陜西省地方標(biāo)準(zhǔn)-視頻監(jiān)控聯(lián)網(wǎng)共享系統(tǒng)管理平臺(tái)規(guī)范_圖文

1、 DB61/ T524- 2011 ,對(duì) 身份 鑒別 、管理用戶(hù)/ 應(yīng)按照GB/T zO27卜 zOOs中 4.2。 4的 要求 ,支 持對(duì)審計(jì)功能 的開(kāi)啟和關(guān) 閉 應(yīng)。 業(yè)務(wù)用戶(hù)所實(shí)施 的操作 、其他與 系統(tǒng)安 全相關(guān)的事件 等實(shí)施 審計(jì) ,并 做 出相應(yīng) 的審計(jì)響 、查詢(xún)等功能 。 、 安 全審計(jì) 日志宜采 用統(tǒng) 一 的格式 ,審 計(jì) 記錄信息應(yīng)能夠提供 導(dǎo)入 導(dǎo) 出 安 全審計(jì)數(shù)據(jù)應(yīng) 包括 a, 操作人身份 :用 戶(hù)身份 標(biāo)識(shí) : ; bl c dl e, f, 操作 :功 能操作 操作對(duì)象 :操 作 的對(duì)象 (如 DVR設(shè) 備 ; 操作類(lèi) 型 :日 志管理 、用戶(hù)管 理 、配置管 理、

2、任務(wù)管 理等 操作 時(shí)間 :年 、 月 、 日、時(shí) 、分 、秒 ; ; ; 操作結(jié) 果 :成 功 、失敗 。 8.3.3 惡意代碼防護(hù) 進(jìn)行有效 的安全防護(hù) 應(yīng)按照GB/T zO27 zOOG中 4.2.7的 要求 ,對(duì) 包括計(jì)算機(jī) 病毒在 內(nèi)的惡意代碼 。 8.3.4 備份 與故障恢復(fù) al 、 息 、巡 檢信 息 、 聯(lián) 網(wǎng)系統(tǒng)應(yīng)對(duì)系 統(tǒng) 的基本 配置信息 、用戶(hù)信 息 、設(shè)備信 息 、權(quán) 限信 息 報(bào)警信 系統(tǒng) 重要操作 日志等進(jìn)行分類(lèi)并做 相應(yīng) 的定 重要事件 的視頻 圖像 、 與報(bào)警關(guān) 聯(lián) 的視音頻 信 息 、 期備份 ; bl ,對(duì) 重要的設(shè)備 應(yīng)進(jìn)行 冗余 關(guān)鍵存 儲(chǔ)部件 宜采用

3、冗余 磁盤(pán)陣列技 術(shù)并支持 失效部件 的在線(xiàn)更換 配置 ,以 實(shí)現(xiàn) 雙機(jī)熱備 或者冷備 進(jìn)行定期在 線(xiàn)維護(hù) ,當(dāng) 數(shù)據(jù)庫(kù)遭到破壞時(shí) ,縮 短 數(shù)據(jù)庫(kù) 服務(wù)器 宜采用雙機(jī) 冗佘熱備 份 的方式 。 ; dl 恢復(fù)所 需時(shí)間 ,利 用 地理 上 的分離 在條件 具備 的情況下 ,應(yīng) 在異 地建 立 和維護(hù) 一個(gè)重要 數(shù)據(jù) 的備份存 儲(chǔ)系統(tǒng) 來(lái)保 證系統(tǒng)和數(shù)據(jù)對(duì)災(zāi) 難性事件 的抵御能力 制定 ,數(shù) 據(jù)恢 故障恢復(fù) 前應(yīng)制定 具體 合 理 的恢復(fù) 工 作計(jì)劃 ,故 障恢復(fù)方案應(yīng)根 據(jù)信息備份方案 ; ; 復(fù)完 成后應(yīng)檢 測(cè)數(shù)據(jù) 的完整性 。 8.3.5 應(yīng)急處 理 (各 類(lèi) 對(duì)系統(tǒng)在 正常 工 作中發(fā)

