GAT6692安全技术要求Word文档格式.docx
《GAT6692安全技术要求Word文档格式.docx》由会员分享,可在线阅读,更多相关《GAT6692安全技术要求Word文档格式.docx(24页珍藏版)》请在冰豆网上搜索。
3.1术语和定义
3.1.1
公钥基础设施publickeyinfrastructure
包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制证书的产生、管理、存储、分发和撤销等功能。
3.1.2
公钥证书publickeycertificate
用户的公钥连同其他信息,并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。
3.1.3
证书认证机构
certificationauthority
负责创建和分配证书,受用户信任的权威机构。
用户可以选择该机构为其创建密钥匙。
3.1.4
注册机构
registrationauthority
为用户办理证书申请、身份审核、证书下载、证书更新、证书注销以及密钥恢复等实际业务的办事机构或业务受理点。
3.1.5
证书撤销列表certificaterevocation
list
一个已标识的列表,它指定了一套证书发布者认为无效的证书。
除了普通CRL外,还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。
3.1.6
权限管理系统privilegemanagementsystem
为用户、角色分配权限,并保障其正确使用的系统。
3.1.7
安全管理系统securitymanagementsystem
负责对用户信息及安全事件进行管理并完成安全审计等功能的系统。
3.1.8
安全支撑平台securitysupportingplatform
完成用户身份认证及单点登录、设备接入认证、数字签名、数据加密和访问控制等功能的系统。
3.1.9
物理安全physicalsecurity
联网系统设备所处的物理环境的安全,是整个系统安全运行的前提。
3.1.10
运行安全operationsecurity
网络与信息系统的运行过程和运行状态的安全。
3.1.11
信息安全informationsecurity
信息在数据收集、存储、检索、传输、交换、显示、扩散等过程中的安全,使得在数据处理层面保障信息依据授权使用,保护信息不被非法冒充、窃取、篡改、抵赖。
3.1.12
安全子系统securitysubsystem
联网系统的一部分,包括公钥基础设施、权限管理系统、安全管理系统及安全支撑平台软硬件。
3.1.13
安全域securitydomain
计算机网络中从属于单一安全策略、受单个授权机构管理的多个实体构成的集合。
3.2
缩略语
AES
AdvancedEncryptionStandard高级加密标准
CRL
CertificateRevocationList证书撤销列表
DES
DataEncrypti013.Standard数据加密标准
MD5
MessageDigestAlgorithm5信息摘要5
NTP
NetworkTimingProtocol网络时间协议
PKI/CAPublicKeyInfrastructure/CertificationAuthority公钥基础设施/认证机构
PMS
PrivilegeManagementSystem权限管理系统
SHA
SecureHashAlgorithm安全哈希算法
SNTP
SimpleNetworkTimeProtocol简单网络时间协议
SSL
SecureSocketLayer安全套接字
S/MIMESecure/MultipurposeInternetMailExtensions安全多用途网际邮件扩充协议
TSA
TimeStampAuthority时间戳机构
TLS
TransportLayerSecurity传输层安全
URI
UniformResourceLocator统一资源定位符
