视频专网系统安全技术方案.docx
《视频专网系统安全技术方案.docx》由会员分享,可在线阅读,更多相关《视频专网系统安全技术方案.docx(21页珍藏版)》请在冰豆网上搜索。
视频专网系统安全技术方案
视频专网系统安全
技术方案
正文目录
表格目录
图片目录
第一章视频专网系统安全
一.1视频专网安全形势
视频专网安全建设的目的是以视频数据为中心,以数据的机密性、可用性和完整性为准则,对视频数据采集、编码、传输、存储、查看过程中可能产生的安全问题进行预判,视频专网安全存在外部安全风险和内部安全风险,外部安全风险主要表现为前端非法接入、数据监听泄露、病毒入侵、DDOS攻击等;内部安全风险主要表现为管理不当引起的内部攻击、病毒传播、敏感数据泄露和非授权访问等,视频专网安全建设需要结合技术手段和制度管理两方面来共同实现。
一.2视频专网安全体系
视频专网安全体系主要由前端安全、终端安全、网络安全、主机安全、应用安全、数据安全和管理安全七个层面共同组成,如下图显示:
图1.视频专网安全体系图
第二章视频专网安全建设
二.1前端安全
前端摄像机工作在视频专网边缘且数量众多,在摄像机出现异常时管理员可能无法做出及时有效的处理,因此,前端安全可分为摄像机系统安全和摄像机接入安全。
二.1.1前端摄像机系统安全
问题描述:
前端摄像机系统管理过程中存在密码被破解、非授权IP地址访问、应用交互数据被窃取和缺少对人员行为审计的问题。
解决方案:
可以通过以下措施加强前端摄像机安全性:
1、强密码功能,在终端初次登陆系统时,更改密码复杂度;
2、账号锁定功能,在密码多次错误时锁定账号,防止暴力破解;
3、IP地址过滤功能,任意终端与摄像机网络可达时,只有特定IP地址才可以访问摄像机;
4、应用层安全访问功能,在对应用平台进行管理时,采用Https协议实现加密访问;
5、人员操作日志保存,在管理人员对摄像机进行操作时,对操作行为进行审计;
二.1.2前端摄像机接入安全
问题描述:
前端摄像机接入安全需要考虑如何对前端接入设备身份进行识别,前端摄像机一般通过以太网口接入视频专网当中,那么除了前端摄像机可接入到以太网接入节点之外,非法终端也可以通过此以太网接口接入到专网中,对视频专网造成安全威胁。
解决方案:
前端摄像机接入安全可通过以下五种技术实现:
表1相关接入技术
技术
技术实现
IP/Mac绑定技术
通过对接入交换机配置IP/Mac绑定关系实现
802.1x接入技术
通过强制终端进行认证实现接入安全
PPPOE接入技术
通过强制终端进行认证实现接入安全
IPOE接入技术
通过强制终端进行认证实现接入安全
访问控制技术
通过对接入交换机中配置访问控制策略实现
上述五种接入安全技术可以单一使用,也可以组合实现,多种技术组合可提升终端接入安全级别,方案如下:
表2接入方案
接入技术选择
安全性
解决方案一
802.1x(PPPOE,IPOE)+IP/Mac绑定+访问控制策略
最高
解决方案二
802.1x、PPPOE或者IPOE
高
解决方案三
IP/Mac绑定+访问控制策略
高
二.1.2.1IP/Mac绑定技术
IP/Mac绑定技术实现是通过在交换机接口下配置一个合法设备的IP/Mac绑定关系,交换机对进入该接口的所有数据包进行IP/Mac检查,如果与绑定关系匹配成功则正常转发数据包,否则丢弃数据包,IP/Mac绑定技术实现前提是前端摄像机使用固定IP地址。
IP/Mac绑定组网如下图所示:
图2.IP/Mac绑定技术
二.1.2.2802.1x接入技术
802.1x接入技术是基于Client/Server的访问控制和认证协议来实现的。
它可以限制XX的用户/设备通过接入端口(accessport)访问LAN/WLAN。
在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
