视频监控网络整体安全解决方案.docx

1、视频监控网络整体安全解决方案 视频监控网络整体安全解决方案深信服科技股份有限公司2018年6月第1章 项目背景近年来，随着“平安城市”、“数字城市”、“智慧城市”等城市信息化概念的提出，国家、政府大力推进了视频监控系统的建设，逐渐形成了覆盖整个城市和各地区的视频监控网络，实现数字化监测与信息共享、治安重点区域实时监控，全面提升对突发案件、群体性事件和重大保卫活动的监控力度和响应能力。可在第一时间掌握重要视频监控区域的异常情况，达到实时监控管理、主动报警、威慑诸如犯罪及为事后取证提供依据等监控目的。视频监控网络设备的种类与数量不断上升，在治安、交通、智能楼宇等领域发挥日益重要的作用, 大数据分析

2、、警用地理、车辆识别等核心应用正在向视频监控网络迁移,视频监控网络事实上已成为一张承载海量终端与海量数据的物联网。视频监控网络设备数量巨大、物理部署范围广泛，且前端设备大都部署在道路、街区或其它隐蔽场所等极易被黑客利用，进而侵入到整个网络，导致核心业务系统无法正常运行、大量保密信息被窃取，因此建立完善的设备安全准入和设备监管机制成为了安全体系建设的重要课题。第2章 视频监控网络安全现状描述视频摄像头作为视频监控网络重要组成部分，基数大且部署分散，品牌多样，目前无技术工具自动统计。另外对于大型机构一般采取分布式管理，权限分散，无集中式管理平台，且无法贯彻落实视频网络建设要求；视频监控设备部署地点

3、大都暴露在道路、街区等公共场所，极易被恶意侵入，进而侵入到整个网络，导致核心业务系统无法正常运行、大量保密信息被窃取。视频摄像头、交换机、路由器、防火墙、视频网业务服务器、运维终端等是视频监控网络全部组成部分，无技术手段鉴别是否存在非视频监控网终端的接入，无法规避由此引发的安全事件；视频监控网络对流量稳定性要求极高，但是不排除因为终端问题导致的异常访问流量发生，影响视频监控网络的稳定运行。另外大型机构视频监控网络数据网络结构复杂且庞大，不同区域互联方式不同，有直连、专线、VPN等，当出现安全事件时，目前采用命令行逐级排查，耗时耗力，缺乏快速定位手段；视频监控网络边界接入环境复杂，边界接入平台多

4、种多样，边界接入设备缺乏有效的认证与监管 ；网络中可能存在互联网通路，大大扩展了视频监控网络的网络边界，且其安全性较差，容易遭到破解，是对网络边界完整性的重大破坏。视频监控网络中的监控PC终端大都为windows系统，缺乏有效的防病毒和补丁管理措施、usb外设管理措施，病毒和恶意代码可通过usb接口对监控终端进行感染，由于监控终端之间没有隔离措施，病毒会在整个监控网络中肆意传播。通过非法接入的笔记本可对监控平台（windows）进行漏洞扫描，由于缺乏补丁管理和安全加固措施，可利用漏洞（例如：弱密码、溢出）获取服务器权限并进行控制，进而非法获取视频信息。通过远程控制删除录像信息，修改配置，使摄像

5、头无法正常工作，进而在监控区域内进行非法活动。随着WEB技术的发展，应用系统的上线、开发和变更越来越频繁，应用系统的本身安全脆弱性。第3章 视频监控网络安全需求结合视频监控网络安全现状，规划视频监控网络、内部网络信息安全保障体系，应涵盖了应用平台计算环境安全、区域边界安全、通信网络安全、安全管理等方面，保障视频监控网络的安全性、保密性、可用性，具体网络安全需求如下：3.1 访问控制要求视频监控网络网络边界、内部网络中应采取有效的访问控制措施，防止非法访问，黑客攻击的发生，特别在前置摄像头与核心汇聚交换设备之间防护来自前置摄像头的安全威胁，如采用防火墙技术进行安全防护，各安全边界接入必须能够进行