VPN
VirtualPrivateNetwork虚拟专用网络
4
联网系统安全设计原则
4.1规范性原则
联网系统安全设计应符合国家或行业相应的安全标准。
4.2先进性和实用性原则
联网系统安全设计应采用先进的设计思想和方法,尽量采用国内、外先进技术(例如:
主动防御技术等)。
所采用的先进技术应符合当地环境条件、监视对象、监控方式、维护保养以及投资规模等实际情况;
应合理设置系统功能,恰当进行系统配置和设备选型,保证其具有较高的性价比,满足业务管理的需求。
4.3可扩展性原则
联网系统安全设计应考虑通用性、灵活性,以便利用现有资源及应用升级。
4.4开放性和兼容性原则
对安全子系统的升级、扩充、更新以及功能变化应有较强的适应能力。
即当这些因素发生变化时,安全子系统可以不作修改或作少量修改就能在新环境下运行。
4.5可靠性原则
联网系统安全设计应确保系统的正常运行和数据传输的正确性,在硬件的选型和配置、软件的组织和设计方法的选择、数据的安全性和完整性以及系统的运行和管理等方面都应采取必要的措施。
防止由内在因素和硬件环境造成的错误和灾难性故障,确保系统可靠性。
4.6系统性原则
应采用系统优化设计,综合考虑安全子系统的整体性、相关性、目的性、实用性和环境适应性。
另外,与应用系统的结合应相对简单、独立。
4.7技术与管理相结台原则
联网系统安全体系应遵循技术与管理相结合的原则进行设计和实施,各种安全技术应该与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合,从社会系统工程的角度综合考虑,最大限度发挥人防、物防、技防相结合的作用。
4.8等级保护原则
应根据应用需求确定信息安全等级保护级别,并遵照信息安全等级保护原则,选择适合系统的安全保护措施。
4.9分层安全原则
按照设备的使用范围以及层次性、多监控中心的结构,设计相应的安全域,安全域内应进行安全认证和权限分配,保证相关业务和影响仅在有限范围内进行,控制权限的蔓延。
4.10最小权限原则
为设备或用户分配权限时,应在不影响业务的情况下,实现功能明确、设备明确、时段明确和“权限最小化”。
以有效进行权限管理。
5联网系统安全技术体系总体框架和认证及权限管理结构
5.1
总体框架
联网系统安全技术体系总体框架如图1所示,可以分为物理(实体)安全、通信和网络安全、运行安全以及信息(数据)安全四个层面。
物理安全主要包括监控中心电源安全、电磁兼容性安全、环境安全、设备安全、防雷接地、记录介质安全六个方面。
通信和网络安全主要包括网络传输安全、公安专网的接入安全、公安专网的输出安全三个方面。
运行安全主要包括安全监控、安全审计、恶意代码防护、备份与故障恢复、应急处理、安全管理六个方面。
信息安全主要包括用户身份认证、接入设备认证、用户权限管理、访问控制及业务审计、数据加密及数据完整性保护、安全域隔离六个方面。
图1
安全技术体系总体框架
5.2认证及权限管理结构
联网系统认证及权限管理结构如图2所示。
公钥基础设施(PKI)和权限管理系统(PMs)都通过安全管理系统为安全支撑平台提供基础服务。
公钥基础设施(PKI)为联网系统设备和用户发放数字证书,并提供对证书有效性以及证书撤销列表(CRL)的查询服务。
权限管理系统(PMS)保存系统权限策略和权限数据,为用户提供权限查询服务。
安全管理系统负责用户管理,并从公钥基础设施(PKI)获取数字证书和CRL信息,从权限管理系统(PMS)获取权限信息,为安全支撑平台提供基础服务。
安全支撑平台为联网系统提供用户身份认证及单点登录、接入设备认证、数字签名、数据加密、访问控制等安全服务,以保证应用系统的可用性、完整性和机密性。
图2
认证及权限管理结构
6
物理安全
6.1
监控中心电源安全
监控中心配电系统应满足GB50348--2004中3.12的要求。
监控中心应配备用电源,备用电源应能保证对监控中心内关键设备延长供电不少于8h。
6.2电磁兼容性安全
联网系统抗电磁干扰性能应满足GA/T367--2001中9.l的要求;
