《公共安全视频监控联网信息安全技术要求》国家标准GB35114简介
2018年11月1日,中华人民共和国公安部提出GB35114《公共安全视频监控联网信息安全技术要求》国家标准。标准明确了公共安全视频监控联网信息安全系统的互联结构、证书和秘匙要求、基本功能要求、性能要求等四项要求。全文概览如下:
本文尝试解读GB35114标准,并整理出《公共安全视频监控联网信息安全技术要求》六项要点,同时结合安恒视频监控网络安全解决方案的五项优势,方便大家更好地熟悉标准要点,为视频监控安全建设提供参考。
标准六项要点整理如下:
要点一:互联结构要求
标准明确要求了公共安全视频监控联网信息安全系统互联结构,联网方式互联与级联两种系统级联方式。同时,系统应该由具有安全功能的前端设备、具有安全功能的用户终端、视频安全秘钥服务系统、视频监控安全管理平台等四部分组成。
系统间联网应由若干个相对独立的系统以信令安全路由网关、具有安全功能的媒体服务器为核心,通过IP传输网络,实现系统间控制信令和媒体信息的传输、交换、控制。(如下图所示)
要点二:前端安全分级
前端设备必须具有基于数字证书的设备身份认证、视频签名、视频加密等信息安全保护功能。用户终端必须具有基于数字证书的用户身份认证、加密视频加密等安全功能。
此外,根据安全保护强弱,将FDWSF(具有安全功能的前端设备)的安全能力分为三个等级,由弱到强分别是A级、B级、C级。
要点三:身份认证要求
标准关于身份认证要求包含用户身份认证、设备身份认证、管理平台间认证等三方面。
应对所有用户进行身份认证应支持基于数字证书的用户认证;管理平台应对所有接入的FDSWSF进行单向设备身份认证或者双向设备身份认证,对FDWSF的基本信息、属性信息以及DI、密码模块ID与设备证书的对应关系作管理;管理平台互联网互通时应进行管理平台间的双向身份认证。
要点四:授权访问控制
标准要求:管理平台应采用基于属性或基于角色的访问控制模型对用户进行授权管理和访问控制。在系统中访问加密视频信息的用户是经过基于数字证书认证的用户;当跨域访问时,应采用信令携带的用户身份信息进行访问控制。
要点五:数据安全加密
加密作为前端设备必须具备的基本能力,管理平台应支持视频及音频加密数据的传输,支持在权限范围内对实时加密视音频的视音频播放、回放等操作,视频导出时管理平台应更换视频秘钥加密秘钥。
要点六:统一安全管理
公共安全视频监控需具有统一的视频监控安全管理平台,由具有安全功能的中心信令控制服务器、具有安全功能的媒体服务器、信令安全路由网关等功能实体组成。
同时,视频监控管理平台应具备用户身份认证、设备身份认证、秘钥管理、权限管理、签名验签、加密解密、访问控制、审计、加密视频数据管理、视频数据源抗抵赖,控制信令的完整性验证。