DB23 T 2847-2021 公共视频监控系统安全防护规范.pdf

1、ICS 35.240.99CCS L67备 案 号 ： 23黑 龙 江 省 地 方 标 准DB23/T 2847 2021公 共 视 频 监 控 系 统 安 全 防 护 规 范 2021 04 13发 布 2021 05 12实 施黑 龙 江 省 市 场 监 督 管 理 局 发 布 DB23/T 28472021 I 目 次前 言 .II1 范 围 .12 规 范 性 引 用 文 件 .13 术 语 和 定 义 .14 缩 略 语 .25 公 共 视 频 监 控 系 统 安 全 防 护 体 系 .26 等 级 保 护 合 规 要 求 .37 视 频 采 集 设 备 接 入 区 安 全 防 护

2、要 求 .3 8 系 统 应 用 区 安 全 防 护 要 求 .39 边 界 接 入 区 安 全 防 护 要 求 .510 日 常 维 护 与 应 急 管 理 要 求 .7参 考 文 献 .8 DB23/T 28472021 II 前 言本 文 件 按 照 GB/T1.12020 标 准 化 工 作 导 则 第 1部 分 ： 标 准 化 文 件 的 结 构 和 起 草 规 则 的 规 定 起草 。 本 文 件 由 黑 龙 江 省 广 播 电 视 局 提 出 并 归 口 。本 文 件 起 草 单 位 ： 黑 龙 江 广 播 电 视 网 络 股 份 有 限 公 司 、 嘉 利 通 科 技 股 份

3、有 限 公 司 、 北 京 启 明 星 辰 信息 安 全 技 术 有 限 公 司 、 新 华 三 技 术 有 限 公 司 、 杭 州 迪 普 科 技 股 份 有 限 公 司 、 哈 尔 滨 市 标 准 化 研 究 院 、 黑龙 江 省 智 慧 城 市 建 设 协 会 。本 文 件 主 要 起 草 人 ： 郑 皓 仁 、 李 博 、 姚 贺 晨 、 陈 文 貌 、 石 冬 青 、 余 鹏 飞 、 韩 玲 、 李 刚 、 赵 玉 明 、 张庆 、 宋 伟 、 岳 海 滨 、 王 振 宇 、 刘 勇 、 张 劲 男 。 DB23/T 28472021 1 公 共 视 频 监 控 系 统 安 全 防

4、护 规 范1 范 围本 文 件 规 定 了 公 共 视 频 监 控 系 统 安 全 防 护 的 术 语 和 定 义 、 缩 略 语 、 公 共 视 频 监 控 系 统 安 全 防 护 体 系 、等 级 保 护 合 规 要 求 、 视 频 采 集 设 备 接 入 区 安 全 防 护 要 求 、 系 统 应 用 区 安 全 防 护 要 求 、 边 界 接 入 区 安 全 防护 要 求 和 日 常 维 护 与 应 急 管 理 要 求 。本 文 件 适 用 于 黑 龙 江 省 区 域 内 新 建 、 扩 建 、 改 建 的 接 入 数 据 采 集 设 备 大 于 500路 的 公 共 视 频 监 控

5、系统 建 设 。2 规 范 性 引 用 文 件 下 列 文 件 中 的 内 容 通 过 文 中 的 规 范 性 引 用 而 构 成 本 文 件 必 不 可 少 的 条 款 。 其 中 ， 注 日 期 的 引 用 文 件 ，仅 该 日 期 对 应 的 版 本 适 用 于 本 文 件 ； 不 注 日 期 的 引 用 文 件 ， 其 最 新 版 本 （ 包 括 所 有 的 修 改 单 ） 适 用 于 本文 件 。GB/T 28181 2016 安 全 防 范 视 频 监 控 联 网 系 统 信 息 传 输 、 交 换 、 控 制 技 术 要 求3 术 语 和 定 义下 列 术 语 和 定 义 适 用

6、 于 本 文 件 。3.1 802.1X认 证IEEE802.1X定 义 的 基 于 以 太 网 端 口 进 行 网 络 接 入 控 制 的 认 证 协 议 ， 以 太 网 设 备 对 连 接 到 接 入 端 口 上的 用 户 /设 备 身 份 进 行 认 证 （ 本 地 认 证 或 发 给 认 证 服 务 器 远 程 认 证 ） 。 3.2 MAC认 证基 于 以 太 网 端 口 和 MAC地 址 进 行 网 络 接 入 控 制 的 认 证 方 法 ， 以 太 网 设 备 对 连 接 到 接 入 端 口 上 的 设 备MAC地 址 进 行 认 证 （ 本 地 认 证 或 发 给 认 证 服

