公安局视频专网安全建设方案Word格式.docx

1、10月初的全国政法委视频 会议上，孟书记也屡次强调了网络平安建立的重要性；省公安厅也在9月份警示视频专网存在的平安风险。2视频专网存在的风险目前，全国各地公安系统的视频专网及专网中的应用系统根本处于“裸奔状态，没有任何的平安防护措施和手段，同时使用的操作系统和应用系统存在大量的高危破绽，导致视频专网存在如下风险：1、前端摄像头接入交换机无法监控管理，存在非法终端接入风险；2、前端智能终端接入网络带来病毒和木马入侵风险；3、视频专网为开放式网络，平安设备部署较少，接入网可直接访问效劳器网络；4、视频专网中存在多个业务系统，业务系统之间无访问控制策略；5、操作系统、业务系统、网络系统存在大量的破绽

2、，可被不法分子进展利用；6、视频专网无法做到专网专用，存在非法业务数据，影响视频监控图像质量；一旦攻击者通过前端摄像机浸透到视频专网中来，可对系统进展大范围严重破坏，极有可能对当前的正常电子业务工作造成灾难级影响，业务数据无法快速恢复，造成智能交通指挥瘫痪，指挥中心失去“眼睛，卡口系统失效，违法抓拍停滞，违法档案删除，阻止智能布控应用，监控视频被不法分子使用，恶意追踪公民、车辆轨迹造成隐私泄露，诱导发布平台发布反动言论等等严重的后果，社会影响层面宏大。针对前端设备的准入控制不仅要求设备接入可信，也要求设备行为可控，因此要求在施行准入控制时，必须可以同时识别前端设备的身份，并有效管控传输的数据的

3、合法性。此外，由于公安视频专网点多面广、性能要求高，在准入控制方案设计时，必须考虑部署及性能问题。以上要求是传统的平安设备难以实现的，这也是公安视频专网无法部署有效的平安策略的根本原因；因此，除进展传统平安加固外，还需进展专业的前端视频设备准入控制。3风险防范的方法如前所述，公安视频专网平安的核心问题是前端设备在接入时缺乏有效的准入控制，包括身份鉴别与网络访问行为控制手段，而公安视频专网的平安体系必须建立在前端设备准入控制的根底之上。因此，在设计公安视频专网平安解决方案时，首先考虑解决前端设备的准入控制问题，牢牢把控住不法分子入侵的大门。考虑到公安视频专网是事实上的物联网，所有前端设备的网络访

4、问行为是确定的，因此可以采用“网无答应皆不通的白名单建立理念，除对前端设备进展身份鉴别之外，还可以明确制止前端设备进展一切非预先确定的网络访问行为。详细来说，首先通过识别IP、MAC、特征码、注册协议等信息，实现只有授信设备接入网络，对未通过认证的设备进展实时阻断，并通过平台联动实时告警；其次，识别通过认证的前端设备的网络访问行为，只允许其传输预先确定的应用和数据。这样即使有攻击者通过伪造身份冒名接入网络，所有的攻击行为例如网络扫描、浸透提权、信息窃取等也会被实时阻断。通过以上两步，即可实现前端设备接入“可信，设备行为“可控，在前端设备与后端业务系统之间建立起可信、可控的高效访问通道。通过对物

5、理链路的管控，根本可以杜绝不法分子通过场外不可控区域使用非法手段接入视频专网的行为，保障视频专网的外部平安性。在解决了前端设备的准入控制问题之后，还需要考虑公安视频专网整网平安方案，在保证整网数据通道高速、可靠的前提根底上，对数据、系统应用平台进展平安防护与应用加速，并在公安视频专网与第三方接入平台之间部署平安控制策略，只允许通过与预先应用相关的数据，不仅实现专网的平安隔离，还保证了网间应用数据共享。其次可以进展风险评估、系统加固、后期运维等全生命周期的平安咨询与建立效劳。在工具方面，视频监控专网实时信息分析及控制平台可实时展示网络现状与平安态势，帮助理解网络风险点，从管理层面进一步提升公安视

6、频专网强健性。最后，通过以下几方面加强平安风险的管控：一是技术方面，对操作系统，要定期进展平安加固，对发现的操作系统高危破绽，要及时进展补丁更新；对应用系统，在投入使用前必需要求厂家进展严格的平安审计和代码审查，保证应用系统的平安性；对效劳器硬件设备，要根据视频网的建立标准，要求厂家进展相应的硬件调整。而是制度方面，要针对视频网制定严格的平安管理制度。对于厂家的维护人员和系统的管理人员，要严格遵守视频网的管理标准，不得擅自通过双网卡机器连接视频网和公安网。三是教育培训方面，要加强对视频网的管理维护人员的平安教育和培训，及时修改系统的弱口令，对于不同的系统设置不同的口令，进步密码强度；及时获取平

