公安信息通信网边界接入平台安全规范(试行)——视频接入安全部分公安部科技信息化局二〇一〇年四月目录1适用范围32规范性引用文件33术语和定义33.1视频专网33.2接入链路33.3视频数据33.4视频数据单向传输33.5视频控制信令54安全技术要求54.1视频接入链路54.1.1总体要求54.1.2业务操作方法74.1.3区域划分74.1.4网络安全74.1.5主机安全84.1.6应用安全84.2集中监控审计94.2.1接入链路安全监控管理94.2.2接入链路监管系统数据规范95安全管理要求116视频接入链路测评要求117设备安全要求111适用范围本规范仅限于指导公安机关共享外部视频资源的安全接入建设,实现外部视频资源单向传输至公安信息通信网,为公安业务工作提供支撑服务。对于公安信息通信网内视频资源对外共享情况,不属于本规范的适用范围。本规范规定了视频接入方式的安全技术要求、安全管理要求、安全评测要求以及设备安全要求。2规范性引用文件本规范的制订参照了以下规范和标准:《公安信息通信网边界接入平台安全规范(试行)》(公信通[2007]191号,2007年10月)《城市报警与监控系统建设、管理、应用规范性文件汇编》(公安部科技信息化局,2009年)《公安信息通信网联网设备及应用系统注册管理办法》(公信通[2007]139号,2007年5月)3术语和定义3.1视频专网视频专网是指采用专线方式或VPN虚拟专网方式建设的、专用于支撑视频监控服务的网络。3.2接入链路接入链路是视频接入业务与公安信息通信网之间的专用通道,将其作为公安信息通信网边界接入平台的一条独立链路,纳入平台统一监控、审计与管理。3.3视频数据视频数据是以电信号方式加以捕捉、记录、处理、存储、传送与重现的一系列图像和音频信息。3.4视频数据单向传输视频数据单向传输是指视频专网与公安信息通信网之间视频数据是单方向传输的,即只允许从视频专网单向传输至公安信息通信网。3.5视频控制信令视频监控系统中视频设备间的一种对话信息,用于视频控制信道的接续和传递视频管理信息。4安全技术要求4.1视频接入链路视频接入链路是视频专网与公安信息通信网进行视频数据单向传输的专用网络通道。视频专网与公安边界接入平台之间必须采用专线方式连接。4.1.1总体要求遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.1节。视频接入链路的体系架构必须符合《公安信息通信网边界接入平台安全规范(试行)》的3.2节的要求。在视频接入链路中,视频数据和视频控制信令终止于应用服务区。在应用服务区与安全隔离区,通过视频安全隔离与传输系统将视频数据和视频控制信令进行严格分离和传输,从而保证视频数据和视频控制信令安全地传输到公安信息通信网。其中视频数据为单向传输,视频控制信令为双向传输,如图1所示:接入对象外部接入链路边界接入平台视频接入链路公安信息通信网图1接入平台视频接入链路架构图4.1.2业务操作方法视频单向传输:只能由公安信息通信网内授权终端或主机,通过视频安全隔离与传输系统主动访问或主动获取视频专网资源,包括视频数据的显示、存储、回放及远程传输等。4.1.3区域划分遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.2节。4.1.4网络安全4.1.4.1视频接入对象认证视频接入对象认证是指对视频接入业务所属的视频接入对象进行身份认证,即认证提供视频服务设备的合法性,禁止未经认证设备接入公安信息通信网,确保视频源的合法性。4.1.4.2用户身份认证用户身份认证是指对公安信息通信网内使用视频接入业务的用户进行身份认证。必须采用公安数字身份证书作为授权用户的唯一凭证,对公安用户进行权限控制与管理。4.1.4.3访问控制视频接入对象的网络连接终止于视频接入链路内,严格禁止对公安信息通信网的直接访问或与公安信息通信网直接交换数据。必须对用户和终端设备进行统一注册和授权管理。未通过身份认证的视频接入对象禁止连接视频接入链路。未通过身份认证的用户禁止进入视频接入链路访问视频接入业务。