6、细粒度的访问控制能力，严格控制访问者的权限包括：源、目的IP控制，能够进行源、目的IP的访问控制服务端口控制。对访问视频管理服务器的端口进行控制，其它视频端口默认关闭，动态开放访问时间控制。能够控制客户端访问视频资源的时间访问行为权限管理。能够根据用户名/用户组、IP/IP段进行视频资源的访问控制，包括：摄像头访问范围、云台控制、历史视频录像查询、历史视频录像播放、日志查询、视频数据库修改等进行权限控制单向访问控制。关闭双向视频通讯。3.2 入侵防范应对视频监控网络中网络攻击行为进行实时的检测和分析，及时的发现异常行为，降低安全事件的发生率。如采用入侵防御系统进行安全检测和防护。3.3 病毒防

7、护病毒、木马一致是威胁网络安全的头号杀手，在视频监控网络中存在大量的终端、服务器，一旦感染恶意病毒、木马，将严重影响视频监控资源系统的稳定运行。应对视频监控网络终端、服务器，采用防病毒安全措施，防止恶意病毒、木马的传播。同时，为了保证内网视频监控终端在接收视频数据时不被木马、病毒感染，视频监控浏览软件无论采用浏览器方式还是客户端软件方式，都应具备以下防护手段：视频监控终端禁止执行来自外部的涉及操作系统、文件系统或运行其它应用进程的指令视频监控终端对接收到的视频流仅允许进行解码播放，不允许执行视频流内任何指令视频监控终端应安装必要的防病毒软件支持网络防病毒，用于windows视频服务器和视频监控

8、终端的统一病毒防护。3.4 补丁管理视频监控网络中的视频服务器和视频监控终端为windows操作系统，需要定期更新系统补丁，支持补丁统一管理，用于windows视频服务器和视频监控终端的统一补丁管理。3.5 脆弱性检测可实现对设备定期的脆弱性检测，及时发现高危漏洞和弱密码漏洞。3.6 安全审计由于在视频监控网络中，大量的访问用户从不同时间、地点访问视频监控资源，如不对用户网络访问行为进行有效的安全记录，当发生安全事件时，很难去追溯和定责。因此，应加强高清视频监控网络安全审计能力，记录用户访问的身份、行为、访问过程等内容信息，为事后分析取证提供数据支撑。3.7 边界接入安全视频监控网络安全接入平

9、台的设计需要满足第三方信息通信网对外部图像资源的安全浏览，并与第三方信息通信网之间的数据需要通过视频交换平台进行数据的共享和传输。视频监控网络与第三方信息通信网应严格按照信息网边界接入平台建设的技术规范实现边界安全防护。因此采用必要的安全隔离设备，对视频监控网络进入第三方信息通信网的数据进行隔离。3.8 终端安全管理在视频监控网络中，视频终端的安全性尤为重要，视频监控网络中的前置摄像头和网络设备存在大量弱口令、溢出等安全漏洞隐患。针对前端摄像机接入形成的网络边界，制定技术可靠、安全防护性高的、基于终端准入认证的前端摄像机访问控制技术措施。防止前端摄像机被非法替换、终端非法接入、网络非法访问等安

10、全问题的发生。还需对摄像头运行状态实时监测，对异常状态及时统一分级报警，实现各类状态的数据汇总和集中展示。另外，视频监控网络中存在部分PC终端，而这些终端都为windows操作系统，需要对这些终端进行注册管理，达到与其他设备统一管理，如果存在安全漏洞或者配置不完善，则容易遭受蠕虫病毒攻击、黑客攻击或泄漏重要信息，给内部网络带来安全隐患。要求对该设备进行行为审计、“一机两用”行为监测、外设端口控制等做有效管理。要保证内网的安全性，就必须对终端计算机上的漏洞情况进行分析，打上所需要的补丁，以及时修补计算机上存在的漏洞，从而提高计算机自身的系统安全性。3.9 全网安全风险感知应具备对全网安全风险可视

