YD_T 3952-2021 信息通信行业视频监控系统安全检测工具技术规范.pdf
《YD_T 3952-2021 信息通信行业视频监控系统安全检测工具技术规范.pdf》由会员分享,可在线阅读,更多相关《YD_T 3952-2021 信息通信行业视频监控系统安全检测工具技术规范.pdf(15页珍藏版)》请在咨信网上搜索。
1、ICS 35.020 L70 YD 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T XXXXXXXXX 信息通信行业视频监控系统安全检测工具技术规范 Technical requirements for security detection tools of video monitoring system in information and communication industry(报批稿)XXXX-XX-XX 发布 XXXX-XX-XX 实施 中华人民共和国工业和信息化部 发 布 YD/T XXXXXXXXX I 目 次 前 言.III 1 范围.1 2 规范性引用文件.
2、1 3 术语、定义和缩略语.1 3.1 术语和定义.1 3.2 缩略语.2 4 概述.2 5 管理类检测功能要求.2 5.1 管理类检测内容.2 5.1.1 视频数据保护情况.2 5.1.2 资产管理情况.2 5.1.3 安全建设情况.3 5.1.4 安全运维情况.3 5.1.5 已有安全措施.3 5.2 管理类检测方法.3 5.2.1 检测方法.3 5.2.2 手工录入.4 6 技术类检测功能要求.4 6.1 主动检测内容.4 6.1.1 信息收集.4 6.1.2 接入检测.4 6.1.3 脆弱性检测.5 6.1.4 无线安全测试.5 6.1.5 协议安全测试.5 6.1.6 传输安全检测.
3、5 6.1.7 口令检测.5 6.1.8 安全整改情况验证.6 6.2 主动技术检测方法.6 6.2.1 资产识别.6 6.2.2 漏洞扫描.6 6.2.3 漏洞验证.6 6.3 被动检测内容.7 6.3.1 扫描行为检测.7 6.3.2 漏洞利用攻击检测.7 6.3.3 恶意代码检测.7 6.3.4 操作行为检测.7 6.3.5 异常流量监测.7 6.3.6 数据保密性检测.7 YD/T XXXXXXXXX II 6.4 被动技术检测方法.7 7 检测结果分析评估功能要求.8 7.1 检测结果输出.8 7.2 风险分析评估.8 7.2.1 风险研判.8 7.2.2 分析内容.8 7.2.3
4、风险评估.8 7.3 检测发现的问题.8 7.4 修复建议.9 7.5 后期维护.9 附 录 A(资料性附录)信息通信行业视频监控系统安全检测报告模板.10 参考文献.11 YD/T XXXXXXXXX III 前 言 本标准按照 GB/T 1.1-2009 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国科学院信息工程研究所、国家计算机网络与信息安全管理中心、中国信息通信研究院、北京天融信网络安全技术有限公司。本标准主要起草人:孙利民、朱红松、闫兆腾、李志、李红、于楠、李政、李秋香、王晖、
5、王文磊、倪平、张治兵、黄学臻、陈翠云、王龑。YD/T XXXXXXXXX 1 信息通信行业视频监控系统安全检测工具技术规范 1 范围 本标准提供了信息通信行业视频监控系统安全检测工具的内容、功能要求和工作流程。本标准适用于信息通信行业视频监控系统安全检测工具的设计、开发及测试。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22239 信息安全技术 信息安全等级保护基本要求 GB/T 28181 安全防范视频监控联网系统信息传输、交换、控制技术要求 GB/
6、T 31509 信息安全技术 信息安全风险评估实施指南 GB 35114 公共安全视频监控联网信息安全技术要求 GB/T 38626 信息安全技术 智能联网设备口令保护指南 YD/T 3491 视频监控系统网络安全评估指南 YD/T 3492 视频监控系统网络安全技术要求 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。3.1.1 接入协议 access protocol 视频监控设备按照统一的协议接入到视频监控系统中,即接入协议,主要包括ONVIF、PSIA、SIP等。3.1.2 私有协议 private protocol 生产厂家在设计产品时定义的适用于本企业生产设
