视频网安全保障整体建设方案
GA视频专网安全保障整体建设方案
建设方案
XX公司
目录
1.1.背景分析 3
1.2.安全新挑战 4
1.3.总体思路 4
1.4.建设目标 5
二.安全需求分析 5
2.1.面临的安全风险 5
2.2.视频专网安全需求 7
三.视频专网安全保障系统解决方案 8
3.1.系统组成 8
3.2.系统功能 8
3.2.1.视频专网安全监管系统 8
3.2.2.移动介质管理系统 9
3.2.3.网络接入控制系统 11
3.2.4.网络边界感知系统 12
3.2.5.视频监控运维报警系统 13
3.2.6.XX视频监控智能箱系统 14
3.2.7.可视化展示系统 17
四.系统特点 18
五.产品部署 19
概述
背景分析
党的十八大报告强调“要深化平安建设,完善立体化社会治安防控体系”。年6月,全国第一批50个公共安全视频监控建设联网应用工作示范城市先行先试;年10月,全国综治“江西会议”,孟建柱书记再次指出,完善社会治安防控体系,核心是提高整体效能,中央已将公共安全视频监控系统建设纳入“十三五”规划和国家安全保障能力建设规划,部署开展“雪亮工程”建设。
发改高技[]号文件指出,公共安全视频监控建设联网应用,是新形势下维护国家安全和社会稳定、预防和打击暴力恐怖犯罪的重要手段,对于提升城乡管理水平、创新社会治理体制具有重要意义。近年来,各地大力推进视频监控系统建设,在打击犯罪、治安防范、社会管理、服务民生等方面发挥了积极作用。但随着视频监控建设应用不断深入,现有法律法规不完善、统筹规划不到位、联网共享不规范、管理机制不健全等问题日益突出,严重制约了立体化社会治安防控体系建设发展。同时文件并提出严密安全措施,按照国家相关规定,加强网络安全传输、系统安全保障、重要信息安全管理等技术手段建设,提升公共安全视频监控系统安全防护能力。严格公共视频图像信息的使用管理,完善安全技术措施,确保安全共享、规范使用。在涉及国家安全、国家秘密的特殊领域开展公共安全视频监控建设应用工作,要严格安全准入机制,选用安全可控的产品设备和符合要求的专业服务队伍。
目前,视频专网基础建设多为运营商代建,视频专网通过边界安全平台与GA信息网进行数据交换。网络传输通道主要由电信、移动等运营商提供。海量视频数据存储在GA机房。但是,GA视频专网的建设和应用快速发展的同时,视频专网安全建设相对滞后;在前期的GA视频专网建设中,普遍存在“重应用,轻安全”的情况。GA视频专网的应用非常丰富,承载了治安监控、道路监控、指挥调度、打击犯罪、社会管理、服务群众等大量的业务功能,而GA视频专网的安全建设基本处于空白状态,存在极大的安全隐患。
结合视频专网规模大、分布广,且前端设备大都部署在藏区、道路、街区等无人值守场所和极易被恶意侵入的公共场所等这些特点,网络整体面临的安全风险越来越突出,视频专网必须迅速应对新的安全挑战。
安全新挑战
随着视频监控网络建设和应用的发展,其面临的安全风险越来越突出,视频监控系统必须迅速应对新的安全挑战。
视频专网规模大、分布广、结构复杂,面临诸多失控失管风险。视频网络由电信等运营商代为建设,有的甚至直接部署在互联网上,存在极大的安全隐患。视频系统中用于图像采集的前端摄像头往往部署地域分布极为广泛,当发生安全事件时,无法在第一时间接受和处置报警信息,应急响应不及时,导致安全风险进一步扩散。一旦遭到侵入,将迅速波及整个视频专网,造成大规模网络破坏瘫痪,海量视频资源被盗取或恶意使用。
视频监控设备部署地点大都暴露在藏区、道路、街区等无人看守和公共场所,极易被恶意侵入。视频监控系统已经进入了IPC(网络摄像机)时代,前端摄像头只需要设置一个IP地址就可以直接连接到视频专网中。当前端摄像头部署在室外广阔的自由空间时,极易被非授权人员物理接触,从而造成非法入侵、破坏和非法访问。
视频监控系统大量应用背后暗藏信息安全危机。许多地区建设了视频网络、摄像头等设施,但是对于视频监控网络的安全保障却考虑较少,安全监管系统建设基本处于空白状态。用户单位对信息安全的重视程度也明显不够,视频监控产品安装完毕之后,未对系统缺省密码修改,留下极大的安全隐患。
总体思路
在体系规划上,强调“整体设计、体系建设”的一体化思想。着眼体系强设计,GA视频专网安全保障系统建设不是仅仅立足配置一个个独立的安全产品,而是致力于成体系地建设安全防护与监管系统,通过体系化的设计,实现对视频专网全方位的安全保障,提升视频专网的安全管理支撑和服务能力,为视频专网能够全面、完整、高效的发挥效用提供整体安全保障解决方案。
