公安信息网视频监控安全接入的解决方案doc.docx
《公安信息网视频监控安全接入的解决方案doc.docx》由会员分享,可在线阅读,更多相关《公安信息网视频监控安全接入的解决方案doc.docx(15页珍藏版)》请在冰豆网上搜索。
公安信息网视频监控安全接入的解决方案doc
公安信息网视频监控安全接入解决方案
2011年3月
一、概述
公安信息网(公安网)目前是星型拓扑结构,由一、二、三级主干网和接入网组成。
公安部至各省公安机关主干网为一级网络,省级公安机关至所辖地市公安机关的网络为二级网,地市级公安机关至所辖县区公安机关的网络为三级网络,基层科、所、队到分局或市局的网络为接入网。
公安网络系统的主要功能是为各级公安业务部门提供语音、数据、图像等交换和传输服务。
公安数据业务包括人口、治安、交管、刑侦、预审、出入境管理等二十多种业务的信息传输与查询;办公自动化、电子邮件等内部管理数据;公安内部信息网站浏览等业务,文字、图表、动、静态图像等数据的传输和交换。
在视频监控应用的接入过程中,公安信息通信网面临很大风险。
例如来自外网的各种攻击、入侵、植入木马、探头(信息搜索代理Agent)和病毒等威胁;各类设备上的后门有可能受控启用,造成信息失控、设备故障;内外勾结造成的内部重要信息通过视频应用通道泄漏;由于误操作、非授权访问等造成的信息丢失、失控等问题。
由于社会治安视频监控网络采用的网络传输环境复杂,前端系统(视频监控点)覆盖面广且管理部门不统一,因此,公安部制定了《公安信息通信网边界接入平台安全规范》,严格制定了公安网与外网间信息交换的标准、架构、安全等技术要求,各级公安机关都必须按照规范要求建设外网接入公安网的安全体系架构,治安视频监控网络也必须通过规范的安全隔离接入平台接入公安内网,本方案专门针对视频监控中的安全风险设计满足管理、安全、性能需求的解决方案。
二、视频监控业务及安全防御难点分析
2.1视频监控业务分析
社会治安视频监控系统是防范、打击违法犯罪的重要技术手段之一,目前,广东省公安系统已经基本建设完成了覆盖全省的综合视频监控系统,并且取得了良好的实际效果,有力地协助公安机关快速、准确打击罪犯。
社会治安视频监控系统不仅仅是由公安机关建设和管理的专用网络,而是集中了全社会资源建设的视频综合数据传输网络,该网络包含三类视频监控点资源:
一类为主要干道、出入口、要害部位、人流密集地段和案件高发部位。
二类为治安复杂地段、人员聚集点、娱乐场所、商业街区、大中型居民住宅区、重要企事业单位以及金融珠宝网点等。
三类为一般的治安复杂点、街巷死角和部分社会单位如学校、幼儿园、医院及新建商场、办公大楼外围。
2.2公安网视频监控应用的安全防御难点分析
公安网视频监控应用的主要安全防御难点表现在:
(1)传输内容安全过滤困难。
视频应用区别于WEB、数据库等其他应用的主要特点在于其传输的内容为二进制图像数据流,因此,如何有效防止违法的病毒、木马数据嵌入视频应用中传输成为必须解决的问题。
(2)防止内网泄露机密信息困难。
由于视频监控的访问具有双向性,即部分公安内网视频监控需要对外向其他政法等单位提供,公安内网也需要访问大量一、二、三类视频监控资源,如何有效防止木马程序利用视频通道泄露公安内网机密数据也必须加以可靠解决。
(3)应用协议控制困难。
由于行业特殊原因,视频监控协议始终没有制定标准,导致各视频厂家协议差异较大,不兼容现象普遍,安全控制难度大。
三、建设标准与目标
3.1建设标准
本方案严格按照公安部相关视频接入安全标准及体系架构设计,满足各类公安网视频安全接入环境的要求,主要依据标准包括:
未定编号公安信息通信网边界接入平台安全规范
未定编号公安信息通讯网边界接入平台安全规范(试
行)视频专网
GA/T367-2001视频安全监控系统技术要求
GB/T20279-2006网络和终端设备隔离部件安全技术要求
GB17859-1999计算机信息系统安全保护等级划分准则