通过身份认证后的用户只能进行授权范围内的操作,禁止非授权访问资源及系统操作。4.1.4.4机密性与完整性遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.4.3节。4.1.4.5入侵防范遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.4.4节。4.1.4.6网络设备安全遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.4.5节。4.1.4.7可用性保障遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.4.6节。4.1.5主机安全遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.5节。4.1.6应用安全4.1.6.1视频数据与视频控制信令分别处理和传输视频数据与视频控制信令必须按照不同的安全策略严格区分,分别进行处理和传输,其中视频数据采用单向传输。4.1.6.2视频数据传输方向视频接入链路必须严格控制视频数据的传输方向,禁止公安信息网内数据资源通过视频接入链路向外传出,严防敏感数据外泄。4.1.6.3视频控制信令格式检测在与公安信息通信网进行视频单向传输之前,要按照预先注册的视频控制信令的类型、格式和内容,对控制信令进行“白名单”方式的格式检查和内容过滤,只允许符合格式要求的控制信令数据通过,对不符合格式的数据进行阻断和报警。4.1.6.4视频传输协议格式检测视频传输协议格式检测按照预先注册的视频数据格式,对所传输的视频数据进行实时分析和过滤,对不符合格式的视频协议进行阻断和报警。4.1.6.5视频数据病毒木马检测采取必要的安全技术防范措施,防止视频数据夹杂恶意代码,形成对公安信息通信网的攻击。4.2集中监控审计遵循《公安信息通信网边界接入平台安全规范(试行)》的4.4节。4.2.1接入链路安全监控管理遵循《公安信息通信网边界接入平台安全规范(试行)》的4.4.1节。4.2.2接入链路监管系统数据规范公安信息通信网视频接入链路应纳入边界接入平台统一监管范围,其数据规范遵循《公安信息通信网边界接入平台安全规范(试行)》的第6章。根据视频接入链路的实际需要,对原规范中的静态代码表作如下扩充:增加6.5.1“接入对象”5安全管理要求遵循《公安信息通信网边界接入平台安全规范(试行)》的第5章。6视频接入链路测评要求遵循《公安信息通信网边界接入平台安全规范(试行)》的第7章。7设备安全要求视频安全隔离与传输系统必须符合公安部指定的专门安全技术要求。其余设备遵循《公安信息通信网边界接入平台安全规范(试行)》的第8章。视频安全隔离与传输系统安全要求:视频安全隔离与传输系统是指在视频接入链路内用于网络隔离、视频协议剥离、视频接入对象身份认证、访问控制、视频信令格式检查、视频数据内容过滤的专用安全设备。1、系统硬件必须是采用三组件模式构成(即内、外主机和专用隔离硬件)的专用设备。其中,专用隔离硬件必须阻断视频专网与公安信息通信网之间的所有通信协议,保证公安信息通信网与视频专网之间的网络隔离。2、外主机对接入对象(终端、视频服务器等)进行设备认证。内主机对公安信息通信网上使用视频专网资源的终端用户进行统一注册、授权管理和访问控制。3、对视频数据与视频控制信令严格区分,分别处理后进行传输。支持视频数据的单向传输模式和视频控制信令双向传输模式。4、支持视频信令格式检查及内容过滤:能够识别符合公安行业标准的视频控制信令、视频传输协议,过滤掉非标协议和非标数据格式。5、支持对视频接入对象进行身份认证,禁止未认证的视频接入对象连接视频接入链路。6、支持对公安信息通信网内的用户进行身份认证和访问控制,保证只有认证通过的用户才能访问已授权的视频资源。7、对视频数据实时检测,实现视频数据的防病毒、木马功能。8、支持边界接入平台监管系统的统一监管,能够实时上报设备运行状态、视频数据流量、在线用户、设备报警等信息。