《公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求》國家標(biāo)準(zhǔn)GB35114簡介

  2018年11月1日，中華人民共和國公安部提出GB35114《公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求》國家標(biāo)準(zhǔn)。標(biāo)準(zhǔn)明確了公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全系統(tǒng)的互聯(lián)結(jié)構(gòu)、證書和秘匙要求、基本功能要求、性能要求等四項要求。全文概覽如下：

本文嘗試解讀GB35114標(biāo)準(zhǔn)，并整理出《公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求》六項要點，同時結(jié)合安恒視頻監(jiān)控網(wǎng)絡(luò)安全解決方案的五項優(yōu)勢，方便大家更好地熟悉標(biāo)準(zhǔn)要點，為視頻監(jiān)控安全建設(shè)提供參考。

標(biāo)準(zhǔn)六項要點整理如下：

要點一：互聯(lián)結(jié)構(gòu)要求

標(biāo)準(zhǔn)明確要求了公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全系統(tǒng)互聯(lián)結(jié)構(gòu)，聯(lián)網(wǎng)方式互聯(lián)與級聯(lián)兩種系統(tǒng)級聯(lián)方式。同時，系統(tǒng)應(yīng)該由具有安全功能的前端設(shè)備、具有安全功能的用戶終端、視頻安全秘鑰服務(wù)系統(tǒng)、視頻監(jiān)控安全管理平臺等四部分組成。

系統(tǒng)間聯(lián)網(wǎng)應(yīng)由若干個相對獨(dú)立的系統(tǒng)以信令安全路由網(wǎng)關(guān)、具有安全功能的媒體服務(wù)器為核心，通過IP傳輸網(wǎng)絡(luò)，實現(xiàn)系統(tǒng)間控制信令和媒體信息的傳輸、交換、控制。（如下圖所示）

要點二：前端安全分級

前端設(shè)備必須具有基于數(shù)字證書的設(shè)備身份認(rèn)證、視頻簽名、視頻加密等信息安全保護(hù)功能。用戶終端必須具有基于數(shù)字證書的用戶身份認(rèn)證、加密視頻加密等安全功能。

此外，根據(jù)安全保護(hù)強(qiáng)弱，將FDWSF（具有安全功能的前端設(shè)備）的安全能力分為三個等級，由弱到強(qiáng)分別是A級、B級、C級。

要點三：身份認(rèn)證要求

標(biāo)準(zhǔn)關(guān)于身份認(rèn)證要求包含用戶身份認(rèn)證、設(shè)備身份認(rèn)證、管理平臺間認(rèn)證等三方面。

應(yīng)對所有用戶進(jìn)行身份認(rèn)證應(yīng)支持基于數(shù)字證書的用戶認(rèn)證；管理平臺應(yīng)對所有接入的FDSWSF進(jìn)行單向設(shè)備身份認(rèn)證或者雙向設(shè)備身份認(rèn)證，對FDWSF的基本信息、屬性信息以及DI、密碼模塊ID與設(shè)備證書的對應(yīng)關(guān)系作管理；管理平臺互聯(lián)網(wǎng)互通時應(yīng)進(jìn)行管理平臺間的雙向身份認(rèn)證。

要點四：授權(quán)訪問控制

標(biāo)準(zhǔn)要求：管理平臺應(yīng)采用基于屬性或基于角色的訪問控制模型對用戶進(jìn)行授權(quán)管理和訪問控制。在系統(tǒng)中訪問加密視頻信息的用戶是經(jīng)過基于數(shù)字證書認(rèn)證的用戶；當(dāng)跨域訪問時，應(yīng)采用信令攜帶的用戶身份信息進(jìn)行訪問控制。

要點五：數(shù)據(jù)安全加密

加密作為前端設(shè)備必須具備的基本能力，管理平臺應(yīng)支持視頻及音頻加密數(shù)據(jù)的傳輸，支持在權(quán)限范圍內(nèi)對實時加密視音頻的視音頻播放、回放等操作，視頻導(dǎo)出時管理平臺應(yīng)更換視頻秘鑰加密秘鑰。

要點六：統(tǒng)一安全管理

公共安全視頻監(jiān)控需具有統(tǒng)一的視頻監(jiān)控安全管理平臺，由具有安全功能的中心信令控制服務(wù)器、具有安全功能的媒體服務(wù)器、信令安全路由網(wǎng)關(guān)等功能實體組成。

同時，視頻監(jiān)控管理平臺應(yīng)具備用戶身份認(rèn)證、設(shè)備身份認(rèn)證、秘鑰管理、權(quán)限管理、簽名驗簽、加密解密、訪問控制、審計、加密視頻數(shù)據(jù)管理、視頻數(shù)據(jù)源抗抵賴，控制信令的完整性驗證。