《DB32_T 4433-2022 物联网 智慧小区安防信息系统安全技术要求.docx》由会员分享,可在线阅读,更多相关《DB32_T 4433-2022 物联网 智慧小区安防信息系统安全技术要求.docx(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、目次!#!#$%前言!范围!规范性引用文件!#术语和定义!$缩略语%智慧小区安防系统结构#&安防感知终端安全要求$&物理安全要求$&软件安全要求%&运行维护要求(短程感知通信安全要求)(有线短程通信网络)(无线短程通信网络)安防感知层网关安全要求)物理安全要求)软件安全要求*)运行维护要求!+*感知通信网络安全!+安防信息平台安全要求!+安防信息平台接入要求!+安防信息平台用户管理要求!+安防信息平台感知层安全信息采集要求!+安防信息平台感知层安全信息可视化要求!+安防信息平台对接管控平台要求!管控通信网络安全要求!参考文献!#!#物联网智慧小区安防信息系统安全技术要求范围本文件规定了物联网智
2、慧小区安防信息系统的感知终端*感知层网关*感知通信网络*安防信息平台等的安全技术要求本文件适用于物联网智慧小区安防信息系统的设计*集成*运维和管理规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中+注日期的引用文件+仅该日期对应的版本适用于本文件,不注日期的引用文件+其最新版本(包括所有的修改单)适用于本文件(,-.)!)!公共安全视频监控联网系统信息传输*交换*控制技术要求,-.#($&#+!(所有部分)近场通信231)安全技术要求,-.#%(#+信息安全技术个人信息安全规范(,-.#%*+#+!(信息安全技术射频识别4356)系统通用安全技术要求,-.#&*%
3、+#+!)信息安全技术智能卡安全技术要求789$:),-.#&*%!#+!)信息安全技术物联网感知终端应用安全技术要求,-.#(+#+!)物联网标识体系总则,-.#(+(&#+!)信息安全技术指纹识别系统技术要求,-.#(+()#+!)出入口控制系统技术要求,-.#(+*#+!)信息安全技术物联网感知层接入通信网的安全要求,-.#)&(!#+信息安全技术远程人脸识别系统技术要求,8.!$+公安视频图像信息应用系统第$部分%接口协议要求,8.!()!#+!公共安全社会视频资源安全联网设备技术要求术语和定义下列术语和定义适用于本文件小区$%&(%)*+,+$%+被城市道路或自然分界线围合+并与人口
4、规模相适应+配套有能满足该区域工作生产*人口物质与文化生活所需的公共服务设施的工作*生活聚集地*安防感知终端&%)&-$*%$.)+,&-/&%01$*2+)(3$-*%0*-)&2&%.用于采集智慧小区安防信息的物联网感知终端示例%监控摄像头*电子围栏*烟雾传感器*温湿度传感器*红外探测器*车位感应器*出入门禁*电子门锁等!#!$!*物联网安防系统4-#&%01$*2+)(3$-*%0*-)&2&%.由物联网感知终端*通信网络和信息平台等所组成的安防信息系统#!/安防信息平台&%01$*2+)(3$-*%0*-)/-$.+*-)3,+*-$.用于小区安防信息汇聚*处理*可视化展现+以及安防终
5、端管理和维护的软硬件平台&!安防感知层网关&%01$*2+)(3$-*%0*-)&%)&-$,+2%$5+*%6+2用于智慧小区安防短程通信网络内数据汇聚和向安防信息平台转发的感知层网络设备+具有数据存储能力*计算能力和协议转换能力等+可通过北向接口与应用平台建立通信连接和边缘计算通过南向接口与感知控制设备进行通信的实体注%实体可以是独立设备或软件!网络报警)%*6-$7+,+$.通过网络实现安防系统与公共安全报警系统连接+并产生和发送告警信息的过程(!敏感信息&%)&*8%)/-$.+*-)信息的泄漏*修改*破坏或丢失都会对用户产生不可预知损害的+需要保护的信息注%敏感信息包含但不限于安防系