GA/T669-2006城市监控报警联网系统通用技术要求
3.2建设目标
依据公安部相关规定和公安信息通信网现有安全基础设施、依据公安网边界安全隔离接入平台规范要求,建设具备安全性、可管理性、高性能、高可靠性的社会监控视频接入平台,实现公安内网安全、视频接入区域边界安全、通讯内容安全、访问权限安全等。
包括:
●安全性:
确保内外网在访问视频数据时防止携带病毒、木马等程序进入公安内网,防止可能存在的木马利用视频接入通讯通道泄露公安机密信息;
●完整性:
确保视频数据在传输中不被恶意篡改;
●可用性:
确保视频接入业务能够满足性能需求,安全正常运行;
●可审计性:
能够有效监控和审计视频接入业务的运行情况。
当发生违规或异常情况时,能够及时发现、报警并处理;
●可管理性:
对于专用视频接入隔离设备运行过程能够管理和监控,具有规范合理的接入业务流程,纳入日常维护管理;
●可扩展性和高可靠性:
视频接入平台应具有可扩展的,能够根据视频访问业务的扩展不断扩充接入流量,同时,具备硬件冗余容错能力。
●可集成性:
提供必要的日志和管理接口,能够与公安部隔离接入平台紧密集成,将监控视频接入纳入到统一的公安信息通信网隔离接入平台管理体系中。
四、视频安全接入解决方案
4.1总体架构设计
视频接入公安网应用属于公安信息通信网边界接入平台的一种特殊应用类型存在,伟思公司根据公安部相关技术要求设计了一套符合公安安全接入规范技术要求的系统。
如下图所示,视频接入公安网主要由四部分构成:
接入对象、外部接入链路、边界接入平台视频链路接入区和公安信息通信网(公安内网)。
4.1.1接入对象
接入对象主要指各类视频监控系统,视频监控系统主要由前端设备、存储设备、视频管理平台服务器、视频转发服务器等设备组成。
目前,主要的视频监控系统按接入链路划分主要可分为;
(1)公安自建视频监控系统
这类视频系统主要包括交警、消防和公安建立的各类直属公安管辖的监控点,这类监控点主要包括了城区主要干道、治安卡口、社区广场等。
这类视频监控系统一般采用专线方式组网并通过专线接入公安网。
(2)各党政机关视频监控系统
这类视频监控系统主要包括交通、环卫等单位建立的监控系统,这类系统一般可以通过政务专网接入公安网。
(3)社会视频监控资源
这类视频监控系统主要由社会各单位自主建立,包括网吧、酒店、公司等单位,这些视频监控系统一般由电信运营商在公网上建立视频虚拟专网,通过专线方式可接入公安网。
这三类接入对象由于所采用组网方式的安全性不同,因此,必须通过相互物理隔离的接入链路接入公安边界接入平台视频接入链路。
4.1.2接入链路
接入链路是指由视频监控系统接入公安边界接入平台的链路方式。
根据公安部的相关要求,本方案设计要求所有接入链路均为专线方式接入,由视频监控系统的核心交换机接入公安边界接入平台。
如果视频监控系统的核心交换机与公安网边界接入平台处于同一机房内,可通过核心交换机直接连接公安边界接入平台的接入路由器或防火墙。
如果视频监控系统的核心交换机与公安网边界接入平台物理距离较远,则可租用电信专线将核心交换机与公安边界接入平台的接入路由器或防火墙相连。
根据4.1.1节说明,不同类型的视频监控系统应采用物理独立的线路接入防火墙,如下图所示:
4.1.3边界接入平台视频接入链路
该区域是视频监控系统接入公安网的核心区域。
其主要结构与公安部颁发的《公安信息通信网边界接入平台安全规范》基本相同,包括路由接入区、边界保护区、应用服务区、安全隔离区与安全监测与管理区五部分。
作为边界接入平台的特殊应用类型,视频接入也纳入接入平台的管理,作为其中的一条视频专用的接入链路,因此,已经建立了边界接入平台的各级公安机关可以依托现有的边界接入平台及其设备(如边界接入管理平台、防火墙、IDS等),再根据视频接入规范增添视频专用隔离设备(视频专用隔离网闸)、视频接入认证服务器、视频用户认证服务器即可。
