安全视频监控系统前端设备的安全加固产品技术规范(T-SCHCIA 002—2020).pdf

《安全视频监控系统前端设备的安全加固产品技术规范(T-SCHCIA 002—2020).pdf》由会员分享，可在线阅读，更多相关《安全视频监控系统前端设备的安全加固产品技术规范(T-SCHCIA 002—2020).pdf（10页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、ICS 13.310 A91 T/SCHCIA 四 川 省 密 码 行 业 协 会 团 体 标 准 T/SCHCIA 0022020 安全视频监控系统前端设备的安全加固 产品技术规范 Technical specification of security reinforcement product in the front-end device for security video surveillance system 文稿版次选择 2020-12-02 发布 2021-01-01 实施 四川省密码行业协会发 布T/SCHCIA 0022020 1 目 次 前言.3 1 范围.4 2 规范性

2、引用文件.4 3 术语和定义.4 4 安全加固系统描述.5 5 安全功能要求.6 6 性能要求.9 7 安全测试要求.9 8 安全功能等级保护要求.9 T/SCHCIA 0022020 3 前 言 本文件按照GB/T 1.1-2020给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由四川省密码行业协会提出并归口。本文件起草单位：成都三零凯天通信实业有限公司、中国电子科技集团公司第三十研究所、工业信息安全（四川）创新中心有限公司、北京电子科技学院信息安全研究所、解放军信息工程大学、成都信息工程大学、电子科技大学、成都商用密码技术研究院、成都卫士通信

3、息产业股份有限公司、豪符密码检测技术（成都）有限责任公司、成都市信息系统与软件评测中心、成都启航信息技术有限公司、成都卡德智能科技有限公司、北京数字认证股份有限公司（成都分公司）、苏州科达特种视讯有限公司、北京中宇万通科技股份有限公司、成都芯安尤里卡信息科技有限公司、天融信科技集团股份有限公司、成都创信华通信息技术有限公司、中创为（成都）量子通信技术有限公司、迈普通信技术股份有限公司、四川数字证书认证管理中心有限公司、成都卫士通信息安全技术有限公司、成都市物联网产业发展联盟、四川省密码行业协会专家委员会、成都市保密协会商用密码专业委员会。本文件主要起草人：吴震、李斌、罗影、郭文胜、李新、唐蕾、

4、张正强、周世刚、周世杰、施晓东、刘增睿、吴春江、王娟、陈万钢、文闻、杜之波、王敏、向春玲、邓猛、李季、周海涛、周远德、刘杰、熊宏宇、郭俸明、张天椿。T/SCHCIA 0022020 4 安全视频监控系统前端设备的安全加固 产品技术规范 1 范围 本文件规定了安全视频监控系统中前端设备的安全加固系统描述，安全加固产品的安全功能要求、性能要求、安全测试要求、安全功能等级保护要求。本文件适用于视频监控系统责任方、视频监控系统集成方、视频监控应用系统开发方对前端设备安全加固产品的设计、开发、测试和验收。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于

5、本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 15852.2-2012 信息技术 安全技术 消息鉴别码 第2部分：采用专用杂凑函数的机制 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 28181-2016 公共安全视频监控联网系统信息传输、交换、控制技术要求 GB 35114-2017 公共安全视频监控联网信息安全技术要求 GB/T 38632-2020 信息安全技术 智能音视频采集设备应用安全要求 GM/T 0039-2015 密码模块安全检测要求 GM/T 0054-2018 信息系统密码应用基本要求 T/SCHC

6、IA 001-2020 安全视频监控系统密码算法应用通用规范 3 术语和定义 GM/T 0054-2018、GB 35114-2017、GB/T 38632-2020界定的及下列术语和定义适用于本文件。3.1 前端设备 front-end device 安全视频监控系统中安装于监控现场的信息采集、编码/处理、存储、传输、安全控制等设备。来源：GB 35114-2017，3.1.4，有修改 3.2 密码模块 cryptographic module 在前端设备（3.1）中实现随机数产生和密码运算功能的、相对独立的软件、硬件、固件或其组合。来源：GB 35114-2017，3.1.12 3.3 视

