DB3502-T 120-2024 智慧安防小區(qū) 前端安防物聯(lián)感知設(shè)備及服務(wù)平臺(tái)安全規(guī)范

35.020CCS

L

783502 DB3502/T

120—2024智慧安防小區(qū) 前端安防物聯(lián)感知設(shè)備及服務(wù)平臺(tái)安全規(guī)范

security

area—Safety

specification

for

security

sensing

device

service

發(fā)布

實(shí)施廈門(mén)市市場(chǎng)監(jiān)督管理局 發(fā)

布DB3502/T

—2024前言

.................................................................................

II1

...............................................................................

12 規(guī)范性引用文件

.....................................................................

13 術(shù)語(yǔ)和定義

.........................................................................

14 總體要求

...........................................................................

25 數(shù)據(jù)分類(lèi)

...........................................................................

26 前端安防物聯(lián)感知設(shè)備安全

...........................................................

27

.............................................................

38 網(wǎng)絡(luò)安全

...........................................................................

59 系統(tǒng)安全

...........................................................................

610 平臺(tái)環(huán)境安全

......................................................................

711 運(yùn)維安全

..........................................................................

812 管理制度

..........................................................................

8參考文獻(xiàn)

..............................................................................

9DB3502/T

—2024 本文件按照GB/T

1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則

第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由廈門(mén)市安全技術(shù)防范協(xié)會(huì)提出。本文件由廈門(mén)市公安局歸口。衛(wèi)星定位應(yīng)用股份有限公司。福、陳平、周理宇。IIDB3502/T

—2024 1范圍本文件規(guī)定了智慧安防小區(qū)前端安防物聯(lián)感知設(shè)備及服務(wù)平臺(tái)的數(shù)據(jù)分類(lèi)、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、平臺(tái)環(huán)境安全、運(yùn)維安全以及管理制度等要求。本文件適用于規(guī)范廈門(mén)市智慧安防小區(qū)前端安防物聯(lián)感知設(shè)備及服務(wù)平臺(tái)的安全管理工作，其它類(lèi)型住宅可參照使用。2規(guī)范性引用文件文件。GB/T

22239—2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB

35114 公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求GB/T

36951 信息安全技術(shù)

物聯(lián)網(wǎng)感知終端應(yīng)用安全技術(shù)要求GB

50348 安全防范工程技術(shù)標(biāo)準(zhǔn)GA/T

公安視頻圖像信息應(yīng)用系統(tǒng) 第4部分：接口協(xié)議要求GA/T

1781 公共安全社會(huì)視頻資源安全聯(lián)網(wǎng)設(shè)備技術(shù)要求3 術(shù)語(yǔ)和定義GA/T

界定的以及下列術(shù)語(yǔ)和定義適用于本文件。智慧安防小區(qū)

smart

security

area防范、實(shí)體防范、技術(shù)防范相結(jié)合原則，具備治安管理要素感知功能的住宅小區(qū)。前端安防物聯(lián)感知設(shè)備

security

sensing

出入口控制、停車(chē)庫(kù)(場(chǎng))安全管理、門(mén)禁、電子巡查、樓寓對(duì)講、融合對(duì)講、周界防護(hù)等設(shè)備。智慧安防小區(qū)服務(wù)平臺(tái)

security

community

service

platform智慧安防小區(qū)前端安防物聯(lián)感知數(shù)據(jù)管理平臺(tái)，通過(guò)前端安防物聯(lián)感知設(shè)備采集數(shù)據(jù),技術(shù)進(jìn)行分析處理,為小區(qū)提供安防預(yù)警、事件處置、服務(wù)優(yōu)化等智能化安防管理的服務(wù)平臺(tái)。DB3502/T

