标准规范下载简介
YD∕T 3492-2019 视频监控系统网络安全技术要求.pdf简介:
"YD∕T 3492-2019 视频监控系统网络安全技术要求.pdf" 是一份由中国信息通信研究院(YD)发布的技术标准文件,其全称为《视频监控系统网络安全技术要求》。这份标准主要针对视频监控系统的设计、建设和运行阶段,提出了一套网络安全技术要求。它涵盖了视频监控系统的防火墙、数据加密、身份认证、访问控制、安全审计、漏洞管理、安全应急响应等方面的规定,旨在保障视频监控系统的数据安全、系统安全以及用户隐私。
该标准适用于公共安全、企业监控、智能家居等领域中的视频监控系统的网络安全设计和实施,为视频监控系统的网络安全提供了指导和规范,有助于提升视频监控系统的安全防护能力,防止数据泄露和系统被攻击。
YD∕T 3492-2019 视频监控系统网络安全技术要求.pdf部分内容预览:
由前端采集、传输、存储、管理、显示等组成,利用视频技术探测、监视设防区域并实时显示 现场图像的电子系统或网络。
接入协议accessprotoco
视频监控设备按照统一的协议接入到视频监控系统中,即接入协议,主要包括ONVIF、PSIA
SY/T 5236-2016 抽油杆吊卡、吊钩私有协议privateprotocol
视频监控管理平台videosurveillancemanagementplatform 运用视频监控联网、数字图像信息处理等技术,对视频监控设备进行统一管理和控制,可满足 模视频监控系统的不同业务需求的平台。
视频监控系统是金融、公安、电信、交通、司法、文教卫、能源、楼宇等众多行业对重点部门 场所进行实时监控的物理基础,管理部门可通过它获得有效数据、图像或声音信息,对突发性异
YD/T3492—2019件的过程进行及时的监视和记忆,用以提供高效、及时地指挥和高度、布置警力、处理案件等。视频监控系统的主要发展面向数字化、网络化、高清智能化,并与视音频编解码技术、视频图像处理技术、嵌入式系统开发技术等多项核心技术及云计算、大数据、人脸识别、深度学习、视频结构化等前瞻技术相结合,在工业自动化、智能家居、智慧城市等新兴业务得到延伸应用。视频监控系统可以直观、准确、实时的采集视频、音频等信息,实现对关键区域进行实时监控。视频监控系统按功能分为前端采集、传输、存储、管理、显示共五层的功能架构,各层典型设备如图1所示。视频监控系统中主要设备类型的范围,可参考附录A.1。示移动终端矩阵切换器层管理层管理服务器流媒体服务器存储NVRDVR......层输交换机无线路由器层前端采集层网络摄像机模拟摄像机图1#视频监控系统五层结构视频监控系统安全,指的是由硬件、固件、软件和协议构成的整体安全,涵盖了选型、部署、运行、使用、维护等各个环节。视频监控系统安全要求分为通用技术要求和各层功能要求两部分。5视频监控系统功能安全通用技术要求5.1技术要求5.1.1物理和环境安全5.1.1.1物理位置选择部署在户外和监控现场的前端采集、编码、处理、存储、传输、安全控制等设备,应安装在普通行人接触不到的地方。5.1.1.2物理访问控制本项应满足如下要求:3
YD/T 34922019
a)部署在户外和监控现场的前端采集、编码、处理、存储、传输、安全控制等设备,应采用封闭 加锁方式: b) 部署在监控现场的架杆等前端辅助设备,应醒目标注严禁攀爬等字样; C 应建立监控中心出入的工作人员身份验证机制,根据不同级别的授权,对进入监控中心的人员 及其活动实时监视; d)监控中心和设备机房应配置电子门禁系统,控制、鉴别和记录进入的人员。
5.1.2通信和网络安全
5.1.2.1网络架构
本项应满足如下要求: a)不允许重要行业或敏感部门的设备直接联入到互联网中; b)视频监控网络应进行物理隔离或者划分VLAN等逻辑隔离
5.1.2.2通信传输
本项应满足如下要求: a)公共网络、无线网络在条件允许的情况下,宜采用虚拟专用网络或者传输层安全(例如TLS) 协议来保证传输的安全; b)对于重要行业或敏感部门,应构建可信网络环境,保证通信传输的可信性。
5.1.2.3无线使用控制
本项应满足如下要求: a)应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络; b)对于通过无线方式连接的视频监控设备,应采用满足相关安全标准的加密算法等,保证通信链 路的安全性。
5.1.2.4接入安全
本项应满足如下要求: a)应具备接入对象认证机制,保证接入监控网络的设备身份合法性; )应具备对非授权的视频监控设备私自联到内部网络的行为进行限制或检查的能力,一旦有未经 认证的的设备试图接入时,应能够及时发现非法接入的设备源地址,向网络管理员告警,并及 时阻挡; 视频监控接入协议实地部署时应具备足够的安全健壮性,需定期进行安全健壮性的测试; d)接入设备应根据不同情况采用不同的认证方式; e)对非SIP设备,宜通过设备代理来进行认证; f)对标准SIP可信设备,应采用数字证书的认证方式; g)对于采用ONVIF、PSIA等协议作为管理平台与视频监控设备进行统一接入协议的,宜采用SIP 作为接入认证协议; h)对于各生产厂商设计的私有接入协议,宜符合GB/T28181中第五章的相关要求,