7、备产品的协议,通常不对外公开协议格式。3.1.3 非法端口 illegal port YD/T XXXXXXXXX 2 视频监控设备存在的不应开启的远程管理端口、后门漏洞端口、以及恶意程序容易感染的端口,例如9989端口、48101端口等。3.2 缩略语 下列缩略语适用于本文件。DoS 拒绝服务 Denial of Service DVR 数字视频录像机 Digital Video Recorder IPC IP 摄像机 IP Camera NVR 网络视频录像机 Network Video Recorder ONVIF 开放型网络视频接口论坛 Open Network Video Inter
8、face Forum PSIA 物理安防互操作性联盟 Physical Security Interoperability Alliance SIP 会话初始协议 Session Initiation Protocol TLS 传输层安全 Transport Layer Security VMS 视频管理系统 Video Management System VLAN 虚拟局域网 Virtual Local Area Network 4 概述 信息通信行业视频监控系统安全检测工具是一种支撑运营单位对信息通信行业部署在电信网或互联网中的视频监控系统进行安全检测,形成检测结果和修复建议的信息安全专用
9、产品。信息通信行业视频监控系统安全检测工具采用一体化结构,将主动和被动的采集、检测、分析的功能集成在一起。为尽可能小的影响系统和网络的正常运行,避免对视频监控系统的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断等),检测工具一般采用旁路的方式接入。信息通信行业视频监控系统安全检测工具的具体使用者为负责视频监控系统的安全运营管理机构和安全管理负责人,应满足专业性、规范性、可拓展性、可维护性、安全性、保密性等方面的要求。参照YD/T 3492中对视频监控系统网络安全的技术要求,信息通信行业视频监控系统安全检测工具由包括管理类安全检测、技术类安全检测和分析评估三部分功能组
10、成。5 管理类检测功能要求 5.1 管理类检测内容 信息通信行业视频监控系统管理类检测内容中包括:视频数据保护情况、资产管理情况、安全管理制度、安全建设情况、安全运维情况、已有安全措施等。5.1.1 视频数据保护情况 应查看视频监控系统运营单位是否建立监控数据调取审批流程,确保监控画面的调取是受控的。5.1.2 资产管理情况 YD/T XXXXXXXXX 3 资产管理情况检测内容包括:a)应检测是否编制并保存了视频监控系统的资产清单,包括资产责任部门、重要程度和所处位置等内容;b)应检测是否根据资产的重要程度对资产进行标识管理;c)应检测是否对信息分类与标识方法作出规定,并对信息的使用、传输和
11、存储等进行规范化管理。d)应检测是否具备对NVR、DVR等设备的设备属性进行识别的能力,设备属性包括设备的品牌、型号、设备类型、IP 地址、端口、服务、所属部门等信息。5.1.3 安全建设情况 安全建设情况检测内容包括:a)应检测部署在户外和监控现场的前端采集、编码、处理、存储、传输、安全控制等设备,是否安装在普通行人接触不到的地方。b)应检测部署在户外和监控现场的前端采集、编码、处理、存储、传输、安全控制等设备,是否采用封闭加锁方式;c)应检测部署在监控现场的架杆等前端辅助设备,是否设置了醒目标注严禁攀爬等字样;d)应检测视频监控系统是否直接联入到互联网中;e)应检测视频监控网络是否与业务网
12、络进行了物理隔离或者划分 VLAN 等逻辑隔离。5.1.4 安全运维情况 安全运维情况检测内容包括:a)应检测监控室是否设置了出入人员的身份验证机制,由专人开设账号、分配权限,并登记备案;b)应监视监控室是否根据“最小够用”原则,对不同工作人员划分不同的权限,并建立监控室访问控制机制,针对不同权限的工作人员,其对视频监控设备的访问、控制、存储、回放和删除的权限区分不同;c)应检测是否建立外部人员物理访问监控室审批流程,确保在外部人员物理访问监控室前先提出书面申请,批准后由专人全程陪同,并登记备案。5.1.5 已有安全措施 已有安全防护措施检测内容包括:a)检测视频监控系统的运行维护中发现使用的
