标准规范下载简介
Q/CR 783.4-2021 铁路通信网络安全技术要求 第4部分:综合视频监控系统.pdf中国国家铁路集团有限公司企业标
Q/CR783.4—2021
铁路通信网络安全技术要求
某特大型钢桁加劲梁悬索桥工程施工组织设计中国国家铁路集团有限公司发布
言 范围 规范性引用文件 术语和定义 缩略语 视频系统安全要求 5.1基本要求 5.2视频系统安全域划分 5.3边界防护要求 5.4应用服务区防护要求 5.5前端设备区防护要求 5.6终端设备区防护要求· 5.7视频安全管理技术要求· 射录A(资料性)典型网络安全配置示意 射录B(资料性)集中展示内容·… 老文献
铁路通信网络安全技术要求第4部分:综合视频监控系统
本文件规定了铁路综合视频监控系统(以下简称“视频系统”)的网络安全要求,包括基本要求、视 频系统安全域划分、边界防护要求、应用服务区防护要求、前端设备区防护要求、终端设备区防护要求 视频安全管理技术要求。 本文件适用于视频系统网络安全的系统设计和运行维护管理。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 1 GB/T22239一2019信息安全技术网络安全等级保护基本要求 GB35114一2017公共安全视频监控联网信息安全技术要求 Q/CR575铁路综合视频监控系统技术规范 Q/CR783.1铁路通信网络安全技术要求总体技术要求 3术语和定义 GB35114—2017、GB/T22239—2019、Q/CR575界定的以及下列术语、定义适用于本文件。 3.1 网络安全cybersecurity 通过采取必要措施,防范对网络的攻击、侵人、干扰、破坏和非法使用以及意外事故,使网络处于稳 定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 [来源:GB/T22239—2019,3.1] 3.2 前端设备frontenddevice 摄像机及与之配套的相关设备(包括镜头、云台、防护罩等)、编码设备、接人设备。 3.3 管理终端administrativeterminal 对综合视频监控系统中的用户、业务数据和/或设备进行操作或管理的设备。 3.4 用户终端userterminal 对音视频流进行调用、浏览的设备。 4 缩略语
本文件规定了铁路综合视频监控系统(以下简称“视频系统”)的网络安全要求,包括基本要求、视 频系统安全域划分、边界防护要求、应用服务区防护要求、前端设备区防护要求、终端设备区防护要求 视频安全管理技术要求。 本文件适用于视频系统网络安全的系统设计和运行维护管理。
下列缩略语适用于本文件
视频系统安全域划分为:边界保护区、应用服务区、前端设备区和终端设备区。其中: 边界保护区分为内部边界保护区和外部边界保护区。内部边界保护区是指视频系统内部各级视 频业务平台间,以及视频系统视频终端和前端设备与视频业务平台间的边界保护区域;外部边界保护 区是指视频系统与铁路承载网承载的其他业务系统间的边界设备所在区域,以及视频系统与铁路外部 网络承载的业务系统间的边界保护区域。 应用服务区主要指视频节点中各类视频服务器、存储设备等所在区域。 前端设备区主要指前端摄像机所在区域。 终端设备区主要指视频终端(包括管理终端和用户终端)所在区域。 视频系统安全域划分示意图见图1。视频系统典型网络安全配置示意见附录A。
图1视频系统安全域划分示意图
内部边界防护基本要求应符合下列规定: a)花 视频系统内部通过通信网络进行节点间视频信息交互时,以及前端设备或用户终端接入视频 系统时,所有访问和数据流应通过边界设备提供的受控接口进行通信; b) 应对非授权设备联到视频系统的行为进行检查或限制; c)应对视频系统内部用户或设备未经授权访问前端摄像机的行为进行检查及限制; d) 当前端摄像机或视频终端通过无线网络接人视频业务平台时,无线网络应通过受控的边界设 备接人视频系统内部。
5.3.1.2访问控制
访向控制应付合下列规定: a) 2 应在边界处根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝, 有通信; bD) 1 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; ) 2 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力; d)应对进出网络的数据流实现基于应用协议的访问控制; e) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; f)前端设备和视频终端与视频业务平台间的数据流可实现基于视频协议的访问控制。
5.3.2外部边界防护要求