在功能规划上,采用“突出重点、适度防护”的思路。视频专网作为一个TCP/IP网络,其安全防护需求与GA信息网、互联网等网络有很多相同的地方。但是,由于其视频监控设备、应用系统的专用性,也带来了众多与自身特点紧密结合的视频专网专有安全需求。GA视频专网安全保障系统就是要在完善通用安全的基础上,补充有针对性的视频专用安全需求,通过“通用安全服务+视频专用安全”的手段,为视频专网提供完备的安全保障解决方案。
在建设规划上,执行“成建制推进、渐进化完善”的思路。打破过去先建系统、后加安全的“打补丁”的建设方式,将安全防护与视频信息系统统一规划、同步建设,通过成建制地配置设备,形成整体安全保障能力。在建设过程中,通过与视频信息系统不断磨合,边建设边完善,使得GA视频专网安全保障系统效率更高、效用更强。
建设目标
通过GA视频专网安全保障系统建设,加强对GA视频专网中各类设备的统一注册管理(包括视频图像监控设备、终端计算机、网络设备、服务器等)、网络安全、终端计算机(服务器)安全、视频图像监控设备安全、应用安全等方面的安全技术手段建设,建立并完善GA视频专网安全管理技术体系和工作机制,强化GA视频专网设备的发现、准入、安全保障,做到“设备可知、入网可信、边界可控、行为可查”,确保GA视频专网的安全运行。
安全需求分析
面临的安全风险
根据GA视频专网的网络结构、覆盖范围、设备组成以及业务特征等进行分析,目前视频专网中主要存在以下几个方面的风险:
设备底数不清、管理不规范
由于采用以租代建模式,摄像头多数通过运营商购置、安装和更换,管理部门只有运营商上报的数据,缺乏有效技术手段进行核实。视频专网的电脑接入也完全没有控制,缺乏注册管理,管理部门对视频专网的摄像头、电脑存在底数不清、难于监管的问题。
网络非法互联风险
GA视频专网设计上与互联网及其他网络物理隔离,只能通过防火墙、边界接入平台等严格的安全设施与GA信息网、政府部门视频监控网等不同网络之间进行信息交换与共享。实际工作中,GA视频专网中通过多网卡、网络出口、网络代理、无线AP、NAT边界等形式绕过安全设施监管,与外部网络的联通情况屡见不鲜,严重破坏视频专网的物理隔离性,极易造成信息的泄漏与病毒木马的传播甚至成为外部攻击入口。因此,发现并严格管理GA视频专网与其它网络的连接边界,是视频专网网络互联安全管理的一大重点。
设备接入安全风险
由于摄像头等前端设备部署分布极为广泛,大多处于无人看守区,且当前视频监控系统已经进入了IPC时代,非授权人员只要简单地用计算机替换前端摄像头就可以轻松地实现网络的入侵和非法数据的访问。
计算机基础安全风险
视频专网的终端计算机(服务器)主要用于工作人员对视频专网的日常管理与使用,以及承载视频专网的各类应用系统。视频专网的终端(服务器)主要安全风险包括:弱口令、操作系统漏洞、病毒威胁、木马软件、USB存储设备滥用、非法外联等情况。一旦终端(服务器)被入侵、攻击、控制,也就意味着整个视频专网被入侵者控制,获取密码、非法控制、盗取数据等情况都可能发生。
数据安全风险
视频专网保存有大量的敏感视频数据,一旦泄露,会严重危害到国家、社会安全和个人隐私。目前主要对通过视频共享平台访问的视频数据有审计记录,但缺乏完整的对专网内所有视频数据的查看、下载、复制、外发进行有效审计与管控。
视频系统运维保障风险
一般视频共享平台会对接入的视频源与存储等设备进行基本的状态检测,但对于许多关系到视频系统建设成效的更细致异常,比如画面模糊、图像参数失真、偏色、物体遮挡、线路衰减、设备时钟失步、磁盘阵列异常、录像重复存储、像素偏低、录像保存时间不足、硬盘状态异常等却缺乏有效检测手段,从而影响到视频系统的整体建设运行效果。
管理安全风险
视频专网安全缺乏整体管理手段,相关管理员无法从全局上把握当前专网运行安全态势,出现安全事件或者设备故障时也没有一套机制化的整合管理员、运营商与工程商运维人员等相关各方协同参与的工作流程来保障快速响应。
视频专网安全需求
当前,GA视频专网的安全监管工作形势十分严峻,针对上述所提到的设备管理、网络接入、非法互联等众多安全风险,从而产生了以下几方面的安全需求。
资产发现管控需求