7、务 器 远 程 认 证 ） 。3.3 全 生 命 周 期设 备 入 网 、 在 网 （ 上 线 、 在 线 、 下 线 、 离 线 ） 、 退 网 的 整 个 过 程 。3.4 设 备直 连 入 网 的 所 有 各 类 设 备 ， 包 括 物 理 设 备 （ PC终 端 、 哑 终 端 、 服 务 器 、 网 络 设 备 、 安 全 设 备 等 ） 和虚 拟 设 备 （ 虚 拟 机 、 虚 拟 桌 面 等 ） 。 3.5 证 书 DB23/T 28472021 2 用 来 标 识 用 户 或 设 备 身 份 信 息 的 数 字 证 书 ， 通 常 由 证 书 服 务 器 颁 发 给 用 户 或

8、 设 备 。4 缩 略 语下 列 缩 略 语 适 用 于 本 文 件 。4A： 认 证 、 授 权 、 账 号 、 审 计 （ Authentication、 Authorization、 Account、 Audit）DDoS： 分 布 式 拒 绝 服 务 攻 击 （ Distributed denial of service attack）FTP： 文 件 传 输 协 议 （ File Transfer Protocol）HTTP： 超 文 本 传 输 协 议 （ HyperText Transfer Protocol）NETBIOS： 网 上 基 本 输 入 输 出 系 统 （ Netw

9、ork Basic Input/Output System）ODBC： 开 放 数 据 库 连 接 （ Open Database Connectivity）POP3： 邮 件 协 议 版 本 3（ Post Office Protocol - Version 3）SMTP： 简 单 邮 件 传 输 协 议 （ Simple Mail Transfer Protocol） SNMP： 简 单 网 络 管 理 协 议 （ Simple Network Management Protocol）SQL： 结 构 化 查 询 语 言 （ Structured Query Language）SYSLOG

10、： 系 统 记 录 （ System Log）XSS： 跨 站 脚 本 攻 击 （ Cross Site Script Attack）5 公 共 视 频 监 控 系 统 安 全 防 护 体 系公 共 视 频 监 控 系 统 安 全 防 护 体 系 整 体 应 符 合 国 家 信 息 安 全 等 级 保 护 要 求 ， 应 建 立 视 频 采 集 设 备 接 入安 全 、 应 用 区 安 全 、 边 界 接 入 安 全 三 大 单 元 ， 同 时 应 具 备 完 善 的 日 常 维 护 与 应 急 管 理 机 制 。 安 全 防 护 体系 架 构 示 意 图 见 图 1。 视 频 采 集 设 备

11、 接 入 区安 全 防 护预 警 平 台资 产 管 理准 入 控 制数 据 管 控 日 常 维 护 与 应 急 管 理备 份 与 故 障 恢 复 应 急 处 理恶 意 代 码 查 杀 脆 弱 性 管 理性 能 监 控 日 志 管 理运 维 管 控 边 界 接 入 区 安 全 防 护数 据 传 输 链 路视 频 传 输 链 路访 问 控 制数 据 加 密 及 数据 完 整 性安 全 域 隔 离 安 全 监 控 系 统 应 用 区 安 全 防 护网 络 安 全 防 护 威 胁 检 测会 话 监 控 数 据 库 审 计等 级 保 护 合 规 要 求 图 1 安 全 防 护 体 系 架 构 示 意 图

12、 DB23/T 28472021 3 6 等 级 保 护 合 规 要 求公 共 视 频 监 控 系 统 应 参 照 信 息 安 全 技 术 网 络 安 全 等 级 保 护 中 二 级 或 以 上 标 准 进 行 建 设 。7 视 频 采 集 设 备 接 入 区 安 全 防 护 要 求7.1 预 警 平 台应 建 立 能 够 分 区 部 署 与 管 理 的 视 频 采 集 设 备 接 入 监 管 及 风 险 预 警 平 台 ， 实 现 对 资 产 的 现 状 、 资 产 的类 型 、 数 量 、 分 布 情 况 、 摄 像 机 在 线 率 等 的 实 时 监 管 。 对 视 频 采 集 设 备

