信息通信网边界接入平台安全规范(试行)——视频接入安全部分科技信息化局二〇一〇年四月
目录1适用范围
3
2规范性引用文件33术语和定义33.1视频专网33.2接入链路33.3视频数据
3
3.4视频数据单向传输33.5视频控制信令54安全技术要求
5
4.1视频接入链路54.1.1总体要求54.1.2业务操作方法7
4.1.3区域划分74.1.4网络安全74.1.5主机安全84.1.6应用安全84.2集中监控审计94.2.1接入链路安全监控管理
9
4.2.2接入链路监管系统数据规范5安全管理要求
11
6视频接入链路测评要求11
7设备安全要求
11
9
1适用范围
本规范仅限于指导机关共享外部视频资源的安全接入建设,实现外部视频资源单向传输至信息通信网,为业务工作提供支撑服务。对于信息通信网内视频资源对外共享情况,不属于本规范的适用范围。
本规范规定了视频接入方式的安全技术要求、安全管理要求、安全评测要求以及设备安全要求。
2规范性引用文件
本规范的制订参照了以下规范和标准:
《信息通信网边界接入平台安全规范(试行)》(公信通[2007]191号,2007年10月)
《城市报警与监控系统建设、管理、应用规范性文件汇编》(科技信息化局,2009年)
《信息通信网联网设备及应用系统注册管理办法》(公信通[2007]139号,2007年5月)
3术语和定义3.1视频专网
视频专网是指采用专线方式或VPN虚拟专网方式建设的、专用于支撑视频监控服务的网络。
3.2接入链路
接入链路是视频接入业务与信息通信网之间的专用通道,将其作为信息通信网边界接入平台的一条链路,纳入平台统一监控、审计与管理。
3.3视频数据
视频数据是以电信号方式加以捕捉、记录、处理、存储、传送与重现的一系列图像和音频信息。
3.4视频数据单向传输
视频数据单向传输是指视频专网与信息通信网之间视频数据是单方向
传输的,即只允许从视频专网单向传输至信息通信网。3.5视频控制信令
视频监控系统中视频设备间的一种对话信息,用于视频控制信道的接续和传递视频管理信息。
4安全技术要求4.1视频接入链路
视频接入链路是视频专网与信息通信网进行视频数据单向传输的专用网络通道。
视频专网与边界接入平台之间必须采用专线方式连接。4.1.1总体要求
遵循《信息通信网边界接入平台安全规范(试行)》的4.2.1节。视频接入链路的体系架构必须符合《信息通信网边界接入平台安全规范(试行)》的3.2节的要求。
在视频接入链路中,视频数据和视频控制信令终止于应用服务区。在应用服务区与安全隔离区,通过视频安全隔离与传输系统将视频数据和视频控制信令进行严格分离和传输,从而保证视频数据和视频控制信令安全地传输到信息通信网。其中视频数据为单向传输,视频控制信令为双向传输,如图1所示:
接入对象
外部接入链路
边界接入平台视频接入链路信息通信网
图1接入平台视频接入链路架构图4.1.2业务操作方法
视频单向传输:只能由信息通信网内授权终端或主机,通过视频安全隔离与传输系统主动访问或主动获取视频专网资源,包括视频数据的显示、存储、回放及远程传输等。
4.1.3区域划分
遵循《信息通信网边界接入平台安全规范(试行)》的4.2.2节。4.1.4网络安全
4.1.4.1视频接入对象认证
视频接入对象认证是指对视频接入业务所属的视频接入对象进行身份认证,即认证提供视频服务设备的合法性,禁止未经认证设备接入信息通信网,确保视频源的合法性。
4.1.4.2用户身份认证
用户身份认证是指对信息通信网内使用视频接入业务的用户进行身份认证。必须采用数字身份证书作为授权用户的唯一凭证,对用户进行权限控制与管理。
4.1.4.3访问控制
视频接入对象的网络连接终止于视频接入链路内,严格禁止对信息通信网的直接访问或与信息通信网直接交换数据。
