1、书 江苏省地方标准视频监控联网信息安全自动化漏洞扫描技术规范发布实施江苏省市场监督管理局发 布 国 标 准 出 版 社出 版目前言范围规范性引用文件术语和定义缩略语技术路线部署要求功能要求支持协议策略配置资产探测扫描分析监测及输出性能要求安全要求账户安全日志审计管理要求版本管理系统更新文档管理附录 资料性视频监控联网信息安全自动化漏洞扫描报告模板言本文件按照 标准化工作导则第部分标准化文件的结构和起草规则的规定起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任本文件由江苏省软件工程标准化技术委员会提出并归口本文件起草单位南京市产品质量监督检验院南京市质量发展与先进技术应
2、用研究院南京治煜信息科技有限公司国网电力科学研究院有限公司东南大学江苏苏测检测认证有限公司南京虎牙信息科技有限公司江苏省检验检疫科学技术研究院公安部第三研究所中国科学院信息工程研究所中国工业互联网研究院中国信息通信研究院上海电器科学研究所集团有限公司本文件主要起草人荣鼎慧张小飞朱嘉慧张涛王骕王亚春马鲜艳宋宇波唐雯王晓李盟陈晶童沐雨裴世超王蕊季凯李海洲郭梦伊王凯徐鸣王尧沈亮孙永清戚臻彦闫兆腾薛强张志兵任悦视频监控联网信息安全自动化漏洞扫描技术规范范围本文件规定了视频监控联网信息安全自动化漏洞扫描技术规范包括技术路线部署要求功能要求性能要求安全要求和管理要求本文件适用于视频监控联网设备网络信息安全
3、测试包括但不限于智慧交通城市安全公共卫生及家庭生活等视频监控联网信息安全的自动化漏洞扫描规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息技术 词汇第部分基本术语信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法漏洞扫描系统通用技术要求视频监控系统网络安全技术要求术语和定缩略语术语和定下列术语和定义适用于本文件漏洞资产中能被威胁所利用的弱点来源漏洞扫描系统种针对安全漏洞开展主动检测的系统可依据定的策略对目标系统进行安全漏洞的扫描发现安全漏洞验证安全漏洞
4、并提出相应的改进意见来源视频监控系统由前端采集传输存储管理显示等组成利用视频技术探测监视设防区域并实时显示记录现场图像的电子系统或网络来源固功能上独立于主存储器通常存储在只读存储器中的指令和相关数据的有序集来源可视化利用计算机图形学和图像处理技术将数据转换成图形或图像在屏幕上显示出来并进行交互处理的理论方法和技术来源缩略语下列缩略语适用于本文件中国国家信息安全漏洞库国家信息安全漏洞共享平台公共漏洞和暴露 数字式录像机网络视频录像机技术路线通过接入目标系统网络提取视频监控设备信息并行执行固件漏洞检测网络协议漏洞检测业务交互内容漏洞检测的大检测内容最终分析检测数据并输出可视化结果及漏洞扫描报告技术
5、路线图见图图 技术路线图部署要求部署模式应符合 第章的要求功能要求支持协议支持协议类型包括 等策略配置配置向导扫描策略应支持可视化配置包括但不限于以下内容任务信息的可视化如任务名称任务 等扫描范围的可视化如单设备多设备多网段连续节点等扫描周期的可视化如仅次每周每月或精确至具体时间等扫描方式的可视化如全自动识别人工增强等扫描目标的可视化如摄像头设备视频监控管理平台等应支持针对常见厂商架构的摄像头以及支撑摄像头运行的上下游设备做检测做到对视频专网内设备的全覆盖注全自动识别指视频监控联网自动化漏洞扫描系统自动探测摄像头设备信息并自动进行漏洞分析注人工增强指在系统自动探测的基础上根据用户自主补充的摄像
