T/ZJAF 11-2021 视频图像物联终端设备安全技术要求

内容简介

本文件规定了视频图像物联终端设备的安全架构、设备分类、安全要求及不同类型设备安全防护能力要求
本文件适用于视频图像物联终端设备的设计、开发、测试和应用
1.设备安全防护概述1.1安全防护架构通过对视频图像物联终端设备的硬件平台、系统平台、应用软件和通信4个功能模块进行安全防护，设备安全防护架构2.硬件平台安全2.1物理安全2.1.1出厂设备的调试接口应关闭或设置保护措施。2.1.2应支持基于硬件的安全启动技术，保护引导程序不被篡改。2.1.3应支持硬件安全存储防护技术，保护密钥、配置等数据的存储安全。2.1.4应支持系统的安全配置可被锁定。3.安全芯片3.1安全芯片与处理器在总线上的通信应启用加密机制。3.2安全芯片应使用安全密码算法，宜采用符合国家标准的密码算法。3.3安全芯片宜提供防止侧信道攻击的防御机制。3.4安全芯片宜支持设备的身份安全认证。4.系统平台安全4.1引导程序4.2出厂设备的引导程序配置应禁止变更。4.3应禁止设备从外部存储介质启动系统。4.4备启动时，应对引导程序进行完整性校验。4.5设备启动时，应通过引导程序对系统的加载进行完整性校验。4.6设备启动过程中，引导程序的外部接口应关闭或设置保护措施。5.操作系统5.1应满足GB/T35318—2017中7.1.2.1的规定。5.2应不存在已知的安全漏洞。5.3应具有对恶意病毒入侵的实时监测防护功能。5.4应支持应用程序加载的完整性校验，禁止被篡改的应用程序加载运行。5.5应启用内核提供的安全特性。5.6应启用内存保护机制。5.7应支持第三方应用程序隔离运行。6.软件升级6.1应支持OTA在线升级，升级时应校验OTA服务器的身份真实性。6.2应支持用户配置自动升级策略。6.3升级时应采用数字签名技术校验目标程序的完整性。6.4升级完成后，应保留原有用户配置。6.5不宜支持降版本更新。6.6升级失败时，应恢复到升级前的状态。6.7内核程序6.8加载内核模块前，应执行签名校验。6.9非必要的内核模块应默认关闭。7.初始设置7.1出厂设置应仅启用基本网络服务功能。8.应用软件安全8.1身份认证8.2设备的每个用户应具备唯一身份标识。8.3设备在IoT系统中应具备唯一身份标识。8.4面向用户、设备的身份认证应被强制启用，应采用安全的身份认证机制。8.5用户、服务及设备的身份认证机制与策略应中心化管理，共用一套框架。8.6设备应支持密码强度检查，提示引导用户使用复杂安全密码，应禁止密码写入源代码。9.权限控制9.1应禁止未经授权的用户访问个人信息和敏感数据。9.2应以最小化系统权限运行应用服务。9.3设备的调试能力应仅对特定人员开放访问权限，调试访问行为应被记录。10.安全审计10.1应支持用户日志的记录和查询，日志应至少包含操作源、操作用户、操作时间、操作结果。10.2日志应由系统自动生成，用户不可修改，非管理员用户应禁止删除日志。10.3本地存储空间有限或安全性不足的设备，应支持网络日志功能。11.数据保护11.1个人信息和敏感数据应加密存储。11.2应支持用户根据权限安全销毁个人信息、身份凭证等用户数据。11.3内存中敏感数据清除宜使用无意义数据覆盖。12.密码算法12.1在非必要的情况下，设备应保持密钥唯一性。12.2宜使用符合国家标准的密码算法。12.3应采用操作系统或硬件提供的安全随机源。12.4密码算法的密钥存储应具备硬件级安全保护能力。13.通信安全13.1通用安全13.1.1通信安全应满足GB/T37044—2018中5.4.2.2的规定。13.1.2设备与网络中其他节点通信，应采用具备完整性、机密性和防重放性能力的安全通道保护技术。13.1.3设备若采用TLS技术，应支持符合ITU-TX.509标准的数字证书，应采用本地存储的证书校验通信对端节点。13.1.4出厂设备的通信服务程序不应存在已知漏洞。13.1.5应支持对网络攻击行为的实时监测和预警。14.设备间交互14.1跨信任边界的网络传输，应支持敏感数据加密。14.1共享密钥应采用安全的密钥交换协议，禁止采用出厂预置密钥。14.2设备应经MQTT代理授权后进行订阅和消息发布，认证机制宜使用证书认证。15.蓝牙通信15.1PIN码组成应满足复杂性要求。15.2蓝牙的配对模式除了“JustWork”外，SSP认证机制应至少不低于6位数字。15.3加密密钥宜选择允许范围内的最大长度。15.4设备蓝牙应支持采用可获取的最安全认证方法。15.5设备蓝牙应默认使用最强安全模式和等级。16.WiFi通信16.1若非设备功能需要，WiFi网络应默认关闭或禁用。16.2宜支持WPA2或更高等级的安全保护。16.3若使用WPA，应采用AES加密（CCMP模式）。16.4WiFi连接宜禁用WPS方式。