- 您的位置:
- 标准下载网 >>
- 标准分类 >>
- 公共安全行业标准(GA) >>
- GA/T 669.2-2008 城市监控报警联网系统技术标准 第2部分:安全技术要求
【公共安全行业标准(GA)】 城市监控报警联网系统技术标准 第2部分:安全技术要求
本网站 发布时间:
2024-10-17 00:12:55
- GA/T669.2-2008
- 现行
标准号:
GA/T 669.2-2008
标准名称:
城市监控报警联网系统技术标准 第2部分:安全技术要求
标准类别:
公共安全行业标准(GA)
标准状态:
现行-
发布日期:
2008-08-04 -
实施日期:
2008-08-04 出版语种:
简体中文下载格式:
.rar.pdf下载大小:
5.61 MB
标准简介/下载点击下载
标准简介:
标准下载解压密码:www.bzxz.net
GA/T 669《城市监控报警联网系统 技术标准》分为11个部分,本部分为GA/T 669的第2部分。GA/T 669的本部分规定了城市监控报警联网系统安全设计原则、安全技术体系总体框架和认证及权限管理结构、物理安全、通信和网络安全、运行安全、信息安全等基本技术要求,是进行城市监控报警联网系统安全建设规划、方案设计、工程实施、系统检测验收以及与之相关的系统设备研发、生产的依据。本部分适用于城市监控报警联网系统,其他领域的监控报警联网系统可参考采用。 GA/T 669.2-2008 城市监控报警联网系统技术标准 第2部分:安全技术要求 GA/T669.2-2008
标准内容部分标准内容:
ICS13.310
GAT 669.2-2008
中华人民共和国公共安全行业标准GA/T669.2—2008
城市监控报警联网系统
技术标准
第2部分:安全技术要求
Technical standard of city area monitoring and alarming network system-Part2:Technical specification of security2008-08-04发布
中华人民共和国公安部
2008-08-04实施
1范围
2规范性引用文件
3术语、定义和缩略语·
3.1术语和定义
3.2缩略语
4联网系统安全设计原则
4.1规范性原则
先进性和实用性原则
可扩展性原则
开放性和兼容性原则
4.5可靠性原则
4.6系统性原则
技术与管理相结合原则
等级保护原则
分层安全原则
最小权限原则·
5联网系统安全技术体系总体框架和认证及权限管理结构总体框架
5.2认证及权限管理结构
6物理安全
监控中心电源安全
电磁兼容性安全
6.3环境安全
6.4设备安全
6.5防雷接地
6.6记录介质安全
7通信和网络安全
7.1网络传输的安全
7.2公安专网的接入与输出安全
7.3双网并存
8运行安全
安全监控
8.2安全审计
8.3恶意代码防护
备份与故障恢复
应急处理
安全管理
GA/T669.2—2008
GA/T669.2—2008
9信息安全
9.1公钥基础设施
9.2系统时间校正·
9.3用户身份认证
9.4接入设备认证
9.5用户授权策略与权限管理
9.6访问控制与业务审计
9.7数据加密及数据完整性保护
9.8安全域隔离
附录A(规范性附录)
附录B(规范性附录)
附录C(资料性附录)
参考文献
支持X.509V3的证书格式定义
支持X.509V2的证书撤销列表(CRL)格式数字证书和静态口令两种方式下的用户身份认证流程o
GA/T669.2—2008
请注意,本部分的基本内容有可能涉及专利,本部分的发布机构不应承担识别这些专利的责任。GA/T669《城市监控报警联网系统技术标准》分为11个部分:第1部分:通用技术要求;
第2部分:安全技术要求;
第3部分:前端信息采集技术要求;第4部分:视音频编、解码技术要求;第5部分:信息传输、交换、控制技术要求;一第6部分:视音频显示、存储、播放技术要求;———第7部分:管理平台技术要求;—第8部分:传输平台技术要求;第9部分:卡口信息识别、比对、监测系统技术要求;—-第10部分:无线视音频监控系统技术要求;第11部分:关键设备通用技术要求。本部分为GA/T669的第2部分。
本部分的附录A、附录B为规范性附录,附录C为资料性附录。本部分由公安部科技局提出。
本部分由全国安全防范报警系统标准化技术委员会(SAC/TC100)归口。本部分起草单位:公安部第一研究所、北京中盾安全技术开发公司、北京网新中广科技发展有限责任公司、杭州恒生数字设备科技有限公司、武汉大学国家多媒体工程中心、深圳中兴力维技术有限公司、杭州华三通信技术有限公司、杭州思福迪信息技术有限公司、北京联视神盾安防技术有限公司。本部分主要起草人:房子河、栗红梅、陈朝武、张俊业、王楠、张本锋、崔云红、赵惠芳、刘剑、胡瑞敏、查敏中、王学华、戚文雅、向稳新、张鹏国、王海增、李晓峰、杨国胜、陆品样、王娜。1范围
城市监控报警联网系统技术标准第2部分:安全技术要求
GA/T669.2—2008
GA/T669的本部分规定了城市监控报警联网系统(简称联网系统)安全设计原则、安全技术体系总体框架和认证及权限管理结构、物理安全、通信和网络安全、运行安全、信息安全等基本技术要求,是进行城市监控报警联网系统安全建设规划、方案设计、工程实施、系统检测验收以及与之相关的系统设备研发、生产的依据。
本部分适用于城市监控报警联网系统,其他领域的监控报警联网系统可参考采用。2规范性引用文件
