全文共2321字,阅读大约需4分钟。
一
快速解读GB/35114标准
GB/35114,全称为《公共安全视频监控联网系统信息传输、交换、控制技术要求》和《信息技术 安全技术 视频监控数字录像设备的安全要求》,是由中国国家标准化管理委员会发布的国家标准。该标准由公安部提出,全国安全防范报警系统标准化技术委员会(SAC/TC100)归口,自2018年11月1日正式实施,标志着中国在公共安全视频监控联网信息安全方面有了首个技术标准。
标准目的与价值
GB/35114旨在提高视频监控系统的信息安全性,尤其是在联网环境下,防止数据被非法获取、篡改或破坏,以提升视频监控系统的整体安全水平。该标准的实施不仅为相关企业提供了设计和研发安全网关设备的指导,也为用户提供了选择安全可靠产品的依据,对视频监控行业的健康发展起到积极作用。
主要内容与特点
图1 公共安全视频监控信息安全系统互联结构示意图
-
适用范围
GB/35114主要涉及公共安全视频图像信息联网共享应用中具有安全功能的平台、安全交互系统和主要设备。这些设备包括采集、编码、存储、传输、协议转换等设备,如IPC、NVR、解码器、协议转换设备等。
-
技术要求
该标准规定了公共安全视频监控联网信息安全的测试对象、测试类型及测试工具、测试环境要求,并描述了功能及性能测试方法。这些规定确保了标准验证测试工作有章可循、有规可依。
-
信息安全保障
GB/35114标准解决了外部黑客入侵和内部人员泄密两大问题,通过国家密码算法与视频监控相关技术的结合,提供了全面的信息安全保护。
-
强制性标准
GB/35114标准为全文强制性标准,符合我国关于强制性国家标准的相关规定,确保了其在行业中的广泛遵守和实施。
-
政策支持与实施
公安部安全与警用电子产品质量检测中心负责从标准的适用性、规范性、时效性和协调性等方面对GB/35114标准进行复审,确保标准与政策的一致性和实效性。
基于GB/35114的基础架构详见图2:
图2 GB/35114基础架构图
GB/35114标准全面覆盖了视频监控系统的关键安全与功能需求,从加密机制确保视频传输安全,到密钥管理保障机密性;通过身份认证和权限控制维护系统的可信任性和可控性,再到设备接入、数据完整性校验、通信协议定义以及系统架构的标准化设计,最终实现了跨厂商互联互通的目标。
二
绿盟科技基于GB/35114的技术方案
绿盟科技通过物联网横向/纵向准入网关实现基于GB/35114的技术方案。具体来说,实现了设备身份认证、数据加密传输、设备准入控制、入侵防御、网络隔离与互通、访问控制与审计、协议合规性检查方面的要求。
图3 横向/纵向安全准入网关部署示意图
-
外单位PC和物联网设备通过横向安全准入网关访问服务器区;不满足准入条件(无安全客户端、接入协议不合规等)的访问被阻断。
-
下级单位物联网设备通过纵向安全准入网关访问服务器区;不满足准入条件(接入协议不合规、协议内容不合规等)的访问被阻断。
-
横向安全准入网关:支持单包认证,实现业务服务端口零信任;支持国密证书和RSA证书,客户端签名验签管理,客户端进程级访问控制;支持GB/T 28181、GA/T 1400、GB/35114设备准入控制。
-
纵向安全准入网关:支持统一威胁防护,GB/T 28181、GA/T 1400、GB/35114协议识别、内容过滤、设备准入控制,视频流量控制。
三
案例简介
3.1 设备准入控制与认证加密
绿盟科技的横向安全准入网关在政法行业视频专网外部单位接入的应用,基于GB/35114标准构建,集成国产密码算法的数字签名与数据加密技术,形成全面的身份认证与加密服务体系。
图4 横向安全准入网关部署示意图
-
数字证书设备准入控制
依据GB/35114标准,系统实现对网络设备的精确身份识别与认证。支持录入特定访问设备信息,包括IP、MAC地址及设备ID,确保设备身份的准确与安全。GB/35114覆盖关键信令识别,如ACK、BYE、INFO、CANCEL、INVITE,且具备安全日志审计功能。兼容国密与RSA两种数字证书标准,提供高效灵活的安全策略。
-
单包认证加密机制
系统采用基于单数据包的授权认证机制,强化访问控制。默认关闭业务服务端口,仅在接收并验证加密且防重放的单包后,临时开启特定TCP会话端口,实现精准访问。这增强了零信任安全性,有效拦截未授权访问,并在会话结束时即时关闭端口,提升业务端口安全与隐蔽性。
3.2 GB/35114内容过滤与访问控制
绿盟科技的纵向安全准入网关在政府行业视频专网下级单位接入管控的应用,基于深度集成GB/35114标准,构建了全面的防护体系,集成了IPS事件库、策略管理和报警机制等关键部件。此体系覆盖入侵防御、协议合规性检查、内容过滤及访问控制策略。
图5 绿盟科技纵向安全准入网关部署示意图
统一威胁防护与GB/35114内容过滤
系统运用精确的流量检测与阻断技术,有效防御蠕虫、后门、木马、间谍软件、Web攻击和DoS攻击。实时流量分析快速识别并响应安全事件,高精度阻断策略确保恶意流量被拦截,加固网络防护。
系统具备内容过滤功能与GB/35114协议兼容的黑白名单,对标准符合性内容进行筛查。黑名单筛选出的异常活动记录于IPS报警管理界面;未过滤信息则上报至网关日志和报警界面,确保关键操作与异常事件被详细记录,便于后续审计与追踪。
精细网络访问控制
系统支持基于GB/35114—2017协议的媒体流数据过滤策略,对A、B、C级UDP媒体流实施内容审查。不符合安全策略、携带敏感信息的数据包被拦截和丢弃,触发日志报警。通过设置包括源IP、源端口、目的IP和目的端口在内的详尽防护规则,实现精准访问控制,避免非授权访问。
四
GB/35114标准的未来发展趋势
技术更新与安全要求的增强
GB/35114标准自2017年发布以来,已成为中国视频监控系统安全的重要技术依据。随着技术的快速发展,尤其是加密技术和数据安全防护技术的进步,未来的GB/35114标准将更加注重技术的更新和安全的提升。例如,可能会纳入更先进的加密算法和更严格的数据完整性校验机制,以应对日益复杂的安全威胁。
智能化与自动化技术的融合
随着视频监控技术的智能化和自动化发展,GB/35114标准也将适应这一趋势,通过引入智能分析和安全事件自动响应机制,提高系统的自我保护能力和操作效率。这包括使用机器学习算法进行异常行为的识别和自动报警,以及通过自动化系统减少人为干预的需要。
原文始发于微信公众号(绿盟科技):一文读懂GB/35114
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论