标准规范下载简介
DB11/T 2040-2022 信息安全技术 灯光秀系统网络安全防护规范.pdfICS 35.240 CCS L 70
北 地 方 标 准
DB11/T 2040—2022
信息安全技术灯光秀系统网络安全防护规
西南18J201_平屋面.pdf北京市市场监督管理局发布
DB11/T2040
前言 1范围, 2规范性引用文件 3术语和定义. 4灯光秀区域级别 5灯光秀系统安全保护基本要求. 6网络安全评估和整改 附录A(资料性)灯光秀系统组成 参考文献.
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起 卓。 本文件由北京市公安局提出并归口。 本文件由北京市公安局、北京市城市管理委员会共同组织实施。 本文件起草单位:北京市公安局网络安全保卫总队、北京交通大学、中国电子技术标准化研究院 北京软件产品质量检测检验中心、利亚德光电股份有限公司、利亚德照明股份有限公司、深信服科技股 份有限公司。 本文件主要起草人:杜宏波、郭毅、问闻、赵大鹏、周永战、欧阳静茜、吕孝进、闫长生、陈益、 刘一昆、马荣欣、王薇、王彬、金镁、齐际、牟家刘、赵俊平、韩亮、郝晓航、王坤、郭剑虹、周嵩 白建军、徐有苏、李仕民、刘莉、常育超,
DB11/T2040
技术灯光秀系统网络安全防护
本文件规定了灯光秀区域级别、灯光秀系统安全保护基本要求及网络安全评估环节应实现的安全 防护规范。 本文件适用于以建(构)筑物为载体的灯光秀系统的规划、设计、建设、运行维护和监督管理, 其他载体类型的灯光秀系统可参照执行
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,标注日期的引用 文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单) 适用于本文件。 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T25070信息安全技术网络安全等级保护安全设计技术要求 GB/T39786信息安全技术信息系统密码应用基本要求
下列术语和定义适用于本文件
下列术语和定义适用于本文件
灯光秀1ightshow 种以灯光为主体,将文字、图形、视频信息通过灯光照明或光影成像技术来表现的城市公 综合艺术展示活动
灯光秀系统1ightshowsystem 由相关的控制设备及配套设施(含网络)构成,能对文字、图案和视频进行加工、存储、传输、 控制、展示等处理,并以灯光为主的多媒体方式进行展示的系统。
根据灯光秀系统载体所处区域的活动性质,分为以下三个级别: A级:国家级的重大活动区域; B级:市级的重大活动区域; C级:除A、B级以外的其他区域。
DB11/T 2040 202
灯光秀系统安全保护基本要求
5.1.1灯光秀系统组成参见附录A
5.1.2网络安全保护等级要求如下
5.1.2网络安全保护等级要求如下: 灯光秀系统运营者在设计、建设灯光秀系统时应根据灯光秀设置区域的等级,开展相应的网络安 全等级保护工作。具体防护要求如下: a)对于部署在A级区域的灯光秀系统,网络安全保护等级应不低于GB/T22240中的第三级; b)对于部署在B级区域的灯光秀系统,网络安全保护等级应不低于GB/T22240中的第二级; c)对于部署在C级区域的灯光秀系统,网络安全保护等级宜参照B级区域执行。 5.1.3灯光秀系统安全防护基本要求应符合GB/T22239、GB/T25070的相关要求。
5.2.1安全管理要求
5.2.1.1应设置专门的网络安全管理机构,负责建立完善网络安全管理制度。 5.2.1.2应制定网络安全责任制度,设立主要负责人,明确相关安全责任人,包括内部人员、外部人 员的安全角色和安全职责。 5.2.1.3安全管理机构应设置系统管理、网络管理、安全管理等岗位。 5.2.1.4应围绕安全组织与人员、数据安全、系统和通信保护、审计、维护、系统开发与供应链安 全、访问控制、配置管理等方面开展安全防护活动。 5.2.1.5应制定资产管理、监测预警、安全运维相关管理制度及相应安全策略和操作规程,定期更 新,并采取相应的安全技术措施。 5.2.1.6应每年定期开展安全检查,在举办重大活动前开展专项网络安全检查。
