公安信息网视频监控安全接入解决方案.docx
《公安信息网视频监控安全接入解决方案.docx》由会员分享,可在线阅读,更多相关《公安信息网视频监控安全接入解决方案.docx(19页珍藏版)》请在冰豆网上搜索。
公安信息网视频监控安全接入解决方案
公安信息网视频监控安全接入解决方案
2011年3月
一、概述
公安信息网(公安网)目前是星型拓扑结构,由一、二、三级骨干网和接入网组成。
公安部至各省公安机关骨干网为一级网络,省级公安机关至所辖地市公安机关的网络为二级网,地市级公安机关至所辖县区公安机关的网络为三级网络,基层科、所、队到分局或市局的网络为接入网。
公安网络系统的要紧功能是为各级公安业务部门提供语音、数据、图像等互换和传输服务。
公安数据业务包括人口、治安、交管、刑侦、预审、出入境治理等二十多种业务的信息传输与查询;办公自动化、电子邮件等内部治理数据;公安内部信息网站阅读等业务,文字、图表、动、静态图像等数据的传输和互换。
在视频监控应用的接入进程中,公安信息通信网面临专门大风险。
例如来自外网的各类解决、入侵、植入木马、探头(信息搜索代理Agent)和病毒等要挟;各类设备上的后门有可能受控启用,造成信息失控、设备故障;内外勾结造成的内部重要信息通过视频应用通道泄漏;由于误操作、非授权访问等造成的信息丢失、失控等问题。
由于社会治安视频监控网络采纳的网络传输环境复杂,前端系统(视频监控点)覆盖面广且治理部门不统一,因此,公安部制定了《公安信息通信网边界接入平台安全规范》,严格制定了公安网与外网间信息互换的标准、架构、安全等技术要求,各级公安机关都必需依照规范要求建设外网接入公安网的安全部系架构,治安视频监控网络也必需通过规范的安全隔离接入平台接入公安内网,本方案专门针对视频监控中的安全风险设计知足治理、安全、性能需求的解决方案。
二、视频监控业务及安全防御难点分析
视频监控业务分析
社会治安视频监控系统是防范、冲击违法犯法的重要技术手腕之一,目前,广东省公安系统已经大体建设完成了覆盖全省的综合视频监控系统,而且取得了良好的实际成效,有力地协助公安机关快速、准确冲击罪犯。
社会治安视频监控系统不单单是由公安机关建设和治理的专用网络,而是集中了全社会资源建设的视频综合数据传输网络,该网络包括三类视频监控点资源:
一类为要紧干道、出入口、要害部位、人流密集地段和案件多发部位。
二类为治安复杂地段、人员聚集点、娱乐场所、商业街区、大中型居民住宅区、重要企事业单位和金融珠宝网点等。
三类为一样的治安复杂点、街巷死角和部份社会单位如学校、幼儿园、医院及新建商场、办公大楼外围。
公安网视频监控应用的安全防御难点分析
公安网视频监控应用的要紧安全防御难点表此刻:
(1)传输内容安全过滤困难。
视频应用区别于WEB、数据库等其他应用的要紧特点在于其传输的内容为二进制图像数据流,因此,如何有效避免违法的病毒、木马数据嵌入视频应用中传输成为必需解决的问题。
(2)避免内网泄露机密信息困难。
由于视频监控的访问具有双向性,即部份公安内网视频监控需要对外向其他政法等单位提供,公安内网也需要访问大量一、二、三类视频监控资源,如何有效避免木马程序利用视频通道泄露公安内网机密数据也必需加以靠得住解决。
(3)应用协议操纵困难。
由于行业特殊缘故,视频监控协议始终没有制定标准,致使各视频厂家协议不同较大,不兼容现象普遍,安全操纵难度大。
三、建设标准与目标
建设标准
本方案严格依照公安部相关视频接入安全标准及体系架构设计,知足各类公安网视频安全接入环境的要求,要紧依据标准包括:
未定编号公安信息通信网边界接入平台安全规范