4、 生的突發(fā)事件 應(yīng)制定安 全應(yīng)急處 理預(yù)案 ,并 組織實(shí)施應(yīng) 急處置演 習(xí) 。 處 理預(yù)案進(jìn)行處 置或系統(tǒng) 自動(dòng) 異常情 況 、安 全事件 、安 全事故 ,應(yīng) 由值班人 員或者維 護(hù)人員依 照應(yīng)急 降級(jí) 處 理 。 8.3.6 安 全管理 全管理教育和 定期 工 各級(jí)各 類(lèi) 監(jiān)控 中心應(yīng)建 立 完善 的安 全管理制度 ,對(duì) 監(jiān)控 中心的 作人員應(yīng)進(jìn)行安 技術(shù) 培訓(xùn) 。 應(yīng)對(duì) 組成系統(tǒng) 的各種設(shè)備 定期進(jìn)行安 全檢查和維護(hù) 。 8.4 信 息安全 、 及 業(yè) 務(wù)審計(jì) 、網(wǎng)絡(luò)間隔 信息安 全主要包括 用戶(hù)身份 認(rèn) 證 、接 入設(shè)備認(rèn) 證 、用戶(hù)權(quán) 限管 理 訪(fǎng) 問(wèn)控制 離。 8.4.1 用戶(hù)身份認(rèn)

5、 證 8.4.1.1 用戶(hù)身份標(biāo) 識(shí) 22 DB61/ T524- 2011 應(yīng)對(duì)聯(lián) 網(wǎng)系統(tǒng) 的所有用戶(hù)進(jìn) 行統(tǒng) 一 的唯 一標(biāo)識(shí) ,編 碼規(guī)范見(jiàn)GA/TGGg。 OB中 第 9章 的要求 。 8.4.1.2 用戶(hù)身份認(rèn)證機(jī) 制 聯(lián) 網(wǎng)系統(tǒng)應(yīng)在 以下方 式 中選擇 一 種或者多種方 式進(jìn)行用戶(hù)身份 認(rèn) 證 a, 靜態(tài) 口令機(jī)制 (用 戶(hù)名/密 碼方式 ; : bl c dl el fl gl h, 動(dòng)態(tài) 口令機(jī)制 ; 基于智能 卡的認(rèn)證 ; 基于沖擊 /口 向 的 USBKey認(rèn) 證 應(yīng) ; 基于 PKI/CA體 系數(shù)字證書(shū)的 USBKey認(rèn) 證 基于人體生物特征識(shí)別 的認(rèn)證 ; ; 采用基于

6、 PKI/CA體 系數(shù)字證書(shū)的 USBKey認(rèn) 證 方式時(shí)應(yīng)采 用統(tǒng) 一 的公鑰證 書(shū)格式 。 對(duì)系統(tǒng)管理 員 、超級(jí)管理員宜 附加基于人體生物特征識(shí)別 的認(rèn)證 ; 基于數(shù)字證 書(shū)和靜態(tài) 口令兩種方式 的用戶(hù)身份認(rèn)證 。 8.4.1.3 單點(diǎn)登陸與全網(wǎng)漫游 聯(lián) 網(wǎng)系統(tǒng)應(yīng) 支持授權(quán)用戶(hù) 單點(diǎn)登陸與全 網(wǎng)漫游 的功能 。 8.4.1.3.1 單點(diǎn)登錄功 能要求 聯(lián) 網(wǎng)系統(tǒng)應(yīng)支持用戶(hù)只經(jīng)過(guò) 一 次身份認(rèn)證 ,即 可訪(fǎng) 問(wèn)不 同安全域 的應(yīng)用系統(tǒng) 。 聯(lián) 網(wǎng)系統(tǒng)We叫 艮 務(wù)器 、應(yīng)用服 務(wù)器應(yīng)在用戶(hù) 身份認(rèn)證成功后 ,保 存用戶(hù) 的認(rèn)證標(biāo)識(shí)和 身份標(biāo)識(shí) 。當(dāng) 用戶(hù)訪(fǎng) 問(wèn)不 同的應(yīng)用 網(wǎng)絡(luò) 時(shí) ,We