5.2.2安全技术要求
5.2.2.1应根据承载业务的重要程度,实施分区分域管理,制定不同的安全策略,避免灯光秀系统及 其资产、网络遭受未经授权的访问,防止重要数据泄露或者被窃取、篡改。 5.2.2.2应使用经运营者授权和安全评估的软硬件,并应建立计算机病毒和网络入侵防范机制。 5.2.2.3应建立网络准入控制机制,严格限制未授权的临时设备接入。 5.2.2.4应采取网络安全审计措施,监测、记录系统运行、操作、故障维护等行为,并留存相关日 志,对远程运维的行为要进行严格的控制和审计。相关的系统、网络设备日志留存不少于6个月。 5.2.2.5应对系统和数据备份,制定备份策略,规定备份频率,并定期执行数据备份。 5.2.2.6灯光秀系统网络部署情况分为局域网、运营商虚拟专用网,如果与其他外部网络有信息交 换,应增加安全边界防护。具体防护要求如下: a)局域网防护要求:灯光秀系统所连接的网络环境应受控,且相对独立,与其他无关或不可控网 络应保持隔离;应通过身份鉴别、IP/MAC地址绑定、端口限制等技术手段加强总控端及节点端 之间的访问控制; b)运营商虚拟专用网防护要求:灯光秀系统通过运营商虚拟专用网,应采取加密通道或电子签名 校验机制。运营商网络应至少满足或者高于所承载系统的网络安全保护等级,以使灯光秀系统 运行在安全可靠的虚拟专用网络; c)混合组网防护要求:应通过IP/MAC地址绑定、端口限制等技术手段加强总控端及节点端之间的 访问控制,通过加密通道或电子签名校验机制。灯光秀平台防护应参照GB/T22239安全计算环
境相关要求,从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范5个方面,加强灯 光秀平台安全防护。 5.2.2.7节点端防护应满足如下要求: a)节点服务器安全应符合GB/T22239安全计算环境相关要求; b)数据分配器安全应在符合GB/T22239安全计算环境相关要求基础上,满足播控系统端绑定分控 ID,ID具有唯一性。 c)校时服务器安全应在符合GB/T22239安全计算环境相关要求基础上,明确主备两套校时系统; 将故障信息报送总控端处理,并启动应急预案。 d)节点端设备箱安全应在符合GB/T22239安全计算环境相关要求基础上,增加防盗装置。
境相关要求,从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范5个方面,加强灯 光秀平台安全防护。 .2.7节点端防护应满足如下要求:
.7节点端防护应满足如
5.2.3安全运营要求
5.2.3.1业务连续性要求: a)应制定并实施业务连续性计划,A级区域灯光秀系统应具备主系统主从热备份以及双路由的应急 措施; b)应设置重要系统和数据处理设施余,满足系统可用性要求: c)在展示内容前,应将灯光秀节点端与灯光秀平台的时间进行同步校对。 5.2.3.2可控维护要求: a)应采取审批和监视维护措施,包括现场维护和远程维护; b)在将灯光秀平台设备转移到非现场进行维护前,应获得安全责任人的批准,并对数据存储设备 进行净化,清除数据存储设备中的信息; c)在对灯光秀平台设备、网络和系统进行维护后,应检查可能受影响的安全措施,以确认其仍正 常发挥功能。 5.2.3.3维护人员要求: a)建立对维护人员的授权流程,对已获授权的人员建立列表;应明确维护人员的责任,规定维护 的时限;
a)建立对维护人员的授权流程,对已获授权的人员建立列表;应明确维护人员的责任,规定 的时限; b)授权维护人员可单独进行系统维护;未授权人员应在授权人员陪同与监管下开展维护活动
5.2.4供应链安全要求
5.2.4.1应建立供应链安全管理制度,在采购、使用网络产品和服务时,应明确提供者的安全责任和 义务。 5.2.4.2明确网络产品和服务的提供者应采取措施保护供应链相关信息,包括网络产品和服务的用 途、安全需求、信息系统或组件配置等。
5.2.5安全培训要求