802.1x认证的组网如下图所示,由前端摄像机、支持802.1x的交换机(接入层、汇聚层或核心层交换机),Radius认证服务器组成。
图3.802.1x接入技术
二.1.2.3PPPOE接入技术
PPPoE接入技术的工作流程包含发现和会话两个阶段,发现阶段是无状态的,目的是获得PPPoE终结端(在局端的ADSL设备上)的以太网MAC地址,并建立一个唯一的PPPoESESSION-ID。
发现阶段结束后,就进入标准的PPP会话阶段。
当一个前端摄像机想开始一个PPPoE会话,它必须首先进行发现阶段,以识别局端的以太网MAC地址,并建立一个PPPoESESSION-ID。
当发现阶段成功完成,前端摄像机和接入集中器都有了他们在以太网上建立PPP连接的信息。
直到PPP会话建立,发现阶段一直保持无状态的Client/Server(客户/服务器)模式。
一旦PPP会话建立,前端摄像机和接入集中器都必须为PPP虚接口分配资源。
PPPOE组网如下图所示,目前主流路由交换设备厂商将PPPOE功能集成在路由器和三层交换机中,不需要额外的服务器设备。
图4.PPPOE接入技术
二.1.2.4IPOE接入技术
在IPoE接入技术中,如果监控摄像头无固定IP地址,可通过DHCP方式获取IP地址,通过DHCP报文触发认证。
如果监控摄像头有固定IP地址,则该监控摄像头的首个IP报文触发身份认证。
在AAA服务器上,由接入设备对监控摄像头进行基于接入位置信息或报文特征的身份认证,用户身份认证通过后由AAA服务器授权相应的访问权限。
IPoE的典型组网方式如下图所示,它由五个基本要素组成:
用户主机、接入设备、AAA服务器、安全策略服务器和DHCP服务器。
图5.IPOE接入技术
二.1.2.5访问控制技术
访问控制技术是允许接入设备只能访问特定资源的一种技术手段。
前端摄像机需要访问资源有限,在接入交换机上配置对应的访问控制策略,在非法设备接入后该策略生效,访问权限受限。
二.2终端安全
终端安全主要是对计算机终端可能发生风险的各个方面进行有效管控,通过识别终端安全风险,构建终端风险体系并对终端风险进行安全管理,从而降低和避免终端安全风险事件的发生。
二.2.1终端系统安全
问题描述:
终端使用者开启不必要的系统服务、缺少对系统运行状况的监控,以及系统自身对各类攻击、病毒缺乏抵御能力,导致终端系统整体安全性较为薄弱。
解决方案:
可以通过以下两种安全措施加强终端系统安全:
1、系统安全加固
终端通过关闭不必要的服务、端口,防止外部连接;对进程运行进行监控,防止病毒等恶意程序运行;对系统资源如CPU、内存利用率等进行监控,了解终端运行情况;对终端外联设备进行监控,防止病毒传播;对操作系统口令定期更改,防止非法人员获取账号后导致信息泄露等措施加固系统安全。
2、安装杀毒软件
杀毒软件一般集成了监控识别、病毒扫描和清除、自动升级病毒库、主动防御等功能,通过对网页浏览、文件下载、移动介质使用等主要的病毒感染途径进行实时检测和拦截,上传病毒查杀结果至服务器进行统一管理。
管理员根据终端病毒查杀结果,对病毒类型、病毒的危害性、网内病毒感染情况进行统一分析,提前制定安全防护措施。
二.2.2终端使用安全
问题描述:
终端是管理员进行运维管理的主要工具,管理员是终端的主要使用者,终端安全除了系统自身的安全风险,还取决于管理员对终端使用的规范性是否符合制度要求,管理员不遵守管理制度、违规使用终端,将对终端造成安全风险。
解决方案:
终端使用不能单一的依靠制度管理,只有采用技术手段才能强制终端使用规范,可采用以下两种技术手段解决。
1、安装上网行为管理软件