针对视频专网内设备底数不清、资产不明的情况,需要提供技术手段,对视频专网内的终端设备、服务器、网络设备、音视频设备等各类设备,自动发现并进行注册管理。
网络接入控制需求
为防止外来设备随意接入视频专网,并防止未达到安全基线要求的设备接入视频专网,需要对新入网的设备进行注册审核,并进行安全检查,合规设备才允许入网。
网络非法边界管控需求
为防止视频专网内设备通过多网卡、路由、网络代理、无线AP、NAT边界等形式与外部网络及互联网违规连接,需要对视频专网内的设备进行注册管理,并采用技术手段及时发现违规边界点。
终端安全监管需求
为防止视频专网终端的弱口令、操作系统漏洞、病毒威胁、木马软件、USB存储设备滥用、非法外联等安全风险,需要对视频专网终端的基础安全进行有效监管。
数据防泄漏需求
为防止视频专网上的视频、照片等敏感数据外泄,需要对视频专网的移动介质使用进行管控,防止通过移动介质非法拷贝视频等数据,并通过技术和管理手段,防止通过截屏、拍照等方式将视频信息外传。
系统运维保障需求
为加强对移动、电信等运营商的管理考核,及时掌握视频摄像头等设备的画面、图像、存储的运行异常状况,保证视频专网的正常运行,需要对视频设备的运维状况进行监测,及时发现运维异常情况,并进行告警处置。
系统安全管理需求
为全面掌握视频专网安全态势,对各类安全风险事件集中展示,对告警事件纳入流程处置,需要建设视频专网的综合安全管理系统,为视频专网的安全管理提供信息化手段和工作平台。
视频专网安全保障系统解决方案
系统组成
视频专网安全保障系统由视频专网安全监管系统、移动介质管理系统、网络接入控制系统、网络边界感知系统、视频监控运维报警系统、视频监控智能箱系统、可视化展示系统等组成。
系统功能
视频专网安全监管系统
通过对视频专网内设备自动发现与注册管理,对终端提供各种控制、运行监测与管理。
移动介质管理系统
通过对视频专网内各类移动介质进行注册管理,对注册移动介质的使用记录进行审计,防止移动介质在视频专网与外部网络交叉使用,防止视频等敏感数据通过移动介质产生外泄。
网络接入控制系统
网络接入控制系统是一套以旁路控制技术为主的网络准入控制系统,秉承不改变现有网络结构的特性,为用户解决终端入网的合规性要求,支持包括身份认证、安全隔离、安全修复、可配置的多种准入控制手段和访问控制手段等功能,满足视频专网对专用网络边界、终端安全接入防护的相应要求。
根据视频专网分别由多个运营商建设的特点,如一个市州、区县GA局存在多个运营商同时建设的情况,则需要在每个运营商的核心交换机均部署一套网络接入控制系统。
网络边界感知系统
网络边界感知系统为网关型设备+数据分析与管理服务,无需在主机上安装客户端软件,通过实时全量采集网络设备镜像口流量,以浏览器插件技术、设备基准模型分析、主动扫描和基于大数据的安全监管等技术为核心,实现对内外网互联、非授权外联、NAT边界、移动设备接入和桌面违规行为等各类违规行为的自动发现与地址定位。
视频监控运维报警系统
视频监控运维报警系统利用现代电子技术、计算机技术、网络技术以及图像智能分析技术,自动检测硬盘录像机系列、高清摄像机、高清抓拍机、编解码设备、视综平台和磁盘阵列(CVR)等系列设备的运行状态,以及基于TCP/IP协议的应用服务器、网关、防火墙等设备的通讯状态等。
XX视频监控智能箱系统
本系统有三部分组成,分别为(室外电子设备箱、前端管理主机及管理平台)各产品可独立部署。
室外电子设备箱
采用独特风道结构设计,利用自然通风散热,完美解决设备的散热、防尘、防湿等多项难题。
该机箱由无风扇的内外两个箱体组成,外箱为优质双层PVC箱,内箱为密封喷塑铁箱,与传统单层机箱有着明显区别,在太阳暴晒下能有效通过外箱起到隔热作用,从而减少热量传递到内箱;而外箱与内箱之间存在空隙,形成散热风道,结合机箱底部、顶部的开孔,能有效通过自然通风进行散热,为室外电子产品全天候运行打造一个密封防尘、温度适宜的内环境。
该款机箱具有多项国家发明及实用新型专利,委托省质检所进行测试,在测试温度为45度的外环境下,模拟箱内设备在室外高温长时间正常运行下,经过检测机箱内部温度只有53度左右,完全满足现场使用要求。
前端管理主机
采用集成化、模块化设计,可实现环境监测、前端设备电源控制与管理、提供一体化的光电传输及安全管控。
该主机由电源管理控制模块与管理主机组成,集成了电源输出、光接口及交换机、开箱检测、温度检测、断电、断网检测、告警输出、第三方设备接入。
