■ 文/北京天防安全科技有限公司 段伟恒
关键字:视频图像 系统安全 安全技术要求
2021 年8 月10 日,中华人民共和国公安部技术监督委员会连续发布关于批准发布《公安视频图像信息系统安全技术要求》系列标准的通知,标准由公安部科技信息化局提出,由全国安全防范报警系统标准化技术委员会(SAC/TC100)归口。起草单位包含公安部第一研究所、公安部科技信息化局、视频图像信息智能分析与共享应用
技术国家工程实验室、杭州熙菱信息技术有限公司、北京天防安全科技有限公司、奇安信科技集团股份有限公司、格尔软件股份有限公司、苏州科达科技股份有限公司、公安部安全与警用电子产品质量检测中心、北京市公安局、河南省公安厅、浙江宇视科技有限公司、北京明朝万达科技股份有限公司、浙江大华技术股份有限公司、华为技术有限公司、深信服科技服份有限公司。本系列标准共包含四部分:
GA/T 1788.1-2021《公安视频图像信息系统安全技术要求 第1 部分:通用要求》,作为本系列标准的总纲,规定了公安视频图像信息系统安全的总体技术要求。标准规定了公安视频图像信息系统的网络安全建设应具备的基本要求,提出公安视频图像信息系统的安全建设的总体组成框架,划分安全域,并对前端接入区、安全交互区、系统应用区、安全管理区四个安全域提出具体的技术要求。
GA/T 1788.2-2021《公安视频图像信息系统安全技术要求 第2 部分:前端设备》,针对前端设备应满足的各方面的能力提出了统一的标准化要求,明确前端设备的分级、分类和安全技术要求,适用于公安视频图像信息系统前端设备的设计、制造和检验。
GA/T 1788.3-2021《公安视频图像信息系统安全技术要求 第3 部分:交互安全》,针对设备接入和网络间交互在边界安全建设方面提出了统一的标准化要求,规定了公安视频传输网的上下级主干网络间、主干网与接入网间,以及公安视频传输网与其他网络互联的安全交互系统架构、安全等级划分、安全策略、设备性能要求。
GA/T 1788.4-2021《公安视频图像信息系统安全技术要求 第4 部分:安全管理平台》,在第1 部分的安全管理区的安全技术要求基础上主要聚焦公安视频图像信息系统安全管理平台的平台结构、数据采集与接入、数据处理与存储、安全防护能力、系统管理、级联管理等技术要求。
图1 公安视频图像信息系统安全技术功能组成图
2.1 通用要求
本标准首先规定了公安视频图像信息系统的网络安全建设应具备的基本要求,然后对公安视频传输网的安全建设的总体组成框架中四个安全域提出具体的技术要求。
2.1.1 公安视频图像信息系统的网络安全建设总体技术要求
总体技术要求中提出网络安全建设应具备一定的检测、防护、恢复以及管理的能力,提出漏洞检测与修复、攻击检测与防护、应急恢复、安全技术与管理结合等方面的六条最基本的建设要求。
2.1.2 安全域的安全技术要求
标准定义公安视频图像信息系统的网络安全建设的总体组成框架,划分为前端接入区、安全交互区、系统应用区以及安全管理区四大安全域,并提出各安全分区的技术要求。
1)前端接入区技术要求。前端接入区是部署公安视频图像信息系统的各类前端设备、相关网络设备及链路的区域,前端接入区技术要求包括前端设备接入安全和前端设备安全两部分。一是前端设备接入安全主要规定了网络接入的方式,应具备准入控制能力以及对异常流量的监控和控制能力。二是前端设备安全概括性提出设备自身的安全要求,详细安全要求在标准的第二部分前端设备中提出。
2)安全交互区技术要求。安全交互区技术要求包括横向边界安全技术要求和纵向防护安全技术要求两部分。横向边界安全技术要求从视频交换链路安全技术要求、数据交换链路安全技术要求两个方面分别论述。纵向防护安全技术要求从纵向安全防护系统安全等级划分、纵向安全防护系统安全技术要求分别论述。横向边界安全技术要求指出,公安视频传输网应通过横向边界安全交互系统与公安移动信息网、电子政务外网及其他行业专网、互联网等网络实现视频图像信息的交互;
公安视频传输网与公安移动信息网、电子政务外网及其他行业专网之间应为双向数据传输,公安视频传输网与互联网之间应为双单向数据传输。同时要求横向边界安全交互系统应采用数据交换前置服务、安全隔离设备和数据交换后置服务方式搭建,严格隔离不同的网络安全域。纵向安全防护系统应根据连接区域的安全要求划分不同的安全等级,同时对纵向接入安全防护系统安全技术要求从网络访问控制、网络入侵防范、流量过滤、流量审计等方面提出总体要求,更加详细的安全技术要求在标准的第三部分交互安全中指出。