13、能 够 进 行 合 规 检 查 ， 检 查 项 包 括弱 口 令 检 查 、 设 备 仿 冒 、 入 侵 行 为 甄 别 ， 并 可 以 实 时 告 警 。7.2 资 产 管 理 7.2.1 应 通 过 主 动 扫 描 、 被 动 监 听 、 手 工 设 置 等 方 式 采 集 视 频 监 控 设 备 的 属 性 信 息 ， 建 立 有 效 合 法 的设 备 资 产 库 。 采 集 信 息 包 括 但 不 限 于 IP 地 址 、 MAC地 址 、 设 备 厂 商 、 设 备 类 型 等 。7.2.2 应 具 有 一 机 一 档 功 能 ， 能 通 过 一 机 一 档 属 性 对 终 端 进

14、行 认 证 。 对 一 机 一 档 属 性 配 置 不 匹 配 的 终端 ， 进 行 阻 断 和 告 警 提 示 。7.3 准 入 控 制7.3.1 应 采 用 基 于 设 备 的 IP地 址 、 MAC地 址 、 设 备 指 纹 、 视 频 协 议 中 的 一 种 或 多 种 进 行 资 产 信 息 校 验 ，针 对 未 校 验 通 过 的 设 备 ， 实 时 生 成 告 警 信 息 。7.3.2 应 采 用 物 理 硬 件 设 备 进 行 串 行 部 署 或 旁 挂 引 流 部 署 。7.3.3 准 入 控 制 功 能 的 建 设 应 具 备 弹 性 扩 展 能 力 ， 可 根 据 视 频

15、 采 集 设 备 建 设 进 行 准 入 能 力 的 扩 充 。7.4 数 据 管 控7.4.1 应 按 GB/T 28181-2016 的 规 定 执 行 ， 能 够 自 动 识 别 主 流 监 控 厂 家 的 私 有 协 议 特 征 库 ， 并 支 持 手 动 扩 展 非 主 流 监 控 厂 家 的 私 有 协 议 特 征 库 ， 建 立 合 法 数 据 、 协 议 白 名 单 。7.4.2 对 数 据 的 管 控 应 对 业 务 数 据 流 进 行 逐 包 检 测 ， 并 和 数 据 、 协 议 白 名 单 进 行 比 对 ， 放 行 匹 配 成 功的 数 据 ， 阻 断 匹 配 失 败

16、 的 数 据 并 告 警 。7.4.3 只 允 许 授 权 的 视 频 数 据 、 语 音 数 据 、 图 片 、 控 制 信 令 等 在 网 络 中 传 输 ， 屏 蔽 其 他 数 据 。7.4.4 对 视 频 时 延 影 响 应 低 于 20s。8 系 统 应 用 区 安 全 防 护 要 求8.1 网 络 安 全 防 护8.1.1 应 明 确 系 统 应 用 区 划 分 ， 并 在 各 区 域 部 署 防 护 设 备 ， 具 备 访 问 控 制 、 入 侵 防 御 、 恶 意 代 码 查 杀能 力 。8.1.2 应 确 保 系 统 应 用 区 与 核 心 交 换 之 间 的 访 问 和 数

17、 据 流 通 过 边 界 设 备 提 供 的 受 控 接 口 进 行 通 信 ， 实 现 基 于 IP、 端 口 的 边 界 访 问 控 制 ， 同 时 应 实 现 对 网 络 攻 击 行 为 的 检 测 、 阻 断 、 网 络 层 恶 意 代 码 的 查 杀 。8.2 威 胁 检 测8.2.1 已 知 威 胁 检 测 DB23/T 28472021 4 具 备 对 于 病 毒 、 蠕 虫 、 木 马 、 DDoS、 扫 描 、 SQL注 入 、 XSS、 缓 冲 区 溢 出 、 欺 骗 劫 持 等 攻 击 行 为 以 及网 络 资 源 滥 用 行 为 、 网 络 流 量 异 常 等 威 胁