未定编号公安信息通信网边界接入平台安全规范(试
行)视频专网
GA/T367-2001视频安全监控系统技术要求
GB/T20279-2006网络和终端设备隔离部件安全技术要求
GB17859-1999运算机信息系统安全爱惜品级划分准则
GA/T669-2006城市监控报警联网系统通用技术要求
建设目标
依据公安部相关规定和公安信息通信网现有安全基础设施、依据公安网边界安全隔离接入平台规范要求,建设具有安全性、可治理性、高性能、高靠得住性的社会监控视频接入平台,实现公安内网安全、视频接入区域边界安全、通信内容安全、访问权限安全等。
包括:
●安全性:
确保内外网在访问视频数据时避免携带病毒、木马等程序进入公安内网,避免可能存在的木马利用视频接入通信通道泄露公安机密信息;
●完整性:
确保视频数据在传输中不被歹意窜改;
●可用性:
确保视频接入业务能够知足性能需求,安全正常运行;
●可审计性:
能够有效监控和审计视频接入业务的运行情形。
当发生违规或异样情形时,能够及时发觉、报警并处置;
●可治理性:
关于专用视频接入隔离设备运行进程能够治理和监控,具有规范合理的接入业务流程,纳入日常保护治理;
●可扩展性和高靠得住性:
视频接入平台应具有可扩展的,能够依照视频访问业务的扩展不断扩充接入流量,同时,具有硬件冗余容错能力。
●可集成性:
提供必要的日记和治理接口,能够与公安部隔离接入平台紧密集成,将监控视频接入纳入到统一的公安信息通信网隔离接入平台治理体系中。
四、视频安全接入解决方案
整体架构设计
视频接入公安网应用属于公安信息通信网边界接入平台的一种特殊应用类型存在,伟思公司依照公安部相关技术要求设计了一套符合公安安全接入规范技术要求的系统。
如下图所示,视频接入公安网要紧由四部份组成:
接入对象、外部接入链路、边界接入平台视频链路接入区和公安信息通信网(公安内网)。
接入对象
接入对象要紧指各类视频监控系统,视频监控系统要紧由前端设备、存储设备、视频治理平台服务器、视频转发服务器等设备组成。
目前,要紧的视频监控系统按接入链路划分要紧可分为;
(1)公安自建视频监控系统
这种视频系统要紧包括交警、消防和公安成立的各类直属公安管辖的监控点,这种监控点要紧包括了城区要紧干道、治安卡口、社区广场等。
这种视频监控系统一样采纳专线方式组网并通过专线接入公安网。
(2)各党政机关视频监控系统
这种视频监控系统要紧包括交通、环卫等单位成立的监控系统,这种系统一样能够通过政务专网接入公安网。
(3)社会视频监控资源
这种视频监控系统要紧由社会各单位自主成立,包括网吧、酒店、公司等单位,这些视频监控系统一样由电信运营商在公网上成立视频虚拟专网,通过专线方式可接入公安网。
这三类接入对象由于所采纳组网方式的安全性不同,因此,必需通过彼此物理隔离的接入链路接入公安边界接入平台视频接入链路。
接入链路
接入链路是指由视频监控系统接入公安边界接入平台的链路方式。
依照公安部的相关要求,本方案设计要求所有接入链路均为专线方式接入,由视频监控系统的核心互换机接入公安边界接入平台。
若是视频监控系统的核心互换机与公安网边界接入平台处于同一机房内,可通过核心互换机直接连接公安边界接入平台的接入路由器或防火墙。
若是视频监控系统的核心互换机与公安网边界接入平台物理距离较远,则可租用电信专线将核心互换机与公安边界接入平台的接入路由器或防火墙相连。
依照节说明,不同类型的视频监控系统应采纳物理独立的线路接入防火墙,如下图所示:
边界接入平台视频接入链路
该区域是视频监控系统接入公安网的核心区域。
其要紧结构与公安部颁发的《公安信息通信网边界接入平台安全规范》大体相同,包括路由接入区、边界爱惜区、应用服务区、安全隔离区与安全监测与治理区五部份。
