ICS13.310 GA A91 中华人民共和国公共安全行业标准 GA/T669.2—2008 城市监控报警联网系统 技术标准 第2部分：安全技术要求 Technical standard of city area monitoring and alarming network system- Part2:Technical specification of security 2008-08-04实施 2008-08-04发布 中华人民共和国公安部 发布 数码防伪 GA/T669.2—2008 目 次 前言 III 1 范围 2 规范性引用文件 3 术语、定义和缩略语 3.1 术语和定义 3.2 缩略语 4 联网系统安全设计原则 4.1 规范性原则 4.2 先进性和实用性原则 4.3 可扩展性原则 4.4 开放性和兼容性原则 4.5 可靠性原则 4.6 系统性原则 4.7 技术与管理相结合原则 4.8 等级保护原则 4.9 分层安全原则 4.10 最小权限原则 联网系统安全技术体系总体框架和认证及权限管理结构 5.1 总体框架 5.2 认证及权限管理结构 物理安全 6.1 监控中心电源安全 6. 2 电磁兼容性安全 6.3 环境安全 6.4 设备安全 6.5 防雷接地 6.6 记录介质安全 通信和网络安全 6 7.1 网络传输的安全 7.2 公安专网的接入与输出安全 7.3 双网并存 运行安全 8.1 安全监控 8.2 安全审计 8.3 恶意代码防护 8.4 备份与故障恢复 8.5 应急处理 8.6 安全管理 GA/T669.2—2008 9 信息安全 9. 1 公钥基础设施 9.2 系统时间校正 9.3 用户身份认证 8 9.4 接入设备认证 9.5 用户授权策略与权限管理 9.6 访问控制与业务审计 9.7 数据加密及数据完整性保护 9.8 安全域隔离 9 附录A（规范性附录） 支持X.509V3的证书格式定义 10 附录B（规范性附录） 支持X.509V2的证书撤销列表（CRL)格式 12 附录C（资料性附录） 数字证书和静态口令两种方式下的用户身份认证流程 13 参考文献 15 II GA/T669.2—2008 前言 请注意，本部分的基本内容有可能涉及专利，本部分的发布机构不应承担识别这些专利的责任。 GA/T669《城市监控报警联网系统技术标准》分为11个部分： 第1部分：通用技术要求； 第2部分：安全技术要求； 第3部分：前端信息采集技术要求； 第4部分：视音频编、解码技术要求； 第5部分：信息传输、交换、控制技术要求； 第6部分：视音频显示、存储、播放技术要求； 第7部分：管理平台技术要求； 第8部分：传输平台技术要求； 第9部分：卡口信息识别、比对、监测系统技术要求； 第10部分：无线视音频监控系统技术要求； 第11部分：关键设备通用技术要求。 本部分为GA/T669的第2部分。 本部分的附录A、附录B为规范性附录，附录C为资料性附录。 本部分由公安部科技局提出。 本部分由全国安全防范报警系统标准化技术委员会（SAC/TC100）归口。 本部分起草单位：公安部第一研究所、北京中盾安全技术开发公司、北京网新中广科技发展有限责 任公司、杭州恒生数字设备科技有限公司、武汉大学国家多媒体工程中心、深圳中兴力维技术有限公司、 杭州华三通信技术有限公司、杭州思福迪信息技术有限公司、北京联视神盾安防技术有限公司。 本部分主要起草人：房子河、栗红梅、陈朝武、张俊业、王楠、张本锋、崔云红、赵惠芳、刘剑、胡瑞敏、 查敏中、王学华、戚文雅、向稳新、张鹏国、王海增、李晓峰、杨国胜、陆品祥、王娜。 II GA/T669.2—2008 城市监控报警联网系统技术标准 第2部分：安全技术要求 1范围 GA/T669的本部分规定了城市监控报警联网系统（简称联网系统）安全设计原则、安全技术体系 总体框架和认证及权限管理结构、物理安全、通信和网络安全、运行安全、信息安全等基本技术要求，是 进行城市监控报警联网系统安全建设规划、方案设计、工程实施、系统检测验收以及与之相关的系统设 备研发、生产的依据。 本部分适用于城市监控报警联网系统，其他领域的监控报警联网系统可参考采用。 2规范性引用文件 下列文件中的条款通过GA/T669的本部分的引用而成为本部分的条款。凡是注日期的引用文 件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成 协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本 部分。 