7、叫 艮 務(wù)器 、應(yīng)用服 務(wù)器后 臺(tái)應(yīng)用程序應(yīng) 根據(jù)其身份標(biāo)識(shí)來(lái)確定該用戶(hù) 的 用戶(hù)類(lèi)型 。 8.4.1.3.2 全 網(wǎng)漫游功 能要求 聯(lián) 網(wǎng)系統(tǒng)應(yīng) 采用統(tǒng) 一 的公鑰證 書(shū)格式 ,以 保 證 在各級(jí)應(yīng)用系統(tǒng) 中均可被識(shí) 別 。 聯(lián) 網(wǎng)系統(tǒng)應(yīng) 采用統(tǒng) 一 的認(rèn)證方 式 ,以 保證不 同應(yīng)用 網(wǎng)絡(luò)之 間用戶(hù) 的身份認(rèn)證 。 8.4.2 接入設(shè)備 認(rèn)證 應(yīng)對(duì)接入聯(lián) 網(wǎng)系統(tǒng) 的所有設(shè)備進(jìn) 行統(tǒng) 一 的唯一 標(biāo)識(shí) ,編 碼規(guī)范見(jiàn)GA/T6Gg。 zOOs中 第 9章 的要求 。 接 入 設(shè)備認(rèn)證應(yīng)根 據(jù)不 同情況采 用不 同的認(rèn)證方 式 。對(duì)非SIP設(shè) 備 ,宜 通過(guò)設(shè)備代理來(lái)進(jìn) 行認(rèn)證 對(duì)標(biāo)準(zhǔn) SIP

8、可 信設(shè)備應(yīng)采用數(shù) 字 證 書(shū)的認(rèn)證方式 。 設(shè)備認(rèn)證的流 程見(jiàn)GA/T ss9。 s- OB中 第 8、 9章 的要求 。 ; 8.4.3 用戶(hù)授權(quán) 策略與杈 限管理 8.4.3.1 用戶(hù)管理 用戶(hù)按使用性質(zhì) 分為兩類(lèi) 業(yè) 務(wù)用戶(hù) :使 用系統(tǒng)執(zhí)行業(yè) 務(wù)操作 的用戶(hù) (例 如訪(fǎng) 問(wèn)實(shí)時(shí)視頻 、訪(fǎng) 問(wèn)歷史業(yè) 務(wù)信息 、進(jìn)行攝 像機(jī)云 : 臺(tái) 、鏡頭控制等操 作 。 業(yè) 務(wù)用戶(hù)應(yīng)分配業(yè) 務(wù)權(quán) 限 ,不 應(yīng)具備管理權(quán) 限 。 管 理 用戶(hù) :能 夠?qū)ο到y(tǒng)軟硬 件 資源 、 系統(tǒng)運(yùn)行狀態(tài) 以及安全配置 等進(jìn)行管理的用戶(hù) ,具 有管理權(quán) 限 。 聯(lián) 網(wǎng)系統(tǒng)宜 按照 一 定的規(guī)則將具 有相 同屬性或特征

9、的用戶(hù)劃分 為 一 組 ,進(jìn) 行用戶(hù)組 管理 。 8.4.3.2 權(quán) 限管理 在監(jiān)控 中心 內(nèi) ,權(quán) 限管理應(yīng)包括 下列 內(nèi)容 : DB61/ T524- 2011 al b, cl dl 提供增 加 、修改 、刪除和查詢(xún) 用戶(hù)權(quán) 限等 功能 配相應(yīng) 的權(quán) 限 。除安全管 理員外 單獨(dú)設(shè) 立 安 全管 理 員 ,專(zhuān) 門(mén)負(fù)責(zé) 為本 中心的每個(gè)合 法用戶(hù)分 限轉(zhuǎn)授 給其他 用戶(hù) 。安全管 理 員除 任何用 戶(hù)不得 擅 自更改其權(quán) 限 、不得越權(quán) 操作 、不得將 其權(quán) 他數(shù)據(jù) 完成 授權(quán) 功能外 ,不 能瀏覽 、修改 、刪除系 統(tǒng)中 的任何其 高優(yōu)先 級(jí)用戶(hù) 可搶 占低優(yōu) 先級(jí) 用戶(hù)所 占用 的資源