18、的 检 测 能 力 。8.2.2 未 知 威 胁 检 测通 过 记 录 和 分 析 网 络 连 接 信 息 、 会 话 信 息 、 流 量 信 息 ， 发 现 未 知 威 胁 ， 识 别 异 常 主 机 。8.3 会 话 监 控8.3.1 流 量 监 控识 别 并 监 控 会 话 的 协 议 类 型 、 传 输 方 向 、 数 据 流 量 。8.3.2 互 联 关 系 监 控监 控 系 统 内 、 境 内 、 境 外 的 互 联 关 系 ， 宜 采 用 可 视 化 技 术 展 示 互 联 关 系 或 互 联 拓 扑 。 8.3.3 威 胁 监 控通 过 对 扫 描 探 测 、 蠕 虫 病 毒

19、、 木 马 连 接 、 访 问 频 次 异 常 、 访 问 流 量 异 常 等 异 常 行 为 的 综 合 分 析 ， 发现 系 统 中 存 在 异 常 主 机 。8.4 数 据 库 审 计8.4.1 审 计 结 果 应 具 有 较 高 的 细 粒 度 。8.4.2 审 计 的 数 据 库 类 别 应 覆 盖 传 统 数 据 库 、 国 产 数 据 库 、 大 数 据 型 数 据 库 。8.4.3 审 计 引 擎 宜 与 审 计 数 据 中 心 分 离 ， 便 于 审 计 性 能 与 存 储 空 间 的 扩 展 。8.5 恶 意 代 码 查 杀8.5.1 部 署 防 病 毒 系 统 ， 对 终

20、 端 、 服 务 器 中 的 重 要 文 件 、 程 序 进 行 扫 描 检 测 ， 及 时 发 现 恶 意 代 码 ， 并进 行 有 效 的 阻 断 或 隔 离 。 8.5.2 应 定 期 更 新 防 病 毒 系 统 特 征 库 。8.6 脆 弱 性 管 理8.6.1 使 用 主 机 存 活 探 测 、 智 能 端 口 检 测 、 操 作 系 统 指 纹 识 别 等 技 术 ， 发 现 网 络 内 各 类 资 产 的 弱 点 和漏 洞 。8.6.2 应 识 别 应 用 系 统 漏 洞 、 操 作 系 统 漏 洞 、 中 间 件 漏 洞 、 数 据 库 漏 洞 ， Web代 码 漏 洞 ， 配

21、 置 合 规 漏洞 。8.7 性 能 监 控8.7.1 应 对 网 络 中 各 类 资 产 的 性 能 和 运 行 状 态 进 行 监 控 ， 及 时 发 现 运 行 故 障 、 性 能 不 足 等 问 题 。8.7.2 监 控 的 目 标 应 包 括 主 机 （ 操 作 系 统 、 中 间 件 、 数 据 库 等 ） 、 网 络 设 备 、 安 全 设 备 。8.7.3 应 针 对 不 同 的 监 控 目 标 设 置 专 项 的 监 控 指 标 。 8.8 日 志 管 理8.8.1 应 通 过 Syslog、 SNMP、 FTP、 NETBIOS、 ODBC、 Shell 脚 本 等 协 议

22、 进 行 不 同 厂 商 的 安 全 设 备 、 网络 设 备 、 主 机 、 操 作 系 统 、 以 及 各 种 应 用 系 统 产 生 的 日 志 进 行 采 集 并 转 换 成 统 一 的 格 式 。 DB23/T 28472021 5 8.8.2 应 对 各 类 日 志 关 联 分 析 ， 关 联 方 式 包 括 历 史 关 联 、 多 设 备 关 联 、 多 系 统 关 联 等 ， 并 可 自 定 义 关联 分 析 规 则 。8.8.3 应 预 留 充 足 的 日 志 存 储 空 间 ， 保 证 日 志 存 储 时 限 不 低 于 180天 。8.9 运 维 管 控应 建 立 完 善

23、 的 运 维 管 理 体 系 ， 设 置 专 用 运 维 区 域 和 运 维 主 机 ， 同 时 部 署 运 维 管 控 系 统 （ 如 堡 垒 机 或4A系 统 ） ， 实 现 运 维 人 员 的 单 点 登 录 、 身 份 认 证 、 权 限 管 理 、 行 为 审 计 等 功 能 。9 边 界 接 入 区 安 全 防 护 要 求9.1 数 据 传 输 链 路在 公 共 视 频 监 控 系 统 与 其 他 系 统 之 间 ， 应 建 设 数 据 资 源 交 互 链 路 ， 该 链 路 支 持 在 安 全 隔 离 情 况 下 数 据 资 源 （ 如 ： 数 据 库 、 文 件 等 ） 的 双

