公共安全视频联网应用 网络安全漏洞应急修复指南
Emergency remediation guide for cybersecurity vulnerability of videosurveillance networking application for public security
中国安全防范产品行业协会发布
目次
前言..1范围...2规范性引用文件.3术语、定义和缩略语3.1术语和定义3.2缩略语.4网络安全漏润应急修复原则5应急修复网络安全漏润类型6网络安全漏洞应急修复能力7应急修复技术实现.7.1基于网关技术的网络安全漏润应急修复7.2基于客户端代理技术的网络安全漏润应急修复
前言
本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
请注意本文件的内容可能涉及专利.本文件的发布机构不承担识别专利的责任.
本文件由中国安全防范产品行业协会提出并归口.
本文件起草单位:公安部第三研究所、北京天防安全科技有限公司、公安部第一研究所、杭州海康威视数字技术股份有限公司、中国科学院信息工程研究所.
本文件主要起草人:齐力、杨明、张永元、栗红梅、杨乐好、段伟恒、考其瑞、李畅、万里、闫雪、白稳平、朱颖、汤宁、胡超飞、冯韶辉.
公共安全视频联网应用网络安全漏洞应急修复指南
1范围
本文件提出了公共安全视频联网应用中对通过网络进行攻击的网络安全漏润进行应急修复的原则、能力、漏洞类型和技术实现方法.
本文件适用于公共安全视频联网应用中对通过网络进行攻击的网络安全漏润进行应急修复的技术指导.
本文件不适用于通过邻接、本地、物理进行攻击的网络安全漏洞的应急修复.
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注目期的引用文件,仪该口期对应的版本适用于本文件:不注Ⅱ期的引用文件,其最新版本(包括的修改单)适用于本文件.
GB/T25069-2022信息安全技术术语GB/T28181一2022公共安全视频监控联网系统信息传输、交换、控制技术要求 GB/T28458-2020信息安全技术网络安全漏河标识与描述规范GB/T30279-2020信息安全技术网络安全漏润分类分级指南
3术语、定义和缩略语
3.1术语和定义
GB/T25069-2022、GB/T28458-2020、GB/T30279-2020界定的以及下列术语和定文适用千本文件.
3. 1. 1
网络安全漏洞cybersecurity vulnerability
有可能被利用的缺陷或薄弱点. 网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程,无意或有意产生的、
注:这些缺陷或薄到环节以不同形式存在于网络产品和服务的务个层次和环节中,一H被恶意主体所利用,就会对网络产品和服务的安全造成损害,从而影响其正常运行.
[米源:GB/T28458-2020.3.1]
3.1.2
网络安全漏洞应急修复emergency remediationof cybersecurityvulnerability
针对可通过网络进行攻击和利用的网络安全漏润,在无原厂补丁修复、受条件制约无法使用原厂补丁修复等情况下,在保障受保护对象的系统稳定性、系统性能、网络性能、关联业务应用运行等正常的前提下,实现对漏润攻击和漏润利用行为进行识别和有效控制的一种安全防护方法.
3.1.3
虚拟补丁virtualpatching
通过控制受保护对象的网络输入或输出,米防止对受保护对象的网络安全漏润进行扫描、攻击、利用等行为的技术方法.
3.2缩略语
下列缩略语适用于本文件.
DVR:数据视频录像机(Digita]Video Recorder)DVS:数字视频服务器(DigitalVideoServer)EXP:漏润利川](Exploit)FTP:文件传输协议(File Transfer Protocol) IPC:网络摄像机(InternetProtocolCamera)NTP:μ络时间协议(NetworkTime Protocol)NVR:μ络硬盘录像机(Network Video Recorder)ONVIF:开放式网络视频接口论坛(OpenNetworkVideoInterfaceForum)POC:概念验证(Proof of Concept) RDP:远程桌面协议(Remote Desktop Protocol)RTP:实时传输协议(Realtime Transport Protocol)RTSP:实B时流化协议(Real Time Streaming Protoco1)SIP:会话初始协议(Session InitiationProtocol) SSIl:安全外壳协议(Secure She11)VMS:视频管理系统(Video Management Systcm)
4网络安全漏洞应急修复原则
网络安全漏洞应急修复宜遵循以下原则:
a)网络安全漏润应急修复对受保护对象的运行性能产生较小影响:c)优先修复等级为超危、高危、中危等的网络安全漏洞.
5应急修复网络安全漏洞类型
可应急修复的网络安全漏润包括但不限于以下类型:
a)前端设备(IPC、NVR、DVR等)、视频应用服务器(DVS、VMS、媒体服务器、中心信令服务器、 视频存储服务器等)的网络安全漏润:b)视频应用协议(GB/T28181协议、GA/T1400协议、SIP、RTSP、RTP等)相关的网络安全漏润:c)公共安全视频联网应用中常见应用(FTP、TELNET、SSII、RDP、NTP等)、数据库(Mysq]、Elasticsearch、Redis等)、中间件(Zookeeper、WebLogic、Log4j等)相关的网络安全漏洞.
6网络安全漏洞应急修复能力
在网络安全漏无实质修复前,在不影响用户业务正常运行前提下,网络安全漏润应急修复宜提供以下能力:
