议; h)对于各生产厂商设计的私有接入协议,宜符合GB/T28181中第五章的相关要求,
本项应满足如下要求: )应具备接入对象认证机制,保证接入监控网络的设备身份合法性; )应具备对非授权的视频监控设备私自联到内部网络的行为进行限制或检查的能力,一旦有未经 认证的的设备试图接入时,应能够及时发现非法接入的设备源地址,向网络管理员告警,并及 时阻挡; c)视频监控接入协议实地部署时应具备足够的安全健壮性,需定期进行安全健壮性的测试; d)接入设备应根据不同情况采用不同的认证方式; e)对非SIP设备,宜通过设备代理来进行认证; f)对标准SIP可信设备,应采用数字证书的认证方式; g)对于采用ONVIF、PSIA等协议作为管理平台与视频监控设备进行统一接入协议的,宜采用SIP 作为接入认证协议; h)对于各生产厂商设计的私有接入协议,宜符合GB/T28181中第五章的相关要求,
5.1.2.5恶意代码防范
本项应满足如下要求: a)应具备发现、清除和避免再次感染恶意代码的防护手段; b)恶意程序知识库应及时更新,实现对新出现的恶意程序及其变种的防范
5.1.3设备和计算安全
5.1.3.1资产识别
YD/T3492—2019
本项应满足如下要求: a)应具备实时掌握合法接入系统中的视频监控设备在线连接数量的能力: b)应具备对合法接入系统中的视频监控设备进行品牌、型号和设备类型等信息进行识别的能力, 资产设备类型详见表A.1。
5.1.4应用和数据安全
5.1.4.1数据保密性
居的加密宜采用SIP所支持的安全协议进行处理
5.2.1安全维护管理
5.2.1.1监控室访问管理
本项应满足如下要求: a)应设置监控室出入的人员身份验证机制,由专人开设账号、分配权限,并登记备案; b)应根据“最小够用”原则为监控室中不同工作人员划分不同的权限,并建立监控室访问控制机 制,针对不同权限的工作人员,其对视频监控设备的访问、控制、存储、回放和删除的权限区 分不同; c)应建立监控画面调取审批流程,确保监控画面的调取是受控的: d)应建立外部人员物理访问监控室审批流程,确保在外部人员物理访问监控室前先提出书面申请 批准后由专人全程陪同,并登记备案; 重要行业或敏感部门的视频监控系统监控室不允许外部人员访问。
5.2.2安全建设管理
5.2.2.1资产管理
本项应满足如下要求: a)应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; b)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施: c)应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。 d)宜禁用闲置的通信端口:
YD/T 34922019
e 设备生产商在设计实现时,不得设置未明示用户的私有端口或后门端口 应设置网络访问控制策略,限制对前端采集设备的网络访问。 g 应具备实时掌握设备开放的端口、服务的能力; 五 应具备对网络摄像机等设备具有风险的端口和服务进行识别的能力。 1 应具备对NVR、DVR等设备的设备属性进行识别的能力,设备属性包括设备的品牌、型号 设备类型、IP地址、端口、服务、所属部门等信息,
5.2.2.2漏洞和风险管理
本项应满足如下要求: a 应能发现可能存在的漏洞,并在经过充分测试评估后,及时修补漏洞,具体漏洞类型详见表 A.2; b) 应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题; c)应定期对系统进行漏洞评测,并形成报告; d)应采取必要的措施验证安全漏洞和隐惠,对发现的安全漏洞和隐患及时进行修补
5.2.2.3密码管理
视频监控系统的口令应符合《智能联网设备口令保护指南》的要求,不存在弱口令、空口令或 令等。
6视频监控系统各层功能安全技术要求
6.1前端采集层安全要求
6.1.1网络和通信安全
6.1.1.1通信传输
网络摄像机等前端采集设备在使用RTSP等传输协议时,应设置身份认证机制,避免出现空 口令等问题。
6.1.1.2边界防护
采集设备与上层业务系统之间应支持动态密钥协
6.1.1.3接入安全
6.1.2设备和计算安全
6.1.2.1访问控制
本项应满足如下要求: a)开放端口应具有管理配置功能,端口应可以由用户自主选择开放或关闭:
YD/T3492—2019
b)设备初始应以最小功能集配置 需要而必须端口开放外,其他服务端口应保持关闭 c)应具备实时掌握设备开放的端口、服务的能力 d)应具备对网络摄像机等设备具有风险的端口和服务进行识别的能力
6.1.2.2安全审计
系统应具备实时掌握网络摄像机等前端采集设备在线连接数量的能力。
6.1.2.3入侵防范
本项应满足如下要求: a)对于重要行业或敏感部门,其关键网络摄像机等前端设备应具有终端入侵检测的能力; b)应具备对设备存在的安全漏洞进行扫描发现的能力; c)应具备对设备存在的安全漏洞进行漏洞验证的能力。
6.1.2.4恶意代码防范
6.1.3应用和数据安全
6.1.3.1身份鉴别
6.1.3.2数据完整性
本项应满足如下要求: a) 应对重要数据传输提供专用通信协议或安全通信协议,避免来自基于通用通信协议的攻击破坏 数据完整性; b 网络摄像机等前端设备的Web登录组件,保证登录信息等敏感数据的安全性。例如采用IPSec、 TLS等相关安全技术。
6.2 传输层安全要求
6.2.1网络和通信安全