外部边界防护基本要求应符合下列规定: a)视频系统与其他业务系统互联时,所有访问和数据流应通过区域边界设备提供的受控接口进 行通信; 2 b)应对视频系统内部用户未经授权联到外部网络的行为进行检查或限制; c)使用无线网络接人视频系统时,无线网络应通过受控的边界设备、链路阻断等措施接人内部 网络; d)视频系统与路外系统间的数据交互时,在外部边界防护区宜采用链路阻断、协议转换技术实 现对处部系统接1的安金题产
访问控制应符合5.3.1.2的规定
5.3.2.3入侵防范
5.3.2.4恶意代码防范
5.4应用服务区防护要求
身份鉴别应符合下列规定
a)应采用口令和密码技术组合的鉴别技术对用户进行身份鉴别; b)应对登录视频业务平台设备、操作系统、数据库系统,以及视频系统的用户进行身份标识和鉴 别,身份标识具有唯一性,用户口令长度至少8位,至少包含数字、大小写英文字母、字符,初 次登录时,强制修改厂商默认口令; c)应定期更换账户口令,对账号口令设置提醒期限和失效期限; d)当进行远程管理时,应采取开启SSH、HTTPS协议等措施防止鉴别信息在网络传输过程中被 窃听; e)应具有登录视频系统失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连 接超时自动退出等相关措施; 福 f)对于符合GB35114一2017中A级要求的前端采集设备应基于数字证书与视频业务平台进行 双向身份认证和信令认证;视频系统内所有用户应基于数字证书进行用户认证;视频业务平 台(包括但不限于核心节点、区域节点、接入节点)间互联时应进行平台间的双向身份认证。
访问控制应符合下列规定: a)应对登录视频系统的用户分配账户和权限; b)应重命名或删除默认账户; c)应修改默认账户的默认口令; d)应及时删除或停用多余的、无效的账户; e) 应授予管理员用户所需的最小权限,实现管理员用户的权限分离; f) 应对视频系统的数据资源访问配置访问控制策略,规定视频用户对音视频资源的访问规则 未经授权的用户不准许下载音视频信息; g)用户在修改、删除操作时应进行提示; h)应具备防止对音视频进行删除、修改的能力,以保证音视频数据安全; i)应对服务器上的外设端口进行管控
人侵防范应符合下列规定: a)操作系统应遵循最小安装的原则,仅安装经过许可的软件和补丁程序; b)月 应关闭不需要的系统服务、默认共享和高危端口; e)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; d) 应提供数据有效性检验功能,保证通过人机接口输人或通过通信接口输入的内容符合系统设 定要求;
通过网页方式调用视频时,应具备防护SQL注入、跨站脚本、权限绕过等攻击行为的能力; 应能够检测到对视频服务器进行人侵的行为并提供报警; 应采用相关技术手段对视频业务平台的操作系统、应用软件、数据库系统进行漏洞扫描,及时 发现存在的漏洞,并经过测试评估后及时修补漏洞,降低漏洞被利用的风险
5.4.5恶意代码防范
应采用免受恶意代码攻击的技术措施及时识别入侵和病毒行为,将其有效阻断,并定期维 代码防护机制的升级和更新
青铜峡市第五小学建设工程施工组织设计用密码技术保证账户及密码等重要数据在传输和
数据备份恢复应符合下列规定: 》) 2 应具备对视频系统中的用户信息、设备配置信息等重要信息的本地数据备份和恢复功能; D 应具备异地数据备份功能,利用通信网络将用户信息、设备配置信息等重要信息定时批量备 份至备份场地。
剩余信息保护应符合下列规定: 应保证用户身份鉴别信息所在的存储空间被释放或重新分配前得到完全清除; 》 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除
剩余信息保护应符合下列规定: a) 应保证用户身份鉴别信息所在的存储空间被释放或重新分配前得到完全 b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除
身份鉴别应符合下列规定: a)应具备可用于身份验证的唯一标识,包括MAC地址、设备序列号等; b)应具有登录失败处理功能JGT385-2012 无风管自净型排风柜,连续多次登录失败可对账户或登录IP进行锁定; c)应支持设置具有混合大小写字母、字符和数字的强口令,口令长度不小于8位,应定期对口令 进行修改; d)符合GB35114一2017中A级要求的前端设备应具备采用数字证书进行身份鉴别的能力
访问控制应符合下列规定: a)应重命名或删除默认账户; b)应修改默认账户的默认口令; c)应删除或停用多余的、无效的账户; d)应授予用户所需的最小权限,实现用户的权限分离; e)应配置访问控制策略,可通过设置IP、MAC等的黑白名单规定用户对前端设备的访问
人侵防范应符合下列规定: 应提供必要的技术手段,对设备的对外通信端口进行管控; b) 应提供相关机制禁止或限制使用设备上不必要的端口、协议和服务; C) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