DB3502T 120-2024 智慧安防小區(qū) 前端安防物聯(lián)感知設備及服務平臺安全規(guī)范

發(fā)布發(fā)布廈門市市場監(jiān)督管理局2024060520240605Smartsecurityresidentialarea—Safetyspecificationforfront-endsecurityobjectsensingdeviceandserviceplatformICS35.020CCSICS35.020CCSL78福 建 省 廈 門 市 地 方 標 準DB3502/T120—2024智慧安小區(qū) 前端安防聯(lián)感知及服務臺安全范DB3502/T120DB3502/T120—2024DB3502/T120DB3502/T120—2024II12 理度 8參考獻 9目 次前言 II1范引文件 1語定義 1體求 2據類 2端防聯(lián)知安全 2據生周安護 3絡全 5統(tǒng)全 6臺境全 7維全 8IIII前 言本文按GB/T1.1—2020《準工導則 第部分標化件結和起規(guī)》定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由廈門市安全技術防范協(xié)會提出。本文件由廈門市公安局歸口。智慧安防小區(qū) 前端安防物聯(lián)感知設及服務平臺安全規(guī)范范圍本文件規(guī)定了智慧安防小區(qū)前端安防物聯(lián)感知設備及服務平臺的數據分類、數據安全、網絡安全、系統(tǒng)安全、平臺環(huán)境安全、運維安全以及管理制度等要求。本文件適用于規(guī)范廈門市智慧安防小區(qū)前端安防物聯(lián)感知設備及服務平臺的安全管理工作，其它類型住宅可參照使用。（GB/T22239—2019 信安全術 網安等保護本求GB35114 GB/T36951 息全術 聯(lián)感終應安全術求GB50348 GA/T1400.4 公視像信應系統(tǒng) 第4：接協(xié)要求GA/T1781 GA/T1400.4界定的以及下列術語和定義適用于本文件。智慧安防小區(qū)smartsecurityresidentialarea前端安防物聯(lián)感知設備front-endsecurityobjectsensingdevice智慧安防小區(qū)服務平臺intelligentsecuritycommunityserviceplatform智慧安防小區(qū)前端安防物聯(lián)感知數據管理平臺，通過前端安防物聯(lián)感知設備采集數據,并使用相關技術進行分析處理,為小區(qū)提供安防預警、事件處置、服務優(yōu)化等智能化安防管理的服務平臺。1智慧安防小區(qū)安防數據按照數據內容可分為感知數據、基礎數據和其他數據，其中：——————其他數據：智慧安防小區(qū)能提供的其他類型數據。設備訪問控制應符合以下要求：————支持銷毀或停用多余的、過期的賬號，禁止共享賬號；——520——IP——支持數據權限控制，防止訪問非授權數據，訪問控制的粒度至少包括IP/MAC等屬性；——新建及改造小區(qū)的公共安全視頻類設備應采用基于GB35114的身份認證技術，實現可信登錄；——支持設置最大會話數量；——支持日志導出。前端設備宜具備防篡改和數據加密功能，其中數據加密應采用國家密碼主管部門批準的密碼算法，前端視頻類設備宜符合GB35114中B級及以上的設備要求。2前端安防物聯(lián)感知設備應牢固可靠并符合以下要求：——GB/T36951——安裝工藝應符合GB50348中的相關要求。前端安防物聯(lián)感知設備應確保固件安全，具體要求如下：——應選擇經廠家或權威機構測試的穩(wěn)定安全可靠的固件；——固件升級應經過授權，并符合相關安全策略；——設備應支持固件備份及版本回退。運行安全監(jiān)測具體要求如下：——前端安防物聯(lián)感知設備宜具備上傳設備在線運行狀態(tài)功能；——前端安防物聯(lián)感知設備宜具備監(jiān)測設備異常的檢測手段,包括檢測設備被遮擋、移動以及重要部件被破壞等異常；——告警信息應實時上傳至智慧安防小區(qū)服務平臺，并由專人復核處置。前端設備應具備日志功能，具體要求如下：——IPIP——6Syslog數據采集安全數據采集安全具體要求如下：——GB35114B——SSL/TSL——數據采集應支持定位溯源；——數據采集過程宜支持安全審計及監(jiān)測。數據傳輸安全數據傳輸安全具體要求如下：——數據傳輸通道應具有抗電磁干擾、防破壞、防竊取的適宜措施；——GB35114BGA/T17813——數據傳輸應具有時間戳、序列號等數據傳輸新鮮性保護能力。