公安局视频专网安全建设方案Word文档格式.docx
《公安局视频专网安全建设方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《公安局视频专网安全建设方案Word文档格式.docx(12页珍藏版)》请在冰豆网上搜索。
目前,全国各地公安系统的视频专网及专网中的应用系统基本处于“裸奔”状态,没有任何的安全防护措施和手段,同时使用的操作系统和应用系统存在大量的高危漏洞,导致视频专网存在如下风险:
1、前端摄像头接入交换机无法监控管理,存在非法终端接入风险;
2、前端智能终端接入网络带来病毒和木马入侵风险;
3、视频专网为开放式网络,安全设备部署较少,接入网可直接访问服务器网络;
4、视频专网中存在多个业务系统,业务系统之间无访问控制策略;
5、操作系统、业务系统、网络系统存在大量的漏洞,可被不法分子进行利用;
6、视频专网无法做到专网专用,存在非法业务数据,影响视频监控图像质量;
一旦攻击者通过前端摄像机渗透到视频专网中来,可对系统进行大范围严重破坏,极有可能对当前的正常电子业务工作造成灾难级影响,业务数据无法快速恢复,造成智能交通指挥瘫痪,指挥中心失去“眼睛”,卡口系统失效,违法抓拍停滞,违法档案删除,阻止智能布控应用,监控视频被不法分子使用,恶意追踪公民、车辆轨迹造成隐私泄露,诱导发布平台发布反动言论等等严重的后果,社会影响层面巨大。
针对前端设备的准入控制不仅要求设备接入可信,也要求设备行为可控,因此要求在实施准入控制时,必须能够同时识别前端设备的身份,并有效管控传输的数据的合法性。
此外,由于公安视频专网点多面广、性能要求高,在准入控制方案设计时,必须考虑部署及性能问题。
以上要求是传统的安全设备难以实现的,这也是公安视频专网无法部署有效的安全策略的根本原因;
因此,除进行传统安全加固外,还需进行专业的前端视频设备准入控制。
3风险防范的方法
如前所述,公安视频专网安全的核心问题是前端设备在接入时缺乏有效的准入控制,包括身份鉴别与网络访问行为控制手段,而公安视频专网的安全体系必须建立在前端设备准入控制的基础之上。
因此,在设计公安视频专网安全解决方案时,首先考虑解决前端设备的准入控制问题,牢牢把控住不法分子入侵的大门。
考虑到公安视频专网是事实上的物联网,所有前端设备的网络访问行为是确定的,因此可以采用“网无许可皆不通”的白名单建设理念,除对前端设备进行身份鉴别之外,还可以明确禁止前端设备进行一切非预先确定的网络访问行为。
具体来说,首先通过识别IP、MAC、特征码、注册协议等信息,实现只有授信设备接入网络,对未通过认证的设备进行实时阻断,并通过平台联动实时告警;
其次,识别通过认证的前端设备的网络访问行为,只允许其传输预先确定的应用和数据。
这样即使有攻击者通过伪造身份冒名接入网络,所有的攻击行为(例如网络扫描、渗透提权、信息窃取等)也会被实时阻断。
通过以上两步,即可实现前端设备接入“可信”,设备行为“可控”,在前端设备与后端业务系统之间建立起可信、可控的高效访问通道。
通过对物理链路的管控,基本能够杜绝不法分子通过场外不可控区域使用非法手段接入视频专网的行为,保障视频专网的外部安全性。
在解决了前端设备的准入控制问题之后,还需要考虑公安视频专网整网安全方案,在保证整网数据通道高速、可靠的前提基础上,对数据、系统应用平台进行安全防护与应用加速,并在公安视频专网与第三方接入平台之间部署安全控制策略,只允许通过与预先应用相关的数据,不仅实现专网的安全隔离,还保证了网间应用数据共享。
其次可以进行风险评估、系统加固、后期运维等全生命周期的安全咨询与建设服务。
在工具方面,视频监控专网实时信息分析及控制平台可实时展示网络现状与安全态势,帮助了解网络风险点,从管理层面进一步提升公安视频专网健壮性。
最后,通过以下几方面加强安全风险的管控:
一是技术方面,对操作系统,要定期进行安全加固,对发现的操作系统高危漏洞,要及时进行补丁更新;
对应用系统,在投入使用前必须要求厂家进行严格的安全审计和代码审查,保证应用系统的安全性;
对服务器硬件设备,要根据视频网的建设标准,要求厂家进行相应的硬件调整。
而是制度方面,要针对视频网制定严格的安全管理制度。
对于厂家的维护人员和系统的管理人员,要严格遵守视频网的管理规范,不得擅自通过双网卡机器连接视频网和公安网。
三是教育培训方面,要加强对视频网的管理维护人员的安全教育和培训,及时修改系统的弱口令,对于不同的系统设置不同的口令,提高密码强度;
及时获取安全方面的最新动态,针对视频网进行对应的加固。
四是维护方面,要加强对视频网的巡查和检测,预防非授权人员通过物理手段接入到视频网内进行破坏。
3.1详细安全架构设计方案
3.1.1方案描述
本次设计方案根据**市公安局视频专网现状,依据公安部指导文件,视频专网满足等级保护要求进行设计。
接入边界防护:
前端摄像头汇聚后,在中广有线OLT设备与视频网核心设备之间部署高性能防火墙,进行策略访问控制,防止前端网络遭受攻击后蔓延至我局,导致业务服务器被攻击。
视频管理PC防护:
建议将视频网内PC电脑通过交换机进行汇聚,接入核心交换前经过万兆防火墙进行策略控制,防止PC中毒后蔓延至服务器区。
安全风险的管控:
规划安全管理运维区,部署入侵检测设备,对全网进行威胁分析,并能够与防火墙联动,及时阻断威胁。
前端视频设备管控:
在**市局部署视频准入分析平台,部署视频探针,对视频设备进行资产管理、设备准入、行为管控等。
3.2实现功能
在解决公安视频专网安全建设问题时,应将设备身份鉴别、深度业务控制、高性能等多项要素进行融合,突破传统技术框架的限制,保证了公安视频专网的可信、可控、可用。
传统的身份鉴别方式是向智能终端下发认证证书或安装认证软件,而公安视频专网的前端设备不具备安装认证软件的能力,针对此类身份鉴别必须收集硬件编码、网络地址、特征码等信息,综合确定设备身份;
深度应用控制则需要分析行业应用特征,并形成完整可用的特征库,对前端设备传输的数据进行实时的分析,确定前端设备行为的合法性;
在实现身份鉴别与深度应用控制的前提下,海量终端、海量数据的接入与传输不能产生时延,保证后端业务系统对前端设备传输数据的实时调用需求。
在上述的核心能力之上,结合公安视频专网的应用特点,形成了公安视频专网前端设备准入控制解决方案。
该解决方案应在现网改动最小、业务影响最小的前提下,提供有效管控前端设备身份与行为的手段,在技术与管理两方面帮助用户构建可信、可控、可用的公安视频专网。
3.2.1视频专网监测系统(采集分析引擎)
Ø
系统接收探测引擎探测的设备,显示设备信息及设备状态。
显示:
在网设备的IP和MAC地址、品牌、型号、所属地址组、部门、发现时间、弱密码等信息;
自动监控识别并准入网络视频设备、网络设备等硬件类型设备。
可对设备进行导出导入、查询、支持设备流量详情展示;
支持树状部门展示。
系统对探测引擎上报的设备进行准入与非准入操作。
对于非视频设备和网络设备,系统不自动准入。
可以通过准入配置设置对设备进行准入;
系统后台为非视频设备和网络设备自动生成注册码,通过管理员手工登录注册网址,方对待准入设备进行批量注册准入。
系统对剩下的待准入设备自动进行入网隔离、告警。
系统接收探测引擎探测出的设备故障状态,显示设备故障的历史情况和现状。
支持自动检查设备的IP地址、MAC地址冲突;
支持地址冲突设备列表展示,列表信息至少包括IP地址、MAC地址、设备类型、地址组、部门、管理员、冲突MAC、冲突设备类型、状态等;
地址冲突设备列表支持根据字段排序。
系统接收探测引擎上报的Mac地址进行判断是否Mac地址冲突,冲突设备将显示出来是Mac冲突还是类型冲突。
支持通过IP地址、MAC地址、设备类型、设备状态等信息设置复合条件查询地址冲突信息;
支持对地址冲突设备进行更新处置操作;
支持查看设备详细信息,设备流量详情展示。
系统支持通过行为分析自动识别专网中的异常行为,并生成设备异常行为管理;
支持设备异常列表,列表信息至少包括IP地址、MAC地址、设备类型、品牌、型号、地址组、部门、地理信息、管理员、联系电话、发现时间、风险、状态等。
通过行为异常显示当前异常设备,对设备行为进行核实排查隐患。
行为审计显示。
支持通过行为分析自动识别视频专网中的异常行为,并记录为异常活动;
支持异常活动报警列表,列表信息至少包括策略名称、级别、协议类型、源地址、源端口、目的地址、目的端口、字节数、包数、报警时间、payload等;
支持查看异常活动报警的payload信息;
支持通过协议、源IP、源端口、目的IP、目的端口、时间查询异常活动报警;
异常活动报警列表支持根据字段排序。
网络行为分析。
对监控网的网络行为进行分析。
支持通过行为分析自动识别并归纳视频专网中的访问服务器、协议扫描、端口扫描、常用协议、一对一访问等网络行为;
支持网络行为列表,列表信息至少包括策略名称、协议、源地址、源端口、目的地址、目的端口等。
15、支持通过策略名称查询网络行为;
网络行为列表支持根据字段排序。
对监测的设备进行可视化统计管理。
支持监控主视图,在监控主视图上集中展示主要监控指标、态势曲线及重要的报警信息。
支持总体安全指标显示,安全指标计算包含待准入设备、离线设备、地址冲突设备、异常活动设备、弱口令设备等因素。
支持部署资产台数、在线率、已运行天数显示。
支持待准入数量、阻断设备数量、待准入数量显示,点击可跳转到相应管理功能页面。
支持运行指标显示,至少包括资产类型分类及相应数量、资产品牌分类及相应数量、设备准入情况、离线设备情况、地址冲突设备情况、异常活动设备情况等。
。
支持待准入、离线设备、地址冲突设备、异常活动设备历史列表和曲线,支持在列表和曲线间做切换操作;
支持跳转到相应功能页面。
报表管理。
支持导出设备信息、异常活动信息、网络行为信息等报表;
设备报表导出支持按IP、MAC、端口、协议、时间查询导出;
异常活动信息和网络行为信息的报表支持按源地址、目的地址、源端口、目的端口、协议、时间查询导出;
支持doc、excel、pdf、html等格式报表。
支持地址组管理,能够将发现的设备自动关联到对应的地址组及地址组的所属部门;
支持地址组嵌套,支持树形结构的地址组管理;
支持添加、删除、修改地址组;
支持地址组名称、部门、地址范围、默认设备类型、上级地址组等属性。
支持部门添加、删除、修改等;
支持部门名称、上级部门、地址组等属性。
系统支持向多级管理系统上报数据,接收多级下发的操作指令,包括准入、阻断、配置
升级会员 