下列文件中的条款通过GA/T669的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。
GB/T2260—2007中华人民共和国行政区划代码GB/T2659—2000世界各国和地区名称代码(eqvISO3166-1:1997)GB4943—2001信息技术设备的安全(idtIEC60950:1999)GB/T7408一2005数据元和交换格式信息交换日期和时间表示法(ISO8601:2000,IDT)GB/T20271一2006信息安全技术信息系统通用安全技术要求GB50348—2004安全防范工程技术规范GA/T367—2001视频安防监控系统技术要求GA/T669.1一2008城市监控报警联网系统技术标准第1部分:通用技术要求GA/T669.5—2008
城市监控报警联网系统技术标准第5部分:信息传输、交换、控制技术要求GA/T669.7一2008城市监控报警联网系统技术标准第7部分:管理平台技术要求RFC3280X.509公钥证书和CRL
3术语、定义和缩略语
GA/T669.1--2008中确立的以及下列术语、定义和缩略语适用于本部分。3.1术语和定义
公钥基础设施publickeyinfrastructure包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制证书的产生、管理、存储、分发和撤销等功能。
3publickey certificate
公钥证书
用户的公钥连同其他信息,并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。3.1.3
证书认证机构certificationauthority负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密钥。1
GA/T669.2-2008
注册机构registration authority为用户办理证书申请、身份审核、证书下载、证书更新、证书注销以及密钥恢复等实际业务的办事机构或业务受理点。
证书撤销列表certificaterevocationlist一个已标识的列表,它指定了一套证书发布者认为无效的证书。除了普通CRL外,还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。3.1.6
权限管理系统privilegemanagementsystem为用户、角色分配权限,并保障其正确使用的系统。3.1.7
安全管理系统securitymanagementsystem负责对用户信息及安全事件进行管理并完成安全审计等功能的系统。3.1.8
安全支撑平台securitysupportingplatform完成用户身份认证及单点登录、设备接入认证、数字签名、数据加密和访问控制等功能的系统。3.1.9
物理安全physical security
联网系统设备所处的物理环境的安全,是整个系统安全运行的前提。3.1.10
运行安全operationsecurity
网络与信息系统的运行过程和运行状态的安全。3.1.11
信息安全informationsecurity
信息在数据收集、存储、检索、传输、交换、显示、扩散等过程中的安全,使得在数据处理层面保障信息依据授权使用,保护信息不被非法充、窃取、寡改、抵赖。3. 1. 12
安全子系统securitysubsystem
联网系统的部分,包括公钥基础设施、权限管理系统、安全管理系统及安全支撑平台软硬件。3.1.13
安全域securitydomain
计算机网络中从属于单一安全策略、受单个授权机构管理的多个实体构成的集合。3.2缩略语
AdvancedEncryptionStandard高级加密标准CertificateRevocationList证书撤销列表DataEncryptionStandard数据加密标准MessageDigestAlgorithm5信息摘要5NetworkTimingProtocol网络时间协议PublicKeyInfrastructure/CertificationAuthority公钥基础设施/认证机构PKI/CA
PrivilegeManagementSystem权限管理系统SecureHashAlgorithm安全哈希算法SimpleNetworkTimeProtocol简单网络时间协议SecureSocketLayer安全套接字
GA/T 669.2—2008
Secure/Multipurpose Internet Mail Extensions3S/MIME
安全多用途网际邮件扩充协议
TimeStampAuthority时间截机构TransportLayerSecurity传输层安全UniformResourceLocator统一资源定位符VirtualPrivateNetwork虚拟专用网络4联网系统安全设计原则
4.1规范性原则
联网系统安全设计应符合国家或行业相应的安全标准。4.2先进性和实用性原则
联网系统安全设计应采用先进的设计思想和方法,尽量采用国内、外先进技术(例如:主动防御技术等)。所采用的先进技术应符合当地环境条件、监视对象、监控方式、维护保养以及投资规模等实际情况;应合理设置系统功能、恰当进行系统配置和设备选型,保证其具有较高的性价比,满足业务管理的需求。