數據存儲安全數據存儲安全具體要求如下：——智慧安防小區(qū)服務平臺的存儲介質應為掉電不易失存的介質，宜選用國產化存儲介質；————數據存儲設備遭受損壞后，宜能恢復系統(tǒng)并保證數據不丟失；————數據存儲時長不低于30天。數據使用安全數據在線使用具體要求如下：————在線觀看音視頻等數據時，通過水印保護音視頻等數據安全，應對截錄屏等違規(guī)行為進行追溯。數據離線使用具體要求如下：————————合法授權的播放器軟件訪問采用安全技術或服務存儲的音視頻等數據時，可通過水印保護音視頻等數據安全，對截錄屏的違規(guī)行為進行追溯；————非法定授權單位和個人不得下載音視頻等數據。6——應提供統(tǒng)一的日志安全審計系統(tǒng)；——應全部啟用安全相關的日志記錄功能；——針對賬戶管理、登錄事件、系統(tǒng)事件、策略更改、賬戶登錄事件的成功/失敗開啟審計。4數據銷毀安全數據銷毀應符合以下要求：————應建立物理銷毀和邏輯銷毀的數據銷毀方法和技術，明確不同類別和級別的數據銷毀方式和技術要求；——————應建立數據銷毀效果評估和復核機制，檢查已被銷毀的數據是否還能訪問；————組網類型前端安防物聯(lián)感知設備與智慧安防小區(qū)服務平臺之間的組網類型分為兩種，分別為互聯(lián)網組網以及智能專網組網，其中：——GB/T22239—2019——GB/T22239—2019互聯(lián)網組網——————區(qū)域邊界完整性保護：應在區(qū)域邊界設置探測器，探測非法外聯(lián)等行為；——BIOS安全通信網絡設計要求包括但不限于：——5————智能專網組網本項要求包括：——————可信驗證：應基于可信根對區(qū)域邊界計算節(jié)點的BIOS、引導程序、操作系統(tǒng)內核等進行可信驗證，并在檢測到其可信性受到破壞后進行報警。本項要求包括：————可信連接驗證：通信節(jié)點應采用具有網絡可信連接保護功能的系統(tǒng)軟件或可信根支撐的信息技術產品，在設備連接網絡時，對源和目標平臺身份進行可信驗證。身份鑒別————訪問控制本項要求包括：——應對登錄的用戶分配賬戶和權限；——應重命名或刪除默認賬戶，修改默認賬戶的默認口令；——應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；————————用戶訪問服務平臺時，根據用戶的不同安全級別，訪問相應數據。677應采用標準機柜對設備或主要部件進行固定，并對設備用途及使用禁忌設置顯著標識,應采取防鼠防蟲措施。防雷擊防火主要設備安裝場所禁止堆放易燃易爆品及其他雜物，應配備滅火器材，宜配備煙感探測。防水溫濕度控制應配備必要的溫濕度顯示及調節(jié)設施，使場所溫濕度的變化在設備運行所允許的范圍之內。電力供應應采用穩(wěn)定可靠的供電線路，應為主要設備配備UPS，UPS供電時長宜不低于2小時。入侵防范本項要求包括：——應遵循最小安裝的原則，僅安裝需要的組件和應用程序；——應關閉不需要的系統(tǒng)服務、默認共享和高危端口；——應定期進行安全隱患排查，對中高危漏洞及時進行修復。惡意代碼防范應安裝防惡意代碼軟件或配置具有相應功能的軟件，并定期進行升級和更新防惡意代碼庫。防破壞運維工作開展應滿足以下要求：——應委托具備相應運維能力的公司進行運維，簽訂保密協(xié)議。運維公司應安排具備相應技能的人員開展運維工作，運維人員應按照安全策略、規(guī)程和工具開展運維；——運維工作前，應對運維人員身份進行登記核實；——運維過程中，應安排利益無相關人員全程陪同，嚴禁運維人員擅自拷貝、修改、刪除設備中存儲的信息；需要將設備帶離現場維修時，需經書面同意后安全拆除并妥善保管；存儲部件出現故障，如不能保證信息安全，應由具有數據恢復資質的單位進行處理后再進行維修；——運維結束后，應對運維過程進行記錄，記錄中應包括維護日期、維護內容、進入及離開時間、運維人員（簽名）、陪同人員（簽名）等信息。應建立服務平臺使用、運行、維護管理制度，包括但不限于以下要求：————物業(yè)服務企業(yè)或者其他管理人、系統(tǒng)承建廠商和任何個人不得私自留存智慧安防小區(qū)系統(tǒng)所采集的各類信息數據，不得將數據用于商業(yè)用途；——————————應對主要設備安裝場所的安全管理做出規(guī)定，包括物理訪問、物品進出和環(huán)境安全等方面；————899參 考 文 獻GB/T21741－2021 GB/T22240－2020 信息全術 網安等級護級GB/T25070－2019 信息全術 網安等級護全計術求GB/T25724－20