公安信息通信网边界接入平台安全规范(试行)视频接入安全部分

公安信息通信网边界接入平台安全规范（试行）——视频接入安全部分公安部科技信息化局二〇一〇年四月-2-目次1适用范围..........................................................................................................................................32规范性引用文件..............................................................................................................................33术语和定义......................................................................................................................................33.1视频专网.................................................................................................................................33.2接入链路.................................................................................................................................33.3视频数据.................................................................................................................................33.4视频数据单向传输.................................................................................................................33.5视频控制信令.........................................................................................................................44安全技术要求..................................................................................................................................44.1视频接入链路.........................................................................................................................44.1.1总体要求.........................................................................................................................44.1.2业务操作方法.................................................................................................................54.1.3区域划分.........................................................................................................................54.1.4网络安全.........................................................................................................................54.1.5主机安全.........................................................................................................................64.1.6应用安全.........................................................................................................................64.2集中监控审计.........................................................................................................................74.2.1接入链路安全监控管理.................................................................................................74.2.2接入链路监管系统数据规范.........................................................................................75安全管理要求..................................................................................................................................86视频接入链路测评要求..................................................................................................................87设备安全要求..................................................................................................................................8-3-1适用范围本规范仅限于指导公安机关共享外部视频资源的安全接入建设，实现外部视频资源单向传输至公安信息通信网，为公安业务工作提供支撑服务。对于公安信息通信网内视频资源对外共享情况，不属于本规范的适用范围。本规范规定了视频接入方式的安全技术要求、安全管理要求、安全评测要求以及设备安全要求。2规范性引用文件本规范的制订参照了以下规范和标准：《公安信息通信网边界接入平台安全规范（试行）》（公信通[2007]191号，2007年10月）《城市报警与监控系统建设、管理、应用规范性文件汇编》（公安部科技信息化局,2009年）《公安信息通信网联网设备及应用系统注册管理办法》（公信通[2007]139号，2007年5月）3术语和定义3.1视频专网视频专网是指采用专线方式或VPN虚拟专网方式建设的、专用于支撑视频监控服务的网络。3.2接入链路接入链路是视频接入业务与公安信息通信网之间的专用通道，将其作为公安信息通信网边界接入平台的一条独立链路，纳入平台统一监控、审计与管理。3.3视频数据视频数据是以电信号方式加以捕捉、记录、处理、存储、传送与重现的一系列图像和音频信息。3.4视频数据单向传输视频数据单向传输是指视频专网与公安信息通信网之间视频数据是单方向-4-传输的，即只允许从视频专网单向传输至公安信息通信网。3.5视频控制信令视频监控系统中视频设备间的一种对话信息，用于视频控制信道的接续和传递视频管理信息。4安全技术要求4.1视频接入链路视频接入链路是视频专网与公安信息通信网进行视频数据单向传输的专用网络通道。视频专网与公安边界接入平台之间必须采用专线方式连接。4.1.1总体要求遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.1节。视频接入链路的体系架构必须符合《公安信息通信网边界接入平台安全规范（试行）》的3.2节的要求。在视频接入链路中，视频数据和视频控制信令终止于应用服务区。在应用服务区与安全隔离区，通过视频安全隔离与传输系统将视频数据和视频控制信令进行严格分离和传输，从而保证视频数据和视频控制信令安全地传输到公安信息通信网。其中视频数据为单向传输，视频控制信令为双向传输，如图1所示：接入对象视频监控系统专线路由接入区边界保护区应用服务区安全监测与管理区公安视频终端公安PKI/PMI系统外部接入链路边界接入平台视频接入链路公安信息通信网安全隔离区视频安全隔离与传输系统前置服务模块安全隔离模块后置服务模块视频控制信令和视频数据视频控制信令和视频数据视频控制信令和视频数据视频数据视频数据视频控制信令视频控制信令视频控制信令和视频数据-5-图1接入平台视频接入链路架构图4.1.2业务操作方法视频单向传输：只能由公安信息通信网内授权终端或主机，通过视频安全隔离与传输系统主动访问或主动获取视频专网资源，包括视频数据的显示、存储、回放及远程传输等。4.1.3区域划分遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.2节。4.1.4网络安全4.1.4.1视频接入对象认证视频接入对象认证是指对视频接入业务所属的视频接入对象进行身份认证，即认证提供视频服务设备的合法性，禁止未经认证设备接入公安信息通信网，确保视频源的合法性。4.1.4.2用户身份认证用户身份认证是指对公安信息通信网内使用视频接入业务的用户进行身份认证。必须采用公安数字身份证书作为授权用户的唯一凭证，对公安用户进行权限控制与管理。4.1.4.3访问控制视频接入对象的网络连接终止于视频接入链路内，严格禁止对公安信息通信网的直接访问或与公安信息通信网直接交换数据。必须对用户和终端设备进行统一注册和授权管理。未通过身份认证的视频接入对象禁止连接视频接入链路。未通过身份认证的用户禁止进入视频接入链路访问视频接入业务。通过身份认证后的用户只能进行授权范围内的操作，禁止非授权访问资源及系统操作。-6-4.1.4.4机密性与完整性遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.4.3节。4.1.4.5入侵防范遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.4.4节。4.1.4.6网络设备安全遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.4.5节。4.1.4.7可用性保障遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.4.6节。4.1.5主机安全遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.5节。4.1.6应用安全4.1.6.1视频数据与视频控制信令分别处理和传输视频数据与视频控制信令必须按照不同的安全策略严格区分，分别进行处理和传输，其中视频数据采用单向传输。4.1.6.2视频数据传输方向视频接入链路必须严格控制视频数据的传输方向，禁止公安信息网内数据资源通过视频接入链路向外传出，严防敏感数据外泄。4.1.6.3视频控制信令格式检测在与公安信息通信网进行视频单向传输之前，要按照预先注册的视频控制信令的类型、格式和内容，对控制信令进