7、频监控管理平台 security management platform in video surveillance T/SCHCIA 0022020 5 由具有安全功能的中心信令控制服务器、具有安全功能的媒体服务器、信令安全路由网关等功能实体组成，具有用户身份认证、设备身份认证、秘钥管理、权限管理、签名验签、加密解密、访问控制、审计、加密视频数据的实时点播/历史回放/存储/下载/分发/导出、视频数据源抗抵赖、控制信令的完整性验证等功能。来源：GB 35114-2017，3.1.9 3.4 功能实体 functional entity 实现一些特定的逻辑单位的集合 来源：GB 35114-20

8、17，3.1.16 注：一个物理设备可以有多个功能实体组成，一个功能实体也可以由多个物理设备组成。3.5 预置软件 pre-installed software 设备交付给用户时已经预先安装的软件 来源：GB/T 38632-2020，3.4 注1：主要包括固件、系统软件和应用系统。注2：如果设备软件在交付时与原始设备制造商的版本不同，则视交付时刻的终端软件为预置软件。4 安全加固系统描述 4.1 安全视频监控系统中前端设备安全加固系统是对没有安全功能的普通网络摄像机，通过部署基于密码技术的安全加固系统，增加设备身份认证、完整性、保密性保护等手段，对前端设备进行安全功能增强，提高前端设备的安全

9、保护能力，前端设备的安全加固系统典型部署运行环境见图 1。网络摄像机网络摄像机网络摄像机网络摄像机网络摄像机安全接入设备安全接入设备IP网信令安全路由网关视频存储服务器流媒体服务器接入交换机接入交换机监控终端安全加固网关视频监控管理平台视频监控管理平台前置加固方式前置加固方式后置加固方式后置加固方式中心信令服务器其他服务器核心交换机 图1 安全加固系统的典型部署运行环境 T/SCHCIA 0022020 6 4.2 按照安全加固系统在接入交换机前后部署的位置，分为前置加固方式和后置加固方式。4.3 前置加固方式 是在网络摄像机的后端一对一部署安全接入设备产品，通过网线串联到网络摄像机与网络交换

10、机之间，完成对前端网络摄像机安全加固。4.4 后置加固方式 是将安全加固网关产品部署于接入交换机后，为连接在接入交换机上的多台网络摄像机提供信令安全加固，后置加固方式应用于不具备条件进行一对一加固的场景。注：由于物理空间限制或者物理安全防护能力限制，不便于将安全加固设备紧密部署在普通网络摄像机附近的情况下，建议采用后置加固方式部署安全加固网关。5 安全功能要求 5.1 基本要求 a)前置加固的安全接入设备和后置加固的安全加固网关安全功能应符合T/SCHCIA 001-2020中表B.1 的要求；b)前置加固的安全接入设备和后置加固的安全加固网关功能中采用密码算法应符合 T/SCHCIA 001

11、-2020 中附录 C 的要求。5.2 前置加固方式要求 5.2.1 设备身份标识与鉴别 a)应支持唯一的识别码作为设备的身份标识、对标识码进行保护，防止篡改；b)应支持基于 SM2 算法数字证书完成安全接入设备与视频监控管理平台的双向身份认证。5.2.2 访问控制 a)应支持绑定从局域网内接入的前端设备的 IP 与 MAC 地址；b)应支持视频监控管理平台以基于 IP 与 MAC 地址白名单进行设备访问控制；c)应支持系统管理员基于角色对安全接入设备进行访问控制；d)应支持对网络、存储、文件等重要资源配置访问控制策略。5.2.3 系统管理员身份 a)应支持对系统管理员身份鉴别；b)应保护系统