11、，具备对内部横向攻击、违规操作、异常流量、异常行为等进行感知分析，风险预警。能帮助用户发现、识别、提取视频监控网络内部署的应用系统，如人脸识别、车牌自动识别等。能及时发现XX上线的应用、发生异常的应用等，帮助用户有效管理应用。支持异常行为分析，异常行为可以通过报警由用户查看，探测同时连接视频网的高危行为。应能对视频监控网络中的设备、系统、应用进行定期的安全检测，尽早地发现存在的安全漏洞，并进行修补，从而降低漏洞被利用的风险，降低安全隐患。支持对非法通讯行为暴露在用户监视之下，在网络内部的攻击、扫描、探测等行为能够被用户有效管控。第4章 整体安全解决方案4.1 安全体系架构关于通用视频监控网络项

12、目安全设计思想是：依照国家等级保护的相关要求，利用密码、代码验证、可信接入控制等核心技术，在既定框架下实现对信息系统的全面防护。整个体系模型如下图所示：信息安全保障体系架构4.2 设计原则4.2.1 合规性设计原则本项目在满足公共安全视频监控联网平台的实际安全需求基础上，采取技术和管理相结合的安全防护措施，将安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。(一)构建分域控制体系在总体架构上将按照分层、分区、分域保护思路进行，从结构上根据企业的情况划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成边界

13、、各个安全区域之间的连接链路和网络设备构成了网络基础设施；并通过统一的基础支撑平台来实现对整个平台基础安全设施的集中管理，构建分域的控制体系。(二)构建纵深的防御体系安全防御采用统一身份管理、访问控制、入侵检测、病毒防范、安全审计、防病毒、传输加密、集中数据备份等多种传统技术和措施，并结合虚拟机间防护、虚拟机病毒防护等新的技术手段，实现业务应用的可用性、完整性和保密性保护，并在此基础上实现综合集中的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力。(三)保证一致的安全强度对于平台计算环境和区域边界，可以采用分级的

14、办法，在通信网络上则采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。(四)实现高效的安全运营体系信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全感知安全大数据平台，实现对平台的整体信息资产、安全事件、安全风险、访问行为等的统一分析与监管，通过关联分析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对安全事件的发生。(五)建立可控的风险管控体系进行持续、多维度安全监测如对资产、价值、漏洞、威胁等

15、方面，结合安全风险评估模型进行综合评估，实时地了解所有的业务系统以及其相关资产所面临的安全风险，实现全方位的预警通报，并有助于快速故障定位，当有异常情况或征兆时能够及时给管理员提示，以便管理员及时采取应对措施，降低安全事件影响范围，建立一套完整的检测、预警、通告、协同处置的风险管控体系。4.2.2 安全技术体系设计4.2.2.1 安全设计框架安全体系主要包括：物理安全、网络安全、主机安全、应用安全、数据安全、安全管理安全系统包含多网络区域：视频监控主网、系统应用区、前端设备接入区、第三方对接信息网络、互联网等系统。通过可视化监测、资产管理、运行监测、安全控制、病毒防护和补丁管理、运维安全等维度

16、解决视频监控网络安全问题。4.3.2安全区域边界界定公共安全视频监控建设联网平台的边界主要包含两大类：纵向边界和横向边界：(一)南北向边界（纵向纬度） 南北向边界区主要实现企业互联下级子单位与视频监控主网的安全接入。(二)东西向边界（横向纬度）横向边界区主要实现视频监控网络与第三方对接新消息网络，如互联网以及物业总部甚至政府机构等之间的安全接入，主要包含：（1）第三方对接信息网络的边界交互平台区：视频监控网络横向连接第三方对接信息网络（边界平台）；（2）互联网边界的交互平台区：视频监控网络横向连接互联网；4.3.3系统应用区域划分 通过公共安全视频监控联网平台的安全区域的南北向和东西向边界分析