—20244 總體要求物業(yè)使用人的個(gè)人信息。5 數(shù)據(jù)分類(lèi)智慧安防小區(qū)安防數(shù)據(jù)按照數(shù)據(jù)內(nèi)容可分為感知數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)和其他數(shù)據(jù)，其中：——(場(chǎng))周界防護(hù)等相關(guān)數(shù)據(jù)；——據(jù)等；——其他數(shù)據(jù)：智慧安防小區(qū)能提供的其他類(lèi)型數(shù)據(jù)。6 前端安防物聯(lián)感知設(shè)備安全設(shè)備訪問(wèn)控制設(shè)備訪問(wèn)控制應(yīng)符合以下要求：——號(hào)的權(quán)限分離，支持采用專(zhuān)用工具集中統(tǒng)一設(shè)置管理賬號(hào)口令；——支持銷(xiāo)毀或停用多余的、過(guò)期的賬號(hào)，禁止共享賬號(hào)；——份連續(xù)鑒別失敗

5

次后應(yīng)鎖定該訪問(wèn)賬號(hào)不低于

分鐘；——只接收特定

IP

地址的訪問(wèn)，禁止非授權(quán)用戶訪問(wèn)操作系統(tǒng)的系統(tǒng)文件及對(duì)前端設(shè)備上的軟件進(jìn)行配置或變更；——支持?jǐn)?shù)據(jù)權(quán)限控制，防止訪問(wèn)非授權(quán)數(shù)據(jù)，訪問(wèn)控制的粒度至少包括

等屬性；——新建及改造小區(qū)的公共安全視頻類(lèi)設(shè)備應(yīng)采用基于

GB

35114

——支持設(shè)置最大會(huì)話數(shù)量；——支持日志導(dǎo)出。前端數(shù)據(jù)安全前端設(shè)備宜具備防篡改和數(shù)據(jù)加密功能，其中數(shù)據(jù)加密應(yīng)采用國(guó)家密碼主管部門(mén)批準(zhǔn)的密碼算法，前端視頻類(lèi)設(shè)備宜符合GB

35114中B級(jí)及以上的設(shè)備要求。DB3502/T

—2024設(shè)備本體安全前端安防物聯(lián)感知設(shè)備應(yīng)牢固可靠并符合以下要求：——

GB/T

36951

中的相關(guān)要求，——安裝工藝應(yīng)符合

GB

50348

中的相關(guān)要求。固件安全前端安防物聯(lián)感知設(shè)備應(yīng)確保固件安全，具體要求如下：——應(yīng)選擇經(jīng)廠家或權(quán)威機(jī)構(gòu)測(cè)試的穩(wěn)定安全可靠的固件；——固件升級(jí)應(yīng)經(jīng)過(guò)授權(quán)，并符合相關(guān)安全策略；——設(shè)備應(yīng)支持固件備份及版本回退。運(yùn)行安全監(jiān)測(cè)運(yùn)行安全監(jiān)測(cè)具體要求如下：——前端安防物聯(lián)感知設(shè)備宜具備上傳設(shè)備在線運(yùn)行狀態(tài)功能；——前端安防物聯(lián)感知設(shè)備宜具備監(jiān)測(cè)設(shè)備異常的檢測(cè)手段,部件被破壞等異常；——告警信息應(yīng)實(shí)時(shí)上傳至智慧安防小區(qū)服務(wù)平臺(tái)，并由專(zhuān)人復(fù)核處置。設(shè)備日志安全前端設(shè)備應(yīng)具備日志功能，具體要求如下：——定、運(yùn)行狀態(tài)、用戶修改操作等事件類(lèi)型以及源

地址、目標(biāo)

IP

地址、用戶等信息；——應(yīng)支持日志斷電、離線保存，日志保存時(shí)間不低于

6

個(gè)月，日志應(yīng)支持導(dǎo)出或以

式上傳至智慧安防小區(qū)服務(wù)平臺(tái)。7 數(shù)據(jù)全生命周期安全防護(hù)數(shù)據(jù)采集安全數(shù)據(jù)采集安全具體要求如下：——視頻數(shù)據(jù)采集宜符合

GB

35114

中

B

級(jí)及以上的相關(guān)要求，能夠通過(guò)數(shù)據(jù)簽名驗(yàn)簽，實(shí)現(xiàn)視頻傳輸?shù)耐暾裕弧猄SL/TSL