12、管理员身份信息不被窃取，篡改。5.2.4 数据安全 a)应支持对通信过程中重要的用户数据（例如系统管理员的账户、口令、位置、图片、音频、视频等）的完整性和保密性保护；b)应支持对设备存储的重要日志数据的完整性和保密性保护；c)应支持视频数据保密性以及完整性保护；d)应支持对 GB/T 281812016、onvif 等协议的完整性和保密性保护。T/SCHCIA 0022020 7 5.2.5 预置软件 a)预置软件不得包含产品功能清单之外的其他功能；b)应具备针对预置软件的安全升级机制，且在软件升级时取得用户的同意；c)应对固件的完整性进行保护，防止通过供应商及授权的第三方之外的途径对固件进行

13、修改。5.2.6 数字证书 应支持数字证书导入、查看与管理。5.2.7 密钥管理 应支持密钥在线管理,支持在线分发、存储、更新、销毁。5.2.8 日志管理 a)应支持记录安全接入设备接入过程日志；b)应支持过程日志数据不被篡改。5.2.9 网络连接与端口 应具备关闭、禁止或限制使用设备上与应用无关的端口、协议和服务的机制。5.2.10 数据通信 应支持通过 GB/T 281812016、onvif 等协议接入前端设备，获取其视频流、信令流等。5.2.11 安全审计 a)应能对开关机、创建用户、更新配置、卸载软件、软件升级、修改口令、登录失败、特权用户登录等时间进行记录，审计记录应包括事件类型、

14、事件发生时间、触发事件的主体、事件处理结果等信息；b)应对审计信息进行保护、防止非授权的访问、修改和删除；c)应支持服务端获取本地相关审计信息的功能。5.2.12 服务保障安全 a)在交付用户之前，设备应经过充分的安全测试、尽可能修复已发现的安全缺陷，确保高风险缺陷得到修复；对于未能在开发阶段修复的安全缺陷和漏洞，应实施在用户侧进行紧急修复的安全管理流程；b)在交付用户之后，应建立持续性安全保障机制，当出现信息安全缺陷时，及时通知用户，并提供修复方法或者应急处置方案。5.3 后置加固方式要求 5.3.1 设备身份标识与鉴别 a)应支持唯一的识别码作为设备的身份标识、对标识码进行保护，防止篡改；

15、b)应支持基于 SM2 算法数字证书完成安全加固网关与视频监控管理平台的双向身份认证。5.3.2 访问控制 a)应支持绑定从局域网内接入的前端设备的 IP 与 MAC 地址；T/SCHCIA 0022020 8 b)应支持视频监控管理平台以基于 IP 与 MAC 地址白名单进行设备访问控制；c)应支持系统管理员基于角色对安全加固网关进行访问控制；d)应支持对网络、存储、文件等重要资源配置访问控制策略；e)应具备防止对摄像头、麦克风等传感器非授权访问和使用的机制，例如提示对话框、状态指示灯、物理开关等。5.3.3 系统管理员身份 a)应支持对系统管理员身份鉴别；b)应保护系统管理员身份信息不被窃

16、取，篡改。5.3.4 数据安全 a)应支持对通信过程中重要的用户数据（例如系统管理员的账户、口令、位置、图片、音频、视频等）的完整性和保密性保护；b)应支持对设备存储的重要日志数据的完整性和保密性保护；c)应支持视频数据保密性以及完整性保护；d)应支持对 GB/T 281812016、onvif 等协议的完整性和保密性保护。5.3.5 预置软件 a)预置软件不得包含产品功能清单之外的其他功能；b)应具备针对预置软件的安全升级机制，且在软件升级时取得用户的同意；c)应对固件的完整性进行保护，防止通过供应商及授权的第三方之外的途径对固件进行修改。5.3.6 数字证书 应支持数字证书导入、查看与管理