4.3可扩展性原则
联网系统安全设计应考虑通用性、灵活性,以便利用现有资源及应用升级。4.4开放性和兼容性原则
对安全子系统的升级、扩充、更新以及功能变化应有较强的适应能力。即当这些因素发生变化时,安全子系统可以不作修改或作少量修改就能在新环境下运行。4.5可靠性原则
联网系统安全设计应确保系统的正常运行和数据传输的正确性,在硬件的选型和配置、软件的组织和设计方法的选择、数据的安全性和完整性以及系统的运行和管理等方面都应采取必要的措施。防止由内在因素和硬件环境造成的错误和灾难性故障,确保系统可靠性。4.6系统性原则
应采用系统优化设计,综合考虑安全子系统的整体性、相关性、目的性、实用性和环境适应性。另外,与应用系统的结合应相对简单、独立。4.7技术与管理相结合原则
联网系统安全体系应遵循技术与管理相结合的原则进行设计和实施,各种安全技术应该与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合,从社会系统工程的角度综合考虑,最大限度发挥人防、物防、技防相结合的作用。4.8等级保护原则
应根据应用需求确定信息安全等级保护级别,并遵照信息安全等级保护原则,选择适合系统的安全保护措施。
4.9分层安全原则
按照设备的使用范围以及层次性、多监控中心的结构,设计相应的安全域,安全域内应进行安全认证和权限分配,保证相关业务和影响仅在有限范围内进行,控制权限的蔓延。4.10最小权限原则
为设备或用户分配权限时,应在不影响业务的情况下,实现功能明确、设备明确、时段明确和“权限最小化”,以有效进行权限管理。3
GA/T669.2—2008
5联网系统安全技术体系总体框架和认证及权限管理结构5.1总体框架
联网系统安全技术体系总体框架如图1所示,可以分为物理(实体)安全、通信和网络安全、运行安全以及信息(数据)安全四个层面。物理安全主要包括监控中心电源安全、电磁兼容性安全、环境安全、设备安全、防雷接地、记录介质安全六个方面。
通信和网络安全主要包括网络传输安全、公安专网的接人安全、公安专网的输出安全三个方面。运行安全主要包括安全监控、安全审计、恶意代码防护、备份与故障恢复、应急处理、安全管理六个方面。
信息安全主要包括用户身份认证、接人设备认证、用户权限管理、访问控制及业务审计、数据加密及数据完整性保护、安全域隔离六个方面。信息安全
用户身份
5.2认证及权限管理结构
安全监控
接入设备
安全审计
网络传输安全
监控中心
电源安全
用户权限
访问控制及
业务审计
运行安全
恶意代码
数据加密及
数据完整性保护
备份与故障恢复
通信和网络安全
公安专网接入安全
物理安全
电磁兼容性安全
环境安全
设备安全
图1安全技术体系总体框架
应急处理
安全域
安全管理
公安专网输出安全
记录介质安全
联网系统认证及权限管理结构如图2所示。公钥基础设施(PKI)和权限管理系统(PMS)都通过安全管理系统为安全支撑平台提供基础服务。公钥基础设施(PKI)为联网系统设备和用户发放数字证书,并提供对证书有效性以及证书撤销列表(CRL)的查询服务。权限管理系统(PMS)保存系统权限策略和权限数据,为用户提供权限查询服务。安全管理系统负责用户管理,并从公钥基础设施(PKI)获取数字证书和CRL信息,从权限管理系统(PMS)获取权限信息,为安全支撑平台提供基础服务。安全支撑平台为联网系统提供用户身份认证及单点登录、接入设备认证、数字签名、数据加密、访问控制等安全服务,以保证应用系统的可用性、完整性和机密性。4
用户身份认证
公钥基础
设施(PKI)
6物理安全
6.1监控中心电源安全
单点登录
应用系统
安全服务
安全支撑平台
接入设备
身份及证书信息
身份信息
数字签名
用户权限信息
数据加密
权限信息
安全管理系统
公钥证书和
证书撤销列表
(CRL)信息
图2认证及权限管理结构wwW.bzxz.Net
监控中心配电系统应满足GB50348—2004中3.12的要求。GA/T 669.2—2008
访问控制
权限管理
系统(PMS)
监控中心应配备用电源,备用电源应能保证对监控中心内关键设备延长供电不少于8h。6.2电磁兼容性安全
联网系统抗电磁干扰性能应满足GA/T367一2001中9.1的要求;传输线路的抗干扰设计应符合GB50348—2004中3.6.2的规定。联网系统电磁辐射防护性能应满足GA/T3672001中9.2的要求。6.3环境安全
监控中心机房应满足GB/T20271-2006中4.1.1.1的要求,选择机房场地、实现机房内部安全防护、防火、防水、防潮、空调降温、防静电。通信线路的安全应按照GB/T20271--2006中4.1.1.2的要求对通信线路进行安全防护。6.4设备安全
主要指三类设备:联网系统前端设备、通讯设备(路由器、交换机等)和监控中心主机设备(终端计算机、服务器等)。根据设备所处位置的不同,又可分为室内设备、室外设备和移动设备。应按照GB/T20271一2006中4.1.2.1的设备标记要求、计算中心防盗要求和机房外部设备防盗要求,实现设备的安全保护。
应按照GB/T20271一2006中4.1.2.2的基本运行支持要求、安全可用要求和不间断运行要求设计和实现设备的可用程度。
硬件设备应符合GB4943一2001中关于电击、火灾、发热、机械、辐射、化学等安全方面的要求。6.5防雷接地
应综合设计系统的防雷和接地。系统各组成部分的防雷和接地设计应符合GB50348一2004中3.9的规定。