6、统用户口令*通信密钥*个人隐私信息等)!&安全通信机制&%01$%0-.1)+*-).%09+).包含有实体鉴别*数据加解密*完整性验证*防篡改等技术保障措施的通信协议体*!物联网卡4-#:4;0+$(由物联网通信运营商发售+装置在物联网终端或网关上+用于物联网通信标识和网络流量计费的安全芯片卡%!$/物联网安全管控平台4-#&%01$*2.+)+5%.%)*+)(0-)*$-,3,+*-$.以数据服务为基础的+用于管理和控制物联网应用安全的综合性信息业务平台%!%北向接口)-$*9-1)()*%$/+0%物联网安全管控平台与公众电信网络之间的接口%!南向接口&-1*9-1)()*%$/+0%
7、物联网网关与感知控制设备之间的接口#缩略语下列缩略语适用于本文件(3B819%访问控制列表8;?AB9C)3.D%文件传输协议(C.AE?=F;B)G.D%超文本传送协议(GHIAJ.AE?=F;B)55C51%集成电路(?KAEL1C;MC)56%身份标识(L.%物联网技术(?A?F.NC?K=)5D%互联网协议(?A?;B)(;CO81%媒体访问控制(OLCE8;?AB)231%近场通信2PPM?CE?)DC(TC(00CC0CECC0(=CDQ5%公开密钥基础设施(MRB;SH5?FAE=AM;MA)46D%远程桌面协议46IDA;B)4.D%实时传输协议4EBPADA;B)4.0D%实
8、时流传输协议4EB.CP0A;B)0O-%服务器消息链(AUAO=EK;S)05O%用户识别模块(MR=;ARA5LLMB)05D%会话初始协议(?C?CCBVE?DA;B)00G%安全外壳协议(;MA0N;B)WD2%虚拟专用网络WCMEBDAUE2AS)智慧小区安防系统结构规范的对象为智慧小区安防系统+其系统结构见图!系统中的实体包括%E)安防感知终端(短程或公网感知终端)+以下简称终端,R)短程感知通信网络(有线或无线短程网络),;)安防感知层网关+以下简称感知层网关,L)感知通信网络(有线或无线公网专网),?=B接口的设备+需用用户名*口令方式进行访问授权,L)正式上线产品应封闭硬件和
9、固件调试接口+并去除电路板上的丝印信息,?应用231应用应符合,-.#($&#+!(所有部分)的规定4?卡应用安全51卡应用满足以下安全要求%E)51卡符合,-.#&*%+#+!)的规定,R)51卡应实现一卡一密,;)51卡宜采用1DY卡,L)51卡宜具备物理防御手段以防止侧信道攻击,4!应用安全4356应用应符合,-.#%*+#+!(的规定&!#!$*数据安全数据安全应满足以下要求%E)支持时间戳信息+支持数据传输和存储的时效记录,R)支持数据摘要和校验等机制+保障数据传输和本地存储的完整,;)敏感信息数据的传输和存储应采用加密和签名等防护机制+保障数据保密性和防篡改,%$个人信息安全终端采
10、集个人信息时+应符合,-.#%(#+中第%章*第&章的规定%软件更新软件安装或更新应满足以下要求%E)支持本地基于管理员用户登录的软件更新,R)支持基于安全通信机制下的远程更新,;)支持软件更新包的完整性和防篡改机制验证,L)不支持安装应用软件%日志和审计日志和审计应满足以下要求%E)有操作系统的终端+支持鉴别失败*软件更新操作*入侵告警*恶意病毒发现*设备重启等的安全日志+日志内容包括日期时间*事件类型*操作用户等,R)有操作系统的终端+支持安全日志的审计%!自检和故障处理自检和故障处理应满足以下要求%E)支持基于软件的终端功能自检,R)软件自检失败+支持根据安全策略执行设备重启或设备关闭等
11、自动操作+并自动留存日志!运行维护要求!%终端生命周期管理生命周期管理应满足以下要求%E)终端存储终端版本信息*有效使用期限信息和当前运行状态+并定期发送至接入设备,R)终端唯一标识随其生命周期生效和失效+失效标识不重复使用!维护管理维护管理应满足以下要求%E)指定专人定期检查终端+并进行可用性维护,R)对于使用移动通信物联网卡的终端+要定期检查其可靠性和机卡状态+发现异常应形成安全日志并上传安防信息平台!运维安全管理制度5运维安全管理制度包括但不限于密码人员管理*密钥管理*.设备运行*应急处置*密码软硬件及(介质管理等制度+应满足以下要求%E)应根据应用方案相对应设立管理规则,R)应对管理人
