ICS 33.020 YD L70 中华人民共和国通信行业标准 YD/T 3492—2019 视频监控系统网络安全技术要求 Security technical requirements for video surveillance systems 2019-11-11 发布 2020-01-01 实施 中华人民共和国工业和信息化部 发布 YD/T 3492—2019 目 次 前言 范围. 2规范性引用文件. 3术语、定义和缩略语. 3.1术语和定义.. 3.2缩略语... 4概述. 2 视频监控系统功能安全通用技术要求. 5.1技术要求... 3 5.2管理安全.. 视频监控系统各层功能安全技术要求 6.1前端采集层安全要求 6 6.2传输层安全要求， 6.3存储层安全要求 .8 6.4管理层安全要求.. 6.5 显示层安全要求 10 附录A（资料性附录）视频监控系统设备类型 .12 YD/T3492—2019 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：国家计算机网络应急技术处理协调中心、中国科学院信息工程研究所、华为技术 有限公司、中国信息通信研究院。 本标准主要起草人：王晖、吕世超、王文磊、云晓春、李政、孙利民、朱红松、闫兆腾、李志、黄 敏、安国成、倪平。 II YD/T3492—2019 视频监控系统网络安全技术要求 1范围 本标准规定了视频监控系统网络安全的技术要求，包括通用技术要求和各层功能安全技术要求。 本标准适用于视频监控系统。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T28181公共安全视频监控联网系统信息传输、交换、控制技术要求 智能联网设备口令保护指南 3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件。 3.1.1 视频监控系统video surveillancesystem 由前端采集、传输、存储、管理、显示等组成，利用视频技术探测、监视设防区域并实时显示、记 录现场图像的电子系统或网络。 3.1.2 前端采集设备frontendcapturingdevice 视频监控系统中安装于监控现场的视频和音频信息的采集、编码、处理等设备。 3.1.3 接入协议accessprotocol 视频监控设备按照统一的协议接入到视频监控系统中，即接入协议，主要包括ONVIF、PSIA、SIP 等。 1 YD/T 3492—2019 3.1.4 私有协议privateprotocol 生产厂家在设计产品时定义的适用于本企业生产设备产品的协议，通常不对外公开协议格式。 3.1.5 视频监控管理平台video surveillancemanagementplatform 运用视频监控联网、数字图像信息处理等技术，对视频监控设备进行统一管理和控制，可满足不同 规模视频监控系统的不同业务需求的平台。 3.2缩略语 下列缩略语适用于本文件。 DVR Digital Video Recorder 数字视频录像机 IPC IP Camera 网络摄像机 IP Internet Protocol IP协议 IP SAN IP Storage Area Network 存储局域网络 KVM Keyboard Video Mouse 多电脑切换器 MD5 Message Digest Algorithm 5 信息摘要5 NAS Network Attached Storage 网络附属存储 NVR Network Video Recorder 网络硬盘录像机 ONVIF Open Network Video Interface Forum 开放型网络视频接口论坛 PSIA Physical Security Interoperability Alliance 物理安防互操作性联盟 RTSP Real Time Streaming Protocol 实时流传输协议 RTP Real-time Transport Protocol 实时传输协议 RTCP Realtime Transport Control Protocol 实时传输控制协议 SHA Security Hash Algorithm 安全哈希算法 SIP Session Initiation Protocol 会话初始协议 SNMP Simple Network Management Protocol 简单网络管理协议 SSL Security Socket Layer 安全套接字 TLS Transport Layer Security 传输层安全 TCP Transmission Control Protocol 传输控制协议 UDP User Datagram Protocol 用户数据报协议 VMS Video Management System 视频管理系统 4概述 视频监控系统是金融、公安、电信、交通、司法、文教卫、能源、楼宇等众多行业对重点部门或重 要场所进行实时监控的物理基础，管理部门可通过它获得有效数据、图像或声音信息，对突发性异常事 2 YD/T 3492—2019 件的过程进行及时的监视和记忆，用以提供高效、及时地指挥和高度、布置警力、处理案件等。 视频监控系统的主要发展面向数字化、网络化、高清智能化，并与视音频编解码技术、视频图像处 理技术、嵌入式系统开发技术等多项核心技术及云计算、大数据、人脸识别、深度学习、视频结构化等 前瞻技术相结合，在工业自动化、智能家居、智慧城市等新兴业务得到延伸应用。 视频监控系统可以直观、准确、实时的采集视频、音频等信息，实现对关键区域进行实时监控。视 频监控系统按功能分为前端采集、传输、存储、管理、显示共五层的功能架构，各层典型设备如图1 所示。视频监控系统中主要设备类型的范围，可参考附录A.1。 显 示层 移动终端 矩阵切换器 管理 管理服务器 流媒体服务器 存储层 N'VR DVR 传输层 交换机 无线路由器 前端 采集层 网络摄像机 模拟摄像机 图1 视频监控系统五层结构 视频监控系统安全，指的是由硬件、固件、软件和协议构成的整体安全，涵盖了选型、部署、运行、 使用、维护等各个环节。视频监控系统安全要求分为通用技术要求和各层功能要求两部分。 5视频监控系统功能安全通用技术要求 5.1技术要求 5.1.1物理和环境安全 5.1.1.1 物理位置选择 部署在户外和监控现场的前端采集、编码、处理、存储、传输、安全控制等设备，应安装在普通行 人接触不到的地方。 5.1.1.2物理访问控制 本项应满足如下要求： 3 YD/T3492—2019 a）部署在户外和监控现场的前端采集、编码、处理、存储、传输、安全控制等设备，应采用封闭 加锁方式： b) 部署在监控现场的架杆等前端辅助设备，应醒目标注严禁攀爬等字样； c） 应建立监控中心出入的工作人员身份验证机制，根据不同级别的授权，对进入监控中心的人员 及其活动实时监视； T(p 监控中心和设备机房应配置电子门禁系统，控制、鉴别和记录进入的人员。 5.1.2通信和网络安全 5.1.2.1[ 网络架构 本项应满足如下要求： a）不允许重要行业或敏感部门的设备直接联入到互联网中； b）视频监控网络应进行物理隔离或者划分VLAN等逻辑隔离。 5.1.2.2通信传输 本项应满足如下要求： a）公共网络、无线网络在条件允许的情况下，宜采用虚拟专用网络或者传输层安全（例如TLS） 协议来保证传输的安全； b）对于重要行业或敏感部门，应构建可信网络环境，保证通信传输的可信性。 5.1.2.3无线使用控制 本项应满足如下要求： a）应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部网络： b）对于通过无线方式连接的视频监控设备，应采用满足相关安全标准的加密算法等，保证通信链 路的安全性。 5.1.2.4接入安全 本项应满足如下要求： a）应具备接入对象认证机制，保证接入监控网络的设备身份合法性； 认证的的设备试图接入时，应能够及时发现非法接入的设备源地址，向网络管理员告警，并及 时阻挡； c） (p 接入设备应根据不同情况采用不同的认证方式； e） 对非SIP设备，宜通过设备代理来进行认证； f) 对标准SIP可信设备，应采用数字证书的认证方式： g） 对于采用ONVIF、PSIA等协议作为管理平台与视频监控设备进行统一接入协议的，宜采用SIP 作为接入认证协议； 4