6.6记录介质安全
应按照GB/T20271一2006中4.1.3的公开数据介质保护、内部数据介质保护、重要数据介质保护、关键数据介质保护和核心数据介质保护的要求进行记录介质安全保护。5
GA/T669.2—2008
7通信和网络安全
7.1网络传输的安全
当联网系统使用公安专网、公共网络、无线网络进行传输时,应分别符合相关部门对各个网络的安全管理规定或标准。
公共网络、无线网络在条件允许的情况下宜采用虚拟专用网络(VPN)或者传输层安全(TLS)协议来保证传输的安全。
7.2公安专网的接入与输出安全
公安专网应专网专用,当其他网络需要与公安专网进行数据交换时,应采取相应措施保障公安专网的安全。宜在如下方案中选择:a)将模拟视频输出信号接人由公安部门认可的视频编码设备,然后接人公安监控系统。b)社会监控中心将数字图像单向传输给公安监控中心。当与公安专网接口时,应符合公安专网的安全管理规定。
公安监控中心将数字图像输出给社会监控中心时,应按照公安专网的安全管理规定经安全隔c)
离设备后方可输出。
7.3双网并存
当不能解决公安专网与其他网络的隔离问题时,宜在公安监控中心设置两套完全物理隔离的监控系统,套直接连接公安专网,另一套连接社会监控中心。8运行安全
8.1安全监控
应按照GB/T20271一2006中4.2.3的要求,设置分布式探测器,实时监测网络数据流,监视和记录内、外部用户出人网络的相关操作。宜使用防火墙、防毒软件、人侵检测系统、漏洞扫描工具来提高网络通信的安全性。
8.2安全审计
应按照GB/T20271一2006中4.2.4的要求,支持对审计功能的开启和关闭,对身份鉴别、管理用户/业务用户所实施的操作、其他与系统安全相关的事件等实施审计,并做出相应的审计响应。安全审计日志宜采用统一的格式,数据项应包括:a)操作人身份:用户身份标识;操作:功能操作;
c)操作对象:操作的对象(如DVR设备);d)操作类型:日志管理,用户管理,配置管理,任务管理等;e)操作时间:年、月、日、时、分、秒;f)操作结果:成功、失败。
安全审计的日志记录信息应能够提供导入、导出、查询等功能。8.3恶意代码防护
应按照GB/T20271一2006中4.2.7的要求,对包括计算机病毒在内的恶意代码进行有效的安全防护。
8.4备份与故障恢复
8.4.1联网系统应对系统的基本配置信息、用户信息、设备信息、权限信息、报警信息、巡检信息、与报警关联的视音频信息、重要事件的视频图像、系统重要操作日志等进行分类并做相应的定期备份。8.4.2关键存储部件宜采用穴余磁盘阵列技术并支持失效部件的在线更换;对重要的设备应进行穴余配置,以实现双机热备或者冷备。6
GA/T669.2—2008
8.4.3数据库服务器宜采用双机穴余热备份的方式。进行定期在线维护,以实现当数据库遭到破坏时,缩短恢复所需时间。
8.4.4在条件具备的情况下,应在异地建立和维护一个重要数据的备份存储系统,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。8.4.5故障恢复前应制定具体合理的恢复工作计划,故障恢复方案应根据信息备份方案制定,数据恢复完成后应检测数据的完整性。8.5应急处理
应制定安全应急处理预案,并组织实施应急处置演习。对系统在正常工作中发生的突发事件(各类异常情况、安全事件、安全事故),应由值班人员或者维护人员依照应急处理预案进行处置或系统自动降级处理。
8.6安全管理
各级各类监控中心应建立完善的安全管理制度,对监控中心的工作人员应进行安全管理教育和定期技术培训。
应对组成系统的各种设备定期进行安全检查和维护。9信息安全
9.1公钥基础设施
9.1.1证书认证机构(CA)
联网系统应建立CA机构。其主要职责如下:a)为本辖区内用户、设备签发证书:b)本级证书撤销列表(CRL)的创建和维护;c)管理、维护所签发的证书。
9.1.2数字证书类型
联网系统PKI体系涉及三种证书类型:a)用户证书;
b)设备证书,其中包括服务器证书和其他设备证书;c)CA证书。
用户是指公安用户及政府其他部门需要共享监控业务信息的用户;设备是指服务器和其他设备CA证书是指认证机构自身的证书。9.1.3证书格式
应支持X.509V3标准证书,并支持所有X.509V3标准定义的扩展。应支持X.509V2证书撤销列表(CRL)。统一的用户证书格式、设备证书格式见附录A.1和A.2;统一的CRL格式见附录B。9.1.4证书载体
联网系统所签发的证书应支持以下方式存储:移动存储介质:如硬盘、U盘、存储IC卡等;a)
b)硬盘:通过文件的方式存储在硬盘上或通过证书管理器进行存储和管理;c)智能卡:带有算法的IC卡;
d)USBKey:USB接口的、带有算法的令牌;e)专用加密设备:如加密机,通常用于产生、存储和管理密钥和公钥证书。9.2系统时间校正
联网系统应采用网络时间协议(NTP)来实现系统的时间校正。在时间精度要求不高的情况下宜以系统中的一台主服务器时间为基准实现全网时间校正;当时间精度要求较高时宜采用GPS授时技术获取标准时间,采用简单网络时间协议(SNTP)来实现系统时间校正。当时间截做为可信依据时宜引7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
GAT 669.2-2008
中华人民共和国公共安全行业标准GA/T669.2—2008