5.2.5.1应建立网络安全教育培训制度,培训内容应包含灯光秀系统各组成部分的网络安全操作规范 和灯光秀平台网络安全设备配置规范等。 5.2.5.2针对灯光秀系统运营人员应定期开展灯光秀系统网络安全培训,网络安全教育培训内容应包 括网络安全相关制度和规定、网络安全保护技术、网络安全风险意识、灯光秀系统网络安全操作和灯 光秀平台网络安全设备配置等。
DB11/T 2040 202
5.3.2灯光秀系统在运行期间应对其控制设备和软件实时在线状态进行监测,发生离线故障应能主动 上报。 5.3.3灯光秀系统宜监测节点端实时播放画面,以便运营人员核查播放内容,发现画面异常应及时做 出应急处置。 5.3.4A级区域灯光秀系统应监测设备的锁定状态,避免通过移动硬盘、U盘等外设拷入违规视频。
应符合以下要求: a)应依据灯光秀系统应急预案定期和在重大活动开始之前开展应急演练; b)应记录和核查应急演练结果,并根据需要修正应急预案; c)应保存演练记录、演练总结报告等
DB11/T2040
6.1非临时性的灯光秀系统每年应至少进行一次网络安全评估中央金域花园一期季节性施工方案(防暑、防雨防台风),A级区域应在重大活动开展前完成网 络安全评估工作。 6.2评估内容包括但不限于网络安全制度执行情况、组织机构建设情况、教育培训情况、安全防护情 况、风险评估情况、应急演练情况,以及渗透测试、漏洞扫描、恶意代码检测、密码应用安全性评估 等。 6.3应通过访谈、配置核查和工具测试开展网络安全评估。 6.4根据安全评估情况,有针对性地对灯光秀系统进行安全整改。
附录A (资料性) 灯光秀系统组成
灯光秀系统由灯光秀平台和配套的设备、设施(含网络)构成,能对文字、图案和视频进行加 工、存储、传输、展示等处理,并以灯光手段为主的多媒体方式按照特定的顺序进行展示的系统。三 士 要包含总控端(控制中心)、通讯链路(网络运营商虚拟专网)及节点端(现场设备)三个部分。
总控端是负责实现灯光秀整体效果的调整、同步、控制以及数据和文件的总存贮。灯光秀平台部署 于总控端,总控端发布命令,可实现对灯光秀全范围的灯光实施控制;总控端基本上是由下列设备组成: 平台显示大屏、平台客户端、应用服务器、数据服务器、文件服务器、网络安全服务器、校时服务器 电源保障设备、核心交换机、核心路由器、网络防火墙。 节点端是位于需要进行灯光秀联控的LED灯具安装的建(构)筑物载体内,负责实现对本地数据分 配器的控制;节点服务器接受灯光秀平台控制命令,传送控制数据到数据分配器进行解码发布视频数据, 节点端基本上是由下列设备组成:节点服务器、数据分配器、校时服务器、多功能路由器、交换机。 网络运营商虚拟专网,运营商利用已建成的网络系统提供虚拟专网服务。 系统组成见图A.1。
灯光秀系统主要分为总控端和节点端,根据业务系统具体情况确定其网络安全保护等级,并应配置 相应的网络安全防护设备, 总控端:通过用户管理账户与权限密码在总控平台客户端登录,对整个灯光秀平台系统进行设置 调整,通过服务器对整个系统进行联动控制,并分配角色和控制权限;通过固定IP方式接入互联网,实 现总控端与各节点端的连接服务,实时检查各节点端的连接状态和工作状态。 节点端:通过网络与总控端的服务器建立连接,由总控端进行整体、编组及单体等多种联动控制, 并实现对各个节点端的效果文件更新、程序升级及系统状态检测等功能。完成本地节点端的数据下载与 发送数据到数据分配器,并通过数据分配器对控制对象进行有效的控制。主要控制对象为可调光的LED 点光源、线条灯、洗墙灯、激光灯、光束灯、投影机等效果灯具,以及音响等其它多媒体设备。 节点服务器内置了两个网络通信接口,一是通过移动网络路由器经过网络运营商虚拟专网连接灯 光秀平台完成视频传输GB/T 51438-2021 盾构隧道工程设计标准(完整正版、清晰无水印).pdf,数据交互及数据存储;二是通过内部传输网络向数据分配器发送指令和数据, 完成画面呈现,数据交互及数据存储;数据包含如:设备在线/离线、端口状态、设备温度等信号反馈。 校时服务器通过接收网络、GPS(全球定位系统)或BTS(基站收发台)信号进行节点校时服务,确 保节点服务器与灯光秀平台各服务器的时间同步,实现灯光秀的整体效果同步联动。
DB11/T2040
图A.1灯光秀系统示意图