标准规范下载简介

DB32／T 4433-2022 物联网 智慧小区安防信息系统安全技术要求.pdf

物联网智慧小区安防信息

江苏省市场监督管理局发布 中国标准出版社出版

范围 规范性引用文件 术语和定义 缩略语. 智慧小区安防系统结构 安防感知终端安全要求 ： 6.1物理安全要求 · 6.2软件安全要求 6.3运行维护要求 ·* 短程感知通信安全要求 7.1有线短程通信网络 7.2无线短程通信网络 安防感知层网关安全要求 8.1物理安全要求 8.2软件安全要求 8.3运行维护要求.…. 感知通信网络安全….…… 10安防信息平台安全要求 11 10.1安防信息平台接人要求…....…. 11 10.2安防信息平台用户管理要求 ........* 11 10.3安防信息平台感知层安全信息采集要求 11 10.4安防信息平台感知层安全信息可视化要求 11 10.5安防信息平台对接管控平台要求 *......* 12 11 管控通信网络安全要求 12

本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由江苏省物联网标准化技术委员会(JS/TC46)提出并归口。 本文件起草单位：无锡市物联网产业协会、公安部第三研究所、无锡可信智慧安全技术研究院有限 公司、无锡物联网产业研究院、江南大学、中国电信股份有限公司无锡分公司、无锡盈达聚力科技有限公 司、江苏航天大为科技股份有限公司、无锡学院、江苏西维斯信息技术有限公司、中兴智能交通股份有限 公司、阿里云计算有限公司、华云数据控股集团有限公司、江苏启明星辰信息安全技术有限公司、江苏瑞 孚特物联网科技有限公司、江苏鑫豪斯物联技术有限公司、无锡艾斐凌科技有限公司、模架科技产业园 （宜兴）有限公司。 本文件主要起草人：齐力、杨明、钱鹏江、秦晓华、谈伟中、姚健、许晓晨、周文宇、孙万源、张华、 蒋亦樟、顾逸、陈爱国、王冬生、韩子骞、陈红、龙如银、钱承山、许雄雄、费钧、夏朝彬、李翔、曹隽、杭晓薇 雷慧桃、孙炜一、潘涛、徐公云

河北工程学院西校区二级学院北教楼工程施工组织设计物联网智慧小区安防信息

物联网智慧小区安防信息 系统安全技术要求

本文件规定了物联网智慧小区安防信息系统的感知终端、感知层网关、感知通信网络、安防信息平 台等的安全技术要求 本文件适用于物联网智慧小区安防信息系统的设计、集成、运维和管理

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单)适用于 本文件。 GB/T28181公共安全视频监控联网系统信息传输、交换、控制技术要求 GB/T33746一2017（所有部分）近场通信（NFC)安全技术要求 GB/T35273一2020信息安全技术个人信息安全规范 GB/T35290一2017信息安全技术射频识别（RFID)系统通用安全技术要求 GB/T36950一2018信息安全技术智能卡安全技术要求（EAL4十） GB/T36951一2018信息安全技术物联网感知终端应用安全技术要求 GB/T37032—2018物联网标识体系总则 GB/T37076一2018信息安全技术指纹识别系统技术要求 GB/T37078一2018出人口控制系统技术要求 GB/T37093一2018信息安全技术物联网感知层接人通信网的安全要求 GB/T38671一2020信息安全技术远程人脸识别系统技术要求 GA/T1400.4公安视频图像信息应用系统第4部分：接口协议要求 GA/T1781一2021公共安全社会视频资源安全联网设备技术要求

下列术语和定义适用于本文件。 3.1 小区residentialarea 被城市道路或自然分界线围合，并与人口规模相适应，配套有能满足该区域工作生产、人口物质与 文化生活所需的公共服务设施的工作、生活聚集地。 3.2 安防感知终端sensorterminalsof securityandprotectionsystem 用于采集智慧小区安防信息的物联网感知终端。 示例：监控摄像头、电子围栏、烟雾传感器、温湿度传感器、红外探测器、车位感应器、出入门禁、电子门锁等、

下列缩略语适用于本文件 ACL：访问控制列表（AccessControlList) FTP：文件传输协议（FileTransferProtocol) HTTP：超文本传送协议（Hypertext TransferProtocol)

DB32/1 022

规范的对象为智慧小区安防系统，其系统结构见图1。系统中的实体包括： 安防感知终端（短程或公网感知终端)，以下简称终端； D） 短程感知通信网络（有线或无线短程网络）； C） 安防感知层网关，以下简称感知层网关； d） 感知通信网络（有线或无线公网/专网）； e） 智慧小区安防信息平台，以下简称安防信息平台，包括与外部安防管控信息平台互联的安全联 网设备； +) 1 管控通信网络（有线或无线公网/专网）； g） 外部安防管控信息平台，以下简称管控信息平台

DB32/T 4433—2022

应符合GB/T36951—2018中5.1.1的规定

应符合GB/T36951—2018中5.1.3的规定

应符合GB/T36951—2018中5.1.4的规定

6.1.6硬件设备安全

图1智慧小区安防系统结构

硬件设备安全应满足以下要求： 应具备自检和故障指示功能； b） 仅保留应用必需的通信接口，并标注接口信息；

DB32/1 022

C） 具备console接口的设备，需用用户名、口令方式进行访问授权； 1) 正式上线产品应封闭硬件和固件调试接口，并去除电路板上的丝印信息； · 存在加解密或敏感信息保护需求时，应具备安全芯片或安全计算环境，且密码相关计算应在安 全芯片或安全计算环境中执行，密码材料应存储在芯片的安全存储区