12、员或操作人员执行的日常管理建立操作规程,;)应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定+对存在不足或需要改进之处进行修订,L)应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制,)应具有密码应用操作规程的相关执行记录并妥善保存,F)应根据系统环境建立网络安全管理规定短程感知通信安全要求有线短程通信网络整体系统中存在有线短程通信网络或总线时+应至少满足以下一项要求%E)采用物理隔离的专用线路*专用协议组网通信,R)采用逻辑隔离或信道加密技术的组网通信无线短程通信网络整体系统中存在无线短程通信网络或总线时+应至少满足以下一项要求%E)采用专用通信频段或专用通
13、信方式*通信协议的组网通信,R)采用逻辑隔离或信道加密技术的组网通信安防感知层网关安全要求物理安全要求选型!同&选址!同&供电应采用持续型供电方式供电防拆!$同&启动!%同&硬件设备要求!&同&)印刷标识!(同&软件安全要求标识标识应满足以下要求E)系统内唯一标识R)标识包含#位以上随机数+防止批量猜测;)标识信息防篡改应能够识别来自北向接口的物理标识*网络地址标识和应用属性标识标识编码规则应符合,-.#(+#+!)相关规定,L)应具有标识映射和转换功能+能够实现南向接口和北向接口所传递各类标识的相互映射和转换鉴别鉴别应至少满足以下要求中的一项%E)支持基于系统内唯一标识的鉴别,R)支持基于网
14、卡地址*通信协议和通信端口的鉴别,;)支持基于口令的鉴别+口令复杂度应不小于&个字符+包含中英文大小写和数字+避免使用默认口令,L)物联网网关应支持对其所传送的数据进行加密处理+以保证数据的安全性支持基于预分配密钥的对称加密信息鉴别,)支持基于公钥密码机制的双向鉴别,F)用户鉴别可支持其他鉴别机制%如通过数字证书*智能卡或通过人体的生物特征进行鉴别等,K)物联网网关受到攻击(至少支持漏洞扫描或拒绝服务攻击)时+应能够自动记录攻击的发起地址*攻击吋间以及攻击类型等关键信息+生成实时报警信息+并且具有一定的阻断能力感知终端接入鉴别机制面向感知终端的接入鉴别机制应满足以下要求%E)支持对其管理网络的
15、所有接入短程感知通信终端进行接入鉴别,R)有效管理通信网络的接入鉴别机制+终端接入密钥和接入安全策略,;)接入安全策略包括终端*网络白名单和黑名单*接入鉴别响应处理等接入安防信息平台鉴别机制面向安防信息平台的接入鉴别机制应满足以下要求%E)支持接入安防信息平台的鉴别,R)支持鉴别失败处理+符合,-.#(+*#+!)中&的规定,;)应具备将来自不同感知控制设备的不同接入协议转换至同一种约定协议的功能+通过北向接口完成数据的上报,L)应具备将来自北向接口的协议转换成不同类型协议的功能+通过南向接口连接至相应的感知控制设备完成设备的控制*!#!$&)访问控制访问控制应满足以下要求%E)本地访问控制+
16、采用网关管理员口令鉴别机制,R)支持基于819列表的访问控制,;)支持多用户访问控制+并最小化用户权限+不应使用默认用户名和口令访问网关,L)不应向非管理员用户开放操作系统配置和软件的更改操作权限)入侵防护入侵防护应满足以下要求%E)支持基于安全通信协议的数据过滤,5R)支持基于56*D*网络地址*通信端口等限制条件的数据过滤,;)支持恶意程序和病毒代码的入侵防护,L)支持通信异常监测机制()数据安全*同&5为防止数据信息通过拍照等方式泄露+平台整体界面应支持水印技术+包括时间(实时更新)*D*登录用户名等信息)软件更新软件安装或更新应满足以下要求%E)支持本地基于管理员用户登录的软件更新,R
17、)支持基于安全通信机制下的远程更新,;)支持软件更新包的完整性和防篡改机制验证*)日志和审计日志和审计应满足以下要求%E)支持鉴别失败*软件更新操作*入侵告警*恶意病毒发现*设备重启*感知层网络异常事件等的安全日志+日志内容包括日期时间*事件类型*操作用户等,R)支持感知终端安全日志数据的读取*存储和转发,;)支持安全日志的审计%)$自检和故障处理自检和故障处理应满足以下要求%E)支持基于软件的网关功能自检,R)软件自检失败+支持根据安全策略执行设备重启操作+并自动留存日志!%)运行维护要求)生命周期管理感知层网络生命周期管理应满足以下要求%!+!#!$E)网关存储网关版本信息*有效使用期限信
