5.1.3.1资产识别

YD/T3492—2019

本项应满足如下要求： a）应具备实时掌握合法接入系统中的视频监控设备在线连接数量的能力： b）应具备对合法接入系统中的视频监控设备进行品牌、型号和设备类型等信息进行识别的能力， 资产设备类型详见表A.1。

5.1.4应用和数据安全

水利水电标准规范范本5.1.4.1数据保密性

5.2.1安全维护管理

5.2.1.1监控室访问管理

居的加密宜采用SIP所支持的安全协议进行处理，

本项应满足如下要求： a）应设置监控室出入的人员身份验证机制，由专人开设账号、分配权限，并登记备案； b）应根据“最小够用”原则为监控室中不同工作人员划分不同的权限，并建立监控室访问控制机 制，针对不同权限的工作人员，其对视频监控设备的访问、控制、存储、回放和删除的权限区 分不同； c）应建立监控画面调取审批流程，确保监控画面的调取是受控的： d）应建立外部人员物理访问监控室审批流程，确保在外部人员物理访问监控室前先提出书面申请 批准后由专人全程陪同，并登记备案； 重要行业或敏感部门的视频监控系统监控室不允许外部人员访问。

5.2.2安全建设管理

5.2.2.1资产管理

本项应满足如下要求： a）应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容； b）应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施： c）应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。 d）宜禁用闲置的通信端口：

YD/T 34922019

e 设备生产商在设计实现时，不得设置未明示用户的私有端口或后门端口 应设置网络访问控制策略，限制对前端采集设备的网络访问。 g 应具备实时掌握设备开放的端口、服务的能力； 五 应具备对网络摄像机等设备具有风险的端口和服务进行识别的能力。 1 应具备对NVR、DVR等设备的设备属性进行识别的能力，设备属性包括设备的品牌、型号 设备类型、IP地址、端口、服务、所属部门等信息，

5.2.2.2漏洞和风险管理

本项应满足如下要求： a 应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞，具体漏洞类型详见表 A.2； b） 应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题； c）应定期对系统进行漏洞评测，并形成报告； d）应采取必要的措施验证安全漏洞和隐惠，对发现的安全漏洞和隐惠及时进行修补

5.2.2.3密码管理

视频监控系统的口令应符合《智能联网设备口令保护指南》的要求，不存在弱口令、空口令或 令等。

6视频监控系统各层功能安全技术要求

6.1前端采集层安全要求

6.1.1网络和通信安全

6.1.1.1通信传输

网络摄像机等前端采集设备在使用RTSP等传输协议时，应设置身份认证机制，避免出现空 口令等问题。

6.1.1.2边界防护

采集设备与上层业务系统之间应支持动态密钥协

6.1.1.3接入安全

6.1.2设备和计算安全

6.1.2.1访问控制

本项应满足如下要求： a）开放端口应具有管理配置功能，端口应可以由用户自主选择开放或关闭：

YD/T3492—2019

b）设备初始应以最小功能集配置 需要而必须端口开放外，其他服务端口应保持关闭 c）应具备实时掌握设备开放的端口、服务的能力 d）应具备对网络摄像机等设备具有风险的端口和服务进行识别的能力

6.1.2.2安全审计

系统应具备实时掌握网络摄像机等前端采集设备在线连接数量的能力。

6.1.2.3入侵防范

本项应满足如下要求： a）对于重要行业或敏感部门，其关键网络摄像机等前端设备应具有终端入侵检测的能力； b）应具备对设备存在的安全漏洞进行扫描发现的能力； c）应具备对设备存在的安全漏洞进行漏洞验证的能力。

6.1.2.4恶意代码防范

6.1.3应用和数据安全

6.1.3.1身份鉴别

6.1.3.2数据完整性

本项应满足如下要求： a） 应对重要数据传输提供专用通信协议或安全通信协议，避免来自基于通用通信协议的攻击破坏 数据完整性； b 网络摄像机等前端设备的Web登录组件，保证登录信息等敏感数据的安全性。例如采用IPSec、 TLS等相关安全技术。

6.2 传输层安全要求

6.2.1网络和通信安全

6.2.1.1通信传输

本项应满足如下要求： a）网络层应支持IP，传输层应支持TCP和UDP； b）视音频在基于IP的网络上传输时，应支持RTP/RTCP，数据封装格式应满足GB/T28181中的 安全要求。

