2019年5月13日下午,国家标准新闻发布会上,网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式发布,实施时间为2019年12月1日。随着等保2.0的正式发布,新等保如何在公共安全视频监控网络落地受到广泛地关注。迪普科技作为公共安全视频监控网络安全领域影响力及市场规模均第一的领导者,和大家一起解读等保2.0下的公共安全视频监控网络合规建设要求及分享建设方案。
▌ 安全问题困扰公共安全视频监控网络,实行等级保护势在必行
近年来,随着平安城市、天网工程、雪亮工程、电子警察、智能交通等项目的广泛建设,公共安全视频监控网络步入大物联网时代。数千万台的视频监控设备及其他物联网终端建设,成为助力平安中国建设的基础性工程。
按照《中华人民共和国网络安全法》相关规定以及国家发改委联合九部委发布的《关于加强公共安全视频监控建设联网应用工作的若干意见》(发改高技[2015]996号)要求,到2020年,基本实现“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频监控建设联网应用。在这样的政策及背景下,公共安全视频监控网络正在逐步实现视频监控资源的“全域覆盖、全网共享、全时可用”,公共安全视频监控网络将成为国家重要的关键信息基础设施。但是公共安全视频监控网络安全全事件频发,且攻击来源多样、攻击手法复杂、攻击方式隐蔽,不仅对百姓日常生活造成困扰,甚至威胁国家安全及权益,因此“全程可控”目标建设尤为重要,公共安全视频监控网络实行等级保护合规建设势在必行。
▌ 等保2.0结合行标,公共安全视频监控网络的定级要求
公共安全视频监控网络如何按照等保进行定级,需要根据行业要求进行分析。公共安全视频监控行业标准《公共安全视频监控资源接入、共享及管理技术要求》(征求意见稿)第四章总体技术要求中明确提出“公共安全视频传输网和在其上运行的视频监控系统建设应符合国家相关法律法规、标准要求,按照分级、分域防护原则构建总体安全框架,网络安全保障设施应结合实际情况,参照信息系统安全等级保护三级或以上标准进行建设,实现网络综合安全管理。”
依据等级保护定级指南,公共安全视频监控网络定级分析
按照公共安全视频监控网络被保护对象遭受侵害后造成的损害程度,并结合行业相关技术规范要求,公共安全视频监控网络建议应定级为等保三级或以上。
▌ 公共安全视频监控网络等保三级建设技术要求
公共安全视频监控网络按照等保2.0三级要求建设,需在满足安全通用要求的基础上符合物联网安全扩展要求。等保2.0物联网安全扩展要求覆盖安全物理环境、安全区域边界、安全计算环境、安全运维管理4个方向。技术要求部分如下:
安全区域边界
接入控制:
应保证只有授权的感知节点可以接入
入侵防范:
a)应能够限制与感知节点通信的目标地址,以避免对陌生地址的攻击;
b)应能够限制与网关节点通信的目标地址,以避免对陌生地址的攻击行为
安全计算环境
感知节点设备安全:
a)应保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更;
b)应具有对其连接的网关节点设备(包括读卡器)进行身份标识和鉴别的能力;
c)应具有对其连接的其他感知节点设备(包括读卡器)进行身份标识和鉴别的能力。
网关节点设备安全:
a)应具备对合法连接设备(包括终端节点、路由节点、数据处理中心)进行标识和鉴别的能力;
b)应具备过滤非法节点和伪造节点所发送的数据的能力;
c)授权用户应能够在设备使用过程中对关键密钥进行在线更新;
d)授权用户应能够在设备使用过程中对关键配置参数进行在线更新。
抗数据重放:
a)应能够鉴别数据的新鲜行,避免历史数据的重放攻击;
b)应能够鉴别历史数据的非法修改,避免数据的修改重放攻击。
数据融合处理:
应对来自传感网的数据进行数据融合处理,使不同种类的数据可以在同一个平台被使用。
安全运维管理
感知节点管理:
a)应指定人员定期巡视感知节点设备、网关节点设备的部署环境,对可能影响感知节点设备、网关节点设备正常工作的环境异常进行记录和维护;
b)应对感知节点设备、网关节点设备入库、存储、部署、携带、维修、丢失和报废等作出明确规定,并进行全程管理。
▌ 迪普科技公共安全视频监控网解决方案
安全区域边界
接入控制:
网络安全:对接入公共安全视频监控网络的感知节点基于IP、MAC、设备指纹等信息进行身份核验和管理,对违规接入的设备进行告警、阻断;
信息安全:按照GB 35114-2017相关要求对前端设备采取基于数字证书的准入认证措施,应能发现并识别接入视频监控管理平台的未知、违规(与注册信息不符)、仿冒等设备。
入侵防范:
通过物联网安全接入系统,对物联网感知节点、网关节点的通信目标地址进行限制。
安全计算环境
感知节点设备安全:
提取感知节点设备指纹信息,对设备进行准入控制,非法设备未经允许不可入网。
网关节点设备安全:
对合法连接设备的用户进行鉴权,确保仅有已授权的用户可以正常访问设备,未鉴权用户限制访问。
抗数据重放:
通过对公共安全视频监控网络中非法访问、入侵攻击等异常流量的检测能力,对网络中非法恶意行为进行有效识别、告警和处置,实现抗数据重放能力。
数据融合处理:
通过封装数据接口,实现对不同平台数据的融合处理,保障不同种类数据可在同一平台被使用。
安全运维管理
感知节点管理:
支持采集前端接入区中物理设备的属性信息,建立感知节点指纹库(主要包含IP地址、MAC地址、设备类型、厂商、型号、主机名、操作系统等信息),并进行分类统计,对设备发现、设备状态、设备风险指数等进行全程监控,实现对感知节点的统一管理。
迪普科技作为公共安全视频监控行业视频安全技术规范的起草单位,结合多年视频安全领域建设经验,推出全方位视频监控物联网安全解决方案,高度满足等保2.0三级、行业技术规范的相关建设要求,为公共安全视频监控网络构建全方位、立体化的安全管理体系、安全运维体系及安全服务体系。
文章来源:中国网