17、可以勾勒出整个应用平台的安全域划分，如下：视频监控主网：平台应用系统服务器域、网络管理系统服务器域、运维管理系统域、视频云计算数据中心域、视频解析中心、安全运维区域、外联区域；下级单位视频监控网络域：存储系统域、安全运维管理域、灾备中心域、外联区域。前端视频采集域：前端探头汇聚域等。4.3 整体安全方案拓扑图 安全系统总体拓扑图公共安全视频监控联网项目安全设计主要思路依据国家等级保护的相关要求，视频监控网络网络上公共视频监控系统应根据实际情况建成等保二级以上的信息系统。视频监控网络各区域平台网络内部安全域主要划分为：纵向边界区、横向边界区、系统应用区和前端接入区四部分：纵向边界区主要实现视频监

18、控网络基于主网到下级节点单位的安全连接和访问控制。横向边界区主要实现视频监控网络与第三方对接网络、互联网之间的安全交互。通过建设第三方网络边界接入平台、互联网边界交互平台等，保障视频监控网络与其他网络间的安全连接以及资源的安全共享。系统应用区主要包括视频图像信息共享平台与各区域网络相关的网络设备、终端、服务器、云平台、应用系统、数据库等。该区应遵循满足业务发展、适度防护的原则，采用入侵防御、网络审计、全网安全感知、视频安全接入系统、漏洞扫描、补丁管理、防病毒、日志审计、系统加固等安全技术措施进行安全防护，提升系统应用区的整体安全水平。前端接入区主要包括前端接入的摄像机及其他设备。建立前端安全防

19、护机制，实现对前端接入资源的有效识别和安全管理。4.3.1 视频监控网络与边界安全方案设计（横向）4.3.1.1 安全边界整体框架拓扑：图 安全边界总体框架图4.3.1.1.1 视频监控网络与第三方网络边界接入平台安全设计视频监控网络与第三方网络之间的边界接入平台数据链路与视频链路。图 与第三方网络边界交互平台（数据链路）拓扑图1. 边界包过滤边界包过滤能够提供对数据包的进/出网络接口、协议（TCP、UDP、ICMP、以及其他非IP协议）、源地址、目的地址、源端口、目的端口、以及时间、用户、服务（群组）的访问过滤与控制功能，对进入或流出的区域边界的数据进行安全检查，只允许符合安全策略的数据包通

20、过，同时对连接网络的流量、内容过滤进行管理。2. 边界入侵防范边界入侵代码防范可在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。3. 边界入侵检测入侵检测：配备入侵检测类设备，实现对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、暴力破解、高级威胁攻击等网络入侵行为的有效防范。4. 边界完整性保护边界完整性保护可对内部网络中出现的内部用户未通过准许私自联到外部网络，以及外部用户未经许可违规接入内部网络的行为进行检查和控制。5. 集中监控审计部署集中监控与审计设备，实现安全监控、集中管理与审计，建议级联部署，将下级节

21、点单位信息上报视频主网。6. 边界安全隔离与可信数据交换边界安全隔离与可信数据交换可完成指挥信令的双向流动，以及视频流单向/双向流入第三方接入交互网络的安全隔离与控制，同时还应可采用两头落地的“数据交换”模式，实现网络间的基于文件和数据库同步的数据安全交换和高强度隔离。图 与第三方网络边界交互平台（视频资源接入链路）拓扑图为全面保证视频链路的功能性和安全性，该视频链路边界技术要求如下：1.访问控制：配备防火墙设备，实现视频监控网络与第三方网络之间的安全连接和访问控制。2.安全审计：配备审计类设备，实现对链路中网络流量信息和设备日志信息的全面审计。3.安全隔离：视频监控网络与第三方网络之间禁止通

22、信协议交互，必须采用视频安全接入系统（一体机设备）作为核心隔离设备，实现内外网数据的交互。6.视频控制信令格式检测：对于视频控制信令，要按照预先注册的信令类型、格式和内容，对控制信令进行“白名单”方式的格式检查和内容过滤，仅允许符合格式要求的控制信令数据通过，对不符合格式的数据进行阻断和报警。7.视频数据格式检测：对于视频数据，按照预先注册的视频数据格式，对所传输的视频数据进行实时分析和过滤，对不符合格式的视频数据进行阻断和报警。8.视频数据与视频控制信令分别处理和传输：视频数据和视频控制信令必须按照不同的安全策略严格区分，分别进行处理和传输。其中，视频控制信令双向传输、视频数据单向传输。9.