城市监控报警联网系统
技术标准
第2部分:安全技术要求
Technical standard of city area monitoring and alarming network system-Part2:Technical specification of security2008-08-04发布
中华人民共和国公安部
2008-08-04实施
1范围
2规范性引用文件
3术语、定义和缩略语·
3.1术语和定义
3.2缩略语
4联网系统安全设计原则
4.1规范性原则
先进性和实用性原则
可扩展性原则
开放性和兼容性原则
4.5可靠性原则
4.6系统性原则
技术与管理相结合原则
等级保护原则
分层安全原则
最小权限原则·
5联网系统安全技术体系总体框架和认证及权限管理结构总体框架
5.2认证及权限管理结构
6物理安全
监控中心电源安全
电磁兼容性安全
6.3环境安全
6.4设备安全
6.5防雷接地
6.6记录介质安全
7通信和网络安全
7.1网络传输的安全
7.2公安专网的接入与输出安全
7.3双网并存
8运行安全
安全监控
8.2安全审计
8.3恶意代码防护
备份与故障恢复
应急处理
安全管理
GA/T669.2—2008
GA/T669.2—2008
9信息安全
9.1公钥基础设施
9.2系统时间校正·
9.3用户身份认证
9.4接入设备认证
9.5用户授权策略与权限管理
9.6访问控制与业务审计
9.7数据加密及数据完整性保护
9.8安全域隔离
附录A(规范性附录)
附录B(规范性附录)
附录C(资料性附录)
参考文献
支持X.509V3的证书格式定义
支持X.509V2的证书撤销列表(CRL)格式数字证书和静态口令两种方式下的用户身份认证流程o
GA/T669.2—2008
请注意,本部分的基本内容有可能涉及专利,本部分的发布机构不应承担识别这些专利的责任。GA/T669《城市监控报警联网系统技术标准》分为11个部分:第1部分:通用技术要求;
第2部分:安全技术要求;
第3部分:前端信息采集技术要求;第4部分:视音频编、解码技术要求;第5部分:信息传输、交换、控制技术要求;一第6部分:视音频显示、存储、播放技术要求;———第7部分:管理平台技术要求;—第8部分:传输平台技术要求;第9部分:卡口信息识别、比对、监测系统技术要求;—-第10部分:无线视音频监控系统技术要求;第11部分:关键设备通用技术要求。本部分为GA/T669的第2部分。
本部分的附录A、附录B为规范性附录,附录C为资料性附录。本部分由公安部科技局提出。
本部分由全国安全防范报警系统标准化技术委员会(SAC/TC100)归口。本部分起草单位:公安部第一研究所、北京中盾安全技术开发公司、北京网新中广科技发展有限责任公司、杭州恒生数字设备科技有限公司、武汉大学国家多媒体工程中心、深圳中兴力维技术有限公司、杭州华三通信技术有限公司、杭州思福迪信息技术有限公司、北京联视神盾安防技术有限公司。本部分主要起草人:房子河、栗红梅、陈朝武、张俊业、王楠、张本锋、崔云红、赵惠芳、刘剑、胡瑞敏、查敏中、王学华、戚文雅、向稳新、张鹏国、王海增、李晓峰、杨国胜、陆品样、王娜。1范围
城市监控报警联网系统技术标准第2部分:安全技术要求
GA/T669.2—2008
GA/T669的本部分规定了城市监控报警联网系统(简称联网系统)安全设计原则、安全技术体系总体框架和认证及权限管理结构、物理安全、通信和网络安全、运行安全、信息安全等基本技术要求,是进行城市监控报警联网系统安全建设规划、方案设计、工程实施、系统检测验收以及与之相关的系统设备研发、生产的依据。
本部分适用于城市监控报警联网系统,其他领域的监控报警联网系统可参考采用。2规范性引用文件
下列文件中的条款通过GA/T669的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。
GB/T2260—2007中华人民共和国行政区划代码GB/T2659—2000世界各国和地区名称代码(eqvISO3166-1:1997)GB4943—2001信息技术设备的安全(idtIEC60950:1999)GB/T7408一2005数据元和交换格式信息交换日期和时间表示法(ISO8601:2000,IDT)GB/T20271一2006信息安全技术信息系统通用安全技术要求GB50348—2004安全防范工程技术规范GA/T367—2001视频安防监控系统技术要求GA/T669.1一2008城市监控报警联网系统技术标准第1部分:通用技术要求GA/T669.5—2008
城市监控报警联网系统技术标准第5部分:信息传输、交换、控制技术要求GA/T669.7一2008城市监控报警联网系统技术标准第7部分:管理平台技术要求RFC3280X.509公钥证书和CRL
3术语、定义和缩略语
GA/T669.1--2008中确立的以及下列术语、定义和缩略语适用于本部分。3.1术语和定义
公钥基础设施publickeyinfrastructure包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制证书的产生、管理、存储、分发和撤销等功能。
3publickey certificate
公钥证书
用户的公钥连同其他信息,并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。3.1.3
