1、书 书 书?江苏省地方标准?物联网?智慧小区安防信息系统安全技术要求?发布?实施江苏省市场监督管理局发 布中 国 标 准 出 版 社出 版书 书 书目?次前言?范围?规范性引用文件?术语和定义?缩略语?智慧小区安防系统结构?安防感知终端安全要求?物理安全要求?软件安全要求?运行维护要求?短程感知通信安全要求?有线短程通信网络?无线短程通信网络?安防感知层网关安全要求?物理安全要求?软件安全要求?运行维护要求?感知通信网络安全?安防信息平台安全要求?安防信息平台接入要求?安防信息平台用户管理要求?安防信息平台感知层安全信息采集要求?安防信息平台感知层安全信息可视化要求?安防信息平台对接管控平台要
2、求?管控通信网络安全要求?参考文献?前?言?本文件按照?标准化工作导则?第?部分?标准化文件的结构和起草规则?的规定起草?请注意本文件的某些内容可能涉及专利?本文件的发布机构不承担识别专利的责任?本文件由江苏省物联网标准化技术委员会?提出并归口?本文件起草单位?无锡市物联网产业协会?公安部第三研究所?无锡可信智慧安全技术研究院有限公司?无锡物联网产业研究院?江南大学?中国电信股份有限公司无锡分公司?无锡盈达聚力科技有限公司?江苏航天大为科技股份有限公司?无锡学院?江苏西维斯信息技术有限公司?中兴智能交通股份有限公司?阿里云计算有限公司?华云数据控股集团有限公司?江苏启明星辰信息安全技术有限公司
3、?江苏瑞孚特物联网科技有限公司?江苏鑫豪斯物联技术有限公司?无锡艾斐凌科技有限公司?模架科技产业园?宜兴?有限公司?本文件主要起草人?齐力?杨明?钱鹏江?秦晓华?谈伟中?姚健?许晓晨?周文宇?孙万源?张华?蒋亦樟?顾逸?陈爱国?王冬生?韩子骞?陈红?龙如银?钱承山?许雄雄?费钧?夏朝彬?李翔?曹隽?杭晓薇?雷慧桃?孙炜一?潘涛?徐公云?物联网?智慧小区安防信息系统安全技术要求?范围本文件规定了物联网智慧小区安防信息系统的感知终端?感知层网关?感知通信网络?安防信息平台等的安全技术要求?本文件适用于物联网智慧小区安防信息系统的设计?集成?运维和管理?规范性引用文件下列文件中的内容通过文中的规范性
4、引用而构成本文件必不可少的条款?其中?注日期的引用文件?仅该日期对应的版本适用于本文件?不注日期的引用文件?其最新版本?包括所有的修改单?适用于本文件?公共安全视频监控联网系统信息传输?交换?控制技术要求?所有部分?近场通信?安全技术要求?信息安全技术?个人信息安全规范?信息安全技术?射频识别?系统通用安全技术要求?信息安全技术?智能卡安全技术要求?信息安全技术?物联网感知终端应用安全技术要求?物联网标识体系?总则?信息安全技术?指纹识别系统技术要求?出入口控制系统技术要求?信息安全技术?物联网感知层接入通信网的安全要求?信息安全技术?远程人脸识别系统技术要求?公安视频图像信息应用系统?第?部
5、分?接口协议要求?公共安全社会视频资源安全联网设备技术要求?术语和定义下列术语和定义适用于本文件?小区?被城市道路或自然分界线围合?并与人口规模相适应?配套有能满足该区域工作生产?人口物质与文化生活所需的公共服务设施的工作?生活聚集地?安防感知终端?用于采集智慧小区安防信息的物联网感知终端?示例?监控摄像头?电子围栏?烟雾传感器?温湿度传感器?红外探测器?车位感应器?出入门禁?电子门锁等?物联网安防系统?由物联网感知终端?通信网络和信息平台等所组成的安防信息系统?安防信息平台?用于小区安防信息汇聚?处理?可视化展现?以及安防终端管理和维护的软硬件平台?安防感知层网关?用于智慧小区安防短程通信网
6、络内数据汇聚和向安防信息平台转发的感知层网络设备?具有数据存储能力?计算能力和协议转换能力等?可通过北向接口与应用平台建立通信连接和边缘计算通过南向接口与感知控制设备进行通信的实体?注?实体可以是独立设备或软件?网络报警?通过网络实现安防系统与公共安全报警系统连接?并产生和发送告警信息的过程?敏感信息?信息的泄漏?修改?破坏或丢失都会对用户产生不可预知损害的?需要保护的信息?注?敏感信息包含但不限于安防系统用户口令?通信密钥?个人隐私信息等?安全通信机制?包含有实体鉴别?数据加解密?完整性验证?防篡改等技术保障措施的通信协议体?物联网卡?由物联网通信运营商发售?装置在物联网终端或网关上?用于物
7、联网通信标识和网络流量计费的安全芯片卡?物联网安全管控平台?以数据服务为基础的?用于管理和控制物联网应用安全的综合性信息业务平台?北向接口?物联网安全管控平台与公众电信网络之间的接口?南向接口?物联网网关与感知控制设备之间的接口?缩略语下列缩略语适用于本文件?访问控制列表?文件传输协议?超文本传送协议?集成电路?身份标识?物联网技术?互联网协议?媒体访问控制?近场通信?公开密钥基础设施?远程桌面协议?实时传输协议?实时流传输协议?服务器消息链?用户识别模块?会话初始协议?安全外壳协议?虚拟专用网络?智慧小区安防系统结构规范的对象为智慧小区安防系统?其系统结构见图?系统中的实体包括?安防感知终端
