1、 ICS 13.310 A 91 中华人民共和国 公共安全 行 业 标 准 GA/T XXXX.2 XXXX 公安视频图像信息系统安全技术要求 第 2 部分:前端设备 Security technology requirements for video and image information system for public security Part 2: Front- end device (报批稿) XXXX XX XX 发布 XXXX XX XX 实施 中华人民共和国公安部 发布 GA GA/T XXXX.2XXXX I 目 次 前言 . 1 范围 . 1 2 规范性引用文件 .
2、 1 3 术语、定义和缩略语 . 1 3.1 术语和定义 . 1 3.2 缩略语 . 1 4 前端设备分类与分级 . 2 5 安全技术要求 . 2 5.1 总体要求 . 2 5.2 物理安全 . 3 5.3 身份鉴别 . 4 5.4 访问控制 . 4 5.5 入侵防范 . 5 5.6 数据安全 . 5 5.7 证书和密钥管理 . 5 5.8 日志安全 . 5 5.9 无线交互类前端设备管控 . 6 5.10 无线前端设备承载业务 . 6 GA/T XXXX.2XXXX II 前 言 本文件按照 GB/T 1.1 2020标准化工作导则 第 1部分:标准化文件的结构和起草规则的规定起 草。 GA
3、/T XXXX公安视频图像信息系统 安全技术要求 分为 4个部分: 第 1 部分:通用要求 ; 第 2 部分: 前端设备; 第 3 部分: 安全交互; 第 4 部分: 安全管理平台。 本文件是 GA/T XXXX的 第 2部分 。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件 由公安部科技信息化局 提 出。 本文件由全国安全防范报警系统标准化技术委员会( SAC/TC 100)归口。 本文件起草单位:公安部 第一研究所 、视频 图像信息智能分析与共享应用技术国家工程实验室 、浙 江宇视科技有限公司、浙江大华 技术股 份有限公司 、杭州 海康 威视 数字 技
4、术 股份有限公司 、苏州科达科 技股份有限公司、公安部安全与警用电子产品质量检测中心、格尔 软件股份有限公司 、北京 市公安局 、 华为 技术有限公司 、北京 天防安全科技有限公司 、深 信服科技股份有限公司 、 杭州迪普科技股份有限公 司 、 锚 丁 科技( 北京 ) 有限 责任公司 、 杭州安恒信息技术股份有限公司 。 本文件主要起草人:栗红梅、常玉兰、王连朝、 吕胜伟 、郑裕林、刘明、杨学军、何迪、张春慧、 尚旭 亮 、王建勇、张 薇薇 、严 敏瑞 、段 伟恒 、邱慎 奋 、仇俊杰、 鲁 大军。 本文件于 202x年首次发布。 GA/T XXXX.2XXXX 1 公安视频图像信息系统安
5、全技术要求 第 2 部分:前端 设备 1 范围 本文件规定了公安视频图像信息系统中前端设备的 分类与分级说明 , 以及前端设备 安全技术要求 。 本文件适用于公安视频图像信息系统 前端设备 的设计、制造和检验。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件。不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T 20271 信息安全技术 信息系统 通用安全技术要求 GB/T 28181 2016 公共安全视频监控联网 系统信息传输、交换、控制技术要求 GB 35114 2017