24、 向 同 步 。 在 安 全 防 护 的 基 础 上 ， 满 足 其 他 系 统 与 公 共 视 频 监 控 系 统之 间 数 据 资 源 共 享 与 安 全 交 换 的 需 求 。9.2 视 频 传 输 链 路在 公 共 视 频 监 控 系 统 与 其 他 系 统 之 间 ， 应 通 过 建 设 视 频 资 源 交 互 链 路 ， 实 现 视 频 信 息 安 全 防 护 ， 满足 将 其 他 系 统 视 频 资 源 接 入 公 共 视 频 监 控 系 统 ， 并 可 与 其 他 网 络 用 户 共 享 公 共 视 频 监 控 系 统 中 视 频 资源 。 支 持 视 频 流 和 视 频 控

25、制 信 令 的 双 向 或 单 向 传 输 ， 能 够 实 现 视 频 资 源 的 相 互 调 用 。9.3 访 问 控 制9.3.1 在 公 共 视 频 监 控 系 统 与 其 他 系 统 边 界 区 域 出 口 之 间 应 部 署 防 火 墙 设 备 ， 实 现 对 进 出 非 法 访 问 的限 制 。9.3.2 应 根 据 会 话 状 态 信 息 为 数 据 流 提 供 明 确 的 允 许 /拒 绝 访 问 的 能 力 ， 控 制 粒 度 为 端 口 级 。9.3.3 应 对 进 出 网 络 的 信 息 内 容 进 行 过 滤 ， 实 现 对 应 用 层 HTTP、 FTP、 TELNE

26、T、 SMTP、 POP3 等 协 议 命 令 级 的 控 制 。9.3.4 应 在 会 话 处 于 非 活 跃 一 定 时 间 或 会 话 结 束 后 终 止 网 络 连 接 。9.3.5 应 限 制 网 络 最 大 流 量 数 及 网 络 连 接 数 。9.3.6 应 对 重 要 网 段 采 取 技 术 手 段 防 止 地 址 欺 骗 。9.3.7 应 按 用 户 和 系 统 之 间 的 允 许 访 问 规 则 ， 决 定 允 许 或 拒 绝 用 户 对 受 控 系 统 进 行 资 源 访 问 ， 控 制 粒度 为 单 个 用 户 。9.3.8 安 全 设 备 性 能 应 不 低 于 两

27、倍 实 际 业 务 流 量 ， 以 满 足 突 发 流 量 和 未 来 扩 展 的 需 求 。9.4 数 据 加 密 及 数 据 完 整 性9.4.1 数 据 交 换 系 统9.4.1.1 数 据 安 全对 进 出 公 共 视 频 监 控 系 统 的 数 据 进 行 完 整 性 保 护 和 合 规 性 检 查 。 利 用 完 整 性 保 护 技 术 保 证 数 据 的 完 整 性 ， 确 保 交 互 数 据 未 经 破 坏 、 篡 改 。 通 过 对 数 据 格 式 和 内 容 合 规 性 检 查 ， 及 时 发 现 和 阻 止 违 反 安 全 策略 的 数 据 传 输 并 告 警 。9.4.

28、1.2 文 件 安 全 交 换 DB23/T 28472021 6 应 支 持 对 文 件 的 类 型 、 扩 展 名 、 格 式 、 内 容 的 识 别 和 检 查 ， 支 持 对 文 件 进 行 病 毒 查 杀 ， 对 检 查 出 来的 不 符 合 项 进 行 报 警 和 审 计 ， 文 件 交 换 完 成 后 应 自 动 删 除 已 交 换 的 暂 存 文 件 。9.4.1.3 数 据 库 安 全 交 换应 支 持 对 数 据 库 用 户 、 数 据 表 、 数 据 字 段 的 选 择 和 过 滤 ， 数 据 库 交 换 完 成 后 应 自 动 删 除 已 交 换 的 数据 记 录 ，