17、。5.3.7 密钥管理 应支持密钥在线管理,支持在线分发、存储、更新、销毁。5.3.8 日志管理 a)应支持记录安全加固网关接入过程日志；b)应支持过程日志数据不被篡改。5.3.9 网络连接与端口 a)应具备关闭、禁止或限制使用设备上与应用无关的端口、协议和服务的机制；b)应具备开启、关闭、禁用或者监控设备 USB 等无线或有线物理开关的机制；a)应支持对设备开放的端口及其对应的服务进行标识和鉴别的机制，包括识别出高危端口、高危服务，非法开放的端口、无用的服务。5.3.10 数据通信 应支持通过 GB/T 281812016、onvif 等协议接入前端设备，获取其视频流、信令流等。T/SCHC

18、IA 0022020 9 5.3.11 安全审计 a)应能对开关机、创建用户、更新配置、卸载软件、软件升级、修改口令、登录失败、特权用户登录等时间进行记录，审计记录应包括事件类型、事件发生时间、触发事件的主体、事件处理结果等信息；b)应对审计信息进行保护、防止非授权的访问、修改和删除；c)应支持服务端获取本地相关审计信息的功能。5.3.12 服务保障安全 a)在交付用户之前，设备应经过充分的安全测试、尽可能修复已发现的安全缺陷，确保高风险缺陷得到修复；对于未能在开发阶段修复的安全缺陷和漏洞，应实施在用户侧进行紧急修复的安全管理流程；b)在交付用户之后，应建立持续性安全保障机制，当出现信息安全缺

19、陷时，及时通知用户，并提供修复方法或者应急处置方案。6 性能要求 a)安全接入设备和安全加固网关采集的视频因加密运算所引起的延迟应不大于 400ms；b)安全接入设备和安全加固网关视频数据签名应不小于 1 次/s。7 安全测试要求 安全接入设备和安全加固网关应按GM/T 0039-2015要求进行测试。8 安全功能等级保护要求 按照GM/T 0054-2018等级保护不同级别的要求，安全视频监控系统中前端设备的安全加固产品等级保护分级如表1所示。表1 前端设备的安全加固产品等级保护分级 功能实体 功能名称 安全接入设备对应条款 安全加固网关对应条款 等级保护分级 备注 一级 二级 三级 四级

20、基本要求 5.1 a）、5.1 b）5.1 a）、5.1 b）-应 应 设备身份标识与鉴别 5.2.1 a）、5.2.1 b）5.3.1 a）、5.3.1 b）-宜 应 应 访问控制 5.2.2 a）、5.2.2 b）、5.2.2 c）、5.2.2 d）5.3.2 a）、5.3.2 b）、5.3.2 c）、5.3.2 d）-应 应 应 5.3.2 e）-应 应 应 系统管理员身份 5.2.3 a）、5.2.3 b）5.3.3 a）、5.3.3 b）-应 应 应 T/SCHCIA 0022020 10 表1 前端设备的安全加固产品等级保护分级（续）功能实体 功能名称 安全接入设备对应条款 安全加

21、固网关对应条款 等级保护分级 备注 一级 二级 三级 四级 数据安全 5.2.4 a）、5.2.4 b）、5.2.4 c）、5.2.4 d）5.3.4 a）、5.3.4 b）、5.3.4 c）、5.3.4 d）-宜 应 应 预置软件 5.2.5 a）、5.2.5 b）、5.2.5 c）5.3.5 a）、5.3.5 b）、5.3.5 c）-宜 宜 应 数字证书 5.2.6 5.3.6-应 应 密钥管理 5.2.7 5.3.7-应 应 日志管理 5.2.8 a）、5.2.8 b）5.3.8 a）、5.3.8 b）-宜 应 应 网络连接与端口 5.2.9 5.3.9 a）-应 应 应 5.3.9 b）、5.3.9 c）-应 应 应 数据通信 5.2.10 5.3.10-应 应 应 安全审计 5.2.11 a）、5.2.11 b）、5.2.11 c）5.3.11 a）、5.3.11 b）、5.3.11 c）-宜 应 应 服务保障安全 5.2.12 a）、5.2.12 b）5.2.13 a）、5.2.13 b）-宜 宜 应 _