ICS35.020L70（DigitalGovernmentVideoCloudNetworkBoundarySecurit廣東省數字安全協會發布T/DSAG001-2025 II 12規范性引用文件 13術語和定義 14符號與縮略語 25數字政府視頻云網邊界安全交互系統架構 5.1數字政府視頻云網邊界安全交互體系 25.2橫向視頻云網邊界安全交互系統功能架構 5.3縱向視頻云網邊界安全交互系統功能架構 6視頻云網邊界安全能力要求 6.1訪問控制 6.2設備準入控制 6.3統一威脅防護 6.4抗DDoS攻擊防護 6.5安全加固 6.6惡意代碼防護 6.7簽名驗簽 6.8協議識別 6.9內容過濾 6.10流量管控 6.11服務認證 6.12信令安全 6.13媒體安全 6.14單向導入/導出 6.15雙向隔離 6.16業務審計 6.17集中監控 T/DSAG001-2025本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。本文件由廣東省數字安全協會歸口管理。本文件起草單位：深信服科技股份有限公司、杭州迪普科技股份有限公司、廣州天懋信息系統股份有限公司、杭州安恒信息技術股份有限公司、廣州智臣信息科技有限公司、廣東科城信服信息技術有限公司。本文件主要起草人：常曉宇、常偉、鄒凱、何銳堅、呂濤、黃福印、曾磊、趙陽、劉吉林、武進、劉俊強、王景。T/DSAG001-2025數字政府視頻云網邊界安全技術標準本文件規定了廣東省數字政府視頻云網邊界的安全策略和能力要求等。本文件適用于廣東省數字政府各部門云網邊界安全交互的規劃設計、部署實施、檢測驗收和運行維護。2規范性引用文件下列文件對于本標準的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本標準。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標準。GB/T22239-2019信息安全技術網絡安全等級保護基本要求GW0205-2014國家電子政務外網跨網數據安全交換技術要求與實施指南GW0206-2014接入政務外網的局域網安全技術規范GB/T28181公共安全視頻監控聯網系統信息傳輸、交換、控制技術要求GB35114公共安全視頻監控聯網信息安全技術要求GA/T1788.1-2021公安視頻圖像信息系統安全技術要求第1部分:通用要求GA/T1788.3-2021公安視頻圖像信息系統安全技術要求第3部分:安全交互3術語和定義下列術語和定義適用于本文件。數字政府視頻監控平臺videosurveillanceplatformfordigitalgovernment由部門或行業建設的、實現視頻圖像聯網并提供視頻監控綜合管理服務的軟件和硬件。數字政府視頻共享交換平臺videosharingandexchangingplatformfordigitalgovernment對各部門視頻監控平臺的實時視頻流（或錄像文件）進行接入和共享交換的軟件與硬件。視頻云網邊界安全交互系統boundarysecurityinteractivesystemforvideocloudnetwork在數字政府視頻網絡邊界建立的實現視頻圖像信息交互安全機制的軟件與硬件。橫向視頻云網邊界安全交互系統horizontalbordersecurityinteractionsystem數字政府視頻共享交換平臺與其他數字政府視頻監控平臺互聯時建立信息交互安全機制的軟件與硬件。縱向視頻云網邊界安全交互系統verticalaccesssecurityinteractionsystem數字政府視頻共享交換平臺縱向級聯時建立信息交互安全機制的軟件與硬件。物理隔離Physicalisolation物理隔離是指采用物理方法將不同安全等級網絡隔離從而避免入侵或信息泄露風險的技術手段。邏輯隔離Logicisolation邏輯隔離是指采用技術方法將不同安全等級網絡隔離從而避免入侵或信息泄露風險的技術手段，被隔離的兩端仍然存在物理上數據通道連線。2T/DSAG001-20254符號與縮略語下列縮略語適用于本文件。