对于没有建立公安边界安全接入平台的公安机关,按照公安部的接入规范要求,则需要完整的建设包括边界接入管理平台、防火墙、IDS入侵检测系统、视频专用隔离设备、视频接入认证服务器、视频用户认证服务器等在内的整套边界接入平台。
由于视频占用带宽资源非常大,一路D1质量的视频监控画面通常达到1.2-2Mbps的带宽,因此,公安网现有基于数据交换的边界接入平台中的设备性能往往无法满足视频接入要求,在这种情况下,可以考虑在各个下级单位建立视频边界接入平台如下图所示,或在本单位升级现有边界接入平台中的设备。
边界接入平台视频接入链路具有针对视频应用的专用安全功能,经过设备身份认证后的视频接入设备,通过专线方式接入到视频接入链路,在视频接入链路中,视频控制信令和数据的会话终止于应用服务区,在应用服务区,视频接入认证服务器对接入对象进行设备认证,并对视频信令格式进行检查及内容过滤,只允许合法的协议和数据通过,在安全隔离区,安全隔离设备将视频控制信令和数据进行分别处理和传输,其中视频数据为单向传输,视频控制信令为双向传输,视频用户认证服务器对公安信息通讯网上使用视频资源的用户进行统一注册,身份认证及权限管理,仅允许认证通过的用户访问已授权的视频资源。
4.1.4公安信息通讯网
公安信息通信网边界接入平台与公安信息通讯网核心交换机相连,实现公安信息通信网内各视频终端对视频监控系统(视频专网)的实时访问。
4.2平台安全防御体系设计
伟思视频专用安全隔离与信息交换系统由三大安全功能单元构成:
视频接入认证服务器安全功能单元、网络隔离与视频安全控制单元和视频用户认证服务器安全功能单元。
4.2.1视频接入认证服务
伟思视频专用安全隔离与信息交换系统的视频接入认证服务器安全功能单元具有强大的视频接入认证功能,能够对视频专网内向公安信息通信网提供视频信息服务的硬件设备进行身份确认禁止未经过认证的设备接入公安信息通讯网。
视频接入认证服务器安全功能单元采用设备指纹+IP&MAC绑定的多因素强认证机制对视频硬件设备进行认证,设备通讯协议指纹认证方式是利用视频设备的二次开发接口对视频设备进行扫描,通过设备的反馈信息的指纹特征来验证视频设备是否为已注册的合法设备,指纹取样包括:
设备序列号、设备反馈信息的关键特征HASH值以及设备IP、MAC地址等信息形成该设备独有的指纹,就像每个人不同的指纹一样,没有在接入认证服务单元上注册的设备将被阻止接入公安网。
可以注册/认证的视频设备包括:
●DVR
●视频管理服务器
●视频转发服务器
●视频编解码服务器
●流媒体服务器
●视频模拟/数字矩阵
●存储设备
视频接入认证安全功能单元还具备视频信令协议分析和内容过滤功能,能够针对不同的视频厂商的视频监控协议,分别进行协议分析和内容过滤。
伟思视频接入认证安全功能单元能够分析视频信令的格式和内容。
与传统内容过滤功能不同,由于很多视频监控系统厂商采用二进制方式设计信令及内容,因此,传统的基于ASCII或GB2312等中文编码的内容关键字过滤算法无法实现对这些视频监控系统信令的协议和内容检查。
伟思视频接入认证安全功能单元采用基于模式匹配的内容过滤算法,能够实现对SIP、H.323、自定义协议等任何视频通讯协议格式的信令分析和内容过滤,并能够阻断非法或本设备未注册视频协议的传输。
伟思视频接入认证安全功能单元除了能够实现信令请求的协议检查和内容过滤功能以外,还具备对请求返回结果的内容过滤功能。
伟思视频接入认证安全功能单元还在国内独创性地提供了访问行为检查功能。
该功能结合信令协议和内容检查,能够更有效地防止非法信令在公安内外网间传输。
受制于安全策略的制订方式,单纯的信令分析和内容检查功能不可能建立完善、严密的视频信令检查机制,攻击者可以在数据包内的特定位置隐藏二进制编码信息进行恶意信息的内外网传输。
采用访问行为检查功能能够弥补这个漏洞,访问行为检查功能将严格审查视频终端的操作步骤,不允许非法流程或信令的传
升级会员 