《铁路视频监控系统安全防护技术标准》.docVIP

PAGE PAGE 10 PAGE PAGE 9 PAGE PAGE 1 T/CECS XXX-202X 中国工程建设标准化协会标准 铁路视频监控系统安全防护技术标准 Technical Standard for Safety Protection of Railway Video Surveillance System （征求意见稿） 总 则 为做好铁路视频监控系统安全防护工作，统一铁路视频监控系统的安全防护设计要求，制定本标准。 本标准适用于铁路视频监控系统安全防护工程设计。 铁路视频监控系统安全防护工程设计应根据不同监控范围及治安防范要求合理设置安全防护设备、采取安全防护措施。 铁路视频监控系统安全防护工程设计除应符合本标准的规定外，尚应符合国家现行有关标准的规定。  术语和缩略语 术语 前端设备 front end device 摄像机及与之配套的镜头、云台、防护罩等相关设备、编码设备、接入设备的统称。 视频终端 video client 经过系统注册并授权的，使用视频、数据信息的终端设备，包括视频管理终端、用户监视终端和显示设备。 视频监控安全管理平台 security management platform in video surveillance 由具有安全功能的中心信令控制服务器、具有安全功能的媒体服务器、信令安全路由网关等功能实体组成，具备用户身份认证、设备身份认证、密钥管理、权限管理、签名验签、加密解密、访问控制、审计、加密视频数据的实时点播/历史回放/存储/下载/分发/导出、视频数据源抗抵赖，控制信令的完整性验证等功能。 视频区域节点 video region node 具有对本区域信息的存储、分发及转发、调用、控制、系统管理、与其他业务系统互联等功能的节点。 恶意代码 malicous code 经过专门设计的、带有恶意用途的代码，其拥有的特征和能力能够对用户及其计算机系统带来直接或间接的危害。主要包括病毒、蠕虫、木马、勒索病毒、逻辑炸弹、流氓软件等。 用户数据 user data 由用户产生或为用户服务的数据，包括由用户本地生成的数据、为用户在本地生成的数据、在用户许可后由外部进入用户数据区的数据等。 缩略语 序号 英文缩写 英文解释 中文解释 1 CNNVD China National Vulnerability Database of Information Security 中国国家信息安全漏洞库 2 CVE Common Vulnerabilities Exposures 中文漏洞信息库 3 ID Identity 身份标识号码 4 IP Internet Protocol 网际互连协议 5 MAC Media Access Control Address 局域网地址 6 SQL Structured Query Language 结构化查询语言 7 USB Universal Serial Bus 通用串行总线 基本规定 铁路视频监控系统安全防护的范围应包括铁路视频监控系统的区域节点及各I类节点、II类节点，以及前端设备、节点设备，节点设备包括的交换机、服务器、终端等设备。 铁路视频监控系统的安全防护工程设计应包括技术要求、设置要求，主要包括前端设备、节点设备、网络及网络边界的安全防护技术要求，并合理设置相关设备。 安全技术要求 系统设备安全防护技术要求 4. 1. 1 铁路视频监控系统设备应具备下列安全防护功能： 身份标识与鉴别； 访问控制； 网络连接与端口的安全防护； 数据安全； 软件安装的安全； 预置软件的安全； 安全审计； 供应链安全； 服务保障安全。 4. 1. 2 铁路视频监控系统设备的身份标识与鉴别功能应符合下列规定： 应具备可用于通信的唯一标识，包括设备IP、MAC地址、协议、流量等； 应具备防止被篡改的识别码保护功能; 应具备用于鉴别设备身份的机制，对相关鉴别信息进行保护； 应对用户和设备鉴别信息进行保密性和完整性保护； 可基于数字证书与视频业务系统进行双向身份验证； 以错误的身份接入网络时，应具有鉴别失败的处理措施； 应支持对不同用户的标识和识别，并具有唯一用户标识； 在采用用户名/口令鉴别机制时，应确保口令的生成、管理和使用符合国家相关标准的要求； 在进行远程管理时使用安全协议，宜采用数字证书或多因素认证等鉴别机制； 身份认证证书的用户证书、前端设备认证、服务器设备认证、管理平台认证等安全功能应符合《公共安全视频监控联网信息安全技术要求》GB 351