传输线路的抗干扰设计应符合GB50348--2004中3.6.2的规定。
联网系统电磁辐射防护性能应满足GA/T367--2001中9.2的要求。
6.3环境安全
监控中心机房应满足GB/T20271--2006中4.1.1.1的要求,选择机房场地、实现机房内部安全防护、防火、防水、防潮、空调降温、防静电。
通信线路的安全应按照GB/T20271--2006中4.1.1.2的要求对通信线路进行安全防护。
6.4设备安全
主要指三类设备:
联网系统前端设备、通讯设备(路由器、交换机等)和监控中心主机设备(终端计算机、服务器等)。
根据设备所处位置的不同,又可分为室内设备、室外设备和移动设备。
应按照GB/T20271--2006中4.1.2.1的设备标记要求、计算中心防盗要求和机房外部设备防盗要求,实现设备的安全保护。
应按照GB/T20271--2006中4.1.2.2的基本运行支持要求、安全可用要求和不问断运行要求设计和实现设备的可用程度。
硬件设备应符合GB4943--2001中关于电击、火灾、发热、机械、辅射、化学等安全方面的要求。
6.5
防雷接地
应综合设计系统的防雷和接地。
系统各组成部分的防雷和接地设计应符GB50348--2004中3.9的规定。
6.6记录介质安全
应按照GB/T20271--2006中4.1.3的公开数据介质保护、内部数据介质保护、重要数据介质保护、关键数据介质保护和核心数据介质保护的要求进行记录介质安全保护。
7通信和网络安全
7.1
网络传输的安全
当联网系统使用公安专网、公共网络、无线网络进行传输时,应分别符合相关部门对各个网络的安全管理规定或标准。
公共网络、无线网络在条件允许的情况下宜采用虚拟专用网络(VPN)或者传输层安全(TLS)协议来保证传输的安全。
7.2公安专网的接入与输出安全
公安专网应专网专用,当其他网络需要与公安专网进行数据变换时,应采取相应措施保障公安专网的安全。
宜在如下方案中选择:
a)将模拟视频输出信号接入由公安部门认可的视频编码设备,然后接入公安监控系统。
b)社会监控中心将数字图像单向传输给公安监控中心。
当与公安专网接口时,应符合公安专用网的安全管理规定。
c)公安监控中心将数字图像输出给社会监控中心时,应按照公安专网的安全管理规定经安全隔离设备后方可输出。
7.3双网并存
当不能解决公安专网与其他网络的隔离问题时,宜在公安监控中心设置两套完全物理隔离的监控系统,一套直接连接公安专网,另一套连接社会监控中心。
8运行安全
8.1
安全监控
应按照GB/T20271--2006中4.2.3的要求,设置分布式探测器,实时监测网络数据流,监视和记录内、外部用户出入湖络的相关操作。
宜使用防火墙、防毒软件、入侵检测系统、漏洞扫描工具来提高网络通信的安全性。
8.2安全审计
应按照GB/T20271--2006中4.2.4的要求,支持对审计功能的开启和关闭,对身份鉴别、管理用户/业务用户所实施的操作、其他与系统安全相关的事件等实施审计,并做出相应的审计响应。
安全审计日志宜采用统一的格式,数据项应包括:
a)操作人身份:
用户身份标识;
b)操作:
功能操作;
c)操作对象:
操作的对象(如DVR设备);
d)操作类型:
日志管理,用户管理,配置管理,任务管理等;
e)操作时间:
年、月、日、时、分、秒;
d)操作结果:
成功、失败。
安全审计的日志记录信息应能够提供导入、导出、查询等功能。
8.3恶意代码防护
应按照GB/T20271--2006中4.2.7的要求,对包括计算机病毒在内的恶意代码进行有效的安全防护。
8.4备份与故障恢复
8.4.1联网系统应对系统的基本配置信息、用户信息、设备信息、权限信息、报警信息、巡检信息、与报警关联的视音频信息、重要事件的视频图像、系统重要操作日志等进行分类并做相应的定期备份。
8.4.2关键存储部件宜采用冗余磁盘阵列技术并支持失效部件的在线更换;
对重要的设备应进行冗余配置,以实现双机热备或者冷备。
8.4.3数据库服务器宜采用双机冗余热备份的方式。