证书认证机构certificationauthority负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密钥。1
GA/T669.2-2008
注册机构registration authority为用户办理证书申请、身份审核、证书下载、证书更新、证书注销以及密钥恢复等实际业务的办事机构或业务受理点。
证书撤销列表certificaterevocationlist一个已标识的列表,它指定了一套证书发布者认为无效的证书。除了普通CRL外,还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。3.1.6
权限管理系统privilegemanagementsystem为用户、角色分配权限,并保障其正确使用的系统。3.1.7
安全管理系统securitymanagementsystem负责对用户信息及安全事件进行管理并完成安全审计等功能的系统。3.1.8
安全支撑平台securitysupportingplatform完成用户身份认证及单点登录、设备接入认证、数字签名、数据加密和访问控制等功能的系统。3.1.9
物理安全physical security
联网系统设备所处的物理环境的安全,是整个系统安全运行的前提。3.1.10
运行安全operationsecurity
网络与信息系统的运行过程和运行状态的安全。3.1.11
信息安全informationsecurity
信息在数据收集、存储、检索、传输、交换、显示、扩散等过程中的安全,使得在数据处理层面保障信息依据授权使用,保护信息不被非法充、窃取、寡改、抵赖。3. 1. 12
安全子系统securitysubsystem
联网系统的部分,包括公钥基础设施、权限管理系统、安全管理系统及安全支撑平台软硬件。3.1.13
安全域securitydomain
计算机网络中从属于单一安全策略、受单个授权机构管理的多个实体构成的集合。3.2缩略语
AdvancedEncryptionStandard高级加密标准CertificateRevocationList证书撤销列表DataEncryptionStandard数据加密标准MessageDigestAlgorithm5信息摘要5NetworkTimingProtocol网络时间协议PublicKeyInfrastructure/CertificationAuthority公钥基础设施/认证机构PKI/CA
PrivilegeManagementSystem权限管理系统SecureHashAlgorithm安全哈希算法SimpleNetworkTimeProtocol简单网络时间协议SecureSocketLayer安全套接字
GA/T 669.2—2008
Secure/Multipurpose Internet Mail Extensions3S/MIME
安全多用途网际邮件扩充协议
TimeStampAuthority时间截机构TransportLayerSecurity传输层安全UniformResourceLocator统一资源定位符VirtualPrivateNetwork虚拟专用网络4联网系统安全设计原则
4.1规范性原则
联网系统安全设计应符合国家或行业相应的安全标准。4.2先进性和实用性原则
联网系统安全设计应采用先进的设计思想和方法,尽量采用国内、外先进技术(例如:主动防御技术等)。所采用的先进技术应符合当地环境条件、监视对象、监控方式、维护保养以及投资规模等实际情况;应合理设置系统功能、恰当进行系统配置和设备选型,保证其具有较高的性价比,满足业务管理的需求。
4.3可扩展性原则
联网系统安全设计应考虑通用性、灵活性,以便利用现有资源及应用升级。4.4开放性和兼容性原则
对安全子系统的升级、扩充、更新以及功能变化应有较强的适应能力。即当这些因素发生变化时,安全子系统可以不作修改或作少量修改就能在新环境下运行。4.5可靠性原则
联网系统安全设计应确保系统的正常运行和数据传输的正确性,在硬件的选型和配置、软件的组织和设计方法的选择、数据的安全性和完整性以及系统的运行和管理等方面都应采取必要的措施。防止由内在因素和硬件环境造成的错误和灾难性故障,确保系统可靠性。4.6系统性原则
应采用系统优化设计,综合考虑安全子系统的整体性、相关性、目的性、实用性和环境适应性。另外,与应用系统的结合应相对简单、独立。4.7技术与管理相结合原则
联网系统安全体系应遵循技术与管理相结合的原则进行设计和实施,各种安全技术应该与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合,从社会系统工程的角度综合考虑,最大限度发挥人防、物防、技防相结合的作用。4.8等级保护原则
应根据应用需求确定信息安全等级保护级别,并遵照信息安全等级保护原则,选择适合系统的安全保护措施。
4.9分层安全原则
按照设备的使用范围以及层次性、多监控中心的结构,设计相应的安全域,安全域内应进行安全认证和权限分配,保证相关业务和影响仅在有限范围内进行,控制权限的蔓延。4.10最小权限原则
为设备或用户分配权限时,应在不影响业务的情况下,实现功能明确、设备明确、时段明确和“权限最小化”,以有效进行权限管理。3
GA/T669.2—2008