23、数据安全：对进入第三方网络的数据进行完整性保护和合规性检查。利用完整性保护技术保证导入数据的完整性，确保导入第三方网络的数据未经破坏、篡改。通过对导入数据格式和内容合规性检查，及时发现和阻止违反安全策略的数据传输并告警。10.视频数据病毒木马检测：采取必要的安全技术和防范措施，防止视频数据夹杂恶意代码进入视频传输网络。11.集中监控审计：部署集中监控与审计设备，实现安全监控、集中管理与审计，建议级联部署，将下级节点单位信息上报视频主网。4.3.2 视频监控网络边界安全方案设计（纵向）视频监控网络由于其相对封闭性对比完全开放的互联网而言其安全系数相对较高；但是在相对可信的专网环境下一旦出现病毒（

24、如勒索病毒）、木马、僵尸主机等将会在专网环境中快速传播，造成不可控的损失。同时，也存在非法访问、越权访问、非法下联等恶意数据访问行为，将会为网络安全带来了极大的隐患。通过在视频监控网络中的纵向边界部署下一代防火墙与视频安全接入系统设备，通过下一代防火墙与视频安全接入系统的联动功能，很好实现对视频网内前端视频边界的可视化监测、资产管理、运行监测、安全控制、病毒防护和补丁管理等多方面入手，全面解决视频监控网络资产管理、设备故障、非法入侵等问题，帮助用户全方位解决视频监控网络安全运行问题，实现视频监控网络可知、可控、可管理4.3.2.1 视频监控网络纵向边界安全隔离需要在前置摄像头与汇聚接入交换机、

25、核心汇聚交换设备之间都架构下一代防火墙,以防护来自前置摄像头的安全威胁风险，以保护视频监控网络的内网资源主要涉及视频监控系统各类用户在接入系统过程中网络和系统的边界安全，主要通过身份认证、访问控制等安全技术措施，实现粗粒度控制下合法访问者对网络和系统的访问。对于视频监控系统各安全域与视频监控网络间链路：1、下一代防火墙设置访问控制策略，严格过滤进出平台系统的数据报文请求；2、下一代防火墙部署透明模式，简化下一代防火墙的配置，提高安全性与抗攻击性；3、所有安全设备串行部署，保证安全强度。通过在全网的重要边界部署下一代防火墙，实现对于网络边界的统一的访问控制、入侵防范和恶意代码防范等要求。在视频监

26、控网络的汇聚与核心接入边界位置部署下一代防火墙，用于阻止和降低边界外部安全带来的威胁和风险。下一代防火墙可以进行访问控制基于IP/端口号对数据流量进行禁止或允许。基于卓越的应用和用户识别能力，对数据流量和访问来源进行精细化辨识和分类，可以从同一个端口协议的数据流量中辨识出任意多种不同的应用，或从无意无序的IP地址中辨识出有意义的用户身份信息，针对识别出的应用和用户施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略，实现直接、准确、精细的管理。防火墙可以实现地域访问控制，通过对访问者的IP地址进行归属地判断，判断所属国家或地区是否能够对业务进行访问。下一代防火墙设备内置全球IP地址库，

27、地址库由三部分组成：黑名单、白名单和全球地址库。访问者的IP首先会根据IP黑名单进行匹配，如果此IP是黑名单的IP则直接拒绝访问；根据IP白名单进行匹配，如果此IP是白名单的IP则直接允许访问；如果不在黑白名单中，则通过IP地址库进行匹配，得出此IP的归属地，然后根据用户配置的此国家或是地区的访问策略进行拒绝或允许访问。下一代防火墙包含入侵防御针功能，可以对风险数据进行识别与阻断；下一代防火墙可支持深入到网络数据内部，识别并进行攻击代码特征匹配，过滤有害数据流量，丢弃有害数据包，并进行记录，用于事后分析。除此之外，下一代防火墙可综合考虑应用程序在网络传输中的异常情况，来辅助识别入侵和攻击。比如