本项应满足如下要求: )应具备接入对象认证机制,保证接入监控网络的设备身份合法性; )应具备对非授权的视频监控设备私自联到内部网络的行为进行限制或检查的能力,一旦有未经 认证的的设备试图接入时,应能够及时发现非法接入的设备源地址,向网络管理员告警,并及 时阻挡; c)视频监控接入协议实地部署时应具备足够的安全健壮性,需定期进行安全健壮性的测试; d)接入设备应根据不同情况采用不同的认证方式; e)对非SIP设备,宜通过设备代理来进行认证; f)对标准SIP可信设备,应采用数字证书的认证方式; g)对于采用ONVIF、PSIA等协议作为管理平台与视频监控设备进行统一接入协议的,宜采用SIP 作为接入认证协议; h)对于各生产厂商设计的私有接入协议,宜符合GB/T28181中第五章的相关要求,
5.1.2.5恶意代码防范
本项应满足如下要求: a)应具备发现、清除和避免再次感染恶意代码的防护手段; b)恶意程序知识库应及时更新,实现对新出现的恶意程序及其变种的防范
5.1.3设备和计算安全
5.1.3.1资产识别
YD/T3492—2019
本项应满足如下要求: a)应具备实时掌握合法接入系统中的视频监控设备在线连接数量的能力: b)应具备对合法接入系统中的视频监控设备进行品牌、型号和设备类型等信息进行识别的能力, 资产设备类型详见表A.1。
5.1.4应用和数据安全
5.1.4.1数据保密性
居的加密宜采用SIP所支持的安全协议进行处理
5.2.1安全维护管理
5.2.1.1监控室访问管理
本项应满足如下要求: a)应设置监控室出入的人员身份验证机制,由专人开设账号、分配权限,并登记备案; b)应根据“最小够用”原则为监控室中不同工作人员划分不同的权限,并建立监控室访问控制机 制,针对不同权限的工作人员,其对视频监控设备的访问、控制、存储、回放和删除的权限区 分不同; c)应建立监控画面调取审批流程,确保监控画面的调取是受控的: d)应建立外部人员物理访问监控室审批流程,确保在外部人员物理访问监控室前先提出书面申请 批准后由专人全程陪同,并登记备案; 重要行业或敏感部门的视频监控系统监控室不允许外部人员访问。
5.2.2安全建设管理
5.2.2.1资产管理
本项应满足如下要求: a)应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; b)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施: c)应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。 d)宜禁用闲置的通信端口:
YD/T 34922019
e 设备生产商在设计实现时,不得设置未明示用户的私有端口或后门端口 应设置网络访问控制策略,限制对前端采集设备的网络访问。 g 应具备实时掌握设备开放的端口、服务的能力; 五 应具备对网络摄像机等设备具有风险的端口和服务进行识别的能力。 1 应具备对NVR、DVR等设备的设备属性进行识别的能力,设备属性包括设备的品牌、型号 设备类型、IP地址、端口、服务、所属部门等信息,
5.2.2.2漏洞和风险管理
本项应满足如下要求: a 应能发现可能存在的漏洞,并在经过充分测试评估后,及时修补漏洞,具体漏洞类型详见表 A.2; b) 应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题; c)应定期对系统进行漏洞评测,并形成报告; d)应采取必要的措施验证安全漏洞和隐惠,对发现的安全漏洞和隐患及时进行修补
5.2.2.3密码管理
视频监控系统的口令应符合《智能联网设备口令保护指南》的要求,不存在弱口令、空口令或 令等。
6视频监控系统各层功能安全技术要求
6.1前端采集层安全要求
6.1.1网络和通信安全
6.1.1.1通信传输
网络摄像机等前端采集设备在使用RTSP等传输协议时,应设置身份认证机制,避免出现空 口令等问题。
6.1.1.2边界防护
采集设备与上层业务系统之间应支持动态密钥协
6.1.1.3接入安全
6.1.2设备和计算安全
6.1.2.1访问控制
本项应满足如下要求: a)开放端口应具有管理配置功能,端口应可以由用户自主选择开放或关闭:
YD/T3492—2019
b)设备初始应以最小功能集配置 需要而必须端口开放外,其他服务端口应保持关闭 c)应具备实时掌握设备开放的端口、服务的能力 d)应具备对网络摄像机等设备具有风险的端口和服务进行识别的能力
6.1.2.2安全审计
系统应具备实时掌握网络摄像机等前端采集设备在线连接数量的能力。
6.1.2.3入侵防范
本项应满足如下要求: a)对于重要行业或敏感部门,其关键网络摄像机等前端设备应具有终端入侵检测的能力; b)应具备对设备存在的安全漏洞进行扫描发现的能力; c)应具备对设备存在的安全漏洞进行漏洞验证的能力。
JGJ∕T 199-2010 型钢水泥土搅拌墙技术规程6.1.2.4恶意代码防范
6.1.3应用和数据安全
6.1.3.1身份鉴别
6.1.3.2数据完整性
本项应满足如下要求: a) 应对重要数据传输提供专用通信协议或安全通信协议,避免来自基于通用通信协议的攻击破坏 数据完整性; b 网络摄像机等前端设备的Web登录组件,保证登录信息等敏感数据的安全性。例如采用IPSec、 TLS等相关安全技术。
6.2 传输层安全要求
CECS 239:2008 岩石与岩体鉴定和描述标准6.2.1网络和通信安全
6.2.1.1通信传输