傳輸協(xié)議等方式保障數(shù)據(jù)采集的安全性和完整性；——數(shù)據(jù)采集應(yīng)支持定位溯源；——數(shù)據(jù)采集過(guò)程宜支持安全審計(jì)及監(jiān)測(cè)。數(shù)據(jù)傳輸安全數(shù)據(jù)傳輸安全具體要求如下：——數(shù)據(jù)傳輸通道應(yīng)具有抗電磁干擾、防破壞、防竊取的適宜措施；——網(wǎng)傳輸視圖數(shù)據(jù)宜符合

35114

中

B

GA/T

1781

的相關(guān)要求；DB3502/T

—2024——數(shù)據(jù)傳輸應(yīng)具有時(shí)間戳、序列號(hào)等數(shù)據(jù)傳輸新鮮性保護(hù)能力。數(shù)據(jù)存儲(chǔ)安全數(shù)據(jù)存儲(chǔ)安全具體要求如下：——智慧安防小區(qū)服務(wù)平臺(tái)的存儲(chǔ)介質(zhì)應(yīng)為掉電不易失存的介質(zhì)，宜選用國(guó)產(chǎn)化存儲(chǔ)介質(zhì)；——掉電保護(hù)；——數(shù)據(jù)存儲(chǔ)設(shè)備遭受損壞后，宜能恢復(fù)系統(tǒng)并保證數(shù)據(jù)不丟失；——應(yīng)采用國(guó)家密碼主管部門(mén)批準(zhǔn)的密碼算法對(duì)數(shù)據(jù)的存儲(chǔ)進(jìn)行加解密，應(yīng)采用校驗(yàn)技術(shù)或密碼誤時(shí)宜具有恢復(fù)措施；——數(shù)據(jù)存儲(chǔ)時(shí)長(zhǎng)不低于

30

數(shù)據(jù)使用安全7.4.1 在線安全使用數(shù)據(jù)在線使用具體要求如下：——使用，不得下載；——7.4.2 離線安全使用數(shù)據(jù)離線使用具體要求如下：——頻等數(shù)據(jù)到本地；——禁止存儲(chǔ)到其他磁盤(pán)；——器或者其他軟件，不能訪問(wèn)音視頻等數(shù)據(jù)；——合法授權(quán)的播放器軟件訪問(wèn)采用安全技術(shù)或服務(wù)存儲(chǔ)的音視頻等數(shù)據(jù)時(shí)，可通過(guò)水印保護(hù)音視頻等數(shù)據(jù)安全，對(duì)截錄屏的違規(guī)行為進(jìn)行追溯；——加密或者安全外發(fā)對(duì)拷出的音視頻等數(shù)據(jù)進(jìn)行進(jìn)一步的保護(hù)；——非法定授權(quán)單位和個(gè)人不得下載音視頻等數(shù)據(jù)。7.4.3 數(shù)據(jù)安全審計(jì)儲(chǔ)、訪問(wèn)、下載、使用過(guò)程采取監(jiān)控措施，記錄日志，時(shí)長(zhǎng)不少于6個(gè)月，具體要求如下：——應(yīng)提供統(tǒng)一的日志安全審計(jì)系統(tǒng)；——應(yīng)全部啟用安全相關(guān)的日志記錄功能；——針對(duì)賬戶管理、登錄事件、系統(tǒng)事件、策略更改、賬戶登錄事件的成功/失敗開(kāi)啟審計(jì)。DB3502/T

—2024數(shù)據(jù)銷(xiāo)毀安全數(shù)據(jù)銷(xiāo)毀應(yīng)符合以下要求：——止運(yùn)營(yíng)、用戶賬戶注銷(xiāo)、用戶申請(qǐng)數(shù)據(jù)銷(xiāo)毀等場(chǎng)景的數(shù)據(jù)銷(xiāo)毀安全操作規(guī)程；——應(yīng)建立物理銷(xiāo)毀和邏輯銷(xiāo)毀的數(shù)據(jù)銷(xiāo)毀方法和技術(shù)，明確不同類(lèi)別和級(jí)別的數(shù)據(jù)銷(xiāo)毀方式和技術(shù)要求；——再必要的數(shù)據(jù)，包括數(shù)據(jù)處理過(guò)程中備份數(shù)據(jù)、衍生數(shù)據(jù)及操作日志數(shù)據(jù)等；——?dú)嚓P(guān)的數(shù)據(jù)及其衍生的各種副本數(shù)據(jù)；——應(yīng)建立數(shù)據(jù)銷(xiāo)毀效果評(píng)估和復(fù)核機(jī)制，檢查已被銷(xiāo)毀的數(shù)據(jù)是否還能訪問(wèn)；——使個(gè)人信息及相關(guān)數(shù)據(jù)不可訪問(wèn)或不可重標(biāo)識(shí)；——存儲(chǔ)數(shù)據(jù)介質(zhì)如需銷(xiāo)毀，應(yīng)確保信息無(wú)法還原。8網(wǎng)絡(luò)安全組網(wǎng)類(lèi)型前端安防物聯(lián)感知設(shè)備與智慧安防小區(qū)服務(wù)平臺(tái)之間的組網(wǎng)類(lèi)型分為兩種，分別為互聯(lián)網(wǎng)組網(wǎng)以及智能專(zhuān)網(wǎng)組網(wǎng)，其中：——互聯(lián)網(wǎng)組網(wǎng)：應(yīng)符合

