ICS35.240

CCSL70

備案號：94918-2023

DB11

北京市地方標準

DB11/T2040—2022

信息安全技術燈光秀系統網絡安全防護規

范

Informationsecuritytechnology-Securityprotectionspecificationfor

lightshowsystem

2022-12-27發布2023-04-01實施

北京市市場監督管理局發布

DB11/T2040—2022

信息安全技術燈光秀系統網絡安全防護規范

1范圍

本文件規定了燈光秀區域級別、燈光秀系統安全保護基本要求及網絡安全評估環節應實現的安全

防護規范。

本文件適用于以建（構）筑物為載體的燈光秀系統的規劃、設計、建設、運行維護和監督管理，

其他載體類型的燈光秀系統可參照執行。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，標注日期的引用

文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）

適用于本文件。

GB/T22239信息安全技術網絡安全等級保護基本要求

GB/T25070信息安全技術網絡安全等級保護安全設計技術要求

GB/T39786信息安全技術信息系統密碼應用基本要求

3術語和定義

下列術語和定義適用于本文件。

3.1

燈光秀lightshow

一種以燈光為主體，將文字、圖形、視頻信息通過燈光照明或光影成像技術來表現的城市公共空

間綜合藝術展示活動。

3.2

燈光秀系統lightshowsystem

由相關的控制設備及配套設施（含網絡）構成，能對文字、圖案和視頻進行加工、存儲、傳輸、

控制、展示等處理，并以燈光為主的多媒體方式進行展示的系統。

4燈光秀區域級別

根據燈光秀系統載體所處區域的活動性質，分為以下三個級別：

——A級：國家級的重大活動區域；

——B級：市級的重大活動區域；

——C級：除A、B級以外的其他區域。

1

DB11/T2040—2022

5燈光秀系統安全保護基本要求

5.1一般要求

5.1.1燈光秀系統組成參見附錄A。

5.1.2網絡安全保護等級要求如下：

燈光秀系統運營者在設計、建設燈光秀系統時應根據燈光秀設置區域的等級，開展相應的網絡安

全等級保護工作。具體防護要求如下：

a)對于部署在A級區域的燈光秀系統，網絡安全保護等級應不低于GB/T22240中的第三級；

b)對于部署在B級區域的燈光秀系統，網絡安全保護等級應不低于GB/T22240中的第二級；

c)對于部署在C級區域的燈光秀系統，網絡安全保護等級宜參照B級區域執行。

5.1.3燈光秀系統安全防護基本要求應符合GB/T22239、GB/T25070的相關要求。

5.2安全防護

5.2.1安全管理要求

5.2.1.1應設置專門的網絡安全管理機構，負責建立完善網絡安全管理制度。

5.2.1.2應制定網絡安全責任制度，設立主要負責人，明確相關安全責任人，包括內部人員、外部人

員的安全角色和安全職責。

5.2.1.3安全管理機構應設置系統管理、網絡管理、安全管理等崗位。

5.2.1.4應圍繞安全組織與人員、數據安全、系統和通信保護、審計、維護、系統開發與供應鏈安

全、訪問控制、配置管理等方面開展安全防護活動。

5.2.1.5應制定資產管理、監測預警、安全運維相關管理制度及相應安全策略和操作規程，定期更

新，并采取相應的安全技術措施。

5.2.1.6應每年定期開展安全檢查，在舉辦重大活動前開展專項網絡安全檢查。

5.2.2安全技術要求

5.2.2.1應根據承載業務的重要程度，實施分區分域管理，制定不同的安全策略，避免燈光秀系統及

其資產、網絡遭受未經授權的訪問，防止重要數據泄露或者被竊取、篡改。

5.2.2.2應使用經運營者授權和安全評估的軟硬件，并應建立計算機病毒和網絡入侵防范機制。

5.2.2.3應建立網絡準入控制機制，嚴格限制未授權的臨時設備接入。

5.2.2.4應采取網絡安全審計措施，監測、記錄系統運行、操作、故障維護等行為，并留存相關日

志，對遠程運維的行為要進行嚴格的控制和審計。相關的系統、網絡設備日志留存不少于6個月。

5.2.2.5應對系統和數據備份，制定備份策略，規定備份頻率，并定期執行數據備份。

5.2.2.6燈光秀系統網絡部署情況分為局域網、運營商虛擬專用網，如果與其他外部網絡有信息交

換，應增加安全邊界防護。具體防護要求如下：

a)局域網防護要求：燈光秀系統所連接的網絡環境應受控，且相對獨立，與其他無關或不可控網

絡應保持隔離；應通過身份鑒別、IP/MAC地址綁定、端口限制等技術手段加強總控端及節點端

之間的訪問控制；

b)運營商虛擬專用網防護要求：燈光秀系統通過運營商虛擬專用網，應采取加密通道或電子簽名

校驗機制。運營商網絡應至少滿足或者高于所承載系統的網絡安全保護等級，以使燈光秀系統

運行在安全可靠的虛擬專用網絡；

c)混合組網防護要求：應通過IP/MAC地址綁定、端口限制等技術手段加強總控端及節點端之間的

訪問控制，通過加密通道或電子簽名校驗機制。燈光秀平臺防護應參照GB/T22239安全計算環

2

DB11/T2040—2022

境相關要求，從身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范5個方面，加強燈

光秀平臺安全防護。

5.2.2.7節點端防護應滿足如下要求：

a)節點服務器安全應符合GB/T22239安全計算環境相關要求；

b)數據分配器安全應在符合GB/T22239安全計算環境相關要求基礎上，滿足播控系統端綁定分控

ID，ID具有唯一性。

c)校時服務器安全應在符合GB/T22239安全計算環境相關要求基礎上，明確主備兩套校時系統；

將故障信息報送總控端處理，并啟動應急預案。

d)節點端設備箱安全應在符合GB/T22239安全計算環境相關要求基礎上，增加防盜裝置。

5.2.3安全運營要求

5.2.3.1業務連續性要求：

a)應制定并實施業務連續性計劃,A級區域燈光秀系統應具備主系統主從熱備份以及雙路由的應急

措施；

b)應設置重要系統和數據處理設施冗余，滿足系統可用性要求；

c)在展示內容前，應將燈光秀節點端與燈光秀平臺的時間進行同步校對。

5.2.3.2可控維護要求：

a)應采取審批和監視維護措施，包括現場維護和遠程維護；

b)在將燈光秀平臺設備轉移到非現場進行維護前，應獲得安全責任人的批準，并對數據存儲設備

進行凈化，清除數據存儲設備中的信息；

c)在對燈光秀平臺設備、網絡和系統進行維護后，應檢查可能受影響的安全措施，以確認其仍正

常發揮功能。

5.2.3.3維護人員要求：

a)建立對維護人員的授權流程，對已獲授權的人員建立列表；應明確維護人員的責任，規定維護

的時限；

b)授權維護人員可單獨進行系統維護；未授權人員應在授權人員陪同與監管下開展維護活動。

5.2.4供應鏈安全要求

5.2.4.1應建立供應鏈安全管理制度，在采購、使用網絡產品和服務時，應明確提供者的安全責任和

義務。

5.2.4.2明確網絡產品和服務的提供者應采取措施保護供應鏈相關信息，包括網絡產品和服務的用

途、安全需求、信息系統或組件配置等。

5.2.5安全培訓要求

5.2.5.1應建立網絡安全教育培訓制度，培訓內容應包含燈光秀系統各組成部分的網絡安全操作規范

和燈光秀平臺網絡安全設備配置規范等。

5.2.5.2針對燈光秀系統運營人員應定期開展燈光秀系統網絡安全培訓，網絡安全教育培訓內容應包

括網絡安全相關制度和規定、網絡安全保護技術、網絡安全風險意識、燈光秀系統網絡安全操作和燈

光秀平臺網絡安全設備配置等。

5.3燈光秀系統監測

5.3.1燈光秀系統監測應對總控端、節點端的設備運行狀態進行實時監測，能夠及時發現故障或攻擊

行為，并對攻擊事件進行實時分析。

3

DB11/T2040—2022

5.3.2燈光秀系統在運行期間應對其控制設備和軟件實時在線狀態進行監測，發生離線故障應能主動

上報。

5.3.3燈光秀系統宜監測節點端實時播放畫面，以便運營人員核查播放內容，發現畫面異常應及時做

出應急處置。

5.3.4A級區域燈光秀系統應監測設備的鎖定狀態，避免通過移動硬盤、U盤等外設拷入違規視頻。

5.4應急保障

5.4.1應急預案

應符合以下要求：

a)應根據燈光秀不同區域級別制定燈光秀特殊網絡安全事件場景制定應急處置預案，并建立應急

人員名單，包括聯系人、聯系方式；

b)應將應急預案向相關人員、角色或部門進行通報；

c)應定期評估修訂應急預案，當本組織的管理架構、燈光秀系統運行環境發生變更時，及時更新

網絡安全事件應急預案；

