ICS 35.240.99 CCS L67 备案号： 黑 龙 23 江 省 地 方 标 准 DB 23/T 2847—2021 公共视频监控系统安全防护规范 2021 – 04 – 13 发布 2021 – 05 – 12 实施 黑 龙 江 省 市 场 监 督 管 理 局   发 布 DB23/T 2847—2021 目  次 前  言............................................................................................................................................................. II 1 范围................................................................................................................................................................. 1 2 规范性引用文件............................................................................................................................................. 1 3 术语和定义..................................................................................................................................................... 1 4 缩略语............................................................................................................................................................. 2 5 公共视频监控系统安全防护体系.................................................................................................................2 6 等级保护合规要求......................................................................................................................................... 3 7 视频采集设备接入区安全防护要求.............................................................................................................3 8 系统应用区安全防护要求............................................................................................................................. 3 9 边界接入区安全防护要求............................................................................................................................. 5 10 日常维护与应急管理要求........................................................................................................................... 7 参 考 文 献................................................................................................................................................... 8 I DB23/T 2847—2021 前  言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件由黑龙江省广播电视局提出并归口。 本文件起草单位：黑龙江广播电视网络股份有限公司、嘉利通科技股份有限公司、北京启明星辰信 息安全技术有限公司、新华三技术有限公司、杭州迪普科技股份有限公司、哈尔滨市标准化研究院、黑 龙江省智慧城市建设协会。 本文件主要起草人：郑皓仁、李博、姚贺晨、陈文貌、石冬青、余鹏飞、韩玲、李刚、赵玉明、张 庆、宋伟、岳海滨、王振宇、刘勇、张劲男。 II DB23/T 2847—2021 公共视频监控系统安全防护规范 1 范围 本文件规定了公共视频监控系统安全防护的术语和定义、缩略语、公共视频监控系统安全防护体系、 等级保护合规要求、视频采集设备接入区安全防护要求、系统应用区安全防护要求、边界接入区安全防 护要求和日常维护与应急管理要求。 本文件适用于黑龙江省区域内新建、扩建、改建的接入数据采集设备大于500路的公共视频监控系 统建设。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 28181—2016 安全防范视频监控联网系统信息传输、交换、控制技术要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 802.1X认证 IEEE802.1X定义的基于以太网端口进行网络接入控制的认证协议，以太网设备对连接到接入端口上 的用户/设备身份进行认证（本地认证或发给认证服务器远程认证）。 3.2 MAC认证 基于以太网端口和MAC地址进行网络接入控制的认证方法，以太网设备对连接到接入端口上的设备 MAC地址进行认证（本地认证或发给认证服务器远程认证）。 3.3 全生命周期 设备入网、在网（上线、在线、下线、离线）、退网的整个过程。 3.4 设备 直连入网的所有各类设备，包括物理设备（PC终端、哑终端、服务器、网络设备、安全设备等）和 虚拟设备（虚拟机、虚拟桌面等）。 3.5 证书 1 DB23/T 2847—2021 用来标识用户或设备身份信息的数字证书，通常由证书服务器颁发给用户或设备。 4 缩略语 下列缩略语适用于本文件。 4A：认证、授权、账号、审计（Authentication、Authorization、Account、Audit） DDoS：分布式拒绝服务攻击（Distributed denial of service attack） FTP：文件传输协议（File Transfer Protocol） HTTP：超文本传输协议（HyperText Transfer Protocol） NETBIOS：网上基本输入输出系统（Network Basic Input/Output System） ODBC：开放数据库连接（Open Database Connectivity） POP3：邮件协议版本3（Post Office Protocol - Version 3） SMTP：简单邮件传输协议（Simple Mail Transfer Protocol） SNMP：简单网络管理协议（Simple Network Management Protocol） SQL：结构化查询语言（Structured Query Language） SYSLOG：系统记录（System Log） XSS：跨站脚本攻击（Cross Site Script Attack） 5 公共视频监控系统安全防护体系 公共视频监控系统安全防护体系整体应符合国家信息安全等级保护要求，应建立视频采集设备接入 安全、应用区安全、边界接入安全三大单元，同时应具备完善的日常维护与应急管理机制。安全防护体 系架构示意图见图1。 等级保护合规要求 系统应用区安全防护 边界接入区安全防护 数据传输链路 网络安全防护 威胁检测 视频传输链路 会话监控 数据库审计 恶意代码查杀 脆弱性管理 访问控制 视频采集设备接入区 安全防护 预警平台 资产管理 准入控制 数据加密及数 据完整性 性能监控 日志管理 数据管控 安全域隔离 运维管控 安全监控 日常维护与应急管理 备份与故障恢复 应急处理 图1 安全防护体系架构示意图 2 DB23/T 2847—2021 6 等级保护合规要求 公共视频监控系统应参照信息安全技术网络安全等级保护中二级或以上标准进行建设。 7 视频采集设备接入区安全防护要求 7.1 预警平台 应建立能够分区部署与管理的视频采集设备接入监管及风险预警平台，实现对资产的现状、资产的 类型、数量、分布情况、摄像机在线率等的实时监管。对视频采集设备能够进行合规检查，检查项包括 弱口令检查、设备仿冒、入侵行为甄别，并可以实时告警。 7.2 资产管理 7.2.1 应通过主动扫描、被动监听、手工设置等方式采集视频监控设备的属性信息，建立有效合法的 设备资产库。采集信息包括但不限于 IP 地址、MAC 地址、设备厂商、设备类型等。 7.2.2 应具有一机一档功能，能通过一机一档属性对终端进行认证。对一机一档属性配置不匹配的终 端，进行阻断和告警提示。 7.3 准入控制 7.3.1 应采用基于设备的 IP 地址、MAC 地址、设备指纹、视频协议中的一种或多种进行资产信息校验， 针对未校验通过的设备，实时生成告警信息。 7.3.2 应采用物理硬件设备进行串行部署或旁挂引流部署。 7.3.3 准入控制功能的建设应具备弹性扩展能力，可根据视频采集设备建设进行准入能力的扩充。 7.4 数据管控 7.4.1 应按 GB/T 28181-2016 的规定执行，能够自动识别主流监控厂家的私有协议特征库，并支持手 动扩展非