GAT 669.2-2008标准规范下载简介
GAT 669.2-2008 城市监控报警联网系统 技术标准 第2部分:安全技术要求简介:
GAT 669.2-2008《城市监控报警联网系统 技术标准 第2部分:安全技术要求》是中国关于城市监控报警联网系统安全技术要求的国家标准。这份标准主要规定了城市监控报警联网系统在设计、建设和运行过程中应遵循的安全技术原则和要求,以确保系统的安全性、稳定性和可靠性。
具体内容包括以下几个方面:
1. 系统架构安全:规定了系统的整体架构设计应遵循的原则,如模块化设计、层次化结构等,以提高系统的可维护性和扩展性。
2. 通信安全:规定了通信过程中的数据加密、身份认证等措施,以防止数据被非法截取或篡改。
3. 访问控制:规定了对系统资源的访问控制机制,如用户权限管理、角色定义等,以防止未授权的访问和操作。
4. 系统安全:规定了系统运行环境的安全要求,如操作系统安全、数据库安全等,以及系统的备份和恢复机制,以防止系统故障导致的数据丢失。
5. 安全审计:规定了系统应具有安全审计功能,能够记录和追踪系统内的操作行为,便于发生安全事件时进行追溯。
6. 风险管理:规定了对系统安全风险的评估、管理和控制,确保系统能够应对可能出现的各种安全威胁。
7. 法律法规:规定了系统应遵守的国家法律法规,包括但不限于信息安全法、网络安全法等。
这份标准的实施,对于提升我国城市监控报警联网系统的安全性,保障社会公共安全,具有重要的指导意义。
GAT 669.2-2008 城市监控报警联网系统 技术标准 第2部分:安全技术要求部分内容预览:
公钥基础设施publickeyinfrastructure 包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制证书的产生、管理、存储、分 发和撤销等功能。 .1.2 公钥证书publickeycertificate 用户的公钥连同其他信息,并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。 1. 3 证书认证机构 certification authority 负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密组
GA/T669.22008
注册机构registrationauthority 为用户办理证书申请、身份审核、证书下载、证书更新、证书注销以及密钥恢复等实际业务的 构或业务受理点。
注册安全工程师考试复习资料(2011年)PKI/CAPublicKeyInfrastructure/CertificationAuthority公钥基础设施/认证机构
联网系统安全设计应符合国家或行业相应的告
联网系统安全设计应采用先进的设计思想和方法,尽量采用国内、外先进技术(例如:主动防御技术 等)。所采用的先进技术应符合当地环境条件、监视对象、监控方式、维护保养以及投资规模等实际情 况;应合理设置系统功能、恰当进行系统配置和设备选型,保证其具有较高的性价比,满足业务管理的 需求。
联网系统安 以便利用现有资源及应用升级。 4.4开放性和兼容性原则 对安全子系统的升级、扩充、更新以及功能变化应有较强的适应能力。即当这些因素发生变化时, 安全子系统可以不作修改或作少量修改就能在新环境下运行
4.4开放性和兼容性原
确性,在硬件的选型和配置、软件的组织 和设计方法的选择、数据的安全性和完整性以及系统的运行和管理等方面都应采取必要的措施。防止 由内在因素和硬件环境造成的错误和灾难性故障,确保系统可靠性
应采用系统优化设计,综合考虑安全子系统的整体性、相关性、目的性、实用性和环境适应性。 与应用系统的结合应相对简单、独立。
4.7技术与管理相结合原则
联网系统安全体系应遵循技术与管理相结合的原则进行设计和实施,各种安全技术应该与运行 机制、人员思想教育与技术培训、安全规章制度建设相结合,从社会系统工程的角度综合考患,最大阝 发挥人防、物防、技防相结合的作用
应根据应用需求确定信息安全等级保护级别,并遵照信息安全等级保护原则,选择适合系统的安 户措施。
按照设备的使用范围以 计相应的安全域,安全域内应进行安全认 证和权限分配,保证相关业务和影 ,控制权限的意征
为设备或用户分配权限时,应在不影响业务的情况下,实现功能明确、设备明确、时段明确和“权网 小化”,以有效进行权限管理
GA/T 669.22008
5联网系统安全技术体系总体框架和认证及权限管理结构
联网系统安全技术体系总体框架如图1所示,可以分为物理(实体)安全、通信和网络安全、运行安 全以及信息(数据)安全四个层面。 物理安全主要包括监控中心电源安全、电磁兼容性安全、环境安全、设备安全、防雷接地、记录介质 安全六个方面。 通信和网络安全主要包括网络传输安全、公安专网的接人安全、公安专网的输出安全三个方面。 运行安全主要包括安全监控、安全审计、恶意代码防护、备份与故障恢复、应急处理、安全管理六个 方面。 信息安全主要包括用户身份认证、接人设备认证、用户权限管理、访问控制及业务审计、数据加密及 数据完整性保护、安全域隔离六个方面。
5.2认证及权限管理结构
图1安全技术体系总体框架