API：應用程序接口（ApplicationProgrammingInterface）DDoS：分布式拒絕服務（DistributedDenialofService）FTP：文件傳輸協議（FileTransferProtocol）ID：身份標識（IdentityDocument）IP：因特網協議（InternetProtocal）JDBC：Java數據庫連接（JavaDatabaseConnectivity）MAC：媒體存取控制位址（MediaAccessControlAddress）SNMP:簡單網絡管理協議（SimpleNetworkManagementProtocol）Syslog:系統記錄（Syslog）TCP:傳輸控制協議（TransmissionControlProtocol）UDP:用戶數據報協議（UserDatagramProtocol）SIP:會話初始協議(SessionInitiationProtocol)5數字政府視頻云網邊界安全交互系統架構5.1數字政府視頻云網邊界安全交互體系視頻云網邊界安全交互系統分為橫向視頻云網邊界安全交互系統和縱向視頻云網邊界安全交互系統，結構框圖見圖1。數字政府視頻共享交換平臺應設置橫向視頻云網邊界安全交互系統，通過電子政務外網對接同級部門或行業視頻監控平臺，對橫向視頻交換進行安全防護。支持互聯網、與互聯網邏輯隔離網絡、與互聯網物理隔離網絡等網絡類型。上級數字政府視頻共享交換平臺應設置縱向視頻云網邊界安全交互系統，通過電子政務外網縱向級聯下級數字政府視頻共享交換平臺，對跨級視頻交換進行安全防護。縱向視頻云網邊界安全交互系統不隔離路由，上下級系統之間應用路由可達。縱向連接應采用符合GB/T28181、GB35114-2017等的視頻流和其他必要的遠程訪問、運維和安全服務的交互。3T/DSAG001-2025圖1視頻云網邊界安全交互系統結構框圖5.2橫向視頻云網邊界安全交互系統功能架構5.2.1功能架構橫向視頻云網邊界安全交互系統功能架構見圖2，共包含五個安全域：路由接入區、邊界保護區、應用服務區、安全隔離區和安全監測與管理區，每個安全區域實現不同的安全功能。4T/DSAG001-2025圖2橫向視頻云網邊界安全交互系統功能架構圖5.2.2路由接入區路由接入區將各外部鏈路與橫向視頻云網邊界安全交互系統連接。實現路由訪問控制，將來自不同接入對象或不同外部鏈路的視頻流按照不同的安全策略加以區分，對于互聯網接入應支持抗DDOS攻擊能力。5.2.3邊界保護區邊界保護區主要實現對橫向視頻云網邊界安全交互系統的邊界保護，應支持的主要安全功能為：實現訪問控制、設備準入和統一威脅防護，包括網絡入侵防護和網絡惡意代碼防護等安全能力。5.2.4應用服務區應用服務區主要處理各類與應用相關的操作，是對外信息發布、信息采集和數據交換的中間區域，應支持數據暫存、安全加固、惡意代碼防護等功能。在視頻交換中，一般不強制要求建立應用服務區。5.2.5安全隔離區5T/DSAG001-2025安全隔離區實現數字政府視頻共享交換平臺與互聯網、與互聯網邏輯隔離網絡、與互聯網物理隔離網絡內的數字政府視頻監控平臺之間的安全隔離與信息交換，主要包括：a)針對互聯網視頻接入和共享，安全隔離區提供單向導入、單向導出、簽名驗簽、協議識別、內容過濾、流量管控、服務認證、信令安全、媒體安全等安全能力。其中視頻流采用單向傳輸的方式。b)針對與互聯網邏輯隔離網絡的視頻交換，安全隔離區提供雙向隔離、簽名驗簽、協議識別、內容過濾、流量管控、服務認證、信令安全、媒體安全等安全能力。c)針對與互聯網物理隔離網絡的視頻交換，安全隔離區提供設備認證、簽名驗簽、協議識別、內容過濾、流量管控、服務認證、信令安全、媒體安全等安全能力。與互聯網物理隔離網絡與數字政府視頻共享交換平臺互聯時，可根據實際需要選擇是否采用安全隔離設備進行網絡隔離。5.2.6安全監測與管理區安全監測與管理區實現橫向視頻云網邊界安全交互系統的業務審計、集中監管與級聯上報等。應支持以下主要安全功能：a)對各個安全組件的日志和交換業務日志進行采集；b)對橫向視頻云網邊界安全交互系統的資產信息、安全基線、策略配置、運行狀態進行集中監控；c)向上級平臺級聯上報本級系統的數據。5.3縱向視頻云網邊界安全交互系統功能架構5.3.1功能架構縱向視頻云網邊界安全交互系統劃分為安全防護區和安全監測與管理區，系統功能架構見圖3。