13、网络产品、服务存在安全缺陷、漏洞等风险的,是否及时采取措施消除风险隐患和按规定向有关部门报告;b)应检测是否具备对视频监控系统存在的安全漏洞进行扫描发现的能力;c)应检测是否具备对视频监控系统存在的安全漏洞进行漏洞验证的能力;d)应检测是否满足 GB 35114 要求,部署了视频监控系统专用的安全防护设备;e)检测是否采取了必要的措施验证安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补;f)查看运维管理资料,管理要求应符合 GB/T 22239 基本要求,资料应包括但不限于系统资产清单,介质管理规定、设备管理规定、机房出入记录等;g)视频监控系统的口令应符合 GB/T 38626 中的相关要
14、求,不存在弱口令、空口令或默认口令等。5.2 管理类检测方法 5.2.1 检测方法 信息通信行业视频监控系统管理类安全检测方法包括:人员访谈、文档审查和配置检测等。YD/T XXXXXXXXX 4 人员访谈是用户根据需要,通过对视频监控系统的维护人员、供应商等进行提问,收集客观事实材料,发现视频监控系统开发、集成、供应、使用、管理等过程中存在的安全问题。文档审查指用户通过查阅组织的视频监控系统相关文档,发现可能导致丢失、不足或不正确执行的安全问题。配置检测用于用户确认视频监控系统中的设备、安全等配置信息的手动检测,发现可能的策略配置不当、访问控制权限不合理等安全问题。5.2.2 手工录入 视频
15、监控系统安全检测工具应提供专用的手工录入接口,支持用户将视频监控系统管理类安全检测中发现的安全问题录入至检测工具中。6 技术类检测功能要求 信息通信行业视频监控系统技术类检测分为主动检测和被动检测两种。6.1 主动检测内容 信息通信行业视频监控系统主动检测内容中包括:信息收集、接入检测、脆弱性检测、无线安全、协议安全测试、传输安全检测、口令检测、安全整改情况验证等。6.1.1 信息收集 信息收集的信息类型包括但不限于:a)IT 资产信息(网络拓扑图、子网划分情况、IP 地址清单、相关域名、子域名等);b)应检测是否禁用了闲置的通信端口;c)应检测是否开启了用户未开启的私有端口或后门端口;d)应
16、检测是否具备实时掌握设备开放的端口、服务的能力;e)应检测是否具备对网络摄像机等设备具有风险的端口和服务进行识别的能力;f)应检测视频监控系统在连接到公共网络时,是否采用虚拟专用网络或者传输层安全(例如 TLS)协议来保证传输的安全;g)应检测重要行业或敏感部门,是否构建了可信网络环境,保证通信传输的可信性。6.1.2 接入检测 视频监控系统接入安全检测包括但不限于:a)应检测是否具备实时掌握合法接入系统中的视频监控设备在线连接数量的能力;b)应检测是否具备对合法接入系统中的视频监控设备进行品牌、型号和设备类型等信息进行识别的能力;c)应检测是否具备接入对象认证机制,保证接入监控网络的设备身份
17、合法性;d)应检测是否具备对非授权的视频监控设备私自联到内部网络的行为进行限制或检测的能力,一旦有未经认证的的设备试图接入时,应能够及时发现非法接入的设备源地址,向网络管理员告警,并及时阻挡;e)视频监控接入协议实地部署时,应检测是否具备足够的安全健壮性,需定期进行安全健壮性的测试;f)检测接入设备是否根据不同情况采用不同的认证方式;g)对非 SIP 设备,检测是否通过设备代理来进行认证;YD/T XXXXXXXXX 5 h)对标准 SIP 可信设备,应检测是否采用数字证书的认证方式;i)对于采用 ONVIF、PSIA 等协议作为管理平台与视频监控设备进行统一接入协议的,检测是否采用 SIP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- YD_T 3952-2021 信息通信行业视频监控系统安全检测工具技术规范 3952 2021 信息 通信 行业 视频 监控 系统安全 检测工具 技术规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。