6、 公共安全 视频监控联网信息安全技术要求 GM/T 0021 动态 口令密码应用技术规范 GA/T 1400 2017 (所有部分) 公安视频图像信息应用系统 GA/T XXXX.1 XXXX 公安视频图像信息系统 安全技术要求 第 1部分:通用要求 3 术语、定义和缩略语 3.1 术语和定义 GB/T 28181 2016、 GB/T 20271、 GB 35114 2017、 GA/T XXXX.1 XXXX界定的术语和定义适用于 本文件。 3.2 缩略语 下列 缩略语适用于本文 件 。 HTTP:超文本 传输协议( Hyper Text Transfer Protocol) IP:网际互
7、联协议 ( Internet Protocol) MAC:介质 访问控制 ( Media Access Control) OTA:空中下载 技术( Over the Air) SIM: 用户识别模块( Subscriber Identify Module) SSH:安全外壳 ( Secure Shell) SSID:服务集标识( Service Set Identifier) TLS:安全 传输层( Transport Layer Security) WEP:有线等效保密( Wired Equivalent Privacy) WIFI: 无线保真( Wireless Fidelity) WLA
8、N:无线 局域网( Wireless Local Area Network) WPA: WiFi安全访问( Wi-Fi Protected Access) WPS: WiFi保护 装置 ( Wi-Fi Protect Setup) WSSE: Web服务安全( Web Service Security) GA/T XXXX.2XXXX 2 4 前端 设备 分类与分级 4.1 前端设备 按照传输方式分为有线前端设备和无线前端设 备两类。前端 设备 基于 无线通信技术 完成 接入 、传输 及使用 的,即为无线前端设备。 4.2 有线前端设备按照应用场景分为采集类设备、接入类设备两类;无线前端设备按
9、照应用场景分为 采集类设备、接入类设备和交互 类设备 三类。 4.3 前端 设备 根据安全能力 分为 通用型、 增强 型 I、增强型 II 三级。其中增强型无线前端设备可通过 纵向安全防护系统接入公安视频图像信息系统。 5 安全技术要求 5.1 总体要求 公安视频图像信息系统各类前端设备的安全要求应符合表 1的规定。 表 1 前端设备安全要求与前端设备类别对应关系表 功能 条款 有线前端设备 无线前端设备 采集 类 接入类 采集 类 接入 类 交互类 通用 型 增强 型 I 增强 型 II 通用 型 增强 型 I 增强 型 II 通用 型 增强 型 I 增强 型 II 增强 型 I 增强 型
10、II 增强 型 I 增强 型 II 物理 安全 5.2.1 5.2.2 5.2.3 身份 鉴别 5.3.1.1 5.3.1.2 5.3.1.3 5.3.1.4 5.3.2.1 5.3.2.2 5.3.3.1 5.3.3.2 访问 控制 5.4.1 5.4.2 5.4.3 5.4.4 5.4.5 5.4.6 5.4.7 5.4.8 5.4.9 5.4.10 GA/T XXXX.2XXXX 3 表 1 前端设备安全要求与前端设备类别对应关系表 (续) 功能 条款 有线前端设备 无线前端设备 采集 类 接入类 采集 类 接入 类 交互类 通用 型 增强 型 I 增强 型 II 通用 型 增强 型 I
11、 增强 型 II 通用 型 增强 型 I 增强 型 II 增强 型 I 增强 型 II 增强 型 I 增强 型 II 入侵 防范 5.5.1 5.5.2 5.5.3 5.5.4 5.5.5 5.5.6 5.5.7 5.5.8 5.5.9 5.5.10 数据 安全 5.6.1 5.6.2 5.6.3 5.6.4 5.6.5 证书 和密 钥管 理 5.7.1 5.7.2 日志 安全 5.8.1 5.8.2 5.8.3 无线 交互 类前 端设 备 管 控 5.9.1 5.9.2 5.9.3 5.9.4 5.9.5 5.9.6 5.9.7 5.9.8 无线 前端 设备 承载 业务 5.10.1 5.1
