标准详情
- 标准名称:公共视频资源 第 7 部分:网络与数据安全要求
- 标准号:T/ZJAF 13.7-2023
- 中国标准分类号:CCSL67/I641
- 发布日期:2023-07-07
- 国际标准分类号:33.160.40
- 实施日期:2023-07-08
- 团体名称:浙江省安全技术防范行业协会
- 标准分类:视频系统互联网接入及相关服务
适用于基于公共视频资源传输网络建设的总体安全规划设计、部署实施、检测验收、安全运营等
本文件规定了公共视频资源网络与数据安全总体技术要求,部门/行业公共视频资源的跨层级安全共享交换要求,以及设施安全、网络边界安全、应用安全、用户安全、授权安全、数据安全和安全管理中心的安全技术要求。1设施安全1.1通用要求1.1.1人员要求:a)公共视频资源管理者负责公共视频资源相关设施安全管理;b)相关日常运维工作可由公共视频资源管理者指定的运维服务人员进行,运维服务人员应符合T/ZJAF13.3—2023的规定;c)公共视频资源建设与运营者在进行公共视频资源建设工程实施时,应按本章相关要求,确保上线设备无高危漏洞、弱口令、病毒等安全风险;d)公共视频资源使用者在使用公共视频资源设施时,应按本文件的要求,不得进行设备私接、违规外联、将相关设施私自带离机房或办公地点等违规行为。1.2目录管理:a)应能够对设备资产进行注册、发现、标记和管理。应建立设备目录式或表格化的设备资产清单,并定期更新;b)非摄像机设备类型的资产清单(如:管理服务器、存储服务器、网络视频录像机、硬盘录像机、交换机、网络安全设备、办公电脑)宜包括设备名称、设备类别、设备编号、设备IPv4/IPv6地址、MAC地址、设备负责人、设备管理者、用户、资产等级;c)摄像机设备属性应符合T/ZJAF13.3—2023的规定。1.3设备IP管理。1.3.1将各部门公共视频资源统一管理,公共视频资源管理者负责IP地址规划。IP地址规划应遵守如下规则:a)连续性:按照行政层级、业务类型为每个单位划分一段连续的IP地址;b)可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址的连续性;c)层次性:IP地址的划分应恪守CIDR标准,以有利于IP路由的聚集;d)唯一性:主要业务类型应细划IP地址范围,确保每类业务都有唯一的IP地址与之对应,使其易于标识和识别。1.3.2IP地址的申请、变更、回收:a)省、市、区县各级部门向本级公共视频资源管理者发起IP地址申请、变更、回收申请,公共视频资源管理者审核后初步拟定配置、变更或回收的IP地址,并组织进行实施;b)省、市、区县各级部门因设备损坏、淘汰、长期掉线等原因出现空闲IP地址时,应及时向本级公共视频资源管理者发起IP地址回收申请。1.3.3IP地址的运维:a)应通过智能化、自动化工具定期盘点IP地址使用情况,掌握IP地址在线、离线、未分配、非可信等使用情况,定期统计已分配IP地址但长期不在线的设备数量和清单;b)宜通过图形化展示IP地址在线、离线、未分配、非可信等使用情况,基于IP地址的网络视图查找子网,从子网中标记IP地址的使用情况,保留、已分配等情况,统计已分配IP地址但长期不在线的数量和清单。1.4口令管理:a)设备接入、系统上线及创建新用户时,应更改默认口令或初始口令,口令设置必须符合复杂度要求,且不同的设备、系统、用户应采用不同的口令,避免使用统一口令;b)账号口令应定期(每季度)更改,且不能使用历史账号口令;c)各类账号口令的发放、传输过程,应保证口令的安全,避免使用第三方或无保护的(明文)电子邮件发送;d)前端设备接入时,针对设备WEB登录、RTSP、ONVIF应用均应启用身份认证,且设置的口令应满足复杂度要求。其他应用(SSH、TELNET、SNMP等)应根据业务应用需要进行设置,必须启用时应启用身份认证且设置口令,非必要时应关闭应用;e)对于临时性设备维护等业务需求,应在业务完成后,及时修改账号口令,各业务更换维护单位或维护人员后,应及时修改相关设备及应用的账号口令。1.5设备风险管理:定期对公共视频资源传输网络进行安全检查,针对视频监控资产进行摸底,对设备弱口令、漏洞、敏感端口、违规外联、违规接入、前端设备违规替换、异常视频信令等内容开展监测、检查、管理和修复,以保证公共视频资源传输网络整体的安全使用。1.6设备安全基线要求:定期对公共视频资源传输网络中运行的网络设备、安全设备、应用系统、服务器操作系统、数据库、中间件等进行安全基线核查,掌握最新设备情况,包括存活设备数量、设备品牌、设备型号、开放端口、运行应用和账号权限、身份鉴别、密码策略、访问控制、安全审计、入侵防范等安全配置,并通过技术手段对配置核查信息进行集中管理、分析和展示。1.7防病毒要求:对终端、主机上的重要文件、进程、程序进行扫描检测,及时发现各种蠕虫、病毒、木马、恶意代码、恶意软件传播行为等病毒威胁,并进行有效的查杀、阻断或隔离,定期更新防病毒系统特征库。1.8入侵防御要求:应对公共视频资源传输网络中各种溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、病毒木马、蠕虫、网络异常、受控主机、系统漏洞攻击、APT攻击等行为进行入侵检测、告警和防御。1.9设施维护要求:a)应对各种设备制定专门的部门或人员进行定期维护管理;b)具备信息处理能力的设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时重要数据应加密;c)含有存储介质的设备在报废或重用前,应对存储介质上存放的数据进行完全清除或安全覆盖,保障设备上的敏感数据和授权软件无法被恢复重用。1.10报损、报废要求:a)各部门无权进行设备资产的报损报废。如确需报废的,可填写申请表,并将设备资产交回指定单位或部门处理;b)各种报废的设备资产,集中放在仓库,废(旧)设备由指定单位或部门集中处理;c)指定单位或部门应在每年的第四季度进行设备资产的盘点,认真清理所有设备,做到账账相符、账物相符;d)设备资产的保管,使用不善或故意毁坏或因个人过失造成资产损失的,当事人均应承担赔偿全部或部分损失和相应的行政或法律责任。1.11物理环境安全管理:公共视频资源传输网络中的设备物理环境应满足GB/T22239中第二级相关安全要求。2前端设备2.1前端设备访问控制3终端设备3.1终端设备安全管理4.网络边界安全4.1联网共享架构4.2边界安全交互系统功能架构5.边界安全交互系统安全等级划分6.应用开发安全7.用户安全8.授权安全9.数据安全10.安全管理中心
浙江省公安厅科技信息化局、杭州迪普科技股份有限公司、杭州市公安局、浙江 省公安科技研究所、杭州市安保服务集团有限公司、深信服科技股份有限公司、慧盾信息安全科技 (苏州)股份有限公司、江苏飞搏软件股份有限公司、浙江物芯数科信息产业有限公司、杭州众诚咨 询监理有限公司、杭州创谐信息技术股份有限公司、杭州兴达电器工程有限公司。
刘吉林、蔡新安、庞若蔚、丁钧、杜展明、肖政修、刘洋、黄凌、张纬良、季永 强、王兴会、谢培龙、秦旭东、李嘉豪
* 特别声明:资源收集自网络或用户上传,本网站所提供的电子文本仅供参考,请以正式出版物为准。电子文本仅供个人标准化学习、研究使用,不得复制、发行、汇编、翻译或网络传播等。如有侵权,请及时联系我们!