联网系统认证及权限管理结构如图2所示。公钥基础设施(PKI)和权限管理系统(PMS)都通过安 全管理系统为安全支撑平台提供基础服务。公钥基础设施(PKI)为联网系统设备和用户发放数字证 书,并提供对证书有效性以及证书撤销列表(CRL)的查询服务。权限管理系统(PMS)保存系统权限策 略和权限数据,为用户提供权限查询服务。安全管理系统负责用户管理,并从公钥基础设施(PKI)获取 数字证书和CRL信息,从权限管理系统(PMS)获取权限信息,为安全支撑平台提供基础服务。 安全支撑平台为联网系统提供用户身份认证及单点登录、接入设备认证、数字签名、数据加密、访问 控制等安全服务,以保证应用系统的可用性、完整性和机密性,
6.1监控中心电源安全
图2认证及权限管理结构
监控中心配电系统应满足GB50348一2004中3.12的要求 监控中心应配备用电源,备用电源应能保证对监控中心内关键设备延长供电不少于8h。
监控中心机房应满足GB/T20271一2006中4.1.1.1的要求,选择机房场地、实现机房内部安全 防火、防水、防潮、空调降温、防静电。 通信线路的安全应按照GB/T20271一2006中4.1.1.2的要求对通信线路进行安全防
主要指三类设备:联网系统前端设备、通讯设备(路由器、交换机等)和监控中心主机设备(终端计算 机、服务器等)。根据设备所处位置的不同,又可分为室内设备、室外设备和移动设备。 应按照GB/T20271一2006中4.1.2.1的设备标记要求、计算中心防盗要求和机房外部设备防盗 要求,实现设备的安全保护。 应按照GB/T20271—2006中4.1.2.2的基本运行支持要求、安全可用要求和不间断运行要求设 计和实现设备的可用程度。 硬件设备应符合GB4943一2001中关于电击火实发热机械辐射化学等安全方面的要或
应综合设计系统的防雷和接地。系统各组成部分的防雷和接地设计应符合GB50348一2004中 3.9的规定。
GA/T669.22008
当联网系统使用公安专网、公共网络、无线网络进行传输时,应分别符合相关部门对各个网络的安 全管理规定或标准。 公共网络、无线网络在条件允许的情况下宜采用虚拟专用网络(VPN)或者传输层安全(TLS)协议 来保证传输的安全
7.2公安专网的接入与输出安全
公安专网应专网专用,当其他网络需要与公安专网进行数据交换时,应采取相应措施保障公安专网 的安全。宜在如下方案中选择 a) 将模拟视频输出信号接人由公安部门认可的视频编码设备,然后接入公安监控系统。 b) 社会监控中心将数字图像单向传输给公安监控中心。当与公安专网接口时,应符合公安专网 的安全管理规定。 c) 公安监控中心将数字图像输出给社会监控中心时,应按照公安专网的安全管理规定经安全隔 离设备后方可输出。
当不能解决公安专网与其他网络的隔离问题时,宜在公安监控中心设置两套完全物理隔离的监控 系统,一套直接连接公安专网,另一套连接社会监控中心。
应按照GB/T20271一2006中4.2.3的要求,设置分布式探测器,实时监测网络数据流,监视和记 录内、外部用户出人网络的相关操作。宜使用防火墙、防毒软件、入侵检测系统、漏洞扫描工具来提高网 络通信的安全性。
应按照GB/T20271一2006中4.2.7的要求,对包括计算机病毒在内的恶意代码进行有效 防护
配置,以实现双机热备或者冷备
GA/T 669.22008
各级各类监控中心应建立完善的安 期技术培训 应对组成系统的各种设备定期进行安全检查和维护
联网系统应建立CA机构。其主要职责如下: a)为本辖区内用户、设备签发证书; b)本级证书撤销列表(CRL)的创建和维护; c)管理、维护所签发的证书。
CJ∕T 466-2014 燃气输送用不锈钢管及双卡压式管件9.1.2数字证书类型
联网系统PKI体系涉及三种证书类型: a)用户证书; b) 设备证书,其中包括服务器证书和其他设备证书; cCA证书。 用户是指公安用户及政府其他部门需要共享监控业务信息的用户;设备是指服务器和其他设备 CA证书是指认证机构自身的证书
应支持X.509V3标准证书,并支持所有X.509V3标准定义的扩展。应支持X.509V2证书撤销 列表(CRL)。统一的用户证书格式、设备证书格式见附录A.1和A.2;统一的CRL格式见附录B。
应支持X.509V3标准证书,并支持所有X.509V3标准定义的扩展。应支持X.509V2证书撤销
联网系统所签发的证书应支持以下方式存储: a) 移动存储介质:如硬盘、U盘、存储IC卡等; b) 硬盘:通过文件的方式存储在硬盘上或通过证书管理器进行存储和管理; c) 智能卡:带有算法的IC卡; d) USBKey:USB接口的、带有算法的令牌; e 专用加密设备:如加密机,通常用于产生、存储和管理密钥和公钥证书。
联网系统应采用网络时间协议(NTP) 系统中的一台主服务器时间为基准实现全网时间校正;当时间精度要求较高时宜采用GPS授时技术 双标准时间《塑料门窗设计及组装技术规程 JGJ 362-2016》,采用简单网络时间协议(SNTP)来实现系统时间校正。当时间戳截做为可信依据时宜引
人时间戳机构(TSA),采用直接连接时间传输技术提供可信赖的且不可抵赖的时间截服务。时 周期可根据实际情况设定