Este documento estipula los requisitos técnicos generales para la seguridad de los datos y la red de recursos de video públicos, los requisitos de intercambio e intercambio de seguridad entre niveles para los recursos de video públicos del departamento/industria, así como la seguridad de las instalaciones, la seguridad de los límites de la red, la seguridad de las aplicaciones, la seguridad del usuario y la seguridad de la autorización. , seguridad de datos y protección Requisitos técnicos de seguridad para centros de gestión. 1Seguridad de las instalaciones 1.1 Requisitos generales 1.1.1 Requisitos de personal: a) Los administradores de recursos de video públicos son responsables de la gestión de seguridad de las instalaciones relacionadas con los recursos de video públicos; b) Los administradores de recursos de video públicos pueden designar trabajos diarios relevantes de operación y mantenimiento Operación y mantenimiento el personal de servicio deberá cumplir con las disposiciones de T/ZJAF 13.3-2023; c) La construcción de recursos de video públicos y los operadores deberán cumplir con los requisitos relevantes de este capítulo al implementar proyectos de construcción de recursos de video públicos. Asegúrese de que el equipo en línea no tenga alta vulnerabilidades, contraseñas débiles, virus y otros riesgos de seguridad; d) Los usuarios de recursos de video públicos deben cumplir con los requisitos de este documento cuando utilicen instalaciones de recursos de video públicos, y no se les permite realizar conexiones de equipos privados, divulgación ilegal o violaciones tales como retirar instalaciones pertinentes de la sala de ordenadores o de la oficina sin permiso. 1.2 Gestión de directorios: a) Debe poder registrar, descubrir, etiquetar y gestionar los activos del dispositivo. Se debe establecer y actualizar periódicamente un inventario de equipos o una lista de activos de equipos basada en tablas; b) listas de activos de tipos de equipos que no sean cámaras (tales como: servidores de administración, servidores de almacenamiento, grabadoras de video en red, grabadoras de disco duro, conmutadores, equipos de seguridad de red , computadora de oficina) debe incluir el nombre del dispositivo, la categoría del dispositivo, el número del dispositivo, la dirección IPv4/IPv6 del dispositivo, la dirección MAC, la persona a cargo del equipo, el administrador del equipo, el usuario, el nivel de activo; c) Los atributos del equipo de la cámara deben cumplir con Normativa T /ZJAF 13.3-2023. 1.3 Gestión de IP del dispositivo. 1.3.1 Unificar la gestión de los recursos de video públicos de cada departamento, y el administrador de recursos de video públicos es responsable de la planificación de direcciones IP. La planificación de direcciones IP debe cumplir con las siguientes reglas: a) Continuidad: dividir una dirección IP continua para cada unidad según el nivel administrativo y el tipo de negocio; b) Escalabilidad: asignación de direcciones en cada nivel Debe haber un margen para garantizar la continuidad de direcciones cuando se expande la escala de la red; c) Jerarquía: la división de direcciones IP debe cumplir con el estándar CIDR para facilitar la agregación de rutas IP; d) Singularidad: los principales tipos de negocios deben dividirse cuidadosamente en rangos de direcciones IP para Asegúrese de que cada tipo de negocio tenga una dirección IP única correspondiente, lo que facilita su identificación e identificación. 1.3.2 Aplicación, cambio y recuperación de direcciones IP: a) Los departamentos provinciales, municipales, de distrito y de condado en todos los niveles inician la solicitud, el cambio y la recuperación de direcciones IP para los administradores de recursos de video públicos en el mismo nivel, video público Después de la revisión por parte del administrador de recursos, la dirección IP que se configurará, cambiará o reciclará inicialmente se elaborará y organizará para su implementación; b) Los departamentos a nivel provincial, municipal, distrital y de condado estarán inactivos debido a daños al equipo, eliminación, desconexión a largo plazo, etc. direcciones IP, se debe iniciar de inmediato una solicitud de reciclaje de direcciones IP ante el administrador de recursos de video público en el mismo nivel. 1.3.3 Operación y mantenimiento de direcciones IP: a) El inventario periódico del uso de direcciones IP debe realizarse a través de herramientas inteligentes y automatizadas, y el uso de direcciones IP en línea, fuera de línea, no asignadas y no confiables. Se debe dominar la situación y contar periódicamente el número y la lista de dispositivos a los que se les han asignado direcciones IP pero que no han estado en línea durante mucho tiempo; b) Es apropiado mostrar gráficamente el estado de uso de las direcciones IP, como en línea, fuera de línea, no asignado y no confiable, según La vista de red de direcciones IPbusca subredes y marca el uso de direcciones IPde la subred, como el estado reservado y asignado, y cuenta el número y lista de direcciones IP asignadas que han estado fuera de línea durante mucho tiempo. 