公共安全视频监控资源接入、共享及管理技术要求
2、 向互联网等公共网络共享视频资源链路
向互联网提供视频图像资源时,应按照信息使用最小原则,通过严格的授权和审计机制有限开放视频资源调用。
在公共安全视频传输网与互联网等公共网络之间,应建设向互联网共享视频图像资源的链路。该链路仅支持将授权的视频流单向推送至互联网端视频平台(指互联网端调看公共安全视频传输网视频资源的平台或系统)。社会公众通过访问互联网端视频平台实现对授权视频资源的查看,满足为社会公众提供服务的需求。
互联网共享视频图像资源链路详细技术要求,参见附录3《横向边界安全交互设施技术要求》中“互联网边界交互平台技术要求”部分。
七、 安全防护技术要求
(一) 安全管理
公共安全视频传输网的主干网和在其上运行的视频监控系统的安全防护设施应根据实际情况参照信息系统安全等级保护三级或以上标准进行建设;公共安全视频传输网的接入网部分以及视频监控摄像机等前端设备应根据实际情况,按照相关标准、规范要求加强网络安全防护,信息安全措施参考《公共安全视频监控联网信息安全技术要求》(GB 35114-2017)中的相关规定。
公共安全视频传输网与公安信息网、公安移动信息网应按照公安信息网、公安移动信息网相关安全管理规定进行连接。公共安全视频传输网与互联网等公共网络应实现安全隔离。
公共安全视频传输网传输与视频图像有关的其他公安非涉密业务数据时,应向本级公安机关科信管理部门提交申请。业务应用的安全由提出申请部门负责。
公共安全视频传输网向其他专网、互联网传输视频图像及相关信息时,应按相关规定的要求实施。
(二) 安全域划分
各级公共安全视频监控网络内部安全域划分为:纵向边界区、横向边界区、系统应用区和前端接入区四部分,具体划分如图7-1所示。
9
公共安全视频监控资源接入、共享及管理技术要求
公安视频传输主干网横向边界区互联网互联网边界交互平台纵向边界区其他专网其他专网边界交互平台前端接入区系统应用区公安信息网公安信息网边界接入平台 图7-1 公共安全视频监控网络安全域划分
(三) 纵向边界区防护
纵向边界区主要实现本级公共安全视频传输网与上级或下级公共安全视频传输网的安全连接和访问控制。为了防止来自上下级公共安全视频传输网间的非法访问,应在纵向边界区配备相应安全设备或采用相关安全技术手段,并制定严禁采用双网卡方式连接,禁止通过未经认可的网络接入方式实现跨网远程维护。
(四) 横向边界区防护
横向边界区安全防护主要实现公共安全视频传输网与同级其他网络间的安全连接以及资源的安全共享。
公共安全视频监控网络横向边界主要涉及公共安全视频传输网络与公安信息网、其他专网和互联网等公共网络的边界,不同网络边界之间应部署横向边界安全交互设施,主要包括:公安信息网视频边界接入平台、其他专网边界交互平台和互联网边界交互平台,详细技术要求参见附录3。
公共安全视频传输网与同级其他类型网络间严禁采用双网卡方式连接,禁止通过未经认可的网络接入方式实现跨网远程维护。
(五) 系统应用区防护
10
公共安全视频监控资源接入、共享及管理技术要求
系统应用区安全防护主要实现对本级网络内应用系统、设备及视频信息的安全保障和安全管理。
系统应用区内的系统及设备主要包括:公共安全视频传输网内相关网络设备、终端、各类通用和专用服务器、存储设备、相关应用系统等设备。
应按照GB 35114-2017中对视频及控制信令信息的安全技术要求完成系统应用区内视频信息的安全保障和管理。
遵循满足业务发展、适度防护的原则,应采用漏洞扫描、系统加固、防病毒、资源探测、入侵检测、web应用安全防护、网络审计、身份认证、日志审计、安全运维、安全态势感知等安全技术措施进行安全防护,提升系统应用区的整体安全水平。
1、 漏洞扫描及系统加固
应采用相关技术手段对公共安全视频传输网中系统及设备的操作系统、系统软件进行漏洞扫描,及时发现存在的漏洞,降低漏洞被利用的风险。对公共安全视频传输网络中终端、主机操作系统进行补丁管理,定期更新补丁库,及时修复存在的系统漏洞,并对操作系统进行安全加固。
2、 防病毒
应对终端、主机上的重要文件、程序、进行扫描检测,及时发现各种蠕虫、病毒、木马、恶意软件传播行为等病毒威胁,并进行有效的阻断或隔离,定期更新防病毒系统特征库。
3、 资源探测
应定期对公共安全视频传输网中运行的网络资产进行探测,掌握最新设备情况,包括存活设备数量、设备品牌、设备型号、开放端口、运行应用等,及时发现新增资产,避免风险引入。
4、 入侵检测
应对公共安全视频传输网中各种溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、病毒木马、蠕虫、网络异常、受控主机、系统漏洞攻击等行为进行入侵检测和告警,实现全网威胁分析和展现。
11
公共安全视频监控资源接入、共享及管理技术要求
5、 Web应用安全防护
应对重要Web应用系统进行安全防护,对进出Web服务器的http流量相关内容进行实时分析检测、过滤,精确判定并阻止Web应用攻击行为,阻断对Web服务器的恶意访问与非法操作,如SQL注入、XSS、Cookie篡改以及应用层DoS攻击等。
6、 高级威胁检测
宜支持对公共安全视频传输网中的特定威胁、未知威胁、恶意代码、隐秘通道、嵌套攻击等威胁进行深度识别,发现网络中可能存在的安全隐患。
7、 办公终端安全管控
对入网办公终端进行安全管控,实现终端准入控制、终端安全控制、桌面合规管理、终端敏感数据防泄露和终端审计等。
8、 网络审计
应对公共安全视频传输网中网络设备的运行状况、网络流量、用户访问操作行为等进行日志审计记录。审计记录应涵盖访问的日期、时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
9、 身份认证
应按照GB35114-2017要求对公共安全视频传输网内的设备、系统、人员提供统一的身份认证机制。
10、 日志审计
应对公共安全视频传输网中的网络设备、其他软硬件系统(包括操作系统、数据库、中间件、应用软件及各类硬件设备等)的运行状况、用户访问操作行为等进行日志记录。
应对重要视频监控业务系统进行视频业务安全审计,对用户访问视频监控资源、控制信令操作行为等进行日志记录。日志记录应涵盖访问的时间、用户、事件类型、事件是否成功及其他与审计相关的信息,实现对异常访问行为的记录,及时发现安全威胁,为确定和追溯攻击来源提供依据。
11、 安全运维
应避免采用直连或远程登录服务器等较低安全级别的运维方式。 12、 视频源追溯
12