GB/T2260—2007 中华人民共和国行政区划代码 GB/T2659—2000世界各国和地区名称代码（eqvISO3166-1：1997） GB4943—2001 信息技术设备的安全（idtIEC60950：1999） GB/T7408—2005 数据元和交换格式信息交换日期和时间表示法（ISO8601：2000，IDT） GB/T20271—2006 信息安全技术信息系统通用安全技术要求 GB50348—2004 安全防范工程技术规范 GA/T367—2001 视频安防监控系统技术要求 GA/T669.1—2008 城市监控报警联网系统技术标准第1部分：通用技术要求 GA/T669.52008 城市监控报警联网系统技术标准第5部分：信息传输、交换、控制技术要求 GA/T669.7—2008 城市监控报警联网系统技术标准第7部分：管理平台技术要求 RFC3280X.509公钥证书和CRL 3术语、定义和缩略语 GA/T669.1一2008中确立的以及下列术语、定义和缩略语适用于本部分。 3.1术语和定义 3. 1. 1 公钥基础设施publickeyinfrastructure 包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制证书的产生、管理、存储、分 发和撤销等功能。 3. 1.2 公钥证书 publickeycertificate 用户的公钥连同其他信息，并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。 3. 1.3 证书认证机构 certification authority 负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥。 1 GA/T669.2—2008 3. 1. 4 注册机构registrationauthority 为用户办理证书申请、身份审核、证书下载、证书更新、证书注销以及密钥恢复等实际业务的办事机 构或业务受理点。 3. 1.5 证书撤销列表certificaterevocationlist 个已标识的列表，它指定了一套证书发布者认为无效的证书。除了普通CRL外，还定义了一些 特殊的CRL类型用于覆盖特殊领域的CRL 3. 1.6 权限管理系统privilegemanagementsystem 为用户、角色分配权限并保障其正确使用的系统 3. 1.7 安全管理系统 securitymanagement system 负责对用户信息及安全事件进行管理并完成安全审计等功能的系统。 3.1.8 安全支撑平台 security supporting platform 完成用户身份认证及单点登录、设备接人认证、数字签名、数据加密和访问控制等功能的系统。 S 3. 1.9 S 物理安全 physical security 联网系统设备所处的物理环境的安全，是整个系统安全运行的前提。 3. 1. 10 运行安全 operation security 网络与信息系统的运行过程和运行状态的安全。 3. 1. 11 informalion security 信息安全 信息在数据收集、存储检索、传输、交换、显示、扩散等过程中的安全，便得在数据处理层面保障信 息依据授权使用，保护信息不被非法冒充、窃取、篡改、抵赖。 3.1.12 安全子系统 security subsystem 联网系统的一部分，包括公钥基础设施、权限管理系统、安全管理系统及安全支撑平台软硬件。 3. 1. 13 安全域 securitydomain 计算机网络中从属于单一安全策略、受单个授权机构管理的多个实体构成的集合。 3.2缩略语 AES AdvancedEncryptionStandard高级加密标准 CRL CertificateRevocationList证书撤销列表 DES DataEncryptionStandard数据加密标准 MD5 MessageDigestAlgorithm5信息摘要5 NTP NetworkTimingProtocol网络时间协议 PKI/CA PublicKeyInfrastructure/CertificationAuthority公钥基础设施/认证机构 2 GA/T669.2—2008 PMS PrivilegeManagementSystem权限管理系统 SHA SecureHashAlgorithm安全哈希算法 SNTP SimpleNetworkTimeProtocol简单网络时间协议 SSL SecureSocketLayer安全套接字 S/MIME Secure/MultipurposeInternetMailExtensions 安全多用途网际邮件扩充协议 TSA TimeStampAuthority时间戳机构 TLS TransportLayerSecurity传输层安全 URL UniformResourceLocator统一资源定位符 VPN VirtualPrivateNetwork虚拟专用网络 4 联网系统安全设计原则 4