圖3縱向視頻云網邊界安全交互系統功能架構圖5.3.2安全防護區安全防護區應支持下級數字政府視頻共享交換平臺與上級數字政府視頻共享交換平臺進行可控的信息交換，應滿足以下要求：a)對下級數字政府視頻共享交換平臺，安全防護區提供訪問控制、統一威脅防護、設備準入、協6T/DSAG001-2025議識別和流量管控等安全能力，應支持符合GB/T28181、GB35114-2017等的視頻流和其他必要的遠程訪問、運維和安全服務協議的交互。b)社會視頻資源前端設備采用專線方式與數字政府視頻共享交換平臺直接互聯時，宜采用社會資源安全聯網設備與平臺相連。5.3.3安全監測與管理區安全監測與管理區應實現縱向視頻云網邊界安全交互系統的業務審計、集中監管與級聯上報等,可以與橫向視頻云網邊界安全交互系統共用，滿足以下安全功能要求：a)支持對各個安全組件的日志和交換業務日志進行采集；b)支持對縱向視頻云網邊界安全交互系統的資產信息、安全基線、策略配置、運行狀態進行集中監控；c)支持向上級平臺級聯上報本級系統的數據。6視頻云網邊界安全能力要求6.1訪問控制應支持通過基于會話的防護規則實現網絡訪問控制。對不符合規則的訪問，系統應進行攔截并發出告警。6.2設備準入控制設備準入控制滿足以下要求：c)應支持全流量的檢測及處理能力，對非授權設備的信令和媒體流量進行實時阻斷并發出告警；d)應支持接入平臺的信息注冊，注冊信息應包括設備IP/MAC、設備ID、設備屬性等信息；e)應具備實時阻斷重放攻擊、中間人攻擊等攻擊的能力；f)準入控制設備宜支持通過公鑰基礎設施為設備頒發身份證書，確保經過核驗的設備具有公鑰基礎設施頒發的設備身份證書；g)宜支持采集接入設備的硬件信息、操作系統補丁狀態、病毒庫、進程、注冊表、賬戶等信息，為信任評估提供實時準確的設備環境信息；h)宜通過環境感知或基于硬件安全模塊的環境完整性度量等技術，感知設備運行環境和狀態的能6.3統一威脅防護支持通過檢測、阻斷、限流、審計報警等防御手段，對蠕蟲、后門、木馬、間諜軟件、Web攻擊、APT等攻擊形式進行有效防御。6.4抗DDoS攻擊防護支持通過指紋特征識別，攻擊源認證，智能協議分析等多種手段有效地阻斷各種帶寬型Flood攻擊、連接型慢速攻擊及針對SIP應用的DDoS攻擊。6.5安全加固通過補丁修復、安裝腳本、調整配置等方式增強系統的健壯性，防范或阻斷惡意攻擊，提升系統安全性。7T/DSAG001-20256.6惡意代碼防護支持通過惡意代碼檢測引擎和惡意代碼庫的技術融合，對惡意代碼進行高效檢測和防御。6.7簽名驗簽簽名驗簽應滿足以下要求：a)應采用統一密鑰基礎設施簽發的數字證書對視頻信源進行簽名驗簽，確保視頻信源的真實性、完整性和不可抵賴性；b)應支持對統一密鑰基礎設施的驗簽服務進行接口調用，對視頻信源進行簽名驗證；c)應支持對無簽名或簽名驗證失敗的視頻信源進行攔截丟棄，并進行日志報警。6.8協議識別支持對指定協議的信令和視頻流基于安全策略進行格式檢查，對不符合格式的信令和視頻流進行攔截丟棄，并發出進行告警。6.9內容過濾內容過濾應滿足以下要求：a)支持對指定協議的信令和數據流基于安全策略進行內容過濾，對含有敏感信息的信令進行阻斷，并發出日志報警；b)縱向安全服務交互系統應支持對API請求/響應報文數據基于安全策略進行內容過濾，對含有敏感信息的API報文數據進行阻斷，并發出日志報警。6.10流量管控支持對視頻流量進行監測，以規則或統計基線判定異常并實施控制并發出告警。6.11服務認證縱向視頻云網邊界安全交互系統服務認證應滿足以下要求：a)支持通過鑒權方式對服務調用方進行身份認證，認證憑證包括數字證書、口令密碼、動態令牌b)支持對服務調用方進行權限控制，確保最小授權；c)支持對服務提供注冊、編目、查詢、變更、注銷等功能。6.12信令安全支持采用信令加簽、信令加密等手段保證信令協議自身安全，抵御信令被篡改、夾帶、竊聽等安全風險。6.13媒體安全支持采用媒體流加簽、媒體流加密等手段保證媒體流協議自身安全，抵御媒體流被篡改、夾帶、竊聽等安全風險。6.14單向導入/導出單向導入/導出應滿足以下要求：a)應采用物理光通路建立單向傳輸通道，確保無任何反向通道；b)應對視頻流單向傳輸過程提供完整的日志記錄；8T/DSAG001-2025c)單向導入/導出設備應提供身份鑒別、訪問控制等基礎能力。d)單向導入/導出設備應支持通過標準管理接口、應用服務或協議，實現與第三方集中監控與管理系統的級聯與接入管理。6.15雙向隔離雙向隔離應滿足以下要求：a)應通過擺渡方式連