上网行为管理软件采用C/S架构,通过服务器端制定安全策略下发至客户端,客户端执行安全策略,实现对内网终端的软硬件、移动介质、接入访问、补丁更新等状况进行统一监控;实现对终端资产全生命周期的管理;采集终端相关安全事件和日志信息进行整合和关联分析,提供终端安全态势展示;评估终端安全风险,实现终端全生命周期的安全风险管理;审计终端用户行为,针对用户行为制定行为管控策略;产生安全事故和告警,提供自动告警和响应手段;
2、部署准入控制设备
非法设备接入网络后可能导致信息外泄、病毒和木马传播扩散、对服务器攻击等严重后果,因此,对计算机终端的安全防护中,准入控制是极为重要的一项防护手段。
准入控制能够在用户访问网络之前对用户身份进行鉴定识别,检查用户设备是否符合安全策略要求,将可疑终端进行隔离,限制其访问权限,仅允许访问功能修复服务器,修复完成后重新认证入网,分配相应的资源访问权限。
准入安全控制流程如下:
图6.准入流程
二.3网络安全
视频专网建设过程需要考虑网络系统安全。
网络系统安全建设需要对视频专网整体架构进行层次化的分析,找出层内、层与层之间的安全薄弱点,并对其进行安全加固。
由于视频监控资源大部分来自于不可信网络区域,对数据交互过程中任一环节的攻击,都有可能威胁到重要的信息数据安全,而且存在因物理链路和设备故障问题导致的网络安全风险。
二.3.1行业业务网接入安全
问题描述:
各行业业务网因行业特点,需要对视频专网中视频数据进行调用查看,在没有任何安全措施情况下,行业终端用户、视频资源的真实性问题难以保证,容易造成非授权访问、数据泄露等风险。
解决方案:
行业业务网接入要求对前端用户进行身份认证,对后端视频资源的真实性进行确认,从而保证视频调度的安全性。
通过专业的视频安全交换接入系统(三主机设备,以下视频安全交换接入系统都是三主机设备)可以将视频专网的视频监控资源安全地接入至行业业务网。
视频安全交换接入系统是按照安全规范要求设计,其包括了视频接入认证服务器、视频安全隔离设备、视频用户认证服务器三大设备。
经过设备身份认证后的视频接入设备,须通过专线方式接入到视频接入链路。
在视频接入链路中,视频控制信令和数据的会话终止于应用服务区。
在应用服务区,视频接入认证服务器对接入对象进行设备认证,并对视频信令格式进行检查及内容过滤,只允许合法的协议和数据通过。
在安全隔离区,安全隔离设备将视频控制信令和数据进行分别处理和传输,其中视频数据为单向传输,视频控制信令为双向传输。
视频用户认证服务器对行业业务网上使用视频资源的用户进行统一注册、身份认证及权限管理,仅允许认证通过的用户访问已授权的视频资源。
图7.行业业务网接入
二.3.2行业专网和社会资源接入安全
问题描述:
由于行业专网和社会汇聚网属于不可信外网区域,数据交互过程中存在一定的安全风险,在接入视频专网时应充分考虑安全问题。
解决方案:
通过网络安全隔离系统(网闸)可以将不可信区域网络的视频监控资源安全地接入视频专网中。
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。
网闸是一种网络隔离技术,它所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。
所以网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏、实现真正的安全。
如下图所示:
图8.行业专网和社会汇聚网接入
二.3.3互联网接入安全
问题描述:
由于互联网中存在大量的攻击、病毒等安全风险,视频专网接入互联网时需要在视频专网边界加强安全防护措施。
解决方案:
针对互联网安全特点,部署防火墙对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包丢弃,杜绝越权访问;同时针对互联网中各种攻击行为,部署入侵防御设备和抗DDOS设备,重点监
升级会员 