云南省地方标准 DB53/T1174—2023 网络视频“明厨亮灶”系统信息安全规范 2023-04-25发布 2023-07-25实施ICS35.030 CCSA9 云南省市场监督管理局   发 布1 53 DB53/T1174—2023 I前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规 定起草。 DB53/T1174《网络视频“明厨亮灶”系统信息安全规范》与DB53/T1171《网络视频“明厨亮灶” 系统数据采集技术规范》、DB53/T1172《网络视频“明厨亮灶”系统数据接口规范》、DB53/T1173 《网络视频“明厨亮灶”在线数据监测及预警规范》、DB53/T1175《网络视频“明厨亮灶”系统运维 规范》等共同构成支撑云南省网络视频“明厨亮灶”系统建设的地方标准体系。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由云南省市场监督管理局提出并归口。 本文件起草单位：云南省市场监督管理局信息中心、云南省标准化研究院、昆明冶金高等专科学校、 中国电信股份有限公司云南分公司、中国移动通信集团云南有限公司、云南云速信息技术有限公司、云 南省妇幼保健院、昆明市盘龙区云才文翰学校、联通华盛通信有限公司云南分公司。 本文件主要起草人：李文安、杨亚琦、朱敏、赵忆宁、朱勋程、李宁、翟瑜、付庭君、赵欣、付琦、 易正禹、徐芮、艾林、靳为为、陈福波、李文媛、朱宁、李安、杨志、卢玮、赵涛、张寓哲。 DB53/T1174—2023 1网络视频“明厨亮灶”系统信息安全规范 1范围 本文件规定了网络视频“明厨亮灶”系统信息的术语和定义、物理安全、网络安全、系统安全、数 据安全等方面的相关内容和安全要求。 本文件适用于使用网络视频“明厨亮灶”系统的单位进行信息的安全管理。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25069—2022信息安全技术术语 3术语和定义 GB/T25069—2022界定的以及下列术语和定义适用于本文件。 3.1 信息安全informationsecurity 对信息的保密性、完整性和可用性的保持。 注：另外，也可包括诸如真实性、可核查性、抗抵赖和可靠性等其他性质。 [来源：GB/T25069—2022,3.673] 3.2 网络安全networksecurity 对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保持。 [来源：GB/T25069—2022,3.617] 3.3 数据安全datasecurity 针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃，通过安全工具或策略来 消除隐患。 3.4 系统安全systemsecurity 在系统生命周期内应用系统安全工程和系统安全管理方法，辨识系统中的隐患，并采取有效的控制 措施使其危险性最小，从而使系统在规定的性能、时间和成本范围内达到最佳的安全程度。 4缩略语 下列缩略语适用于本文件。 FTP:文件传输协议（FileTransferProtocol） DB53/T1174—2023 2HTTP：超文本传输协议（HyperTextTransferProtocol） https：超文本传输安全协议（HypertextTransferProtocolSecure） POP3：邮局协议版本3(PostOfficeProtocol—Version3) RAID：独立磁盘冗余阵列（RedundantArraysofIndependentDisks） SMTP：简单邮件传输协议(SimpleMailTransferProtocol) SSH:安全外壳协议（SecureShell） SSL：安全套接层（SecureSocketLayer） TELNET:远程终端协议（teletypenetwork） VLAN：虚拟局域网（VirtualLocalAreaNetwork） Web：全球广域网或万维网（WorldWideWeb） 5物理安全 5.1机房安全 5.1.1监测机房运行环境，如温度、气压等，确保机房运行环境符合C类机房标准。 5.1.2监测网络设备、安全设备、服务器等设备运行状况，做好工作记录及系统日志。 5.1.3除经授权的系统管理、机房值班和巡视人员外，其他人员进入机房需经批准，在机管理人员陪 同下进入机房，并做好相关记录。 5.2硬件安全 5.2.1设备认证 应采用硬件可信根度量可信软件的完整性，利用PUF技术为双核安全架构提供可信根（PUF-based RootofTrust，PRoT），以PRoT为信任锚点的信任链和密钥更新协议，保证在系统上可信关系的逐级 扩展以及安全启动的可靠性和安全性。 