能够现实对机箱环境温度、开关门状态、电源输出接口的电压电流、网络输出接口的流量进行实时检测分析,并以图形化报表在管理平台输出。
能够实时检测各路电源输出是否正常,及时发现故障并报警提示,而且可以对存在死机的设备进行远程断电重启,实现快速排除故障,减少运维工作。
能够实现各路电源输出的时间控制,对于用户来说,修改补光灯开启的时间,以前必须到现场去调整,现在通过管理平台可以任意调整,可大幅度提高运维效率,降低运维成本。
能够实现交换机功能,并支持EPON/GPON/P2P模式,用户无需再购买交换机、光纤收发器、光猫,降低采购成本。
能够实现MAC地址、IP地址学习,支持端口绑定,支持端口镜像,支持异常流量分析并获取协议信息,对于非法入侵的设备,及时发现并报警提示,自动或手动切断,提高视频专网的安全性。
管理平台
管理平台通过获取前端管理主机设备信息,远程操作控制前端管理主机,实时接收并分析前端管理主机检测到的电压、电流、数据包、环境信息,图形化展示设备故障报警信息。
支持对前端设备的故障考核功能,能清晰记录故障点位信息、维护单位信息和管辖地信息、故障产生和恢复时间、故障持续时间,并形成日志可供追溯和查询。
支持安全准入、安全监测、大数据分析等策略下发。
可视化展示系统
为视频专网管理者提供风险统计、资产分析、考核监测、告警监测等几个视角的可视化图形展示。可基于用户自身需求进行面板的定制和配置,并提供多种预置布局样式,可根据用户需求随意添加相关统计信息到展示面板。
图示为全国地图,实际部署以当地区域地图为准
系统特点
视频专网安全保障系统的建设应用,可提高对GA视频专网以下几方面的安全保障能力,大大提高视频专网的安全可靠性,做到“设备可知、入网可信、边界可控、行为可查”,确保GA视频专网的安全运行
1、网络互联管控能力。具备不同安全域之间信息交换安全控制能力,对北仑GA信息网、视频专网及政府部门视频监控之间的网络互联、信息交换进行监管,防范病毒和未知攻击程序的破坏;具有边界实时监测与注册管理能力,针对边界安全监管需求,基于网络特征与应用特性的综合分析、跟踪技术建立了异构网络的安全指标体系,实现复杂网络环境下的线路边界定位,做到边界清晰可控。
2、终端准入控制能力。建立视频专网统一的终端准入控制机制,能够在线监控全网计算机终端/服务器、视频监控设备的入网状态;系统可以通过点对点扫描技术、设备分析技术能够智能识别视频专网内的设备类型;提供计算机终端/服务器安全基线核查、用户操作行为监控等功能,能够有效防范非法终端和用户违规外联行为。
3、应用安全监管能力。能够自动检测违规应用软件行为,及时处置并报警。
4、安全管理监控能力。建立全网安全管理与监察管控机制,支持后续省、地市、区县到运营商等多级级联管控的工作模式;实施全网资产细粒度管理,实时扫描检查网络安全状况,具有设备自动发现识别、安全工作流程监察、安全事件监测审计等能力,具备及时发现网络入侵、信息窃密、病毒扩散,以及实时监测在网安全设备状态等功能。
5、资产台账。能够自动发现计算机终端设备、IPC等视频设备等,并以图形的方式表现设备接入、资产状况、设备类型、设备在线统计;通过对IPC设备等视频设备的自动注册审核功能,完成视频专网视频设备的在线监管;对终端软件的安装、变更数据进行及时记录并上报监管系统;对终端硬件的信息以及硬件变更信息及时记录并上报监管系统;对视频专网内的IP地址使用情况进行统计。
产品部署
视频专网安全保障系统在省厅、市州局、区县局分三级部署,如下图所示。
省厅:部署视频专网安全管理技术支撑平台、视频专网安全监管系统、网络接入控制系统(网关)、网络边界感知系统(网关)、网络版杀毒软件系统;
市州局:部署视频专网安全管理技术支撑平台、视频专网安全监管系统、网络接入控制系统(网关)、网络边界感知系统(网关)、视频监控运维报警系统;
区县局:部署视频专网安全管理技术支撑平台、视频专网安全监管系统、网络接入控制系统(网关)、网络边界感知系统(网关)、视频监控运维报警系统;
以上网络边界感知系统(网关)部署在省厅、市州局、区县局的核心交换机镜像口,网络接入控制系统(网关)部署在视频专网运营商的核心交换机镜像口,如果有多个运营商,则需部署多个接入控制网关。
转载请注明:http://www.abuoumao.com/hyfw/3000.html