作为边界接入平台的特殊应用类型,视频接入也纳入接入平台的治理,作为其中的一条视频专用的接入链路,因此,已经成立了边界接入平台的各级公安机关能够依托现有的边界接入平台及其设备(如边界接入治理平台、防火墙、IDS等),再依照视频接入规范增添视频专用隔离设备(视频专用隔离网闸)、视频接入认证服务器、视频用户认证服务器即可。
关于没有成立公安边界安全接入平台的公安机关,依照公安部的接入规范要求,则需要完整的建设包括边界接入治理平台、防火墙、IDS入侵检测系统、视频专用隔离设备、视频接入认证服务器、视频用户认证服务器等在内的整套边界接入平台。
由于视频占用带宽资源超级大,一路D1质量的视频监控画面通常达到的带宽,因此,公安网现有基于数据互换的边界接入平台中的设备性能往往无法知足视频接入要求,在这种情形下,能够考虑在各个下级单位成立视频边界接入平台如下图所示,或在本单位升级现有边界接入平台中的设备。
边界接入平台视频接入链路具有针对视频应用的专用安全功能,通过设备身份认证后的视频接入设备,通过专线方式接入到视频接入链路,在视频接入链路中,视频操纵信令和数据的会话终止于应用服务区,在应用服务区,视频接入认证服务器对接入对象进行设备认证,并对视频信令格式进行检查及内容过滤,只许诺合法的协议和数据通过,在安全隔离区,安全隔离设备将视频操纵信令和数据进行别离处置和传输,其中视频数据为单向传输,视频操纵信令为双向传输,视频用户认证服务器对公安信息通信网上利用视频资源的用户进行统一注册,身份认证及权限治理,仅许诺认证通过的用户访问已授权的视频资源。
公安信息通信网
公安信息通信网边界接入平台与公安信息通信网核心互换机相连,实现公安信息通信网内各视频终端对视频监控系统(视频专网)的实时访问。
平台安全防御体系设计
伟思视频专用安全隔离与信息互换系统由三大安全功能单元组成:
视频接入认证服务器安全功能单元、网络隔离与视频安全操纵单元和视频用户认证服务器安全功能单元。
视频接入认证服务
伟思视频专用安全隔离与信息互换系统的视频接入认证服务器安全功能单元具有壮大的视频接入认证功能,能够对视频专网内向公安信息通信网提供视频信息服务的硬件设备进行身份确认禁止未通过认证的设备接入公安信息通信网。
视频接入认证服务器安全功能单元采纳设备指纹+IP&MAC绑定的多因素强认证机制对视频硬件设备进行认证,设备通信协议指纹认证方式是利用视频设备的二次开发接口对视频设备进行扫描,通过设备的反馈信息的指纹特点来验证视频设备是不是为已注册的合法设备,指纹取样包括:
设备序列号、设备反馈信息的关键特点HASH值和设备IP、MAC地址等信息形成该设备特有的指纹,就像每一个人不同的指纹一样,没有在接入认证服务单元上注册的设备将被阻止接入公安网。
能够注册/认证的视频设备包括:
●DVR
●视频治理服务器
●视频转发服务器
●视频编解码服务器
●流媒体服务器
●视频模拟/数字矩阵
●存储设备
视频接入认证安全功能单元还具有视频信令协议分析和内容过滤功能,能够针对不同的视频厂商的视频监控协议,别离进行协议分析和内容过滤。
伟思视频接入认证安全功能单元能够分析视频信令的格式和内容。
与传统内容过滤功能不同,由于很多视频监控系统厂商采纳二进制方式设计信令及内容,因此,传统的基于ASCII或GB2312等中文编码的内容关键字过滤算法无法实现对这些视频监控系统信令的协议和内容检查。
伟思视频接入认证安全功能单元采纳基于模式匹配的内容过滤算法,能够实现对SIP、、自概念协议等任何视频通信协议格式的信令分析和内容过滤,并能够阻断非法或本设备未注册视频协议的传输。