5联网系统安全技术体系总体框架和认证及权限管理结构5.1总体框架
联网系统安全技术体系总体框架如图1所示,可以分为物理(实体)安全、通信和网络安全、运行安全以及信息(数据)安全四个层面。物理安全主要包括监控中心电源安全、电磁兼容性安全、环境安全、设备安全、防雷接地、记录介质安全六个方面。
通信和网络安全主要包括网络传输安全、公安专网的接人安全、公安专网的输出安全三个方面。运行安全主要包括安全监控、安全审计、恶意代码防护、备份与故障恢复、应急处理、安全管理六个方面。
信息安全主要包括用户身份认证、接人设备认证、用户权限管理、访问控制及业务审计、数据加密及数据完整性保护、安全域隔离六个方面。信息安全
用户身份
5.2认证及权限管理结构
安全监控
接入设备
安全审计
网络传输安全
监控中心
电源安全
用户权限
访问控制及
业务审计
运行安全
恶意代码
数据加密及
数据完整性保护
备份与故障恢复
通信和网络安全
公安专网接入安全
物理安全
电磁兼容性安全
环境安全
设备安全
图1安全技术体系总体框架
应急处理
安全域
安全管理
公安专网输出安全
记录介质安全
联网系统认证及权限管理结构如图2所示。公钥基础设施(PKI)和权限管理系统(PMS)都通过安全管理系统为安全支撑平台提供基础服务。公钥基础设施(PKI)为联网系统设备和用户发放数字证书,并提供对证书有效性以及证书撤销列表(CRL)的查询服务。权限管理系统(PMS)保存系统权限策略和权限数据,为用户提供权限查询服务。安全管理系统负责用户管理,并从公钥基础设施(PKI)获取数字证书和CRL信息,从权限管理系统(PMS)获取权限信息,为安全支撑平台提供基础服务。安全支撑平台为联网系统提供用户身份认证及单点登录、接入设备认证、数字签名、数据加密、访问控制等安全服务,以保证应用系统的可用性、完整性和机密性。4
用户身份认证
公钥基础
设施(PKI)
6物理安全
6.1监控中心电源安全
单点登录
应用系统
安全服务
安全支撑平台
接入设备
身份及证书信息
身份信息
数字签名
用户权限信息
数据加密
权限信息
安全管理系统
公钥证书和
证书撤销列表
(CRL)信息
图2认证及权限管理结构wwW.bzxz.Net
监控中心配电系统应满足GB50348—2004中3.12的要求。GA/T 669.2—2008
访问控制
权限管理
系统(PMS)
监控中心应配备用电源,备用电源应能保证对监控中心内关键设备延长供电不少于8h。6.2电磁兼容性安全
联网系统抗电磁干扰性能应满足GA/T367一2001中9.1的要求;传输线路的抗干扰设计应符合GB50348—2004中3.6.2的规定。联网系统电磁辐射防护性能应满足GA/T3672001中9.2的要求。6.3环境安全
监控中心机房应满足GB/T20271-2006中4.1.1.1的要求,选择机房场地、实现机房内部安全防护、防火、防水、防潮、空调降温、防静电。通信线路的安全应按照GB/T20271--2006中4.1.1.2的要求对通信线路进行安全防护。6.4设备安全
主要指三类设备:联网系统前端设备、通讯设备(路由器、交换机等)和监控中心主机设备(终端计算机、服务器等)。根据设备所处位置的不同,又可分为室内设备、室外设备和移动设备。应按照GB/T20271一2006中4.1.2.1的设备标记要求、计算中心防盗要求和机房外部设备防盗要求,实现设备的安全保护。
应按照GB/T20271一2006中4.1.2.2的基本运行支持要求、安全可用要求和不间断运行要求设计和实现设备的可用程度。
硬件设备应符合GB4943一2001中关于电击、火灾、发热、机械、辐射、化学等安全方面的要求。6.5防雷接地
应综合设计系统的防雷和接地。系统各组成部分的防雷和接地设计应符合GB50348一2004中3.9的规定。
6.6记录介质安全
应按照GB/T20271一2006中4.1.3的公开数据介质保护、内部数据介质保护、重要数据介质保护、关键数据介质保护和核心数据介质保护的要求进行记录介质安全保护。5
GA/T669.2—2008
7通信和网络安全
7.1网络传输的安全
当联网系统使用公安专网、公共网络、无线网络进行传输时,应分别符合相关部门对各个网络的安全管理规定或标准。
公共网络、无线网络在条件允许的情况下宜采用虚拟专用网络(VPN)或者传输层安全(TLS)协议来保证传输的安全。
7.2公安专网的接入与输出安全
公安专网应专网专用,当其他网络需要与公安专网进行数据交换时,应采取相应措施保障公安专网的安全。宜在如下方案中选择:a)将模拟视频输出信号接人由公安部门认可的视频编码设备,然后接人公安监控系统。b)社会监控中心将数字图像单向传输给公安监控中心。当与公安专网接口时,应符合公安专网的安全管理规定。
公安监控中心将数字图像输出给社会监控中心时,应按照公安专网的安全管理规定经安全隔c)
离设备后方可输出。
7.3双网并存
当不能解决公安专网与其他网络的隔离问题时,宜在公安监控中心设置两套完全物理隔离的监控系统,套直接连接公安专网,另一套连接社会监控中心。8运行安全
8.1安全监控
应按照GB/T20271一2006中4.2.3的要求,设置分布式探测器,实时监测网络数据流,监视和记录内、外部用户出人网络的相关操作。宜使用防火墙、防毒软件、人侵检测系统、漏洞扫描工具来提高网络通信的安全性。
8.2安全审计