18、息和当前运行状态+并定期发送至安防信息平台,R)网关采集*存储并转发接入终端的标识信息*版本信息*有效使用期限信息和当前运行状态,;)网关唯一标识随其生命周期生效和失效+失效标识不重复使用,L)宜提供感知控制设备接入数据的预处理*边缘处理和存储!)维护管理维护管理应满足以下要求,E)指定管理员定期检查网关+并进行可用性维护,R)对于使用移动通信物联网卡和插卡式硬件数字证书的网关+应定期检查其可靠性和机卡状态+发现异常应形成安全日志并转发安防信息平台,;)宜具有定位功能+例如%通过北斗或,D0完成定位+并且提供位置信息共享功能*感知通信网络安全!应符合,-.#(+*#+!)中(的要求%$安防信息
19、平台安全要求%$安防信息平台接入要求!应符合,-.#(+*#+!)中&的要求%$安防信息平台用户管理要求信息平台的用户管理应满足以下%E)具备多角色用户注册和管理功能+角色至少包括%平台管理员*普通用户,R)支持多类型用户的账号*口令和权限分配的管理,;)支持用户管理安全策略+包括%黑名单*白名单管理!%$安防信息平台感知层安全信息采集要求信息平台应接收经鉴别接入的网关和终端的以下信息内容%E)网关和终端的联网报警信息,R)网关和终端的安全告警信息,;)网关和终端的安全日志数据信息,L)网关和终端的设备生命周期管理信息,)使用移动通信物联网卡*数字证书卡的网关和终端的机卡维护管理信息#%$安防
20、信息平台感知层安全信息可视化要求信息平台的安全信息可视化应满足以下要求%E)支持联网报警信息可视化,R)支持安全告警信息可视化,;)支持安全日志统计分析信息可视化,L)支持设备生命周期统计信息可视化,!)支持使用移动通信物联网卡*数字证书卡的网关和终端的机卡维护管理统计分析信息可视化安防信息平台对接管控平台要求对接设备鉴权对接设备应支持基于安全数字证书的DQ5鉴权+鉴权采用的非对称加密算法应符合国家密码管理部门的相关规定传感数据传输$数据传输安全性符合,-.#(+*#+!)中&的要求视频图像数据接入公安视频专网要求智慧小区安防信息平台的视频图像数据接入公安视频专网时+宜符合,-#%!$#+!(
21、的要求+并满足以下条件E)应采用符合,8.!()!#+!规定的安全联网设备接入R)要求安全联网设备应支持对向社会资源接入平台传输的视频流*视频片段*图像及相关信息进行数字签名;)应支持对向社会资源接入平台传输的视频流*视频片段*图像及相关信息进行加密L)应具有重要数据(如配置信息*应用程序功能*日志等)的数据备份与恢复功能)应能通过密码模块生成并保存非对称密钥*对称密钥并产生数字证书+密钥生成算法F)应支持基于5DO81地址的访问控制+只允许5DO81地址白名单的对象接入*3*0*K)能够识别并控制应用协议+只允许通过05D4.D4.0D*G.D等进行信令与视频图像信息交换的业务必要的协议类型
22、+拒绝00G*.D46D*O-等非业务必要的协议类型访问N)视频资源接入应满足,-.)!)!,8.!$+等规定的协议或设备软件开发工具包从局域网端接入安全联网设备应具备基于数字证书的双向身份认证功能*用户身份认证功能5C)视频图像数据联网接入+要按相关标准采集正确的设备名称*编码*经纬度*D等基础信息+后推送管控通信网络安全要求感知信息传输网络安全要求如下%E)使用有线连接的传输网络时+宜采用WD2信道加密技术或专用通道,R)使用无线连接的传输网络时+宜采用信道加密等信道保护技术!参考文献!#$-.,-.#*#+!*信息安全技术网络安全等级保护基本要求-.,-#%!$#+!(公共安全视频监控联网信息安全技术要求-.,-.#%#!)#+!(公安物联网感知终端安全防护技术要求-.,-.#%*#+!(公安物联网感知终端接入安全技术要求%-.,-.#(+$#+!)信息安全技术物联网感知层网关安全技术要求