10、 礎(chǔ) 上進(jìn)行 。 在 監(jiān)控 中心 間 ,用 戶(hù)權(quán) 限管 理應(yīng)在各級(jí) 監(jiān)控 中心授權(quán) 的基 ; , ; ; 8.4.4 訪(fǎng) 問(wèn)控制 與業(yè)務(wù)審計(jì) 8.4.4.1 訪(fǎng) 問(wèn)控制 上 ,系 統(tǒng) 宜采用某種 訪(fǎng) 問(wèn)控制模型對(duì)用 聯(lián) 網(wǎng)系統(tǒng)應(yīng)實(shí)現(xiàn) 統(tǒng) 一 的用戶(hù)管 理和授權(quán) ,在 身份 鑒別的基礎(chǔ) 證書(shū)的訪(fǎng) 問(wèn)控制 。 基于角色 的訪(fǎng) 問(wèn)控制 應(yīng)提 戶(hù)進(jìn)行訪(fǎng) 問(wèn)控制 (例 如基 于角色 的訪(fǎng) 問(wèn)控制 或者 基于屬性 色 的增加 、修改 、刪除等功能 ,并 且對(duì)角色 供對(duì)委 托授權(quán) 和角色繼承功 能的支 持 ;角 色管 理應(yīng)能提供角 的操作提 供審計(jì)接 口。 8.4.4.2 業(yè)務(wù)審計(jì) 聯(lián) 網(wǎng)系統(tǒng)應(yīng) 對(duì) 以下事

11、 件 進(jìn)行 業(yè) 務(wù)審計(jì) ,并 保 留記錄 ,以 各 用戶(hù) 登錄和身份驗(yàn) 證 ; 查驗(yàn) : c, dl 非 法或異常 事件 用戶(hù)越權(quán) 行為 ; ; 持有權(quán) 限變 更操作 。 8.4.4.3 數(shù)據(jù) 庫(kù)安 全審計(jì) 增加數(shù) 據(jù)庫(kù)安全管 理軟件 ,應(yīng) 對(duì)數(shù)據(jù) 庫(kù) 的復(fù)制 、 安 系統(tǒng)管 理員 、 全管 理員三 權(quán)分離 。 數(shù)據(jù)庫(kù) 管 理員 、 刪除進(jìn)行審計(jì) ,并 保 留記錄 ,以 備 查驗(yàn) 。 8.4.5 網(wǎng)絡(luò) 間隔離 應(yīng)進(jìn)行 相應(yīng) 的隔離 。當(dāng)需要在 網(wǎng)絡(luò)之 監(jiān)控 中心 局域 網(wǎng) 、公安專(zhuān) 網(wǎng) 、公共 網(wǎng)絡(luò)等不 同的應(yīng) 用 網(wǎng)絡(luò)之間 全隔離措施 。 間進(jìn)行數(shù) 據(jù)交換 時(shí) ,應(yīng) 采用 國(guó)家 、行 業(yè)管理

12、部 門(mén)認(rèn) 可 的安 9 系統(tǒng)維 護(hù)管理體 系 系統(tǒng)維 護(hù)管 理子系統(tǒng)依托 的系統(tǒng)資源 主要有 :管 理服務(wù)器 、安全服務(wù)器等 。 9.1 設(shè)備管理 應(yīng)具備 設(shè)備注冊(cè) 、配置 、統(tǒng)計(jì) 、狀態(tài) 查詢(xún) 、測(cè)試 、診斷 、校 時(shí)等功能 ,有 故障隔離報(bào)警能力 。 9.2 日志管理 運(yùn)行情況 和用戶(hù) 的操作記錄 自動(dòng) 生成 日志應(yīng) 包括本 地 日志 、遠(yuǎn)程設(shè)備 日志 、報(bào)警 日志 。能夠?qū)?系統(tǒng) 能。 日志 ,且 所有 日志能夠?qū)?出 ,并 具有禁 止修改 日志數(shù)據(jù) 的保護(hù)功 9.3 安 全管理 應(yīng)有身份 認(rèn) 證和密鑰管 理 (網(wǎng) 絡(luò)安全 、數(shù)據(jù)安全 、機(jī)房安 全 、設(shè)備安全見(jiàn)安全要求 '。 24 9.4 DB61/ T524