29、支 持 对 传 输 任 务 的 源 端 文 件 策 略 、 病 毒 查 杀 、 同 步 周 期 、 带 宽 分 配 等 内 容 进 行 配 置 ， 支 持 对 源端 或 目 的 端 的 数 据 库 进 行 触 发 器 清 理 操 作 。9.4.1.4 数 据 交 换 系 统 应 支 持 服 务 转 发 功 能需 要 使 用 请 求 服 务 的 用 户 应 在 系 统 中 注 册 用 户 信 息 ， 用 户 信 息 包 括 用 户 名 、 密 码 、 访 问 IP段 等 。 对用 户 可 以 访 问 的 Web Service资 源 进 行 注 册 ， 未 经 注 册 的 资 源 将 不 允 许

30、 访 问 。 对 用 户 访 问 Web Service资 源 的 请 求 参 数 和 响 应 内 容 进 行 过 滤 ， 采 用 关 键 字 过 滤 的 方 式 检 查 请 求 参 数 的 响 应 内 容 ， 对 不 合 法 的 请求 或 响 应 不 允 许 传 输 。 9.4.2 视 频 交 换 系 统9.4.2.1 应 按 照 预 先 注 册 的 视 频 数 据 格 式 ， 对 所 传 输 的 视 频 数 据 进 行 实 时 分 析 和 过 滤 ， 对 不 符 合 格 式的 视 频 数 据 进 行 阻 断 和 告 警 。9.4.2.2 视 频 数 据 与 视 频 控 制 信 令 应 按

31、照 不 同 的 安 全 策 略 严 格 区 分 ， 分 别 进 行 处 理 和 传 输 。9.5 安 全 域 隔 离9.5.1 公 共 视 频 监 控 系 统 与 其 他 网 络 之 间 禁 止 通 信 协 议 交 互 ， 数 据 资 源 交 互 链 路 应 采 用 安 全 数 据 交 换系 统 作 为 核 心 隔 离 系 统 ， 实 现 内 外 网 数 据 资 源 交 互 。 为 保 证 数 据 交 换 的 安 全 性 ， 安 全 数 据 交 换 系 统 应 采用 “ 数 据 交 换 系 统 +网 闸 ” 架 构 。9.5.2 视 频 资 源 交 互 链 路 应 采 用 视 频 安 全 交

32、换 接 入 系 统 作 为 核 心 隔 离 设 备 ， 实 现 内 外 网 视 频 资 源 的 交互 。 为 保 证 视 频 传 输 的 安 全 性 ， 安 全 视 频 交 换 系 统 应 采 用 “ 视 频 交 换 系 统 +网 闸 ” 架 构 。9.6 安 全 监 控 9.6.1 入 侵 防 御宜 在 公 共 视 频 监 控 系 统 与 其 他 专 网 边 界 区 域 出 口 部 署 入 侵 防 御 设 备 ， 对 视 频 传 输 网 中 各 种 溢 出 攻击 、 RPC攻 击 、 WEBCGI攻 击 、 拒 绝 服 务 、 病 毒 木 马 、 蠕 虫 、 网 络 异 常 、 受 控 主

33、机 、 系 统 漏 洞 攻 击 等 行 为进 行 入 侵 检 测 告 警 和 阻 断 。9.6.2 业 务 审 计9.6.2.1 应 对 系 统 中 各 类 网 络 设 备 、 安 全 设 备 、 操 作 系 统 、 视 频 资 源 等 产 生 的 大 量 日 志 数 据 、 运 行 状态 数 据 进 行 收 集 和 关 联 分 析 ， 及 时 发 现 安 全 威 胁 。9.6.2.2 应 对 异 常 流 量 、 网 络 访 问 性 能 、 系 统 服 务 性 能 、 应 用 响 应 性 能 等 关 键 性 能 指 标 进 行 智 能 分 析 ，实 现 对 关 键 业 务 系 统 中 的 网

34、络 异 常 、 应 用 性 能 异 常 和 网 络 行 为 异 常 的 秒 级 发 现 。9.6.2.3 宜 具 备 区 分 异 常 原 因 的 智 能 回 溯 分 析 能 力 ， 提 升 对 关 键 业 务 系 统 的 运 行 保 障 能 力 和 问 题 处 置效 率 。 9.6.3 安 全 审 计9.6.3.1 通 过 审 计 类 设 备 ， 实 现 对 网 络 、 链 路 中 网 络 流 量 信 息 和 设 备 日 志 信 息 的 全 面 审 计 。 DB23/T 28472021 7 9.6.3.2 通 过 在 边 界 区 域 部 署 集 中 监 控 与 审 计 设 备 ， 实 现 安