伟思视频接入认证安全功能单元除能够实现信令请求的协议检查和内容过滤功能之外,还具有对请求返回结果的内容过滤功能。
伟思视频接入认证安全功能单元还在国内独创性地提供了访问行为检查功能。
该功能结合信令协议和内容检查,能够更有效地避免非法信令在公安内外网间传输。
受制于安全策略的制订方式,单纯的信令分析和内容检查功能不可能成立完善、周密的视频信令检查机制,解决者能够在数据包内的特定位置隐藏二进制编码信息进行歹意信息的内外网传输。
采纳访问行为检查功能能够弥补那个漏洞,访问行为检查功能将严格审查视频终端的操作步骤,不许诺非法流程或信令的传输,例如,用户在未经登录的情形下就调阅视频历史记录,该步骤显然是违终归常行为逻辑的,可能是黑客利用合法指令携带的参数传输非法信息,伟思视频接入认证安全功能单元在这种情形下将当即阻断该连接,如下图所示:
伟思视频接入认证安全功能单元的信令分析与检查功能包括:
●信令包长的完整性CRC校验
●信令报文头检查
●信令格式检查
●信令集内容检查
●信令参数内容检查
●信令返回信息校验
●信令行为逻辑检查功能
伟思视频接入认证安全功能单元能够终止视频设备对公安网的访问。
伟思视频接入认证安全功能单元目前能够针对华为、海康、全世界眼、先进视讯、上海贝尔、烽火、大华等十多个厂商的视频监控系统提供视频操纵信令分析和内容过滤功能,也提供对DB33T639跨区域视频监控联网共享技术规范或遵循SIP、协议规范的视频监控系统的支持。
网络隔离与访问操纵功能
伟思视频专用安全隔离与信息互换系统采纳基于ASIC设计的硬件电子开关芯片,实现了公安网与视频监控专网的物理断开,并能够对视频数据和信令进行分离,别离独立处置和传输。
伟思视频专用安全隔离与信息互换系统采纳动态端口操纵功能,能够利用ip_conntrack对所有连接通道进行动态的开放和关闭,在默许状态下,视频操纵信令传输通道始终开放,但视频数据传输通道关闭,只有在视频终端挪用相关视频时,才动态开放对应的视频通道,并在视频画面关闭后自动关闭视频传输通道。
如下图所示:
伟思视频专用安全隔离与信息互换系统具有壮大的ACL操纵功能,治理员能够设置针对源、目的IP、PORT端口、视频协议类型、时刻在内的访问操纵策略。
反弹木马阻断功能
视频监控应用中一个重要安全难题是:
由于视频数据流通道上是难以识别的二进制视频图像数据流,且某些视频协议需要开放大范围端口,因此,在视频数据流通道上检测木马是国际难题。
本方案提出的解决思路是通过应用隔离技术将木马与视频应用程序进行隔离,确保只有视频客户端能够通过隔离区中的隔离网闸访问视频设备。
如此有效地解决了木马利用视频通道泄密或操纵内网的途径。
如下图所示:
视频监控的访问方向都是由客户端向视频设备发出命令,视频设备反馈信息或视频流,即都是单向由客户端发起的访问,隔离网闸通过应用隔离技术操纵客户端的哪些程序能够与视频设备交互数据,就能够够有效避免木马利用视频流通信通道操纵主机或泄漏机密信息。
视频数据实时病毒检测与阻断
应用隔离技术解决了木马等非法客户端歹意程序解决的问题,但关于病毒而言,却能够在数据层利用视频数据中夹杂歹意数据致使合法的视频客户端程序溢出并利用其传播病毒。
当正常的利用者操作程序的时候,所进行的操作一样可不能超出程序的运行范围;而黑客却利用缓冲长度界限向程序中输入超出其常规长度的内容,造成缓冲区的溢出从而破坏程序的堆栈,使程序运行显现特殊的问题转而执行其它黑客希望执行的指令,以达到解决的目的。