3)系统应用区安全技术要求。系统应用区指部署各类中心端视频图像信息系统的区域。系统应用区技术要求包括视频图像信息应用安全、视频图像信息数据安全以及运行环境安全三部分。一是视频图像信息应用安全包括应用访问控制、应用内容保护、应用攻击防护、应用脆弱性防护、应用日志审计等方面技术要求。二是运行环境安全包括终端安全、主机安全、云平台安全、容器安全、云主机安全、云网络安全、云存储安全等方面技术要求。三是视频图像信息数据安全包括数据签名和加密、数据访问控制、数据备份恢复、数据审计等方面技术要求。
4)安全管理区安全技术要求。标准中安全管理区安全技术要求从安全基础设施和安全管理平台两方面提出。一是标准对安全基础设施从身份管理、认证管理、权限管理、密码管理、审计管理、通用防护等做了详细的技术要求。二是安全管理平台从资产管理、脆弱性管理、基线配置、策略管理、安全事件管理、态势感知、通报预警、应急处置等维度提出总体的技术要求,更多详细的要求则在第四部分安全管理平台中详细描述。
2.2 前端设备
随着“天网工程”“雪亮工程”等公共安全视频联网工程的不断落地,前端设备的类型、品牌等越来越多,而各品牌之间的网络通讯、安全能力存在一定的差异性,随着公安视频传输网的网络建设和安全建设的规模化、标准化的需要,同时随着GB/T 28181、GB 35114 等标准的执行,对各类前端设备的接入方式、网络通讯、安全能力等方面提出了更高的要求。
本部分标准总体描述了公安视频图像信息系统中前端设备的分类与分级的方法和说明,然后就各类各级设备应满足的安全技术要求进行详细的规定说明。
2.2.1 前端设备分类分级方法
该标准定义了公安视频图像信息系统中前端设备的分类与分级的方法和说明。
在分类上,标准分别从传输方式、应用场景两个方面对前端设备做出分类。
标准指出,按照传输方式可将公安视频图像信息系统中前端设备分为有线前端设备和无线前端设备两类。按照应用场景将公安视频图像信息系统中前端设备分为视频采集类设备(简称采集类设备)、视频接入类设备(简称接入类设备)。
在分级上,标准指出,根据安全能力将公安视频图像信息系统中前端设备分为通用型、增强型I、增强型II 三级,并对各个级别应满足的各项安全技术要求进行了明确定义。
2.2.2 前端设备的安全技术要求
标准中首先规定了总体要求,并通过表格定义了前端设备安全要求与前端设备类别的对应关系。然后针对前端设备的物理安全、身份鉴别、访问控制、入侵防范、数据安全、证书和密钥管理、日志安全、无线交互类前端设备管控等方面的技术要求。
物理安全提出了前端设备应提供的基本的保障措施;
身份鉴别部分从身份标识与鉴别、鉴别失败处理、超时处理三个方面提出具体要求,具有密码模块的前端设备,其密码模块应具有不可更改的唯一电子身份标识;
接入类设备与采集类设备间以及前端设备接入时,采用基于口令的数字摘要认证方式进行认证,其口令应具有复杂度控制、定期更换、加密传输和存储的能力,应和账号不同;
采用动态口令方式认证时,动态口令的认证流程应符合GM/T 0021 的规定;
访问控制从前端设备的账户、口令、权限管理、访问授权、访问协议等方面提出具体的要求;
入侵防范从前端设备的系统安装、端口与服务提供、访问协议、系统升级、接入认证等方面提出具体的要求;
数据安全从数据的访问、数据删除以及数据传输安全性与完整性等方面提出具体要求;
证书和密钥管理提出前端设备数字证书、密钥等应符合GB 35114-2017 相关要求;
日志安全从前端设备日志的启用、存储以及记录的项目等方面提出具体要求;
无线交互类前端设备管控规定了无线类前端设备对接口配置管理、网络连接管理、无线WLAN 配置、访问规则、应用权限、状态监测采集、远程管理以及升级管理等方面的安全能力。
2.3 交互安全
针对目前公安视频传输网在设备和网络接入过程中缺乏统一的安全建设标准的问题,本标准首先定义了安全交互系统的体系和架构组成,并明确横向边界安全交互系统和纵向安全防护系统的功能架构以及无线视频前端的安全交互原则,然后定义了横向边界、纵向防护的安全等级,明确安全等级选择的基本原则,规定了安全交互系统中包含访问控制、准入控制等18 项安全策略的具体要求,最后规定了横向边界、纵向防护的性能指标。
2.3.1 安全交互系统体系架构及功能要求
标准规定安全交互系统分为横向边界安全交互系统和纵向安全防护系统,总体体系架构图如图2 所示。