8、?短程或公网感知终端?以下简称终端?短程感知通信网络?有线或无线短程网络?安防感知层网关?以下简称感知层网关?感知通信网络?有线或无线公网?专网?智慧小区安防信息平台?以下简称安防信息平台?包括与外部安防管控信息平台互联的安全联网设备?管控通信网络?有线或无线公网?专网?外部安防管控信息平台?以下简称管控信息平台?图?智慧小区安防系统结构?安防感知终端安全要求?物理安全要求?选型应符合?中?的规定?选址应符合?中?的规定?并应具备明确可查的位置信息?供电应符合?中?的规定?防拆应符合?中?的规定?启动设备启动的上电顺序宜从不可改写启动程序的芯片开始?宜选择安全芯片作为启动芯片?硬件设备安全硬件
9、设备安全应满足以下要求?应具备自检和故障指示功能?仅保留应用必需的通信接口?并标注接口信息?具备?接口的设备?需用用户名?口令方式进行访问授权?正式上线产品应封闭硬件和固件调试接口?并去除电路板上的丝印信息?存在加解密或敏感信息保护需求时?应具备安全芯片或安全计算环境?且密码相关计算应在安全芯片或安全计算环境中执行?密码材料应存储在芯片的安全存储区?印刷标识印刷标识应不易被涂改?宜采用二维码标识?软件安全要求?标识标识应满足以下要求?系统内唯一标识?标识包含?位以上随机数?防止批量猜测?标识信息防篡改?操作系统安全若设备具有操作系统时?操作系统安全要求如下?应满足开放端口最小化原则?应具备设备
10、接入认证和远程用户访问认证功能?宜具备安全加固和防逆向能力?宜提供安全启动机制进行系统的完整性验证保护?当安全验证通过后?系统方能正常启动?支持设备接入鉴别鉴别应满足以下要求中的一项或多项?支持基于系统内唯一标识的鉴别?支持基于网卡地址?通信协议和通信端口的鉴别?支持基于预分配密钥的对称加密信息鉴别?支持基于公钥密码机制的鉴别?鉴别失败处理鉴别失败处理应符合?中?规定的内容?支持接入鉴别机制终端接入安防信息平台的鉴别机制应满足?短程通信终端?支持网关的间接接入鉴别机制?公网?专网终端?支持信息平台的直接接入鉴别机制?访问控制访问控制应满足以下要求?支持基于?列表的访问控制?有操作系统的终端?支
11、持多用户访问控制?并最小化用户权限?避免使用默认用户名和口令访?问终端?有操作系统的终端?不向非管理员用户开放操作系统配置和软件的更改操作权限?入侵防护入侵防护应满足以下要求?支持基于安全通信协议的数据过滤?支持基于?通信端口等限制条件的数据过滤?有操作系统的终端?支持恶意程序和病毒代码的入侵防护?有操作系统的终端?支持通信异常监测机制?采集?控制应用安全?出入口控制应用出入口控制应用满足以下要求?安全等级符合?中?的规定?安全要求符合?中?的相关规定?人脸识别应用人脸识别应用满足以下要求?功能符合?中第?章的安全功能要求?性能符合?中第?章的安全保障要求?指纹识别应用指纹识别应用满足以下要求
12、?指纹模块应符合?的规定?具备拒绝假指纹的能力?具有防护异物混淆攻击的能力?具有防护呈现攻击的能力?应用?应用应符合?所有部分?的规定?卡应用安全?卡应用满足以下安全要求?卡符合?的规定?卡应实现一卡一密?卡宜采用?卡?卡宜具备物理防御手段以防止侧信道攻击?卡芯片应具备防复制能力?应用安全?应用应符合?的规定?数据安全数据安全应满足以下要求?支持时间戳信息?支持数据传输和存储的时效记录?支持数据摘要和校验等机制?保障数据传输和本地存储的完整?敏感信息数据的传输和存储应采用加密和签名等防护机制?保障数据保密性和防篡改?个人信息安全终端采集个人信息时?应符合?中第?章?第?章的规定?软件更新软件安
13、装或更新应满足以下要求?支持本地基于管理员用户登录的软件更新?支持基于安全通信机制下的远程更新?支持软件更新包的完整性和防篡改机制验证?不支持安装应用软件?日志和审计日志和审计应满足以下要求?有操作系统的终端?支持鉴别失败?软件更新操作?入侵告警?恶意?病毒发现?设备重启等的安全日志?日志内容包括日期时间?事件类型?操作用户等?有操作系统的终端?支持安全日志的审计?自检和故障处理自检和故障处理应满足以下要求?支持基于软件的终端功能自检?软件自检失败?支持根据安全策略执行设备重启或设备关闭等自动操作?并自动留存日志?运行维护要求?终端生命周期管理生命周期管理应满足以下要求?终端存储终端版本信息?