6、头设备信息进行增强化的扫描与分析策略优化扫描策略应支持结合摄像头指纹特征等信息进行调整提升扫描效率及精确度资探测通过资产探测进行资产收集资产信息收集应符合 中的规定资产探测应形成视频监控设备信息表包括但不限于以下内容视频监控设备基本信息信息地址信息厂商信息版本号等视频监控设备扩展信息协议信息设备序列号运行特征端口号信息组件版本等扫描分析扫描规则漏洞扫描规则基于漏洞数据库漏洞数据库应包括 等主流安全漏洞库宜包括自主挖掘与收集的漏洞状态监测视频监控联网自动化漏洞扫描系统每次发送检测数据包前应对视频监控联网系统的性能状态与响应情况进行监测如网络性能压力响应状态码响应报文特征等目标系统状态异常时应立即
7、停止扫描并同步报送预警信息至监控端固件漏洞检测检测对象固件漏洞检测对象为视频监控终端的二进制固件代码检测过程通过自动化解包虚拟化运行特征匹配等对二进制固件代码进行检测检查点检测固件相关文件信息如固件名称固件大小固件的文件系统类型固件文件结构固件架构组件版本等对固件进行安全检测通过固件逆向虚拟化运行漏洞特征分析漏洞缓解措施检测等方法进行检测分析固件代码的安全问题如漏洞存在情况漏洞分类漏洞出现位置网络协议漏洞检测检测对象网络协议漏洞检测对象为视频监控终端与后端服务等传输过程的协议数据包分析对象包括但不限于常见的视频监控典型协议如 等检测过程检测视频监控指纹特征等信息自动产生模糊测试脚本执行对每个待
8、测设备的注入测试检查点检测网络协议的完整性保密性可用性协议完整性漏洞包括视频监控协议指令与功能重放攻击访问控制与设备配置项篡改等协议保密性漏洞包括视频监控视频流越权读取密钥信息泄露设备参数信息非法获取等协议可用性漏洞包括视频监控设备拒绝服务非法关机与重启等务交互内容漏洞检测检测对象业务交互内容漏洞检测对象为视频监控 服务如 等视频监控 服务所依赖的数据库存储服务如 等视频监控 服务所依赖的中间件服务如 等检测过程通过漏洞规则匹配对视频监控 服务视频监控数据存储服务视频监控应用服务所依赖的中间件进行安全检测检查点分析视频监控 服务视频监控应用服务所依赖的数据存储服务视频监控应用服务所依赖的中间件
9、的漏洞信息漏洞存在情况漏洞分类等如注入跨站脚本攻击任意文件传等监测及输出可视化监测可视化监测应包括以下内容监测被测设备的运行结果当发现被测设备出现拒绝服务或者溢出错误等问题时立即记录相应的输入和输出信息监测视频监控终端状态如终端运行状态终端网络状态等监测网内摄像头资产管理摄像头漏洞扫描扫描器及漏洞库状态等信息监测网内摄像头资产数已扫描设备数以及总扫描次数监测网内各个设备的漏洞情况如云图漏洞触发率排行表等结果输出结果输出应满足以下要求扫描结果应支持自动保存历史详情查看导出为结果报告同资产的两次历史扫描结果应能够进行对比分析确认历史漏洞是否修复扫描结果内容应包括详细的漏洞扫描信息如主机信息端口信息
10、协议信息漏洞存在情况漏洞分类漏洞位置漏洞检测与利用方式等结果报告导出格式应支持多种常见文件类型如 等结果报告应支持版式及内容自定义配置报告模板参见附录 性能要求性能应符合 第章的要求资产的并发扫描应满足支持最大并发扫描资产数不低于支持最大并发扫描线程数不低于安全要求账户安全账户安全应符合 中及的要求日志审计日志与审计应符合 中的要求且日志存储时间应不少于管理要求版本管理版本管理应符合 中的要求系统更新系统应具有更新升级产品和漏洞库的能力档管理文档管理应符合 中的规定及以要求漏洞扫描报告结果应能进行人工审计用户文档应提供用户手册操作手册运维手册等文档指导用户使用管理和维护系统附录资料性视频监控联网息安全自动化漏洞扫描报告模板视频监控联网信息安全自动化漏洞扫描报告模板示例见表 表 视频监控联网息安全自动化漏洞扫描报告开始时间结束时间机信息状态机名开放 端口号开放 端口号漏洞信息端口信息端口协议漏洞名称检测策略漏洞详情组件及版本附加信息