12、0.2 注 :表示应满足相应条款;表示宜满足相应条款; 表示不需要满足相应条款 。 5.2 物理安全 GA/T XXXX.2XXXX 4 5.2.1 前端 设备 应根据 使用环境 和安全需要, 采取 相应防物理破坏、防电磁干扰、防阻挡屏蔽、防雷、 防水、防尘、稳定电力供应等措施。 5.2.2 前端设备的重要部件 应有明显的 不易 除去的标记 。 5.2.3 前端设备的 密码模块 遭到破坏时应 报警 。 5.3 身份 鉴别 5.3.1 身份标识 与 鉴别 5.3.1.1 前端设备应具有 唯一 电子 身份标识 。采用 GB/T 28181 协议或 GA/T 1400 协议 传输的 前端 设备 ,
13、其 电子身份标识的编码规则应符合 GB/T 28181 2016 的相关 规定 。 5.3.1.2 具有密码模块 的 前端设备 ,其密码模块 应具有不可更改的唯一 电子 身份标识 , 编码规则 应符 合 GB 35114-2017 中 附录 B 的 规定 。 5.3.1.3 前端设备接入时,以及采集类设备连接接入类设备时, 采用基于 口令 的数字摘要认证方式进 行认证 , 其口令应具有复杂度 控制、 定期更换 、加密传输 和 存储的能力,应和 账号不同 ; 采用动态口令 方式 认证时,动态口令 的 认证 流程应符合 GM/T 0021 的 规定 ;采用 GB/T 28181 协议 传输的 前端
14、 设备 , 认证流程 应符合 GB/T 28181-2016 中 9.1 的规定;采用 GA/T 1400 协议 传输的 前端 设备 ,应符合 GA/T 1400.4-2017 中 7.2.1 及 7.3.1 的规定;采用 HTTP 协议 访问的 前端设备,应 支持 安全 模式进行身份认 证,如 Digest 认证, WSSE 认证。 5.3.1.4 前端设备接入时,以及采集类设备连接接入类设备时,采用基于 数字证书 的设备 身份认证 , 其前端 设备 认证流程应符合 GB 35114-2017 附录 C 中 C.2 的规定。 5.3.2 鉴别失败处理 5.3.2.1 前端设备在连续鉴别失败
15、5 次后,应锁定该账号不低于 5min,可支持对连续鉴别失败次数和 锁定时间设置。 5.3.2.2 前端设备的账号 锁定后 可通过至少 1 种及以上方式进行解锁,如由更高权限用户进行解锁等。 5.3.3 超时处理 5.3.3.1 通信会话应支持 设置 最大 超时 时间 ; 超时时间可修改 的, 应仅由 已 授权 的用户进行 设定 。 5.3.3.2 通信会话在最大 超时时间内 若 没有 进行 任何操作 应终止会话 , 再次 操作时 应 进行身份鉴别。 5.4 访问控制 5.4.1 首次 登 录 时 应重命名或删除默认账户,对于 无法删除的 默认账户 应 修改其默认口令。 5.4.2 采集类设备
16、应支持采用专用工具集中统一设置管理账户口令。 5.4.3 应支持删除或停用多余的、过期的账户,禁止共享账户。 5.4.4 应支持授予管理类用户所需的最小权限,实现管理类用户的权限分离。 5.4.5 访问控制的粒度应至少包括 IP/MAC 等 属性 。 5.4.6 应支持 设置 最大 会话数量 。 5.4.7 应禁止非授权用户访问 操作系统 的 系统 文件 。 GA/T XXXX.2XXXX 5 5.4.8 应禁止非授权用户对前端设备上的软件进行配置或变更。 5.4.9 用户通过 公安视频图像信息系统 访问前端 设备 时,前端 设备只接收 基于 GB/T 28181 2016、 GA/T 140
17、0 2017 或 GB 35114 2017 的协议 访问 。 5.4.10 用户直接 访问 前端 设备 时 , 前端 设备 只接收 特定 IP 地址 的 访问 或 基于外设的访问 。 5.5 入侵防范 5.5.1 应支持遵循最小安装要求,可仅安装必要的组件和应用程序。 5.5.2 应支持关闭不需要的系统服务、默认共享和高危端口。 5.5.3 应支持以版本升级等方式修补漏洞。 5.5.4 应支持采用 SSH、 TLS 等 安全协议 进行业务 访问 和远程管理。 5.5.5 应 支持 通过数字签名校验 的升级包进行升级 。 5.5.6 应有信令校验失败等事件 的 检测能力并记录日志或告警提示。