14、有效使用期限信息和当前运行状态?并定期发送至接入设备?终端唯一标识随其生命周期生效和失效?失效标识不重复使用?维护管理维护管理应满足以下要求?指定专人定期检查终端?并进行可用性维护?对于使用移动通信物联网卡的终端?要定期检查其可靠性和机卡状态?发现异常应形成安全日志并上传安防信息平台?运维安全管理制度运维安全管理制度包括但不限于密码人员管理?密钥管理?设备运行?应急处置?密码软硬件及?介质管理等制度?应满足以下要求?应根据应用方案相对应设立管理规则?应对管理人员或操作人员执行的日常管理建立操作规程?应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定?对存在不足或需要改进之处进
15、行修订?应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制?应具有密码应用操作规程的相关执行记录并妥善保存?应根据系统环境建立网络安全管理规定?短程感知通信安全要求?有线短程通信网络整体系统中存在有线短程通信网络或总线时?应至少满足以下一项要求?采用物理隔离的专用线路?专用协议组网通信?采用逻辑隔离或信道加密技术的组网通信?无线短程通信网络整体系统中存在无线短程通信网络或总线时?应至少满足以下一项要求?采用专用通信频段或专用通信方式?通信协议的组网通信?采用逻辑隔离或信道加密技术的组网通信?安防感知层网关安全要求?物理安全要求?选型同?选址同?供电应采用持续型供电方式供电?防拆同
16、?启动同?硬件设备要求同?印刷标识同?软件安全要求?标识标识应满足以下要求?系统内唯一标识?标识包含?位以上随机数?防止批量猜测?标识信息防篡改?应能够识别来自北向接口的物理标识?网络地址标识和应用属性标识?标识编码规则应符合?相关规定?应具有标识映射和转换功能?能够实现南向接口和北向接口所传递各类标识的相互映射和转换?鉴别鉴别应至少满足以下要求中的一项?支持基于系统内唯一标识的鉴别?支持基于网卡地址?通信协议和通信端口的鉴别?支持基于口令的鉴别?口令复杂度应不小于?个字符?包含中英文大小写和数字?避免使用默认口令?物联网网关应支持对其所传送的数据进行加密处理?以保证数据的安全性支持基于预分配
17、密钥的对称加密信息鉴别?支持基于公钥密码机制的双向鉴别?用户鉴别可支持其他鉴别机制?如通过数字证书?智能卡或通过人体的生物特征进行鉴别等?物联网网关受到攻击?至少支持漏洞扫描或拒绝服务攻击?时?应能够自动记录攻击的发起地址?攻击吋间以及攻击类型等关键信息?生成实时报警信息?并且具有一定的阻断能力?感知终端接入鉴别机制面向感知终端的接入鉴别机制应满足以下要求?支持对其管理网络的所有接入短程感知通信终端进行接入鉴别?有效管理通信网络的接入鉴别机制?终端接入密钥和接入安全策略?接入安全策略包括终端?网络白名单和黑名单?接入鉴别响应处理等?接入安防信息平台鉴别机制面向安防信息平台的接入鉴别机制应满足以
18、下要求?支持接入安防信息平台的鉴别?支持鉴别失败处理?符合?中?的规定?应具备将来自不同感知控制设备的不同接入协议转换至同一种约定协议的功能?通过北向接口完成数据的上报?应具备将来自北向接口的协议转换成不同类型协议的功能?通过南向接口连接至相应的感知控制设备完成设备的控制?访问控制访问控制应满足以下要求?本地访问控制?采用网关管理员口令鉴别机制?支持基于?列表的访问控制?支持多用户访问控制?并最小化用户权限?不应使用默认用户名和口令访问网关?不应向非管理员用户开放操作系统配置和软件的更改操作权限?入侵防护入侵防护应满足以下要求?支持基于安全通信协议的数据过滤?支持基于?网络地址?通信端口等限制
