标准规范下载简介

Y／ZT 0186-2022 邮政业智能视频监控系统采集设备技术要求.pdf简介：

Y／ZT 0186-2022 邮政业智能视频监控系统采集设备技术要求.pdf部分内容预览：

b）支持仅允许经过身份鉴别的用户主体执行权限范围内的操作。 .3.2.3Web攻击防范 应符合如下要求： a）默认启用SFTP、HTTPS、SSH等安全协议进行上传、下载、请求和响应等，保障Web通信安全； b）对自身可控组件以外的数据进行检验，拒绝没有通过校验的数据，以防范SQL/XML注人、XSS 等攻击； c）支持使用Web验证码等机制防范Web攻击； d）支持设置会话超时机制，会话超时后，用户如需继续操作，应再次经过身份鉴别； e）Web通信过程中，当检测到用户的IP、UserAgent等信息发生了变化，强制销毁当前会话，并要求 用户重新登录

6.3.3日志记录和审计

e) 对日志进程进行保护NB／T 42019-2013标准下载，防止未经授权的中断； + 支持将审计日志上传至寄递企业智能视频监控平台

应符合如下要求： a） 采用校验技术或密码技术保证数据在传输过程中的完整性和保密性； b）支持对采集设备关键数据（包括但不限于Boot文件、配置文件、密钥文件等)进行备份与恢复 处理； c） 支持对敏感数据如密钥文件等进行完整性校验； d）支持数据彻底删除。

6.3.5个人信息安全

6.3.6运维管理安全

6.3.6.1账号口令安全

应符合如下要求： a）用户首次登录时，强制用户修改出厂默认口令； b）所有口令支持用户自主修改，不使用硬编码口令； C） 口令具有复杂度要求，密码长度应不低于8位，包含数字、大小写字母、特殊字符中的两种或两 种以上组合。

6.3.6.2密码管理

7.2.1一般要求检验

7.2.2功能要求检验

7.2.2.1基本功能检验

7.2.2.2抓拍功能检验

7.2.2.3防抖功能检验

备对准分辨力测试卡进行拍摄。分别开启/关闭防抖功能，查看采集设备在开启防抖功能后拍摄的测试 卡的分辨力和清晰度读数是否提高

7.2.2.4智能分析功能检验

智能分析功能的测试方法和样本集按照相关测试

7.2.3性能要求检验

按照GA/T1127—2013中6.4.1.6规定的试验方法进行几何失真性能检验，按照GA/T1128一 第6章规定的试验方法进行其他性能指标检验

按照YZ/T0188—2022中第11章规定的试验方法进行。

7.4.1网络安全检验

7.4.1.1通信安全检验

通过软件工具（如Xcap)等向采集设备高频次发送ICMP、SYN数据包，模拟泛洪攻击，发送源、目的 IP相同的畸形报文攻击，检查采集设备播放画面的状态。通过软件工具向采集设备高频次发送需求 ARP响应包，欺骗摄像机建立错误的IP、MAC映射，查看采集设备中是否存有虚假ARP响应包中的IP MAC映射信息 通过查阅厂家提供的产品说明手册、访谈技术人员、抓包分析等方法，查证采集设备是否支持类似 802.1x的链路层认证机制

通过采集设备Web客户端，使用Root登录采集设备操作系统，修改系统配置文件，重新启动采集设 备，检查采集设备是否能正常启动，并且具有相关安全启动日志记录。 通过采集设备Web客户端，使用Root登录采集设备操作系统，修改系统敏感文件或提升进程权限， 或创建用户名非Root账号。重新启动采集设备，检查摄像机是否能够对相应情况产生告警信息。 通过测试平台（安装测试软件、采集设备客户端的PC机或服务器）向采集设备中传入典型僵户网络 代码、典型挖矿程序、典型恶意Rootkit等恶意代码模拟网络攻击，检查采集设备是否产生告警信息

7.4.2Web安全检验

7.4.2.1身份鉴别检验

通过默认的管理员身份登录摄像机管理界面，访问摄像机账号列表，并进行创建、删除、口令修改等 账号管理操作，检查是否成功， 使用相应的账号和口令登录摄像机，检测摄像机的账号和口令的校验功能：是否允许正确的账号和 口令登录摄像机；是否拒绝错误的账号和口令以及不存在的账号登录摄像机；是否具备非法登录次数的 限制、提醒和验证码机制。 通过管理员身份设置某个账户的口令有效期，在有效期内和有效期外分别登录该账户，检测该账户 口令的有效期是否生效。 通过查阅厂家提供的符合GB35114一2017中A级要求的检测报告，验证是否满足相应的身份认证

7.4.2.2访间控制检验

设备是否接受该数据包 通过管理员身份设置采集设备的用户及权限，通过不同的用户账号登录，执行权限内和权限外的操 作《电工电子产品加速应力试验规程高加速应力筛选导则 GB/T32466-2015》，检测采集设备的防控控制策略是否生效

2.3Web攻击防范检票

7.4.3日志记录和审计检验

使用不同账号登录采集设备，执行各种操作，模拟采集设备的软件安装、升级、卸载等，通过管理员账 号登录采集设备，打开采集设备日志信息，检查日志记录信息是否正确。 按照厂家提供的产品说明手册中对日志权限控制和保护措施的说明，对日志文件进行删除、修改、覆 盖等操作，验证日志保护措施是否生效。 配置测试平台作为日志服务器与采集设备相连，检查日志文件是否上传至测试平台，

对采集设备的传输数据进行抓包分析，检查是否支持数据完整性校验和加密保护。访问采集设备 收据备份目录，检查是否对关键数据进行备份， 使用管理员账号对采集设备存储的数据进行格式化操作.检查格式化是否成功

7.4.5运维管理安全检验

7.4.5.1账号口令安全检验 使用新建账号登录采集设备，检查是否有强制修改口令的提示，并检查是否具备口令复杂 提示。

7.4.5.2密码管理检验

检查采集设备中各场景使用的密码算法是否为国家商用密码算法JC∕T 690-2008 沥青复合胎柔性防水卷材，不得存在使用不安全密码算 或未公开密码算法的情况