6.2.1.2边界防护

宜使用防火墙来提高网络通信和传输的安全性

YD/T 34922019

6.2.1.3入侵防范

项应满足如下要求。 使用入侵检测系统来提高网络通信和传输的安全

6.2.1.4恶意代码防范

6.2.1.5安全审计

日描等相关安全设备来提高网络通信和传输的安

宜使用安全审计工具来对传输过程中的用户、设备和系统中的活动、信息和事件进的真实性、 和有效性进行审查和评价

6.2.2设备和计算安全

6.2.2.1身份鉴别

本项应满足如下要求。 应保证传输设备的独立身份鉴别机制，登录密码等应与其他层设备的登录密码不同。

设备的独立身份鉴别机制，登录密码等应与其他层设备的登录密码不同。

6.2.3应用和数据安全

6.2.3.1数据完整性

系统应通过技术手段保证传输信息的完整性，应考虑轻量级设备的处理能力，保障可用性

6.2.3.2数据保密性

技术手段保证传输信息的保密性，应考虑轻量级设备的处理能力，保障可用性。 全西

6.3.1网络和通信安全

6.3.1.1通信传输

NVR、DVR等设备在使用RTSP等传输协议时，应设置身份认证机制，避免出现空口令、弱口令 等问题。

6.3.1.2边界防护

VVR、DVR等设备与上层业务系统之间支持动态密钥协商功能

6.3.1.3访问控制

应具备对NVR、DVR等设备开放的端口及其对应的服务进行识别的能力，对于非法开放的端口和 服务进行识别的能力。

6.3.2.2访问控制

YD/T3492—2019

设备生产商在设计实现时，NVR、DVR等设备不得使用未设置身份认证的私有端口或后门端

6.3.3应用和数据安全

6.3.3.1身份鉴别

本项应满足如下要求： a）在同一网络中的NVR、DVR等设备，要求登录每个设备的密码不得使用同一个密码； b）NVR、DVR等设备的Web登录组件，保证身份鉴别等敏感数据的安全性。

6.4.1网络和通信安全

6.4.1.1网络架构

本项应满足如下要求： a）根据管控范围中设备数量规模的大小，应采用管理服务器、管理主机或纯软件等统一管理平台： b）支持实时向指定设备、指定通道发送控制信息，如球机／云台控制、录像控制、报警设备的布 防／撤防等，实现对设备的各种动作进行遥控； c）应支持按照指定设备、指定通道进行图像的实时点播，支持多用户对同一图像资源的同时点播： 宜支持监控点与监控中心之问、监控中心与监控中心之问的语音实时点播或语音双向对讲。

6.4.1.2通信传输

本项应满足如下要求： a）应在通信前基于密码技术对通信的双方进行验证或认证； b）应采用加解密技术保证通信过程中控制指令、管理信息等敏感信息字段的保密性； 管理和控制设备作为统一管理平台时，应部署符合国家标准规定的相关协议，负责设备之间接 入、传输、交换和控制的功能，对高安全等级要求的平台，不得开启和使用ONVIF、PSIA及 其他接入协议。

6.4.1.3无线使用控制

系统应限制管理服务器、管理主机等无线网络功能模块的使用，如特殊需要使用无线网络接入内部 网络的，应采用受控的边界防护设备。

6.4.1.4访问控制

应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口 拒绝所有通信

YD/T 34922019

6.4.1.5入侵防范

管理服务器、管理主机上部署入侵监测、防护和

6.4.1.6 安全审讯

照GB/T20271中4.2.4的要求，支持对审计功能

6.4.2设备和计算安全

6.4.2.1身份鉴别

本项应满足如下要求： a）应具备对控制信令进行检查和过滤等审查机制，确保只允许符合格式要求的控制信令数据 b）应具备对控制指令中不符合格式的数据或违规的操作等进行发现、报警和阻断的能力。

系统管理和控制的服务器、主机等设备上，应使用入侵防范软件保证系统的安全性，并 征。

6.4.2.3恶意代码防护

6.4.2.4资源控制

本项应满足如下要求： a）在使用SNMP对设备进行管理和控制时，应配置身份认证机制； b）对于重要行业或敏感部门，不得配置和使用SNMPv1/v2协议对设备进行管理和控制；如需使 用SNMP协议应使用SNMPv3版本。 e）对于重要行业或敏感部门，应具备自动化采集安全基线配置信息的能力或工具

6.4.3应用和数据安全

6.4.3.1数据保密性

6.4.3.2数据备份恢复

应提供重要数据的本地数据备份与恢复功能。

.5.1网络和通信安全

6.5.1.1接入安全

显示和访问终端与其接入网络间应进行双向认证，双方至少支持身份鉴别机制

6.5.1.2访问控制

显示和访问终端应具有访问控制能力。

6.5.1.3恶意代码防范

有操作系统的显示和访问终端应具有恶意代码防

6.5.2应用和数据安全

6.5.2.1个人信息保护

本项应满足如下要求： a）应仅采集和保存业务必需的用户信息； b）应禁止未授权访问和使用用户信息

YD/T3492—2019

YD/T 34922019

门窗标准规范范本附录A （资料性附录） 视频监控系统设备类型 本标准中提到的视频监控系统各层设备类型见表A.1中分类

YD/T3492—2019

表A.1设备类型（续）

服务质量标准本标准中提到的视频监控系统漏洞见表A.2中分类。

表A.2视频监控系统漏洞类型编码

表A.2视频监控系统漏洞类型编码（续）