GA/T 669.2-2008 城市监控报警联网系统 技术标准 第2部分：安全技术要求

犐犆犛１３．３１０

犃９１

中华人民共和国公共安全行业标准

／—

犌犃犜６６９．２２００８

城市监控报警联网系统技术标准

第部分：安全技术要求

２

ㅤㅤㅤㅤ

犜犲犮犺狀犻犮犪犾狊狋犪狀犱犪狉犱狅犳犮犻狋犪狉犲犪犿狅狀犻狋狅狉犻狀犪狀犱犪犾犪狉犿犻狀狀犲狋狑狅狉犽狊狊狋犲犿—

狔犵犵狔

：

犘犪狉狋２犜犲犮犺狀犻犮犪犾狊犲犮犻犳犻犮犪狋犻狅狀狅犳狊犲犮狌狉犻狋

狆狔

２００８０８０４发布２００８０８０４实施

中华人民共和国公安部发布

／—

犌犃犜６６９．２２００８

目次

前言Ⅲ

１范围１

２规范性引用文件１

３术语、定义和缩略语１

３．１术语和定义１

３．２缩略语２

４联网系统安全设计原则３

４．１规范性原则３

４．２先进性和实用性原则３

４．３可扩展性原则３

４．４开放性和兼容性原则３

４．５可靠性原则３

４．６系统性原则３

４．７技术与管理相结合原则３

４．８等级保护原则３

４．９分层安全原则３

最小权限原则ㅤㅤㅤㅤ

４．１０３

５联网系统安全技术体系总体框架和认证及权限管理结构４

５．１总体框架４

５．２认证及权限管理结构４

６物理安全５

６．１监控中心电源安全５

６．２电磁兼容性安全５

６．３环境安全５

６．４设备安全５

６．５防雷接地５

６．６记录介质安全５

７通信和网络安全６

７．１网络传输的安全６

７．２公安专网的接入与输出安全６

７．３双网并存６

８运行安全６

８．１安全监控６

８．２安全审计６

８．３恶意代码防护６

８．４备份与故障恢复６

８．５应急处理７

８．６安全管理７

Ⅰ

／—

犌犃犜６６９．２２００８

９信息安全７

９．１公钥基础设施７

９．２系统时间校正７

９．３用户身份认证８

９．４接入设备认证８

９．５用户授权策略与权限管理８

９．６访问控制与业务审计９

９．７数据加密及数据完整性保护９

９．８安全域隔离９

附录（规范性附录）支持的证书格式定义

ＡＸ．５０９Ｖ３１０

附录（规范性附录）支持的证书撤销列表（）格式

ＢＸ．５０９Ｖ２ＣＲＬ１２

附录（资料性附录）数字证书和静态口令两种方式下的用户身份认证流程

Ｃ１３

参考文献１５

ㅤㅤㅤㅤ

Ⅱ

／—

犌犃犜６６９．２２００８

城市监控报警联网系统技术标准

第部分：安全技术要求

２

１范围

／的本部分规定了城市监控报警联网系统（简称联网系统）安全设计原则、安全技术体系

ＧＡＴ６６９

总体框架和认证及权限管理结构、物理安全、通信和网络安全、运行安全、信息安全等基本技术要求，是

进行城市监控报警联网系统安全建设规划、方案设计、工程实施、系统检测验收以及与之相关的系统设

备研发、生产的依据。

本部分适用于城市监控报警联网系统，其他领域的监控报警联网系统可参考采用。

２规范性引用文件

下列文件中的条款通过／的本部分的引用而成为本部分的条款。凡是注日期的引用文

ＧＡＴ６６９

件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成

协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本

部分。

／—中华人民共和国行政区划代码

ＧＢＴ２２６０２００７

／—世界各国和地区名称代码（：）

ＧＢＴ２６５９２０００ｅｖＩＳＯ３１６６１１９９７

ｑ

—信息技术设备的安全（ㅤㅤㅤㅤ：）

ＧＢ４９４３２００１ｉｄｔＩＥＣ６０９５０１９９９

／—数据元和交换格式信息交换日期和时间表示法（：，）

ＧＢＴ７４０８２００５ＩＳＯ８６０１２０００ＩＤＴ

／—信息安全技术信息系统通用安全技术要求

ＧＢＴ２０２７１２００６

—安全防范工程技术规范

ＧＢ５０３４８２００４

／—视频安防监控系统技术要求

ＧＡＴ３６７２００１

／—城市监控报警联网系统技术标准第部分：通用技术要求

ＧＡＴ６６９．１２００８１

／—城市监控报警联网系统技术标准第部分：信息传输、交换、控制技术要求

ＧＡＴ６６９．５２００８５

／—城市监控报警联网系统技术标准第部分：管理平台技术要求

ＧＡＴ６６９．７２００８７

ＲＦＣ３２８０Ｘ．５０９公钥证书和ＣＲＬ

３术语、定义和缩略语

／—中确立的以及下列术语、定义和缩略语适用于本部分。

ＧＡＴ６６９．１２００８

３．１术语和定义

３．１．１

公钥基础设施狌犫犾犻犮犽犲犻狀犳狉犪狊狋狉狌犮狋狌狉犲

狆狔

包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制证书的产生、管理、存储、分