GB/T

22239—2019

中第二級(jí)以上安全要求，前端安防物聯(lián)感知設(shè)備通過(guò)互聯(lián)網(wǎng)接入智慧安防小區(qū)服務(wù)平臺(tái)；——智能專(zhuān)網(wǎng)組網(wǎng)：應(yīng)符合

22239—2019

中第一級(jí)以上安全要求，前端安防物聯(lián)感知設(shè)備通過(guò)自建局域網(wǎng)或租用運(yùn)營(yíng)商虛擬專(zhuān)網(wǎng)等方式接入智慧安防小區(qū)服務(wù)平臺(tái)?；ヂ?lián)網(wǎng)組網(wǎng)8.2.1 安全防護(hù)技術(shù)要求安全防護(hù)技術(shù)要求包括但不限于：——層協(xié)議和請(qǐng)求的服務(wù)等，確定是否允許該數(shù)據(jù)包通過(guò)該區(qū)域邊界；——區(qū)域邊界惡意代碼防范：應(yīng)在安全區(qū)域邊界設(shè)置防惡意代碼網(wǎng)關(guān)；——區(qū)域邊界完整性保護(hù)：應(yīng)在區(qū)域邊界設(shè)置探測(cè)器，探測(cè)非法外聯(lián)等行為；——可信驗(yàn)證：應(yīng)基于可信根對(duì)區(qū)域邊界計(jì)算節(jié)點(diǎn)的

、引導(dǎo)程序、操作系統(tǒng)內(nèi)核、區(qū)域邊界審計(jì)記錄。8.2.2 安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求安全通信網(wǎng)絡(luò)設(shè)計(jì)要求包括但不限于：——網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)；DB3502/T

—2024——網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)；——可信連接驗(yàn)證：通信節(jié)點(diǎn)應(yīng)采用具有網(wǎng)絡(luò)可信連接保護(hù)功能的系統(tǒng)軟件或可信根支撐的信息形成審計(jì)記錄。智能專(zhuān)網(wǎng)組網(wǎng)8.3.1安全防護(hù)技術(shù)要求本項(xiàng)要求包括：——層協(xié)議和請(qǐng)求的服務(wù)等，確定是否允許該數(shù)據(jù)包通過(guò)該區(qū)域邊界；——防止惡意代碼入侵；——可信驗(yàn)證：應(yīng)基于可信根對(duì)區(qū)域邊界計(jì)算節(jié)點(diǎn)的

、引導(dǎo)程序、操作系統(tǒng)內(nèi)核等進(jìn)行可信驗(yàn)證，并在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警。8.3.2 安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求本項(xiàng)要求包括：——網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)；——可信連接驗(yàn)證：通信節(jié)點(diǎn)應(yīng)采用具有網(wǎng)絡(luò)可信連接保護(hù)功能的系統(tǒng)軟件或可信根支撐的信息技術(shù)產(chǎn)品，在設(shè)備連接網(wǎng)絡(luò)時(shí)，對(duì)源和目標(biāo)平臺(tái)身份進(jìn)行可信驗(yàn)證。9 系統(tǒng)安全身份鑒別本項(xiàng)要求包括：——定期更換；——退出等相關(guān)措施。訪問(wèn)控制本項(xiàng)要求包括：——應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限；——應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令；——應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶，避免共享賬戶的存在；————經(jīng)過(guò)安全授權(quán)的終端，可以訪問(wèn)服務(wù)平臺(tái)；——未經(jīng)安全授權(quán)的終端，禁止訪問(wèn)服務(wù)平臺(tái)；——用戶訪問(wèn)服務(wù)平臺(tái)時(shí)，根據(jù)用戶的不同安全級(jí)別，訪問(wèn)相應(yīng)數(shù)據(jù)。DB3502/T

