ICS 35.240 CCS L 70 DB11 北京市地方标准 DB11/T 2040—2022 信息安全技术 灯光秀系统网络安全防护规 范 Information security technology- Security protection specification for light show system 2022 - 12 - 27发布 2023 - 04 - 01实施 北京市市场监督管理局 发布 DB11/T 2040—2022 I 目 次 目次.................................................................................. I 前言................................................................................. II 1范围 ................................................................................ 1 2规范性引用文件 ...................................................................... 1 3术语和定义 .......................................................................... 1 4灯光秀区域级别 ...................................................................... 1 5灯光秀系统安全保护基本要求 .......................................................... 2 6网络安全评估和整改 .................................................................. 4 附录A (资料性）灯光秀系统组成 ........................................................ 6 参考文献 .............................................................................. 8 DB11/T 2040—2022 II 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件由北京市公安局提出并归口。 本文件由北京市公安局、北京市城市管理委员会共同组织实施。 本文件起草单位：北京市公安局网络安全保 卫总队、北京交通大学、中国电子技术标准化研究院、 北京软件产品质量检测检验中心 、利亚德光电股份有限公司、利亚德照明股份有限公司、深信服科技股 份有限公司。 本文件主要起草人：杜宏波、郭毅、问闻、赵大鹏、周永战、欧阳静茜、吕孝进、闫长生、陈益、 刘一昆、马荣欣、王薇、王彬、金镁、齐际、牟家刘、赵俊平、韩亮、郝晓航、王坤、郭剑虹、周翯、 白建军、徐有荪、李仕民、刘莉、常育超。 DB11/T 2040—2022 1 信息安全技术 灯光秀系统网络安全防护规范 1 范围 本文件规定了灯光秀区域级别、灯光秀系统安全保护基本要求 及网络安全评估环节应实现的安全 防护规范。 本文件适用于以建（构）筑物为载体的灯光秀系统的规 划、设计、建设、运行维护和监督管理， 其他载体类型的灯光秀系统可参照执行。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标注日期的引用 文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单） 适用于本文件。 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求 GB/T 39786 信息安全技术 信息系统密码应用基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 灯光秀light show 一种以灯光为主体，将文字、图形、视频信息通过灯光照明或光影成像技术来表现的城市公共空 间综合艺术展示活动。 3.2 灯光秀系统 light show system 由相关的控制设备及配套设施（含网络）构成，能对文字、图案和视频进行加工、存储、传输、 控制、展示等处理，并以灯光为主的多媒体方式进行展示的系统。 4 灯光秀区域级别 根据灯光秀系统载体所处区域的活动性质，分为以下三个级别： ——A级：国家级的重大活动区域； ——B级：市级的重大活动区域； ——C级：除A、B级以外的其他区域。 DB11/T 2040—2022 2 5 灯光秀系统安全保护基本要求 5.1 一般要求 5.1.1 灯光秀系统组成参 见附录A。 5.1.2 网络安全保护等级要求如下： 灯光秀系统运营者在设计、建设灯光秀系统时应根据灯光秀设置区域的等级，开展相应的网络安 全等级保护工作。具体防护要求如下： a) 对于部署在A级区域的灯光秀系统 ，网络安全保护等级应不低于GB/T 22240中的第三级； b) 对于部署在B级区域的灯光秀系统 ，网络安全保护等级应不低于GB/T 22240中的第二级； c) 对于部署在C级区域的灯光秀系统 ，网络安全保护等级宜参照B级区域执行。 5.1.3 灯光秀系统安全防护基本要求应符合GB/T 22239、GB/T 25070的相关要求。 5.2 安全防护 5.2.1 安全管理要求 5.2.1.1 应设置专门的网络安全管理机构，负责建立完善网络安全管理制度。 5.2.1.2 应制定网络安全责任制度，设立主要负责人，明确相关安全责任人，包括内部人员、外部人 员 的安全角色和安全职责。 5.2.1.3 安全管理机构应设置系统管理、网络管理、安全管理 等岗位。 5.2.1.4 应围绕安全组织与人员、数据安全、系统和通信保护、审计、维护、系统开发与供应链安 全、访问控制、配置管理等方面开展安全防护活动。 5.2.1.5 应制定资产管理、监测预警、安全运维相关管理制度及相应安全策略和操作规程，定期更 新，并采取相应的安全技术措施。 5.2.1.6 应每年定期开展安全检查，在举办重大活动前开展专项网络安全检查。 5.2.2 安全技术要求 5.2.2.1 应根据承载业务的重要程度，实施分区分域管理 ，制定不同的安全策略，避免灯光秀系统及 其资产、网络遭受未经授权的访问，防止重要数据泄露或者被窃取、篡改。 5.2.2.2 应使用经运营者授权和安全评估的软硬件，并应建立计算机病毒和网络入侵防范机制。 5.2.2.3 应建立网络准入控制机制，严格限制未授权的临时设备接入。 5.2.2.4 应采取网络安全审计措施，监测、记录系统运行、操作、故障维护等行为，并留存相关日 志，对远程运维的行为要进行严格的控制和审计。相关的系统、网络设备日志留存不少于6个月。 5.2.2.5 应对系统和数据备份，制定备份策略，规定备份频率，并定期执行数据备份。 5.2.2.6 灯光秀系统网络部 署情况分为局域网、运营商虚拟专用网，如果与其他外部网络有信息交 换，应增加安全边界防护。具体防护要求如下： a) 局域网防护要求：灯光秀系统 所连接的网络环境应受控，且相对独立，与其他无关或不可控网 络应保持隔离；应通过身份鉴别、IP/MAC地址绑定、端口限制等技术手段加强总控端及节点端 之间的访问控制； b) 运营商虚拟专用网防护要求：灯光秀系统 通过运营商虚拟专用网，应采取加密通道或电子签名 校验机制。运营商网络应至少满足或者高于所承载系统的网络安全保护 等级，以使灯光秀系统 运行在安全可靠的虚拟专用网络； c) 混合组网防护要求：应通过IP/MAC地址绑定、端口限制等技术手段加强总控端及节点端之间的 访问控制，通过加密通道或电子签名校验机制。灯光秀平台防护应参照GB/T 22239安全计算环 DB11/T 2040—2022 3 境相关要求，从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范5个方面，加强灯 光秀平台安全防护。 5.2.2.7 节点端防护应满足如下要求： a) 节点服务器安全应符合GB/T 22239安全计算环境相关要求； b) 数据分配器安全应在符合GB/T 22239安全计算环境相关要求基础上，满足播控系统端绑定分控 ID，ID具有唯一性。 c) 校时服务器安全应在符合GB/T 22239安全计算环境相关要求基础上，明确主备两套校时系统； 将故障信息报送总控端处理，并启动应急预案。 d) 节点端设备箱安全应在符合GB/T 22239安全计算环境相关要求基础上，增加防盗装置。 5.2.3 安全运营要求 5.2.3.1 业务连续性要求： a) 应制定并实施业务连续性计划,A级区域灯光秀系统 应具备主系统主从热备份以及双路由的应急 措施； b) 应设置重要系统和数据处理设施冗余，