图2 安全交互体系结构框图
横向边界安全交互系统包括视频交换链路和数据交换链路,其中视频交换链路应采用符合GB/T 28181、GB 35114 视频联网协议和公安移动信息网专用视频协议的隔离交换;
数据交换链路应采用符合GA/T 1400 等协议和其它通用数据的隔离交换。
横向边界安全交互系统功能架构共包含路由接入区、边界保护区、应用服务区、安全隔离区和安全监测与管理区等五个安全域,每个安全区域实现不同的安全功能,如图3 所示。
图3 横向边界安全交互系统功能架构
纵向接入安全防护系统是在视频资源接入时以及不同等级的公安视频图像信息系统之间建立安全防护机制,用于视频资源接入和上下级之间的纵向连接。纵向接入安全防护系统不隔离路由,上下级平台之间是路由可达的。纵向接入安全防护系统可以用于符合GB/T 28181 及GB 35114 视频联网协议、GA/T 1400 视图库协议和其他必要的远程访问、运维和安全服务的交互。纵向接入安全防护系统功能架构包含安全防护区和安全监测与管理区等两部分,如图4 所示。
图4 纵向接入安全防护系统功能架构
关于无线视频前端的交互原则,标准指出无线视频前端的接入分为互联网接入和专网接入两种模式。对无线视频前端的互联网接入模式,由横向边界安全交互系统提供接入安全交互隔离。对无线视频前端采用运营商VPDN或无线专网链路接入模式,由纵向接入安全防护系统提供安全交互接入。
2.3.2 安全交互系统等级划分
横向边界安全交互系统中视频交换链路的安全等级由低到高分为基本级、增强I 级、增强II 级。而数据交换链路不区分安全等级。
纵向安全防护系统安全等级由低到高分为基本级、增强I 级、增强II 级。
标准中规定了各等级的安全策略要求,并说明不同单位的安全等级选择原则。
一是安全交互系统安全策略要求。安全策略要求详细规定了安全交互系统中访问控制、设备准入控制、统一威胁防护、安全加固、恶意代码防护、签名验签、协议识别、内容过滤、流量管控、服务认证、信令安全、媒体安全、单向导入、单向导出、双向隔离、业务审计、集中监控、级联管理等18 项安全策略的具体要求。二是安全交互系统设备性能要求。性能要求规定了横向边界安全交互系统视频交换链路和数据交换链路性能要求、纵向安全防护系统性能要求以及边界集中监测与管理性能要求。
2.4 安全管理平台
目前,公安视频图像信息系统快速建设发展,但网络安全的建设和安全管理能力却相对滞后,各单位的网络安全建设方式和规模差异较大,同时也缺乏相对统一的安全建设标准和指导。
为了规范公安视频图像信息系统以及各行业公共安全视频联网工程的安全建设,GA/T 1788.1-2021《公安视频图像信息系统安全技术要求第1 部分:通用要求》标准中规定了安全管理区的安全技术要求。本标准是在第1 部分的基础上,重点提出公安视频图像信息系统的安全管理平台的标准化要求,为公安视频图像信息系统构建立体化安全能力指明了方向。
本标准首先规定了公安视频图像信息系统安全管理平台的功能组成结构,然后对安全管理平台的数据采集与接入、数据处理与存储、安全防护能力、系统管理、级联管理等功能模块提出具体的技术要求,最后在附录中明确各部分接口以及数据格式标准。
2.4.1 安全管理平台功能组成结构
安全管理平台功能模块主要包括数据采集与接入、数据处理与存储、安全防护能力、系统管理、级联管理等五大部分,如图5 所示。
图5 安全管理平台功能组成图
安全管理平台外部连接关系是通过级联接口实现上下级平台之间的连接,支持部、省、市、县四级联网。通过SNMP、Syslog、JDBC、WMI、Netflow 等接入接口,与接入对象(防火墙设备、病毒防护系统、IDS/IPS、堡垒机设备、安全审计系统、日志审计系统、基线配置核查系统、策略集中管理系统、视频审计系统、视频边界交互系统、其他通用安全设备/系统)进行连接,对其安全数据进行采集。
2.4.2 安全管理平台功能模块技术要求
2.4.2.1 数据采集与接入模块
数据采集与接入模块分为数据采集和数据接入两部分,其中数据采集模块通过主动探测方式实现资产识别、漏洞检测、弱口令检测、边界完整性检测、网络空间测绘,数据接入则通过接口接入外部安全设备/系统等的安全数据。数据类型包括:安全基线配置信息、拒绝服务攻击信息、病毒与木马信息、安全审计信息、安全事件信息、运维审计信息、流量监测信息、异常行为信息、认证与授权信息等,如图6 所示。
图6 数据采集与接入模块功能结构图