应按照GB/T20271一2006中4.2.4的要求,支持对审计功能的开启和关闭,对身份鉴别、管理用户/业务用户所实施的操作、其他与系统安全相关的事件等实施审计,并做出相应的审计响应。安全审计日志宜采用统一的格式,数据项应包括:a)操作人身份:用户身份标识;操作:功能操作;
c)操作对象:操作的对象(如DVR设备);d)操作类型:日志管理,用户管理,配置管理,任务管理等;e)操作时间:年、月、日、时、分、秒;f)操作结果:成功、失败。
安全审计的日志记录信息应能够提供导入、导出、查询等功能。8.3恶意代码防护
应按照GB/T20271一2006中4.2.7的要求,对包括计算机病毒在内的恶意代码进行有效的安全防护。
8.4备份与故障恢复
8.4.1联网系统应对系统的基本配置信息、用户信息、设备信息、权限信息、报警信息、巡检信息、与报警关联的视音频信息、重要事件的视频图像、系统重要操作日志等进行分类并做相应的定期备份。8.4.2关键存储部件宜采用穴余磁盘阵列技术并支持失效部件的在线更换;对重要的设备应进行穴余配置,以实现双机热备或者冷备。6
GA/T669.2—2008
8.4.3数据库服务器宜采用双机穴余热备份的方式。进行定期在线维护,以实现当数据库遭到破坏时,缩短恢复所需时间。
8.4.4在条件具备的情况下,应在异地建立和维护一个重要数据的备份存储系统,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。8.4.5故障恢复前应制定具体合理的恢复工作计划,故障恢复方案应根据信息备份方案制定,数据恢复完成后应检测数据的完整性。8.5应急处理
应制定安全应急处理预案,并组织实施应急处置演习。对系统在正常工作中发生的突发事件(各类异常情况、安全事件、安全事故),应由值班人员或者维护人员依照应急处理预案进行处置或系统自动降级处理。
8.6安全管理
各级各类监控中心应建立完善的安全管理制度,对监控中心的工作人员应进行安全管理教育和定期技术培训。
应对组成系统的各种设备定期进行安全检查和维护。9信息安全
9.1公钥基础设施
9.1.1证书认证机构(CA)
联网系统应建立CA机构。其主要职责如下:a)为本辖区内用户、设备签发证书:b)本级证书撤销列表(CRL)的创建和维护;c)管理、维护所签发的证书。
9.1.2数字证书类型
联网系统PKI体系涉及三种证书类型:a)用户证书;
b)设备证书,其中包括服务器证书和其他设备证书;c)CA证书。
用户是指公安用户及政府其他部门需要共享监控业务信息的用户;设备是指服务器和其他设备CA证书是指认证机构自身的证书。9.1.3证书格式
应支持X.509V3标准证书,并支持所有X.509V3标准定义的扩展。应支持X.509V2证书撤销列表(CRL)。统一的用户证书格式、设备证书格式见附录A.1和A.2;统一的CRL格式见附录B。9.1.4证书载体
联网系统所签发的证书应支持以下方式存储:移动存储介质:如硬盘、U盘、存储IC卡等;a)
b)硬盘:通过文件的方式存储在硬盘上或通过证书管理器进行存储和管理;c)智能卡:带有算法的IC卡;
d)USBKey:USB接口的、带有算法的令牌;e)专用加密设备:如加密机,通常用于产生、存储和管理密钥和公钥证书。9.2系统时间校正
联网系统应采用网络时间协议(NTP)来实现系统的时间校正。在时间精度要求不高的情况下宜以系统中的一台主服务器时间为基准实现全网时间校正;当时间精度要求较高时宜采用GPS授时技术获取标准时间,采用简单网络时间协议(SNTP)来实现系统时间校正。当时间截做为可信依据时宜引7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
标准图片预览 标准图片预览:
- 热门标准
- 公共安全行业标准(GA)标准计划
- GA/Z1736-2020 基于目标位置映射的主从摄像机协同系统技术要求
- GA/T755-2008 电子数据存储介质写保护设备要求及检测方法
- GA/T683-2007 信息安全技术防火墙安全技术要求
- GA/T792.1-2008 城市监控报警联网系统管理标准第1部分:图像信息采集、接入、使用管理要求
- GA401-2002 消防员呼救器
- GA30.2-2002 固定消防给水设备的性能要求和试验方法 第2部分:消防自动恒压给水设备
- GA/T852.3-2009 娱乐服务场所治安管理信息规范第3部分:业务登记序号编码规则
- GA/T1049.11-2015 公安交通集成指挥平台通信协议第11部分:部省市三级指挥平台
- GA/T1062-2013 IC卡光标测试系统校准规范
- GA/T1053-2013 数据项标准编写要求
- GA/T465.3-2004 治安管理信息系统基本业务功能规范第3部分:租赁房屋管理基本业务功能
- GA/T697-2007 信息安全技术静态网页恢复产品安全功能要求
- GA/T685-2007 信息安全技术交换机安全评估准则
- GA/T1030.1-2017 机动车驾驶人考场使用验收规范第1部分:驾驶理论考场
- GA/T1063-2013 感应加热设备校准规范
请牢记:“bzxz.net”即是“标准下载”四个汉字汉语拼音首字母与国际顶级域名“.net”的组合。 ©2009 标准下载网 www.bzxz.net 本站邮件:[email protected]
网站备案号:湘ICP备2023016450号-1
网站备案号:湘ICP备2023016450号-1