发生溢出解决的要紧缘故是视频客户端执行了超长的命令参数或是客户端对外提供了没必要要的服务功能造成的,由于视频客户端仅仅是视频的播放和操纵终端,它只是请求的发起方并非服务方,其自身并非需要对外提供任何服务。
因此,本方案中严格要求视频客户端对外不提供任何服务功能,视频阅读功能尽可能简化、对所有输入参数和返回值严格操纵在32位之内。
通过上述处置,能够有效操纵数据级病毒通过视频客户端进行传播。
视频用户认证与授权功能
伟思视频接入认证安全功能单元具有基于公安PKI/PMI数字证书用户认证与授权的功能。
采纳单点登录方式,所有公安内网用户只需要数字证书KEY,就能够够进行视频监控系统的访问,治理者能够针对每一个用户设置其不同视频资源访问权限,实现对用户视频访问的认证与授权。
在治理平台中,能够严格设置认证与授权策略,避免视频终端用户越权访问视频设备,修改视频设备参数,更改视频治理数据库。
要紧权限配置功能包括:
●对能够访问视频设备的客户端IP进行策略操纵
●对能够访问视频设备的客户端访问时刻进行策略操纵
●对能够访问视频设备的客户端程序进行策略操纵
●对客户端能够访问的视频治理服务器IP进行策略操纵
●对客户端能够访问的视频治理服务器端口进行策略操纵
●对所有访问视频设备的用户进行身份认证
●按用户/用户组对客户端能够进行的视频监控行为进行授权
●依照客户端IP或用户/用户组设置能够访问摄像头的范围
●依照客户端IP或用户/用户组设置是不是能够检索历史录像
●依照客户端IP或用户/用户组设置是不是能够操纵云台
●依照客户端IP或用户/用户组设置是不是能够查看历史录像
●依照客户端IP或用户/用户组设置是不是能够阅读GIS数字地图
●依照客户端IP或用户/用户组设置是不是能够修改视频治理数据库
●依照客户端IP或用户/用户组设置是不是能够进行远程对讲
●依照客户端IP或用户/用户组设置是不是能够操作报警I/O输出
●依照客户端IP或用户/用户组设置是不是能够配置视频设备参数
集中安全治理与日记审计
伟思视频专用安全隔离与信息互换系统作为边界接入平台视频接入链路的核心设备,能够与公安部批准的5家平台厂商的边界接入治理平台进行集成,知足边界接入平台视频链路的安全要求。
伟思视频专用安全隔离与信息互换系统提供标准的SNMPv1/v3设备治理接口和SYSLOG日记输出接口,包括合众、三所、国保金泰、天行等在内的治理平台均遵循公安部对边界接入治理平台产品的要求提供SNMP和SYSLOG设备集中治理功能,因此,伟思视频专用安全隔离与信息互换系统能够与各平台厂商无缝集成,同意治理平台的集中治理,无需二次开发。
安全治理区的要紧功能是通过集中监控与审计系统对视频安全接入隔离网闸的治理、运行情形和通信日记进行安全检测与审计;进行安全设备的配置治理及日常运行保护,配置和治理安全策略、流量监测、统计分析、安全审计,并以友好及人性化界面进行展现。
治理与审计系统提供二次开发接口,能够实现各类信息的级联上报,集中报送到公安隔离接入平台。
功能要紧包括以下两个要紧部份:
●设备监控信息上报,能够有效将视频安全接入隔离网闸的运行状态、接口流量、在线用户情形、配置信息、报警信息等上报接入平台;
●日记与统计信息上报,对通信日记、治理日记等日记信息,流量排名、异样情形汇总等统计信息上报接入平台;
治理与审计系统具有一套完善的安全治理结构,包括以下内容:
●治理方式:
采纳B/S架构,通过Web阅读器对网闸进行治理
●连接安全性:
治理机与设备间采纳SSL等加密方式进行连接
●分级分权限治理:
设备治理包括用户治理员、安全策略员和日记审计治理员三种角色,用户治理员能够增加/删除用户、设备配置;安全策略员能够配置访问操纵规则,但不能配置设备属性、查看日记;仅许诺日记审计治理员查看、治理日记。