2.4.2.2 数据处理与存储
数据处理根据解析规则、过滤规则、分类规则等对采集数据进行过滤、分类以及范式化处理,并将处理后的数据存入分布式数据存储库,如图7 所示。
图7 数据处理与存储框架示意图
2.4.2.3 安全防护能力
安全防护能力包括威胁监测、态势感知、通报预警、应急处置。标准规定了各个部分的具体功能技术要求,如图8 所示。
图8 安全防护能力功能框架示意图
威胁监测规定了安全管理平台在资产监测、脆弱性监测、基线配置、策略管理、安全风险分析与安全事件管理等方面应具备的安全能力。
态势感知规定了安全管理平台的数据分析与展示方面的安全能力,主要包括针对全网资产态势感知、风险威胁态势感知、违规行为态势感知、安全事件态势感知以及脆弱性态势感知等方面。
通报预警规定了安全管理平台在上下级平台以及各级单位之间的流程化管理要求,主要包括针对安全事件、威胁、漏洞、违规行为等通报的上传与下达管理,针对安全事件、威胁等方面的安全预警的上传与下达管理,针对安全通报和风险预警信息的统计分析管理,针对各单位安全管理、安全运维等能力的评估能力管理等方面。
应急处置规定了安全管理平台针对安全事件应急处理方面的流程化管理要求,主要包括对安全事件的应急预案与处置措施的管理,对安全事件的快速诊断、故障定位和恢复等应急处置能力以及自动化响应管理能力,对应急处置事件信息的汇总统计以及分类、归档能力,对应急处置的事件信息的多维度分析与报告能力等方面。
2.4.2.4 系统管理
系统管理规定了安全管理平台自身的管理要求,包括用户管理、权限管理、运维监测、操作审计等部分功能技术要求。
2.4.2.5 级联管理
级联管理规定了安全管理平台的分级级联部署的相关能力要求,包括级联注册、业务协同、数据管理、级联安全四部分功能技术要求。
2.4.3 安全管理平台接口标准
接口标准规定了安全管理平台上下级级联的级联接口和数据格式的要求。
上下级级联接口规定了REST 协议模型和结构、设备与用户统一标识编码规则、接口资源与工作流程、应答消息体格式以及级联过程中注册与注销的方法等要求。
数据格式规定了安全管理平台上下级级联上报相关的数据格式的详细字段和要求,主要包括资产数据、脆弱性数据、事件数据、通报预警数据、应急处置数据等方面的具体数据格式。
GA/T 1788-2021《公安视频图像信息系统安全技术要求》系列标准的出台实施,有效弥补了公安视频网络安全建设规范的空白。标准制定过程中,充分考虑了我国公安视频传输网的安全建设现状,针对目前存在的主要问题,同时充分考虑未来视频监控领域的发展规划,从物理安全、前端安全、边界安全、数据安全、应用安全和安全管理等多个维度提出了统一的建设要求,为公安视频传输网构建立体化安全能力指明了方向。
本系列标准制定过程中,也结合了我国拥有自主知识产权、完全自主可控的视频监控联网信息安全方面的技术标准GB 35114-2017《公共安全视频监控联网信息安全技术要求》等标准,逐步丰富和完善了我国视频监控网络安全体系建设的标准化工作。标准内容中在提出技术指导的同时,也提出了安全管理工作的流程化和规范化要求,不仅适用于公安视频传输网的安全建设要求,对各行业的视频监控网络的安全建设均有着较高的指导性意义,使得视频监控网络安全建设工作有章可循、有规可依。
猜你喜欢公安信息系统图像改进的LapSRN遥感图像超分辨重建黑龙江大学自然科学学报(2022年4期)2022-11-17企业信息系统安全防护哈尔滨轴承(2022年1期)2022-05-23“老公安”的敛财“利器”公民与法治(2020年17期)2020-10-27有趣的图像诗作文小学中年级(2020年6期)2020-07-24Frequent attacks on health workers in China: social changes or historical origins?Traditional Medicine Research(2020年1期)2020-01-15基于区块链的通航维护信息系统研究电子制作(2018年11期)2018-08-04信息系统审计中计算机审计的应用消费导刊(2017年20期)2018-01-03“10岁当公安”为何能畅通无阻领导决策信息(2017年16期)2017-06-21公安报道要有度新闻传播(2016年20期)2016-07-10基于SG-I6000的信息系统运检自动化诊断实践现代工业经济和信息化(2016年12期)2016-05-17