6.2.1.1通信传输
本项应满足如下要求: a)网络层应支持IP,传输层应支持TCP和UDP; b)视音频在基于IP的网络上传输时,应支持RTP/RTCP,数据封装格式应满足GB/T28181中的 安全要求。
6.2.1.2边界防护
宜使用防火墙来提高网络通信和传输的安全性。
YD/T 34922019
6.2.1.3入侵防范
项应满足如下要求。 使用入侵检测系统来提高网络通信和传输的安全
6.2.1.4恶意代码防范
6.2.1.5安全审计
日描等相关安全设备来提高网络通信和传输的安
6.2.2设备和计算安全
6.2.2.1身份鉴别
本项应满足如下要求。 应保证传输设备的独立身份鉴别机制,登录密码等应与其他层设备的登录密码不同。
设备的独立身份鉴别机制,登录密码等应与其他层设备的登录密码不同。
6.2.3应用和数据安全
6.2.3.1数据完整性
系统应通过技术手段保证传输信息的完整性,应考虑轻量级设备的处理能力,保障可用性
6.2.3.2数据保密性
技术手段保证传输信息的保密性,应考虑轻量级设备的处理能力,保障可用性。 全西
6.3.1网络和通信安全
6.3.1.1通信传输
NVR、DVR等设备在使用RTSP等传输协议时,应设置身份认证机制,避免出现空口令、弱口令 等问题。
6.3.1.2边界防护
VVR、DVR等设备与上层业务系统之间支持动态密钥协商功能
6.3.1.3访问控制
应具备对NVR、DVR等设备开放的端口及其对应的服务进行识别的能力,对于非法开放的端口和 服务进行识别的能力。
6.3.2.2访问控制
YD/T3492—2019
设备生产商在设计实现时,NVR、DVR等设备不得使用未设置身份认证的私有端口或后门端
6.3.3应用和数据安全
6.3.3.1身份鉴别
本项应满足如下要求: a)在同一网络中的NVR、DVR等设备,要求登录每个设备的密码不得使用同一个密码; b)NVR、DVR等设备的Web登录组件,保证身份鉴别等敏感数据的安全性。
6.4.1网络和通信安全
6.4.1.1网络架构
本项应满足如下要求: a)根据管控范围中设备数量规模的大小,应采用管理服务器、管理主机或纯软件等统一管理平台: b)支持实时向指定设备、指定通道发送控制信息,如球机/云台控制、录像控制、报警设备的布 防/撤防等,实现对设备的各种动作进行遥控; c)应支持按照指定设备、指定通道进行图像的实时点播,支持多用户对同一图像资源的同时点播; 宜支持监控点与监控中心之问、监控中心与监控中心之问的语音实时点播或语音双向对讲。
6.4.1.2通信传输
本项应满足如下要求: a)应在通信前基于密码技术对通信的双方进行验证或认证; b)应采用加解密技术保证通信过程中控制指令、管理信息等敏感信息字段的保密性; 管理和控制设备作为统一管理平台时,应部署符合国家标准规定的相关协议,负责设备之间接 入、传输、交换和控制的功能,对高安全等级要求的平台,不得开启和使用ONVIF、PSIA及 其他接入协议。
6.4.1.3无线使用控制
系统应限制管理服务器、管理主机等无线网络功能模块的使用,如特殊需要使用无线网络接入内部 网络的,应采用受控的边界防护设备。
6.4.1.4访问控制
应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口 拒绝所有通信
YD/T 34922019
6.4.1.5入侵防范
管理服务器、管理主机上部署入侵监测、防护和
6.4.1.6 安全审讯
照GB/T20271中4.2.4的要求,支持对审计功能
6.4.2设备和计算安全
6.4.2.1身份鉴别
本项应满足如下要求: a)应具备对控制信令进行检查和过滤等审查机制,确保只允许符合格式要求的控制信令数据 b)应具备对控制指令中不符合格式的数据或违规的操作等进行发现、报警和阻断的能力。
系统管理和控制的服务器、主机等设备上,应使用入侵防范软件保证系统的安全性,并 征。
6.4.2.3恶意代码防护
6.4.2.4资源控制
本项应满足如下要求: a)在使用SNMP对设备进行管理和控制时,应配置身份认证机制; b)对于重要行业或敏感部门,不得配置和使用SNMPv1/v2协议对设备进行管理和控制;如需使 用SNMP协议应使用SNMPv3版本。 e)对于重要行业或敏感部门,应具备自动化采集安全基线配置信息的能力或工具
6.4.3应用和数据安全
6.4.3.1数据保密性
6.4.3.2数据备份恢复
应提供重要数据的本地数据备份与恢复功能。
.5.1网络和通信安全
6.5.1.1接入安全
显示和访问终端与其接入网络间应进行双向认证,双方至少支持身份鉴别机制
6.5.1.2访问控制
显示和访问终端应具有访问控制能力。
6.5.1.3恶意代码防范
有操作系统的显示和访问终端应具有恶意代码防
6.5.2应用和数据安全
6.5.2.1个人信息保护
本项应满足如下要求: a)应仅采集和保存业务必需的用户信息; b)应禁止未授权访问和使用用户信息
YD/T3492—2019
YD/T 34922019
SL101-2014水工钢闸门和启闭机安全检测技术规程附录A (资料性附录) 视频监控系统设备类型 本标准中提到的视频监控系统各层设备类型见表A.1中分类
YD/T3492—2019
表A.1设备类型(续)
本标准中提到的视频监控系统漏洞见表A.2中分类。
JR/T 0197-2020 金融数据安全 数据安全分级指南.pdf表A.2视频监控系统漏洞类型编码
表A.2视频监控系统漏洞类型编码(续)