d)燈光秀系統發生變更或在實施、執行或測試中遇到問題，應及時修改應急預案并向相關人員、

角色或部門及用戶進行通報；

e)在發生安全事件時，應確保應急處置預案的實施能夠維持燈光秀系統基本業務功能，并能最終

完全恢復且不減弱原來的安全措施；

f)應明確專門的網絡安全應急支撐隊伍、專家隊伍，保障網絡安全事件得到及時有效處置。

5.4.2應急演練

應符合以下要求：

a)應依據燈光秀系統應急預案定期和在重大活動開始之前開展應急演練；

b)應記錄和核查應急演練結果，并根據需要修正應急預案；

c)應保存演練記錄、演練總結報告等。

5.4.3應急處置

5.4.3.1事件報告應包括但不僅限于以下內容：

a)應及時報告燈光秀系統運行過程中的可疑事件；

b)應評估可疑事件，判斷其是否屬于網絡安全事件；

c)應建立事件報告流程，當發生影響較大的安全事件時，按規定及時將事件信息報送有關部門，

內容應至少包括事件描述、處置措施、當前態勢、需要的外部支持等信息；

d)應收集和保存可用作證據的信息。

5.4.3.2事件處置應包括但不僅限于以下內容：

a)在事件發生后應立即啟動應急預案，及時處置網絡攻擊、網絡入侵等安全風險，排查系統漏

洞、計算機病毒；

b)協調應急響應活動與事件處理活動，必要時向主管部門、服務提供商等進行通報；

c)應當前事件處理活動的經驗納入事件處理、培訓及演練計劃，并實施相應的變更。

5.4.3.3處置支持應包括但不僅限于以下內容：

a)應提供事件處理所需的各類資源，為處理、報告安全事件提供咨詢和幫助；

b)應與主管部門、服務提供商等建立協作機制，以便在應對處置突發事件時予以支持協助。

6網絡安全評估和整改

4

DB11/T2040—2022

6.1非臨時性的燈光秀系統每年應至少進行一次網絡安全評估，A級區域應在重大活動開展前完成網

絡安全評估工作。

6.2評估內容包括但不限于網絡安全制度執行情況、組織機構建設情況、教育培訓情況、安全防護情

況、風險評估情況、應急演練情況，以及滲透測試、漏洞掃描、惡意代碼檢測、密碼應用安全性評估

等。

6.3應通過訪談、配置核查和工具測試開展網絡安全評估。

6.4根據安全評估情況，有針對性地對燈光秀系統進行安全整改。

5

DB11/T2040—2022

附錄A

(資料性）

燈光秀系統組成

A.1概述

燈光秀系統由燈光秀平臺和配套的設備、設施（含網絡）構成，能對文字、圖案和視頻進行加

工、存儲、傳輸、展示等處理，并以燈光手段為主的多媒體方式按照特定的順序進行展示的系統。主

要包含總控端（控制中心）、通訊鏈路（網絡運營商虛擬專網）及節點端（現場設備）三個部分。

A.2概述及組成

總控端是負責實現燈光秀整體效果的調整、同步、控制以及數據和文件的總存貯。燈光秀平臺部署

于總控端，總控端發布命令，可實現對燈光秀全范圍的燈光實施控制；總控端基本上是由下列設備組成：

平臺顯示大屏、平臺客戶端、應用服務器、數據服務器、文件服務器、網絡安全服務器、校時服務器、

電源保障設備、核心交換機、核心路由器、網絡防火墻。

節點端是位于需要進行燈光秀聯控的LED燈具安裝的建（構）筑物載體內，負責實現對本地數據分

配器的控制；節點服務器接受燈光秀平臺控制命令，傳送控制數據到數據分配器進行解碼發布視頻數據。

節點端基本上是由下列設備組成：節點服務器、數據分配器、校時服務器、多功能路由器、交換機。

網絡運營商虛擬專網，運營商利用已建成的網絡系統提供虛擬專網服務。

系統組成見圖A.1。

A.3功能與關系

燈光秀系統主要分為總控端和節點端，根據業務系統具體情況確定其網絡安全保護等級，并應配置

相應的網絡安全防護設備。

總控端：通過用戶管理賬戶與權限密碼在總控平臺客戶端登錄，對整個燈光秀平臺系統進行設置、

調整，通過服務器對整個系統進行聯動控制，并分配角色和控制權限；通過固定IP方式接入互聯網，實

現總控端與各節點端的連接服務，實時檢查各節點端的連接狀態和工作狀態。

節點端：通過網絡與總控端的服務器建立連接，由總控端進行整體、編組及單體等多種聯動控制，

并實現對各個節點端的效果文件更新、程序升級及系統狀態檢測等功能。完成本地節點端的數據下載與

發送數據到數據分配器，并通過數據分配器對控制對象進行有效的控制。主要控制對象為可調光的LED

點光源、線條燈、洗墻燈、激光燈、光束燈、投影機等效果燈具，以及音響等其它多媒體設備。

節