进行定期在线维护,以实现当数据库遭到破坏时,缩短恢复所需时间。
8.4.4在条件具备的情况下,应在异地建立和维护一个重要数据的备份存储系统,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。
8.4.5故障恢复前应制定具体合理的恢复工作计划,故障恢复方案应根据信息备份方案制定,数据恢复完成后应检测数据的完整性。
8.5应急处理
应制定安全应急处理预案。
并组织实施应急处置演习。
对系统在正常工作中发生的突发事件(各类异常情况、安全事件、安全事故),应由值班人员或者维护人员依照应急处理预案进行处置或系统自动降级处理。
8.6安全管理
各级各类监控中心应建立完善的安全管理制度,对监控中心的工作人员应进行安全管理教育和定期技术培训。
应对组成系统的各种设备定期进行安全检查和维护。
9信息安全
9.1公钥基础设施
9.1.1证书认证机构(CA)
联网系统应建立CA机构。
其主要职责如下:
a)为率辖区内用户、设备签发证书;
b)本级证书撤销到表(CRI)的创建和维护;
c)管理、维护所签发的证书。
9.1.2数字证书类型
联网系统PKI体系涉及三种证书类型:
a)用户证书;
b)设备证书,其中包括服务器证书和其他设备证书;
c)CA证书。
用户是指公安用户及政府其他部门需要共享监控业务信息的用户;
设备是指服务器和其他设备;
CA认证书是指认证机构自身的证书。
9.1.3证书格式
应支持X.509V3标准证书,并支持所有X,509V3标准定义的扩展。
应支持X.509V2证书撤销列表(CRL)。
统一的用户证书格式、设备证书格式见附录A.1和A.2;
统一的CRL格式见附录B。
9.1.4
证书载体
联网系统所签发的证书应支持以下方式存储;
a)移动存储介质:
如硬盘、U盘、存储IC卡等;
b)硬盘:
通过文件的方式存储在硬盘上或通过证书管理器进行存储和管理l
c)智能卡:
带有算法的IC卡;
d)USBKey:
USB接口的、带有算法的令牌;
e)专用加密设备:
如加密机,通常用于产生、存储和管理密钥和公钥证书。
9.2
系统时间校正
联网系统应采用网络时间协议(NTP)来实现系统的时间校正。
在时间精度要求不高的情况下宜以系统中的一台主服务器时间为基准实现全网时间校正;
当时间精度要求较高时宜采用GPS授时技术获取标准时间,采用简单网络时间协议(SNTP)来实现系统时间校正。
当时间戳做为可信依据时宜引入时间戳机构(TSA),采用直接连接时间传输技术提供可信赖的且不可抵赖的时间戳服务。
时间校正周期可根据实际情况设定。
9.3用户身份认证
9.3.1用户身份标识
应对联网系统的所有用户进行统一的唯一标识,编码规范见GA/T669.7--2008中第9章的要求。
9.3.2用户身份认证机制
联网系统应在以下方式中选择一种或者多种方式进行用户身份认证。
a)静态口令机制(用户名/密码方式);
b)动态口令机制;
c)基于智能卡的认证;
d)基于冲击/响应的USBKey认证;
e)基于PKI/CA体系数字证书的USBKey认证;
f)基于人体生物特征识别的认证。
采用基于PKI/CA体系数字证书的USBKey认证方式时应采用统一的公钥证书格式。
对系统管理员、超级管理员宜附加基于人体生物特征识别的认证。
基于数字证书和静态口令两种方式的用户身份认证过程参见附录C。
9.3.3单点登录与全网漫游
联网系统应支持授权用户单点登录与全网漫游的功能。
9.3.3.1单点登录功能要求:
a)联网系统应支持用户只经过一次身份认证,即可访问不同安全域的应用系统。
b)联网系统Web服务器、应用服务器应在用户身份认证成功后,保存用户的认证标识和身份标识。
当用户访问不同的安全域时,Web服务器、应用服务器后台应用程序应根据其身份标识来确定该用户的用户类型。
9.3.3.2全网漫游功能要求:
a)联网系统应采用统一的公钥证书格式,以保证在各级应用系统中均可被识别;
b)联网系统应采用统一的认证方式,以保证不同安全域之间用户的身份认证。