必须对用户和终端设备进行统一注册和授权管理。未通过身份认证的视频接入对象禁止连接视频接入链路。未通过身份认证的用户禁止进入视频接入链路访问视频接入业务。通过身份认证后的用户只能进行授权范围内的操作,禁止非授权访问资源及系统操作。
4.1.4.4机密性与完整性
遵循《信息通信网边界接入平台安全规范(试行)》的4.2.4.3节。4.1.4.5入侵防范
遵循《信息通信网边界接入平台安全规范(试行)》的4.2.4.4节。4.1.4.6网络设备安全
遵循《信息通信网边界接入平台安全规范(试行)》的4.2.4.5节。4.1.4.7可用性保障
遵循《信息通信网边界接入平台安全规范(试行)》的4.2.4.6节。4.1.5主机安全
遵循《信息通信网边界接入平台安全规范(试行)》的4.2.5节。4.1.6应用安全
4.1.6.1视频数据与视频控制信令分别处理和传输
视频数据与视频控制信令必须按照不同的安全策略严格区分,分别进行处理和传输,其中视频数据采用单向传输。
4.1.6.2视频数据传输方向
视频接入链路必须严格控制视频数据的传输方向,禁止信息网内数据资源通过视频接入链路向外传出,严防敏感数据外泄。
4.1.6.3视频控制信令格式检测
在与信息通信网进行视频单向传输之前,要按照预先注册的视频控制信令的类型、格式和内容,对控制信令进行“白名单”方式的格式检查和内容过滤,只允许符合格式要求的控制信令数据通过,对不符合格式的数据进行阻断和报
警。
4.1.6.4视频传输协议格式检测
视频传输协议格式检测按照预先注册的视频数据格式,对所传输的视频数据进行实时分析和过滤,对不符合格式的视频协议进行阻断和报警。
4.1.6.5视频数据病毒木马检测
采取必要的安全技术防范措施,防止视频数据夹杂恶意代码,形成对信息通信网的攻击。
4.2集中监控审计
遵循《信息通信网边界接入平台安全规范(试行)》的4.4节。4.2.1接入链路安全监控管理
遵循《信息通信网边界接入平台安全规范(试行)》的4.4.1节。4.2.2接入链路监管系统数据规范
信息通信网视频接入链路应纳入边界接入平台统一监管范围,其数据规范遵循《信息通信网边界接入平台安全规范(试行)》的第6章。根据视频接入链路的实际需要,对原规范中的静态代码表作如下扩充:
增加6.5.1“接入对象”
5安全管理要求
遵循《信息通信网边界接入平台安全规范(试行)》的第5章。6视频接入链路测评要求
遵循《信息通信网边界接入平台安全规范(试行)》的第7章。7设备安全要求
视频安全隔离与传输系统必须符合指定的专门安全技术要求。其余设备遵循《信息通信网边界接入平台安全规范(试行)》的第8章。
视频安全隔离与传输系统安全要求:
视频安全隔离与传输系统是指在视频接入链路内用于网络隔离、视频协议剥离、视频接入对象身份认证、访问控制、视频信令格式检查、视频数据内容过滤的专用安全设备。
1、系统硬件必须是采用三组件模式构成(即内、外主机和专用隔离硬件)
的专用设备。其中,专用隔离硬件必须阻断视频专网与信息通信网之间的所有通信协议,保证信息通信网与视频专网之间的网络隔离。
2、外主机对接入对象(终端、视频服务器等)进行设备认证。内主机对信息通信网上使用视频专网资源的终端用户进行统一注册、授权管理和访问控制。
3、对视频数据与视频控制信令严格区分,分别处理后进行传输。支持视频数据的单向传输模式和视频控制信令双向传输模式。
4、支持视频信令格式检查及内容过滤:能够识别符合行业标准的视频控制信令、视频传输协议,过滤掉非标协议和非标数据格式。
5、支持对视频接入对象进行身份认证,禁止未认证的视频接入对象连接视频接入链路。
6、支持对信息通信网内的用户进行身份认证和访问控制,保证只有认证通过的用户才能访问已授权的视频资源。
7、对视频数据实时检测,实现视频数据的防病毒、木马功能。
8、支持边界接入平台监管系统的统一监管,能够实时上报设备运行状态、视频数据流量、在线用户、设备报警等信息。