5.2.2可信执行环境 应将可信运行环境与不可信运行环境通过物理隔离或其他隔离方式进行隔离，确保可信组件不会受 到入侵组件的影响。 5.2.3安全引导 仅引导经过完整性验证和认证的可信固件，将信任链传递给后续引导软件。 5.2.4安全无线传输 确保通过无线传输固件的完整性。运用WTLS协议（无线传输安全层），使用交换的公共密钥建立 安全传输，使用对称算法加密解密数据，检查数据完整性，建立安全通信的通道。交换服务器证书，完 成对服务器的鉴权。 5.2.5安全内存保护 DB53/T1174—2023 3防止内存遭受篡改。应实施内存篡改检测算法，通过内存监控、程序行为监控、智能分析、系统安 全增强和安全响应等，阻止异常内存访问和恶意代码执行等攻击行为，为系统构建一个完整的内存安全 环境。 5.2.6安全密钥存储 应在硬件中存储加密密钥。所储存的秘钥，必须是一个不可分割整体，根据密钥的种类，提供静态 储存和短期存储方式，设定密钥属性，以限制密钥的使用范围。 6管理安全 6.1应设立管理、监管、在线巡查、运维等各方面的管理权限，有严格的身份认证和权限设置功能， 并建立安全责任制度。 6.2应对系统变更、系统接入等重要操作事项建立审批制度，并按审批意见执行。 6.3应定期进行常规和全面安全检查，检查内容包括但不局限于机房、设备等物理环境，应用系统漏 扫，网络设备策略等。 6.4应针对岗位进行人员培训，告知岗位安全责任，并签订岗位责任协议。 7网络安全 7.1访问控制 7.1.1应在网络视频“明厨亮灶”系统网络边界应部署访问控制设备，启用访问控制功能。 7.1.2应建立专网或划分VLAN提供必要的安全隔离措施。 7.1.3对进出网络的信息内容进行过滤，能实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命 令级的控制。 7.1.4能对非授权设备接入内部网络的行为进行检查，对其进行有效阻断与追溯。 7.1.5访问Web时，应用SSL加密技术、https安全Web协议，增加验证码等验证方式。 7.1.6应限制网站重要服务器（如：Web服务器、数据库服务器等）的远程操作行为。 7.1.7在网络视频“明厨亮灶”系统需要远程进行管理时，应采用SSH等安全方式实现。 7.2入侵防范 7.2.1在网络视频“明厨亮灶”系统网络边界处应能对恶意代码进行检测和清除。 7.2.2在网络视频“明厨亮灶”系统网络边界处应监测以下攻击行为：端口扫描、强力攻击、APP攻 击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 7.2.3当检测到指向网络视频“明厨亮灶”系统的攻击行为时，应记录攻击源IP、攻击类型、攻击时 间等，在发生入侵事件时应提供报警。 7.3漏洞扫描 应当定期对网络视频“明厨亮灶”系统相关的网络、主机、数据库等软硬件开展漏洞扫描工作。对 扫描出的漏洞提出整改建议，并发送至系统漏洞相关负责人，由相应负责人组织整改工作并反馈整改情 况。 DB53/T1174—2023 47.4网络安全事件应急预案 7.4.1应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安 全风险。 7.4.2在发生危害网络安全的事件时，应立即启动应急预案，采取相应的补救措施，并按照规定向有 关主管部门报告。 8系统安全 8.1等保测评 8.1.1应制定系统安全管理制度和操作规程，确定网络安全负责人，落实系统安全保护责任。 8.1.2采取防范计算机病毒和网络攻击、网络侵入等危害系统安全行为的技术措施。 8.1.3采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不 少于六个月。 8.1.4采取数据分类、重要数据备份和加密等措施。 8.2访问控制 8.2.1应对网络视频“明厨亮灶”系统设置用户访问控制策略,至少分为系统管理员（只能对系统进行 维护）、安全管理员（只能进行策略配置和安全设置）、安全审计员（只能维护审计信息）等角色。 8.2.2应及时清理软硬件系统中的无用帐号、默认账号、弱口令账户等，禁止多用户同账号。 8.2.3仅开启业务所需的必要服务端口。 8.3防篡改 应设置网页防篡改策略，对系统关键的静态页面和动态页面进行监控和保护，防止黑客对系统的入 侵。 8.4防病毒 建立病毒防范体系，应配置成分布式运行和集中管理模式，防止病毒的侵害，及时更新病毒代码库。 对监测结果提出整改建议，发送至相关负责人，组织整改工作并反馈整改情况。 8.5源代码安全 8.5.1在系统需求设计阶段，应制定代码安全编写规范，约束特定语言相关的编程规则，对应用程序 代码存在的常见安全缺陷提出规范要