—2024入侵防范本項(xiàng)要求包括：——應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序；——應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；——應(yīng)定期進(jìn)行安全隱患排查，對(duì)中高危漏洞及時(shí)進(jìn)行修復(fù)。惡意代碼防范應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件，并定期進(jìn)行升級(jí)和更新防惡意代碼庫(kù)?？尚膨?yàn)證壞后進(jìn)行報(bào)警。10平臺(tái)環(huán)境安全物理訪問(wèn)控制所人員。防破壞應(yīng)采用標(biāo)準(zhǔn)機(jī)柜對(duì)設(shè)備或主要部件進(jìn)行固定，并對(duì)設(shè)備用途及使用禁忌設(shè)置顯著標(biāo)識(shí),防蟲(chóng)措施。防雷擊符合防雷相關(guān)要求。防火主要設(shè)備安裝場(chǎng)所禁止堆放易燃易爆品及其他雜物，應(yīng)配備滅火器材，宜配備煙感探測(cè)。防水墻壁滲透，并在暴雨等惡劣天氣做好防澇措施。溫濕度控制應(yīng)配備必要的溫濕度顯示及調(diào)節(jié)設(shè)施，使場(chǎng)所溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。電力供應(yīng)應(yīng)采用穩(wěn)定可靠的供電線路，應(yīng)為主要設(shè)備配備，UPS供電時(shí)長(zhǎng)宜不低于2小時(shí)。DB3502/T

—202411 運(yùn)維安全運(yùn)維工作開(kāi)展應(yīng)滿足以下要求：——應(yīng)委托具備相應(yīng)運(yùn)維能力的公司進(jìn)行運(yùn)維，簽訂保密協(xié)議。運(yùn)維公司應(yīng)安排具備相應(yīng)技能的人員開(kāi)展運(yùn)維工作，運(yùn)維人員應(yīng)按照安全策略、規(guī)程和工具開(kāi)展運(yùn)維；——運(yùn)維工作前，應(yīng)對(duì)運(yùn)維人員身份進(jìn)行登記核實(shí)；——運(yùn)維過(guò)程中，應(yīng)安排利益無(wú)相關(guān)人員全程陪同，嚴(yán)禁運(yùn)維人員擅自拷貝、修改、刪除設(shè)備中存儲(chǔ)的信息；需要將設(shè)備帶離現(xiàn)場(chǎng)維修時(shí)，需經(jīng)書(shū)面同意后安全拆除并妥善保管；存儲(chǔ)部件出現(xiàn)故障，如不能保證信息安全，應(yīng)由具有數(shù)據(jù)恢復(fù)資質(zhì)的單位進(jìn)行處理后再進(jìn)行維修；——運(yùn)維結(jié)束后，應(yīng)對(duì)運(yùn)維過(guò)程進(jìn)行記錄，記錄中應(yīng)包括維護(hù)日期、維護(hù)內(nèi)容、進(jìn)入及離開(kāi)時(shí)間、運(yùn)維人員（簽名）、陪同人員（簽名）等信息。12 管理制度應(yīng)建立服務(wù)平臺(tái)使用、運(yùn)行、維護(hù)管理制度，包括但不限于以下要求：——小區(qū)物業(yè)日常管理工作和治安防控工作，嚴(yán)禁將涉及小區(qū)住戶相關(guān)隱私信息數(shù)據(jù)私自保留或用于其他用途；——物業(yè)服務(wù)企業(yè)或者其他管理人、系統(tǒng)承建廠商和任何個(gè)人不得私自留存智慧安防小區(qū)系統(tǒng)所采集的各類(lèi)信