28、，用户或用户程序违反相关安全条例、数据包出现的时段和位置异常、信息系统或应用程序存在漏洞或者弱口令且正在被利用等现象。下一代防火墙支持已知病毒特征匹配，但是它并不仅仅依赖于已知病毒特征。通过入侵防御系统可实现对敏感信息的安全防护，特别是系统底层漏洞防护，防止黑客盗取数据；4.3.2.2 视频监控网络前端摄像头终端安全准入视频摄像头分布范围广泛，通常分布式管理，权限分散，无集中式管理平台，且无法贯彻落实视频网络安全建设要求视频监控网络中的前置摄像头存在大量弱口令、溢出等安全漏洞隐患，通过一套系统即可检测并发现异常报警，部署可实现：4.3.2.2.1 设备管理IPC准入设备以入网设备信息绑定、杜绝

29、非法入侵和运行监测为主要设计理念，实现对视频监控系统视频网设备的准入控制管理。秉承“不改变网络、不依赖网络设备、部署简单”的特性，兼容各种复杂的网络环境，解决非法设备随意接入视频监控系统二期视频网的问题，达到“信任接入、接入可知、接入可管”的管理规范。自动发现网络中的设备，识别设备类型、版本、漏洞等信息，并能根据IP和MAC地址进行单个或批量绑定。设备发现并入库自动发现网络中的前置摄像头设备，识别ip地址、mac地址、设备类型、品牌、风险等信息，并生成资产库。4.3.2.2.2 非法设备发现并阻断通过设备资产管控、网络行为管控、视频应用管控三个层面实现安全控制，只有通过认证的IP、MAC地址，

30、并且网络行为符合视频监控网络业务需求，所使用符合视频监控网络应用的行为才能放行，其他IP、MAC地址和流量全部阻断。4.3.2.2.3 流量监测通过对特定连接的流量监测实现运行监测功能。一旦摄像头出现被遮挡、涂抹的问题，IPC准入设备通过对流量的变化进行分析，识别问题并告警，管理人员可以通过调用摄像头画面的方式进行问题确定及处理。4.3.2.2.4 设备离线监测能及时发现不能正常工作的设备并进行报警，如果设备恢复运行，系统会自动记录恢复时间，帮助用户做好运行管理工作，大大降低用户工作量。4.3.2.2.5 视频数据访问管控（可选）上述安全措施能够有效对网络、主机和数据起到安全防范功能，但对非法

31、用户访问、合法用户通过调看视频后非法外泄、恶意翻拍等行为则无力防范。因此有必要在上述安全措施的基础上对政府共享用户增加用户认证和对视频数据访问的管理控制，保证共享平台的原始视频、图片等的数据不外泄，有效应对恶意翻拍。用户认证和图像加水印功能均通过视频图像共享管理系统实现，对政府共享用户认证方式采用读取二代身份证信息，水印采用WEB网页或客户端上盖上一层透明蒙板的方式，水印显示访问人员信息。4.3.2.3 全网安全感知预警平台在视频监控网络中的关键节点旁路部署威胁检测探针，对数据流量进行镜像采集，将异常风险进行采集并上传到安全感知平台基于大数据、机器学习、人工智能技术进行分析。对未知安全风险进行

32、预警和大屏展示。针对被动安全保障体系难以新型威胁和APT攻击，以及缺乏看到看懂的感知环节的不足，本方案提出了基于行为检测和关联分析技术、对全网流量进行安全监测的可视化和预警检测解决方案。方案设计体现适用性、前瞻性、可行性的基本原则，实现安全效果可评估、安全态势可视化。主要基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策”的思路进行设计实现的。全网安全感知平台实现技术架构：基于深信服STA探针等数据源，构建全网态势感知系统。本方案通过部署安全防护和检测系统对网络中的安全要素进行采集，并通过风险监测建模实现对异常行为的检测和展示。采集层：通过安全监测系统实现对视频监控网络进行全流量的采集，包括数据包、协议、会话、系统信息