发和撤销等功能。

３．１．２

公钥证书狌犫犾犻犮犽犲犮犲狉狋犻犳犻犮犪狋犲

狆狔

用户的公钥连同其他信息，并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。

３．１．３

证书认证机构犮犲狉狋犻犳犻犮犪狋犻狅狀犪狌狋犺狅狉犻狋

狔

负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥。

１

／—

犌犃犜６６９．２２００８

３．１．４

注册机构狉犲犻狊狋狉犪狋犻狅狀犪狌狋犺狅狉犻狋

犵狔

为用户办理证书申请、身份审核、证书下载、证书更新、证书注销以及密钥恢复等实际业务的办事机

构或业务受理点。

３．１．５

证书撤销列表犮犲狉狋犻犳犻犮犪狋犲狉犲狏狅犮犪狋犻狅狀犾犻狊狋

一个已标识的列表，它指定了一套证书发布者认为无效的证书。除了普通ＣＲＬ外，还定义了一些

特殊的ＣＲＬ类型用于覆盖特殊领域的ＣＲＬ。

３．１．６

权限管理系统狉犻狏犻犾犲犲犿犪狀犪犲犿犲狀狋狊狊狋犲犿

狆犵犵狔

为用户、角色分配权限，并保障其正确使用的系统。

３．１．７

安全管理系统狊犲犮狌狉犻狋犿犪狀犪犲犿犲狀狋狊狊狋犲犿

狔犵狔

负责对用户信息及安全事件进行管理并完成安全审计等功能的系统。

３．１．８

安全支撑平台狊犲犮狌狉犻狋狊狌狅狉狋犻狀犾犪狋犳狅狉犿

狔狆狆犵狆

完成用户身份认证及单点登录、设备接入认证、数字签名、数据加密和访问控制等功能的系统。

３．１．９

物理安全犺狊犻犮犪犾狊犲犮狌狉犻狋

狆狔狔

联网系统设备所处的物理环境的安全，是整个系统安全运行的前提。

ㅤㅤㅤㅤ

３．１．１０

运行安全狅犲狉犪狋犻狅狀狊犲犮狌狉犻狋

狆狔

网络与信息系统的运行过程和运行状态的安全。

３．１．１１

信息安全犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋

狔

信息在数据收集、存储、检索、传输、交换、显示、扩散等过程中的安全，使得在数据处理层面保障信

息依据授权使用，保护信息不被非法冒充、窃取、篡改、抵赖。

３．１．１２

安全子系统狊犲犮狌狉犻狋狊狌犫狊狊狋犲犿

狔狔

联网系统的一部分，包括公钥基础设施、权限管理系统、安全管理系统及安全支撑平台软硬件。

３．１．１３

安全域狊犲犮狌狉犻狋犱狅犿犪犻狀

狔

计算机网络中从属于单一安全策略、受单个授权机构管理的多个实体构成的集合。

３．２缩略语

ＡＥＳＡｄｖａｎｃｅｄＥｎｃｒｔｉｏｎＳｔａｎｄａｒｄ高级加密标准

ｙｐ

ＣＲＬＣｅｒｔｉｆｉｃａｔｅＲｅｖｏｃａｔｉｏｎＬｉｓｔ证书撤销列表

ＤＥＳＤａｔａＥｎｃｒｔｉｏｎＳｔａｎｄａｒｄ数据加密标准

ｙｐ

ＭＤ５ＭｅｓｓａｅＤｉｅｓｔＡｌｏｒｉｔｈｍ５信息摘要５

ｇｇｇ

ＮＴＰＮｅｔｗｏｒｋＴｉｍｉｎＰｒｏｔｏｃｏｌ网络时间协议

ｇ

／／公钥基础设施／认证机构

ＰＫＩＣＡＰｕｂｌｉｃＫｅＩｎｆｒａｓｔｒｕｃｔｕｒｅＣｅｒｔｉｆｉｃａｔｉｏｎＡｕｔｈｏｒｉｔ

ｙｙ

２

／—

犌犃犜６６９．２２００８

ＰＭＳＰｒｉｖｉｌｅｅＭａｎａｅｍｅｎｔＳｓｔｅｍ权限管理系统

ｇｇｙ

ＳＨＡＳｅｃｕｒｅＨａｓｈＡｌｏｒｉｔｈｍ安全哈希算法

ｇ

ＳＮＴＰＳｉｍｌｅＮｅｔｗｏｒｋＴｉｍｅＰｒｏｔｏｃｏｌ简单网络时间协议

ｐ

ＳＳＬＳｅｃｕｒｅＳｏｃｋｅｔＬａｅｒ安全套接字

ｙ

／／安全多用途网际邮件扩充协议

ＳＭＩＭＥＳｅｃｕｒｅＭｕｌｔｉｕｒｏｓｅＩｎｔｅｒｎｅｔＭａｉｌＥｘｔｅｎｓｉｏｎｓ

ｐｐ

ＴＳＡＴｉｍｅＳｔａｍＡｕｔｈｏｒｉｔ时间戳机构

ｐｙ

ＴＬＳＴｒａｎｓｏｒｔＬａｅｒＳｅｃｕｒｉｔ传输层安全

ｐｙｙ

ＵＲＬＵｎｉｆｏｒｍＲｅｓｏｕｒｃｅＬｏｃａｔｏｒ统一资源定位符

ＶＰＮＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ虚拟专用网络

４联网系统安全设计原则

４．１规范性原则

联网系统安全设计应符合国家或行业相应的安全标准。

４．２先进性和实用性原则

联网系统安全设计应采用先进的设计思想和方法，尽量采用国内、外先进技术（例如：主动防御技术

等）。所采用的先进技术应符合当地环境条件、监视对象、监控方式、维护保养以及投资规模等实际情

况；应合理设置系统功能、恰当进行系统配置和设备选型，保证其具有较高的性价比，满足业务管理的

需求。

４．３可扩展性原则

联网系统安全设计应考虑通用性、灵活性，以便利用现有资源及应用升级。

４．４开放性和兼容性原则