18、5.5.7 应支持对系统文件进行监控,对新增或修改文件进行病毒检测,可对恶意的病毒文件进行查杀。 5.5.8 无线前端设备应支持接入认证功能,禁止使用 WEP 方式进行认证。 5.5.9 无线前端设备应默认关闭 WPA 功能。 5.5.10 无线前端设备应能检测 SSID 广播、 WPS 等高风险功能的开启状态,默认关闭 SSID 广播。 5.6 数据安全 5.6.1 前端设备应保证用户数据不能被未授权用户查询、修改和删除。 5.6.2 支持本地删除的前端设备应支持安全删除存储 器中被用户需要删除的数据索引及数据内 容 。 5.6.3 重点 区域、重点行业或重要部位 前端设备的 视频流的传输、
19、存储、调看等 应符合 GB 35114 2017 的 C 级规定。 5.6.4 无线前端设备采集 数据 的 完整性 和 保密性 应符合 GB 35114 2017 的规定。 5.6.5 前端 设备 采集的除 视频 流 外的 重要 数据 应 确保 其传输、存储的保密性和 完整性 。 5.7 证书 和 密钥管理 5.7.1 前端设备的 数字证书 格式应符合 GB 35114 2017 中 附录 A 的 规定 。 5.7.2 前端设备的非对称密钥和 对称密钥 管理应符合 GB 35114 2017 的 6.14 的 规定 。 5.8 日志安全 5.8.1 具有本地存储功能的前端设备,应支持启用日志功
20、能,日志应覆盖到每 个用户,并对重要的用 户行为和重要安全事件进行日志记录。 5.8.2 具有本地存储功能的前端设备,用户 行为 日志 和 安全事件日志宜保存 180 天或支持以 syslog 等方式上传。 5.8.3 具有本地存储功能的前端设备,日志记录应包括事件的日期和时间,登录 、 重启 、注销、 异常 报警、 账户锁定等 事件类型以及源 IP 地址 、 目标 IP 地址 、用户等信息。 GA/T XXXX.2XXXX 6 5.9 无线交互类前端设备管控 5.9.1 应通过预置或管控接口对本机硬件能力和外围接口进行配置,管控对象如 USB、扩展存储、蓝 牙、定位服务、网络连接、摄像头,麦
21、克等。配置操作可包括禁用、强制开启、受限访问、不管控等。 5.9.2 应 通过预置移动通信网络连接参数或管控接口配置,限制前端设备仅能使用运营商 VPDN 或无线 专网链路接入公安视频传输网,禁止跨网络和互联网连接。 5.9.3 应通过预置或管控接口对前端设备 WLAN 模块进行配置,禁止前端设备开启热点、相互直连。 5.9.4 应通过预置或管控接口配置前端设备网络访问规则,禁止前端设备操作系统或应用与未知或未 授权服务器进行交互。 5.9.5 在发布、下载、安装应用时,应通过数字签名确保应用的完整性、一致性和安全性,应通过黑 白名单对应用的安装、卸载、更新等权限进行控制。 5.9.6 应通过
22、管控接口对前端设备状态进行监测采集,采集上报的信 息包括但不限于:获取 ROOT 权限 行为、登录失败行为、 SIM/USIM 卡状态、密码模块状态、证书状态和互联网连通性状态。 5.9.7 应通过管控接口对前端设备进行远程管理,操作包括但不限于:远程锁定 /解锁、数据擦除、远 程关机 /重启、定位信息上报。 5.9.8 应通过刷机、 OTA 等方式升级更新操作系统,并通过数字签名确保升级包的完整性和一致性。 5.10 无线 前端设备承载业务 5.10.1 采集类无线 前端设备 用 于将采集和感知的数据回传到视频图 像 信息系统 中。 5.10.2 无线前端 设备应 按照公安无线 相关标准 要求与 业务系统进行交互 。 _