1.4 Gestión de contraseñas: a) Cuando el dispositivo está conectado, el sistema se conecta y se crea un nuevo usuario, se debe cambiar la contraseña predeterminada o la contraseña inicial. La configuración de la contraseña debe cumplir con los requisitos de complejidad y los diferentes dispositivos. , los sistemas y los usuarios deben usar contraseñas diferentes. Contraseñas, evite el uso de contraseñas unificadas; b) Las contraseñas de las cuentas deben cambiarse periódicamente (trimestralmente) y no se pueden utilizar las contraseñas históricas de las cuentas; c) Se debe garantizar la seguridad de las contraseñas durante el proceso de emisión y transmisión de varias contraseñas de cuentas, y evite el envío de correos electrónicos de terceros o sin protección (texto claro); d) Cuando el dispositivo frontal esté conectado, la autenticación de identidad debe estar habilitada para el inicio de sesión WEB del dispositivo , RTSP y ONVIF, y la contraseña establecida debe cumplir con la complejidad requerida. Otras aplicaciones (SSH, TELNET, SNMP, etc.) deben configurarse de acuerdo con las necesidades de las aplicaciones comerciales. La autenticación de identidad debe estar habilitada y las contraseñas deben establecerse cuando deban habilitarse. Las aplicaciones deben cerrarse cuando no sea necesario; e) Para las necesidades comerciales como el mantenimiento temporal de equipos, la contraseña de la cuenta debe modificarse de manera oportuna después de que se complete el negocio. Después de que cada negocio cambie la unidad de mantenimiento o el personal de mantenimiento, la contraseña de la cuenta del equipo y las aplicaciones relevantes debe modificarse de manera oportuna. 1.5 Gestión de riesgos de equipos: realice periódicamente inspecciones de seguridad en la red pública de transmisión de recursos de vídeo, realice una investigación exhaustiva de los activos de videovigilancia y supervise los equipos en busca de contraseñas débiles, vulnerabilidades, puertos sensibles, conexiones externas ilegales, acceso ilegal y reemplazo ilegal de equipos de front-end y videos anormales Monitorear, inspeccionar, administrar y reparar la señalización y otros contenidos para garantizar el uso seguro de toda la red pública de transmisión de recursos de video. 1.6 Requisitos básicos de seguridad de los equipos: realice periódicamente comprobaciones básicas de seguridad de los equipos de red, equipos de seguridad, sistemas de aplicaciones, sistemas operativos de servidores, bases de datos, middleware, etc. que se ejecutan en la red pública de transmisión de recursos de vídeo, y conozca el estado más reciente del equipo, incluido la cantidad de dispositivos supervivientes, marca del dispositivo, modelo del dispositivo, puertos abiertos, aplicaciones en ejecución y permisos de cuenta, autenticación de identidad, política de contraseñas, control de acceso, auditoría de seguridad, prevención de intrusiones y otras configuraciones de seguridad, y utilizar medios técnicos para administrar y analizar de forma centralizada. y mostrar la información de verificación de configuración. 1.7 Requisitos antivirus: escanee y detecte archivos, procesos y programas importantes en terminales y hosts, descubra rápidamente diversas amenazas de virus, como gusanos, virus, troyanos, códigos maliciosos y comportamientos de propagación de malware, y lleve a cabo eliminaciones y bloqueos efectivos. o aislar y actualizar periódicamente la base de datos de firmas del sistema antivirus. 1.8 Requisitos de prevención de intrusiones: responder a diversos ataques de desbordamiento, ataques RPC, ataques WEBCGI, denegación de servicio, virus troyanos, gusanos, anomalías de red, hosts controlados, ataques de vulnerabilidad del sistema, ataques APT, etc. en recursos de video públicos Redes de transmisión Comportamiento Detección, alarma y prevención de intrusiones. 1.9 Requisitos de mantenimiento de las instalaciones: a) Se deben designar departamentos o personal especializado para el mantenimiento y la gestión regulares de diversos equipos; b) Los equipos con capacidades de procesamiento de información deben aprobarse antes de sacarlos de la sala de computadoras o de la oficina , incluidos los medios de almacenamiento Los datos importantes deben cifrarse cuando el equipo se retira del entorno de trabajo; c) Antes de desechar o reutilizar el equipo que contiene medios de almacenamiento, los datos almacenados en los medios de almacenamiento deben borrarse por completo o sobrescribirse de forma segura para proteger los datos confidenciales. y software autorizado en el equipo. No se puede restaurar ni reutilizar. 1.10Requisitos para reportar daños y desguaces: a) Cada departamento no tiene derecho a reportar daños y desguaces de los activos de equipos. Si realmente es necesario desecharlo, puede completar el formulario de solicitud y devolver los activos del equipo a la unidad o departamento designado para su procesamiento; b) Varios activos del equipo desechado se concentran en el almacén y el equipo de desecho (antiguo). está centralizado por la unidad o departamento designado Procesamiento; c) La unidad o departamento designado debe realizar un inventario de los activos de equipo en el cuarto trimestre de cada año, limpiar cuidadosamente todo el equipo y asegurarse de que las cuentas sean consistentes y las cuentas sean consistentes. ; d) La custodia de los bienes de equipo, su uso indebido o Si los bienes se dañan intencionalmente o por negligencia personal, los interesados serán responsables de compensar total o parcialmente las pérdidas y las responsabilidades administrativas o legales correspondientes. 1.11 Gestión de la seguridad del entorno físico: el entorno físico de los equipos en la red pública de transmisión de recursos de vídeo debe cumplir con los requisitos de seguridad relevantes de segundo nivel en GB/T 22239. 2 Equipo frontal 2.1 Control de acceso al equipo frontal 3 Equipo terminal 3.1 Gestión de seguridad del equipo terminal 4. Seguridad de los límites de la red 4.1 Arquitectura de red compartida 4.2 Arquitectura funcional del sistema de interacción de seguridad fronteriza 5.Sistema de interacción de seguridad fronteriza clasificación del nivel de seguridad 6. Seguridad del desarrollo de aplicaciones 7. Seguridad del usuario 8. Seguridad de la autorización 9. Seguridad de los datos 10. Centro de gestión de seguridad
T/ZJAF 13.7-2023 Historia
2023T/ZJAF 13.7-2023 Recursos de vídeo públicos: Parte 7: Requisitos de seguridad de datos y redes