●设备配置备份与恢复:
具有配置保留与恢复功能。
●统计与分析:
提供多种图形化工具显示设备工作状态、连接数量、流量等各类运行信息。
高性能设计
伟思视频专用安全隔离与信息互换系统采纳MIPS多核平台+ASIC硬件芯片实现了对视频访问的高性能设计,单台设备能够知足最大2000路D1质量画质的视频并发访问,1080p高清摄像头的带宽占用则达到了每路4-8Mbps的要求,伟思视频专用安全隔离与信息互换系统高达5Gbps的吞吐性能有效保障了公安网尔后对高清楚、大并发视频监控应用的性能需求。
高靠得住性设计
考虑到公安网边界接入平台对靠得住性的要求,伟思视频专用安全隔离与信息互换系统具有双机热备功能,采纳独立的HA热备接口和业内领先的会话保障功能,能够实现设备切换进程中的TCP、UDP会话维持,即设备故障切换中,视频阅读可不能中断。
五、要紧技术性能
安全功能
伟思ViGap视频监控专用隔离网闸具有以下安全特性:
Ø采纳标准的2+1安全隔离体系架构,提供日记、审计与治理二次开发接口,能够与隔离平台集成,符合公安网边界安全接入规范视频专用技术要求。
Ø通过成立基于ASIC芯片的8级视频流DPI安全处置流水线,使隔离网闸完全冲破性能瓶颈限制,提供最高达5Gbps的吞吐性能和小于的延时,能够知足2500路高质量D1分辨率视频并发访问。
Ø具有接入设备认证功能,能够依照视频设备硬件指纹认证视频接入设备的合法性,避免非法设备接入。
Ø具有视频数据与操纵信令别离处置和传输能力,能够实现视频数据通道的单向传输。
Ø采纳协议深度过滤技术和行为模式分析技术相结合,能够深切视频信令及参数进行检查和内容过滤,阻断病毒、木马利用视频通道传输非视频数据,有效操纵视频通道的安全利用。
Ø具有效户认证与授权功能,能够依照公安用户数字证书对视频终端用户进行认证和授权。
Ø具有安全访问操纵功能,能够制订安全访问操纵策略,将视频设备终止在接入认证服务单元,不许诺直接连接公安内网。
Ø采纳基于沙箱的病毒查杀技术,基于沙箱的病毒检测是一种完全不同于传统的基于文件扫描的病毒检测方式,它是指不通过重组还原,直接由病毒防御引擎对视频数据通道进行爱惜,能够有效阻断夹杂歹意代码的视频数据。
Ø系统具有壮大的流量治理功能,支持WRED拥塞操纵、GTS流量整形,支持WFQ/CBQ优先级队列算法,提供带宽保障能力,能够为关键应用或用户保留足够的带宽。
Ø专门依照公安普遍的视频多点接入情形,系统提供8个网络接口,且两两隔离,组成4组彼此隔离的接入端口,完全知足公安网络环境。
Ø具有反弹木马防御能力,有效阻止公安内网非法进程向外泄露公安机密数据。
Ø系统提供壮大的报表功能,能够为治理员提供当前视频流量、系统处置性能、并发连接数、在线用户等一系列报表,为治理员提供可视化的视频监控接入治理环境。
5.2技术性能
●吞吐量:
>2Gbps-5Gbps
●系统延时:
<并发连接数:
>20000-200000
●最大并发:
>450路D1质量,可扩展到2500路并发用户
●抗解决性:
10000pps解决流量下%拦截率
设备规格
硬件规格:
●尺寸规格:
标准2U机架势
●重量:
18KG
●电压:
100-240V,47-63HZ
●功率:
350W
●操作环境:
-5℃-50℃
●环境湿度:
5%-95%
系统接口
●网络接口:
8个100/1000MbpsRJ45以太网接口,2个SFP模块化接口
●系统操纵:
1个DB9针RS232串行通信接口,1个HA高靠得住性接口
●系统显示:
2个网络连接LED指示灯
升级会员 