35、 全 监 控 、 集 中 管 理 与 审 计 。 宜 考 虑 级 联 部署 ， 将 各 级 系 统 信 息 逐 级 上 报 汇 总 。9.6.3.3 宜 提 供 边 界 区 域 的 拓 扑 视 图 ， 在 视 图 上 实 时 动 态 监 控 各 种 设 备 当 前 的 运 行 状 况 、 显 示 各 个 边界 接 入 业 务 的 流 量 及 重 要 告 警 信 息 。9.6.3.4 视 频 审 计 类 设 备 应 采 用 旁 路 审 计 方 式 ， 对 各 部 门 用 户 访 问 视 频 资 源 汇 聚 系 统 、 前 端 视 频 资 源的 行 为 进 行 信 令 级 日 志 记 录 ， 记

36、录 内 容 包 括 设 备 类 型 、 设 备 信 息 、 源 地 址 、 目 的 地 址 、 时 间 、 操 作 类 型 、操 作 用 户 、 操 作 信 令 。 宜 考 虑 级 联 部 署 ， 建 设 上 、 下 级 公 共 视 频 监 控 系 统 访 问 行 为 审 计 系 统 ， 记 录 各 网用 户 对 视 频 资 源 的 信 令 级 访 问 行 为 。10 日 常 维 护 与 应 急 管 理 要 求10.1 备 份 与 故 障 修 复 10.1.1 应 对 重 要 数 据 定 期 备 份 。 建 立 对 违 规 行 为 等 安 全 事 件 进 行 鉴 别 、 取 证 、 攻 击 者

37、 追 踪 等 紧 急 响 应处 理 流 程 和 工 作 机 制 ， 将 安 全 事 件 造 成 的 损 失 降 至 最 低 。10.1.2 部 分 网 络 安 全 设 备 、 边 界 隔 离 设 备 系 统 宜 支 持 双 机 热 备 ， 出 现 单 点 故 障 问 题 时 ， 可 采 用 双 机 热备 实 现 无 缝 切 换 ， 保 证 数 据 资 源 的 正 常 传 输 及 视 频 资 源 的 正 常 浏 览 。10.2 应 急 处 理10.2.1 应 建 立 健 全 网 络 安 全 应 急 处 理 机 制 ， 制 定 视 频 采 集 设 备 接 入 安 全 、 应 用 区 安 全 、 边

38、 界 接 入 安 全等 安 全 设 备 的 故 障 和 灾 难 应 急 响 应 实 施 预 案 ， 并 结 合 预 案 定 期 进 行 应 急 处 置 培 训 及 演 练 ， 有 效 预 防 、 及时 控 制 和 最 大 限 度 消 除 公 共 视 频 监 控 系 统 信 息 安 全 各 类 突 发 事 件 的 危 害 和 影 响 。10.2.2 系 统 遭 受 攻 击 时 ， 应 立 即 停 止 该 服 务 器 对 外 发 布 信 息 ， 并 通 过 访 问 控 制 等 控 制 手 段 对 该 服 务 器启 用 最 高 级 别 限 制 ， 查 找 、 弥 补 安 全 漏 洞 后 ， 恢 复

39、正 常 的 信 息 并 定 位 攻 击 来 源 。10.2.3 系 统 由 于 病 毒 或 网 络 攻 击 造 成 系 统 瘫 痪 时 ， 应 及 时 针 对 具 体 情 况 制 定 修 复 方 案 ， 恢 复 正 常 运 行 。10.2.4 边 界 隔 离 设 备 遭 遇 攻 击 时 ， 应 立 即 断 开 边 界 隔 离 设 备 网 络 连 接 ， 阻 断 进 一 步 网 络 攻 击 ， 并 针 对 具 体 情 况 查 找 攻 击 来 源 、 弥 补 安 全 漏 洞 后 ， 方 可 恢 复 边 界 网 络 连 接 。10.2.5 网 络 信 息 安 全 突 发 事 件 发 生 后 ， 应 及 时 上 报 上 级 主 管 部 门 。 DB23/T 28472021 8 参 考 文 献1 GB/T 22239 2019 信 息 安 全 技 术 网 络 安 全 等 级 保 护 基 本 要 求2 GB 35114 2017 公 共 安 全 视 频 监 控 联 网 信 息 安 全 技 术 要 求_