ICS 13.310 CCS A 91 团 体 标 准 T/CSPIA 013 —2025 公共安全视频联网应用 网络安全漏洞应急修复指南 Emergency remediation guide for cybersecurity vulnerability of video surveillance networking application for public security 2025-10-15发布 2025-12-01实施 中国安全防范产品行业协会 发布CSPIA 全国团体标准信息平台 T/CSPIA 013 -2025 I 目 次 前言 ................................ ................................ .................. II 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语、定义和缩略语 ................................ ................................ ...1 3.1 术语和定义 ................................ ................................ .......1 3.2 缩略语 ................................ ................................ ........... 2 4 网络安全漏洞应急修复原则 ................................ ............................. 2 5 应急修复网络安全漏洞类型 ................................ ............................. 2 6 网络安全漏洞应急修复能力 ................................ ............................. 2 7 应急修复技术实现 ................................ ................................ .....3 7.1 基于网关技术的网络安全漏洞应急修复 ................................ ............... 3 7.2 基于客户端代理技术的网络安全漏洞应急修复 ................................ ......... 4 全国团体标准信息平台 T/CSPIA 013 -2025 II 前 言 本文件按照 GB/T 1.1 -2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国安全防范产品行业协会提出并归口。 本文件起草单位： 公安部第三研究所、北京天防安全科技有限公司、公安部第一研究所 、杭州海康 威视数字技术股份有限公司 、中国科学院信息工程研究所 。 本文件主要起草人： 齐力、杨明、张永元、栗红梅、杨乐好、段伟恒、考其瑞、李畅、万里、闫雪、 白稳平、朱颖、 汤宁、胡超飞、冯韶辉。 全国团体标准信息平台 T/CSPIA 013 -2025 1 公共安全视频联网应用 网络安全漏洞应急修复指南 1 范围 本文件提出了公共安全视频 联网应用中 对通过网络进行攻击的网络 安全漏洞 进行应急修复的 原则、 能力、漏洞类型和技术实现 方法。 本文件适用于公共安全视频 联网应用 中对通过网络进行攻击的网络 安全漏洞 进行应急 修复的技术 指导。 本文件不适用于通过邻接、本地、物理进行攻击的网络安全漏洞的应急修复。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件 ，其最新版本 （包括所有的修改单）适用于本 文件。 GB/T 25069 —2022 信息安全技术 术语 GB/T 28181 —2022 公共安全视频监控联网系统信息传输、交换、控制技术要求 GB/T 28458 —2020 信息安全技术 网络安全漏洞标识与描述规范 GB/T 30279 —2020 信息安全技术 网络安全漏洞分类分级指南 3 术语、定义和缩略语 3.1 术语和定义 GB/T 25069 —2022、GB/T 28458 —2020、GB/T 30279 —2020界定的以及下列术语和定义适用于本文 件。 3.1.1 网络安全漏洞 cybersecurity vulnerabilit y 网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程，无意或有意产生的、 有可能被利用的缺陷或薄弱点。 注：这些缺陷或薄弱环节以不同形式存在于网络产品和服务的各个层次和环节中，一旦被恶意主体所利用，就会对 网络产品和服务的安全造成损害，从而影响其正常运行。 [来源：GB/T 28458 -2020，3.1] 3.1.2 网络安全 漏洞应急修复 emergency remediation of cybersecurity vulnerabilit y 针对可通过网络进行攻击和利用的网络安全漏洞， 在无原厂补丁修复、受条件制约无法使用原厂补 丁修复等情况下，在保障受保护对象的系统稳定性、系统性能、网络性能、关联业务应用运行等正常的 前提下，实现对漏洞攻击和漏洞利用行为进行识别和有效控制的一种安全防护方法 。 3.1.3 全国团体标准信息平台 T/CSPIA 013 -2025 2 虚拟补丁 virtual patching 通过控制受保护对象的网络输入或输出，来防止对受保护对象的网络 安全漏洞 进行扫描、攻击、利 用等行为的技术方法。 3.2 缩略语 下列缩略语适用于本文件。 DVR：数据视频录像机（ Digital Video Recorder ） DVS：数字视频服务器 (Digital Video Server) EXP：漏洞利用（ Exploit） FTP：文件传输协议（ File Transfer Protocol ） IPC：网络摄像机（ Internet Protocol Camera) NTP：网络时间协议（ Network Time Protocol ） NVR：网络硬盘录像机（ Network Video Recorder ） ONVIF：开放式网络视频接口论坛（ Open Network Video Interface Forum ） POC：概念验证 (Proof of Concept) RDP：远程桌面 协议（Remote D esktop Protocol） RTP：实时传输协议（ Real-time Transport Protocol ） RTSP：实时流化协议（ Real Time Streaming Protocol ） SIP：会话初始协议（ Session Initiation Protocol ） SSH：安全外壳协议（ Secure Shell ） VMS：视频管理系统（ Video Management System) 4 网络安全漏洞应急修复原则 网络安全漏洞应急修复宜遵循以下原则： a) 网络安全漏洞应急修复对受保护对象的运行性能产生较小影响； b) 能识别和防护加密和非加密网络通讯 场景下对网络安全 漏洞的扫描、攻击及利用等行为； c) 优先修复等级为超危、高危、中危等的网络安全漏洞。 5 应急修复网络安全漏洞类型 可应急修复的网络安全漏洞包括但不限于以下类型： a) 前端设备（ IPC、NVR、DVR等）、视频应用服务器（ DVS、VMS、媒体服务器、中心信令服务器、 视频存储服务器等）的网络安全漏洞； b) 视频应用协议（ GB/T 28181协议、GA/T 1400协议、SIP、RTSP、RTP等）相关的网络安全漏洞； c) 公共安全视频 联网应用 中常见应用（ FTP、TELNET、SSH、RDP、NTP等）、数据库（ Mysql、 Elasticsearch 、Redis等）、中间件（ Zookeeper 、Web