9.4接入设备认证
9.4.1应对接入联网系统的所有设备进行统一的唯一标识,编码规范见GA/T669.7--2008中第9章的要求。
9.4.2接入设备认证应根据不同情况采用不同的认证方式。
对非SIP设备,宜通过设备代理来进行认证;
对标准SIP可信设备应采用数字证书的认证方式。
设备认证的流程见GA/T669.5--2008中第8章、第9章的要求。
9.5用户授权策略与权限管理
9.5.1
用户分类
根据用户对联网系统使用性质的不同,将用户分为两大类:
a)业务用户:
使用系统执行业务操作的用户(例如访问实时视频、访问历史业务信息、进行摄像机云台、镜头控制等操作)。
b)管理用户:
能够对系统软硬件资源、系统运行状态以及安全配置等进行管理的用户。
联网系统宜根据实际需求按照用户职责细化用户分类。
业务用户通常可细化为操作员、值班员等;
管理用户通常可细化为系统管理员、安全管理员等。
用户宜赋予不同的优先级。
联网系统宜接照一定的规则将具有相同属性或特征的用户划分为一组,进行用户组管理。
9.5.2授权策略
授权应遵循以下策略:
a)联网系统应制定符合实际情况的授权模型;
b)基础授权策略标准应统一;
c)各级监控中心各自对用户授权。
9.5.3权限管理
用户权限分为两大类:
业务权限和管理权限。
业务用户不应具备管理权限。
在监控中心内,权限管理应包括下列内容:
a)提供增加、修改、删除和查询用户权限等功能。
b)单独设立安全管理员,专门负责为本中心的每个合法用户分配相应的权限。
除安全管理员外,任何用户不得擅自更改其权限、不得越权操作、不得将其权限转授给其他用户。
安全管理员除完成授权功能外,不能浏览、修改、删除系统中的任何其他数据。
c)高优先级用户可抢占低优先级用户所占用的资源。
在监控中心间,用户极限管理应在各级监控中心授权的基础上进行。
9.6访问控制与业务审计
9.6.1
访问控制
联网系统应实现统一的用户管理和授权,在身份鉴别的基础上,系统宜采用某种访问控制模型对用户进行访问控制(例如基于角色的访问控制或者基于属性证书的访问控制)。
基于角色的访问控制应提供对委托授权和角色继承功能的支持;
角色管理应能提供角色的增加、修改、删除等功能,并且对角色的操作提供审计接口。
9.6.2
业务审计
联网系统应对以下事件进行业务审计,并保留记录,以备查验。
a)用户登录和身份验证;
b)非法或异常事件;
c)用户越权行为;
d)持有权限变更操作。
9.7数据加密及数据完整性保护
9.7.1
联网系统应对需要加密的数据在传输和存储过程中进行加密,存储时宜采用IDES、密钥长度为128位的高级加密标准(AES)、SCB2算法等进行加密;
传输过程中宜采用RSA(1024位或2048位)对会话密钥进行加密,传输内容宜采用数据加密标准(DES)、3DES、AES(128位)等算法加密。
9.7.2对信令数据的加密宜采用SIP协议所支持的安全多用途网际邮件扩充协议(S/MIME)进行处理。
9.7.3联网系统宜采用数字摘要、数字时间戳及数字水印等技术防止信息的完整性被破坏,即防止恶意篡改系统数据。
数字摘要宜采用信息摘要5(MD5)、安全哈希算法1(SHA-1)、安全哈希算法256(SHA256)等算法。
9.8安全域隔离
应将联网系统划分为不同的安全域,如监控中心局域刚、公安专网、公共网络等,不同的安全域之间应进行相应的隔离。
当需要在公脚和专网之间进行数据交换时,应采用国家、行业管理部门认可的安全隔离措施。
附录A
(规范性附录)
支持X.509V3的证书格式定义
序号
数据项目名称
数据类型
数据长度
采用标准
说明
1
版本号
整型
1字节
RFC3280
证书格式版本号,目前为3
2
序列号
字符型
32字节
证书序列号,用于证书管理,每一CA系统中,应为唯一值
3
签名算法
16字节
CA中心签名该证书使用的算法
4
签发单位
名称(CN)
8字节
签发该证书的CA中心的信息
区/县(L)
2字节
GB/T2260--2007
城市(L)