19、条件的数据过滤?支持恶意程序和病毒代码的入侵防护?支持通信异常监测机制?数据安全同?为防止数据信息通过拍照等方式泄露?平台整体界面应支持水印技术?包括时间?实时更新?登录用户名等信息?软件更新软件安装或更新应满足以下要求?支持本地基于管理员用户登录的软件更新?支持基于安全通信机制下的远程更新?支持软件更新包的完整性和防篡改机制验证?日志和审计日志和审计应满足以下要求?支持鉴别失败?软件更新操作?入侵告警?恶意?病毒发现?设备重启?感知层网络异常事件等的安全日志?日志内容包括日期时间?事件类型?操作用户等?支持感知终端安全日志数据的读取?存储和转发?支持安全日志的审计?自检和故障处理自检和故障处
20、理应满足以下要求?支持基于软件的网关功能自检?软件自检失败?支持根据安全策略执行设备重启操作?并自动留存日志?运行维护要求?生命周期管理感知层网络生命周期管理应满足以下要求?网关存储网关版本信息?有效使用期限信息和当前运行状态?并定期发送至安防信息平台?网关采集?存储并转发接入终端的标识信息?版本信息?有效使用期限信息和当前运行状态?网关唯一标识随其生命周期生效和失效?失效标识不重复使用?宜提供感知控制设备接入数据的预处理?边缘处理和存储?维护管理维护管理应满足以下要求?指定管理员定期检查网关?并进行可用性维护?对于使用移动通信物联网卡和插卡式硬件数字证书的网关?应定期检查其可靠性和机卡状态?
21、发现异常应形成安全日志并转发安防信息平台?宜具有定位功能?例如?通过北斗或?完成定位?并且提供位置信息共享功能?感知通信网络安全应符合?中?的要求?安防信息平台安全要求?安防信息平台接入要求应符合?中?的要求?安防信息平台用户管理要求信息平台的用户管理应满足以下?具备多角色用户注册和管理功能?角色至少包括?平台管理员?普通用户?支持多类型用户的账号?口令和权限分配的管理?支持用户管理安全策略?包括?黑名单?白名单管理?安防信息平台感知层安全信息采集要求信息平台应接收经鉴别接入的网关和终端的以下信息内容?网关和终端的联网报警信息?网关和终端的安全告警信息?网关和终端的安全日志数据信息?网关和终端
22、的设备生命周期管理信息?使用移动通信物联网卡?数字证书卡的网关和终端的机卡维护管理信息?安防信息平台感知层安全信息可视化要求信息平台的安全信息可视化应满足以下要求?支持联网报警信息可视化?支持安全告警信息可视化?支持安全日志统计分析信息可视化?支持设备生命周期统计信息可视化?支持使用移动通信物联网卡?数字证书卡的网关和终端的机卡维护管理统计分析信息可视化?安防信息平台对接管控平台要求?对接设备鉴权对接设备应支持基于安全数字证书的?鉴权?鉴权采用的非对称加密算法应符合国家密码管理部门的相关规定?传感数据传输数据传输安全性符合?中?的要求?视频图像数据接入公安视频专网要求智慧小区安防信息平台的视频
23、图像数据接入公安视频专网时?宜符合?的要求?并满足以下条件?应采用符合?规定的安全联网设备接入?要求安全联网设备应支持对向社会资源接入平台传输的视频流?视频片段?图像及相关信息进行数字签名?应支持对向社会资源接入平台传输的视频流?视频片段?图像及相关信息进行加密?应具有重要数据?如配置信息?应用程序功能?日志等?的数据备份与恢复功能?应能通过密码模块生成并保存非对称密钥?对称密钥并产生数字证书?密钥生成算法?应支持基于?地址的访问控制?只允许?地址白名单的对象接入?能够识别并控制应用协议?只允许通过?等进行信令与视频图像信息交换的业务必要的协议类型?拒绝?等非业务必要的协议类型访问?视频资源接入应满足?等规定的协议或设备软件开发工具包从局域网端接入?安全联网设备应具备基于数字证书的双向身份认证功能?用户身份认证功能?视频图像数据联网接入?要按相关标准采集正确的设备名称?编码?经纬度?等基础信息?后推送?管控通信网络安全要求感知信息传输网络安全要求如下?使用有线连接的传输网络时?宜采用?信道加密技术或专用通道?使用无线连接的传输网络时?宜采用信道加密等信道保护技术?参?考?文?献?信息安全技术?网络安全等级保护基本要求?公共安全视频监控联网信息安全技术要求?公安物联网感知终端安全防护技术要求?公安物联网感知终端接入安全技术要求?信息安全技术?物联网感知层网关安全技术要求?
浙ICP备2021020529号-1 | 浙B2-20240490 
