依據(jù)等級保護定級指南,公共安全視頻監(jiān)控網絡定級分析
▌ 公共安全視頻監(jiān)控網絡等保三級建設技術要求
公共安全視頻監(jiān)控網絡按照等保2.0三級要求建設,需在滿足安全通用要求的基礎上符合物聯(lián)網安全擴展要求。等保2.0物聯(lián)網安全擴展要求覆蓋安全物理環(huán)境、安全區(qū)域邊界、安全計算環(huán)境、安全運維管理4個方向。技術要求部分如下:
安全區(qū)域邊界
接入控制:
應保證只有授權的感知節(jié)點可以接入
入侵防范:
a)應能夠限制與感知節(jié)點通信的目標地址,以避免對陌生地址的攻擊;
b)應能夠限制與網關節(jié)點通信的目標地址,以避免對陌生地址的攻擊行為
安全計算環(huán)境
感知節(jié)點設備安全:
a)應保證只有授權的用戶可以對感知節(jié)點設備上的軟件應用進行配置或變更;
b)應具有對其連接的網關節(jié)點設備(包括讀卡器)進行身份標識和鑒別的能力;
c)應具有對其連接的其他感知節(jié)點設備(包括讀卡器)進行身份標識和鑒別的能力。
網關節(jié)點設備安全:
a)應具備對合法連接設備(包括終端節(jié)點、路由節(jié)點、數(shù)據(jù)處理中心)進行標識和鑒別的能力;
b)應具備過濾非法節(jié)點和偽造節(jié)點所發(fā)送的數(shù)據(jù)的能力;
c)授權用戶應能夠在設備使用過程中對關鍵密鑰進行在線更新;
d)授權用戶應能夠在設備使用過程中對關鍵配置參數(shù)進行在線更新。
抗數(shù)據(jù)重放:
a)應能夠鑒別數(shù)據(jù)的新鮮行,避免歷史數(shù)據(jù)的重放攻擊;
b)應能夠鑒別歷史數(shù)據(jù)的非法修改,避免數(shù)據(jù)的修改重放攻擊。
數(shù)據(jù)融合處理:
應對來自傳感網的數(shù)據(jù)進行數(shù)據(jù)融合處理,使不同種類的數(shù)據(jù)可以在同一個平臺被使用。
安全運維管理
感知節(jié)點管理:
a)應指定人員定期巡視感知節(jié)點設備、網關節(jié)點設備的部署環(huán)境,對可能影響感知節(jié)點設備、網關節(jié)點設備正常工作的環(huán)境異常進行記錄和維護;
b)應對感知節(jié)點設備、網關節(jié)點設備入庫、存儲、部署、攜帶、維修、丟失和報廢等作出明確規(guī)定,并進行全程管理。
▌ 迪普科技公共安全視頻監(jiān)控網解決方案
安全區(qū)域邊界
接入控制:
網絡安全:對接入公共安全視頻監(jiān)控網絡的感知節(jié)點基于IP、MAC、設備指紋等信息進行身份核驗和管理,對違規(guī)接入的設備進行告警、阻斷;
信息安全:按照GB 35114-2017相關要求對前端設備采取基于數(shù)字證書的準入認證措施,應能發(fā)現(xiàn)并識別接入視頻監(jiān)控管理平臺的未知、違規(guī)(與注冊信息不符)、仿冒等設備。
入侵防范:
通過物聯(lián)網安全接入系統(tǒng),對物聯(lián)網感知節(jié)點、網關節(jié)點的通信目標地址進行限制。
安全計算環(huán)境
感知節(jié)點設備安全:
提取感知節(jié)點設備指紋信息,對設備進行準入控制,非法設備未經允許不可入網。
網關節(jié)點設備安全:
對合法連接設備的用戶進行鑒權,確保僅有已授權的用戶可以正常訪問設備,未鑒權用戶限制訪問。
抗數(shù)據(jù)重放:
通過對公共安全視頻監(jiān)控網絡中非法訪問、入侵攻擊等異常流量的檢測能力,對網絡中非法惡意行為進行有效識別、告警和處置,實現(xiàn)抗數(shù)據(jù)重放能力。
數(shù)據(jù)融合處理:
通過封裝數(shù)據(jù)接口,實現(xiàn)對不同平臺數(shù)據(jù)的融合處理,保障不同種類數(shù)據(jù)可在同一平臺被使用。
安全運維管理
感知節(jié)點管理:
支持采集前端接入?yún)^(qū)中物理設備的屬性信息,建立感知節(jié)點指紋庫(主要包含IP地址、MAC地址、設備類型、廠商、型號、主機名、操作系統(tǒng)等信息),并進行分類統(tǒng)計,對設備發(fā)現(xiàn)、設備狀態(tài)、設備風險指數(shù)等進行全程監(jiān)控,實現(xiàn)對感知節(jié)點的統(tǒng)一管理。