C) 具备console接口的设备，需用用户名、口令方式进行访问授权； d） 正式上线产品应封闭硬件和固件调试接口，并去除电路板上的丝印信息； · 存在加解密或敏感信息保护需求时，应具备安全芯片或安全计算环境，且密码相关计算应在 全芯片或安全计算环境中执行，密码材料应存储在芯片的安全存储区

标识应满足以下要求： 日） 系统内唯一标识； b） 标识包含3位以上随机数，防止批量猜测； c 标识信息防纂改

标识应满足以下要求： 日） 系统内唯一标识； b） 标识包含3位以上随机数，防止批量猜测； C） 标识信息防算改

若设备具有操作系统时，操作系统安全要求如下： a） 应满足开放端口最小化原则； b） 应具备设备接人认证和远程用户访问认证功能； C） 1 宜具备安全加固和防逆向能力； d) 宜提供安全启动机制进行系统的完整性验证保护，当安全验证通过后，系统方能正常启动

若设备具有操作系统时，操作系统安全要求如下： a）应满足开放端口最小化原则； b） 应具备设备接人认证和远程用户访问认证功能； C） 1 宜具备安全加固和防逆向能力； d）宜提供安全启动机制进行系统的完整性验证保护，当安全验证通过后·系统方能正常启动，

6.2.3支持设备接入鉴别

鉴别应满足以下要求中的一项或多项： 日） 支持基于系统内唯一标识的鉴别； b) 支持基于网卡地址、通信协议和通信端口的鉴别； C） 支持基于预分配密钥的对称加密信息鉴别； d） 支持基于公钥密码机制的鉴别

6.2.4鉴别失败处理

6.2.5支持接入鉴别机制

终端接入安防信息平台的鉴别机制应满足： 日） 短程通信终端，支持网关的间接接入鉴别机制； b）公网/专网终端，支持信息平台的直接接人鉴别机制

访问控制应满足以下要求： 日） 支持基于ACL列表的访问控制； b） 有操作系统的终端，支持多用户访问控制，并最小化用户权限，避免使用默认用户名和口

问终端； C） 有操作系统的终端，不向非管理员用户开放操作系统配置和软件的更改操作权限。

人侵防护应满足以下要求： a）支持基于安全通信协议的数据过滤； b）支持基于ID、IP、MAC、通信端口等限制条件的数据过滤； C） 有操作系统的终端，支持恶意程序和病毒代码的人侵防护； d) ）有操作系统的终端，支持通信异常监测机制，

6.2.8.1出入口控制应用

6.2.8.2人脸识别应用

人脸识别应用满足以下要求： ? 功能符合GB/T38671—2020中第8章的安全功能要求； b 性能符合GB/T38671一2020中第9章的安全保障要求

6.2.8.3指纹识别应用

指纹识别应用满足以下要求： a） 指纹模块应符合GB/T37076—2018的规定； b） 具备拒绝假指纹的能力； C） 具有防护异物混淆攻击的能力； d) 具有防护呈现攻击的能力

NFC应用应符合GB/T33746一2017（所有部分）的规定。

IC卡应用满足以下安全要求： a）IC卡符合GB/T36950—2018的规定； b）IC卡应实现一卡一密； c）IC卡宜采用CPU卡； d） ）IC卡宜具备物理防御手段以防止侧信道攻击； e）IC卡芯片应具备防复制能力。

5.2.8.6RFID应用安全

RFID应用应符合GB/T35290—2017的规定

数据安全应满足以下要求： a） 支持时间戳信息，支持数据传输和存储的时效记录； b） 支持数据摘要和校验等机制，保障数据传输和本地存储的完整； c）敏感信息数据的传输和存储应采用加密和签名等防护机制·保障数据保密性和防纂改；

6.2.10个人信息安全

终端采集个人信息时，应符合GB/T35273一2020中

软件安装或更新应满足以下要求： 日） 支持本地基于管理员用户登录的软件更新； b） 支持基于安全通信机制下的远程更新； C） 支持软件更新包的完整性和防篡改机制验证； H 不支持安装应用软件

6.2.12日志和审计

6.2.13自检和故障处理

自检和故障处理应满足以下要求： 日a） 支持基于软件的终端功能自检； D） 软件自检失败，支持根据安全策略执行设备重启或设备关闭等自动操作，并自动留存日志，

NB／T 31131-2018 风力发电场测量技术监督规程6.3.1终端生命周期管理

生命周期管理应满足以下要求： Ea) 终端存储终端版本信息、有效使用期限信息和当前运行状态，并定期发送至接人设备； b） 终端唯一标识随其生命周期生效和失效，失效标识不重复使用，

维护管理应满足以下要求： Aa） 指定专人定期检查终端，并进行可用性维护； D） 对于使用移动通信物联网卡的终端，要定期检查其可靠性和机卡状态，发现异常应形成安全日 志并上传安防信息平台。

5.3.3运维安全管理制度

运维安全管理制度包括但不限于密码人员管理、密钥管理、IT设备运行、应急处置、密码软硬件

介质管理等制度，应满足以下要求： a）应根据应用方案相对应设立管理规则； b）应对管理人员或操作人员执行的日常管理建立操作规程； c）应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定，对存在不足 或需要改进之处进行修订； d）应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制； e）应具有密码应用操作规程的相关执行记录并妥善保存； f) 应根据系统环境建立网络安全管理规定

整体系统中存在有线短程通信网络或总线时GB／T 15330-2020 压敏胶粘带水渗透率试验方法.pdf，应至少满足以下一项要求： 1 采用物理隔离的专用线路、专用协议组网通信； b） 采用逻辑隔离或信道加密技术的组网通信

整体系统中存在无线短程通信网络或总线时，应至少满足以下一项要求： 采用专用通信频段或专用通信方式、通信协议的组网通信； 》） 采用逻辑隔离或信道加密技术的组网通信

安防感知层网关安全要求