7、安方面的最新动态，针对视频网进展对应的加固。四是维护方面，要加强对视频网的巡查和检测，预防非受权人员通过物理手段接入到视频网内进展破坏。3.1详细平安架构设计方案3.1.1方案描绘本次设计方案根据*市公安局视频专网现状，根据公安部指导文件，视频专网满足等级保护要求进展设计。接入边界防护：前端摄像头会聚后，在中广有线OLT设备与视频网核心设备之间部署高性能防火墙，进展策略访问控制，防止前端网络遭受攻击后蔓延至我局，导致业务效劳器被攻击。视频管理PC防护：建议将视频网内PC电脑通过交换机进展会聚，接入核心交换前经过万兆防火墙进展策略控制，防止PC中毒后蔓延至效劳器区。平安风险的管控：规划平安管理运

8、维区，部署入侵检测设备，对全网进展威胁分析，并可以与防火墙联动，及时阻断威胁。前端视频设备管控：在*市部分署视频准入分析平台，部署视频探针，对视频设备进展资产管理、设备准入、行为管控等。3.2实现功能在解决公安视频专网平安建立问题时，应将设备身份鉴别、深度业务控制、高性能等多项要素进展交融，打破传统技术框架的限制，保证了公安视频专网的可信、可控、可用。传统的身份鉴别方式是向智能终端下发认证证书或安装认证软件，而公安视频专网的前端设备不具备安装认证软件的才能，针对此类身份鉴别必须搜集硬件编码、网络地址、特征码等信息，综合确定设备身份；深度应用控制那么需要分析行业应用特征，并形成完好可用的特征库，

9、对前端设备传输的数据进展实时的分析，确定前端设备行为的合法性；在实现身份鉴别与深度应用控制的前提下，海量终端、海量数据的接入与传输不能产生时延，保证后端业务系统对前端设备传输数据的实时调用需求。在上述的核心才能之上，结合公安视频专网的应用特点，形成了公安视频专网前端设备准入控制解决方案。该解决方案应在现网改动最小、业务影响最小的前提下，提供有效管控前端设备身份与行为的手段，在技术与管理两方面帮助用户构建可信、可控、可用的公安视频专网。3.2.1视频专网监测系统采集分析引擎系统接收探测引擎探测的设备，显示设备信息及设备状态。显示：在网设备的 IP 和 MAC 地址、品牌、型号、 所属地址组、部门

10、、发现时间、弱密码等信息；自动监控识别并准入网络视频设备、网络设备等硬件类型设备。可对设备进展导出导入、查询、支持设备流量详情展示；支持树状部门展示。系统对探测引擎上报的设备进展准入与非准入操作。对于非视频设备和网络设备，系统不自动准入。可以通过准入配置设置对设备进展准入; 系统后台为非视频设备和网络设备自动生成注册码，通过管理员手工登录注册网址，方对待准入设备进展批量注册准入。系统对剩下的待准入设备自动进展入网隔离、告警。系统接收探测引擎探测出的设备故障状态，显示设备故障的历史情况和现状。支持自动检查设备的 IP 地址、MAC 地址冲突；支持地址冲突设备列表展示，列表信息 至少包括 IP 地

11、址、MAC 地址、设备类型、地址组、部门、管理员、冲突 MAC、冲突设备类型、状态等；地址冲突设备列表支持根据字段排序。系统接收探测引擎上报的Mac地址进展判断是否Mac地址冲突，冲突设备将显示出来是Mac冲突还是类型冲突。支持通过 IP 地址、MAC 地址、设备类型、设备状态等信息设置复合条件查询地址冲突 信息；支持对地址冲突设备进展更新处置操作；支持查看设备详细信息，设备流量详情展示。系统支持通过行为分析自动识别专网中的异常行为，并生成设备异常行为管理；支持设备异常列表，列表信息至少包括 IP 地址、MAC 地址、设备类型、品牌、型号、地址组、部门、地理信息、管理员、联络 、发现时间、风险

12、、状态等。通过行为异常显示当前异常设备，对设备行为进展核实排查隐患。行为审计显示。支持通过行为分析自动识别视频专网中的异常行为，并记录为异常活动；支持异常活 动报警列表，列表信息至少包括策略名称、级别、协议类型、源地址、源端口、目的地址、目的 端口、字节数、包数、报警时间、payload 等；支持查看异常活动报警的 payload 信息；支持通过 协议、源 IP、源端口、目的 IP、目的端口、时间查询异常活动报警; 异常活动报警列表支持根据 字段排序。网络行为分析。对监控网的网络行为进展分析。支持通过行为分析自动识别并归纳视频专网中的访问效劳器、协议扫描、端口扫描、 常用协议、一对一访问等网络

13、行为；支持网络行为列表，列表信息至少包括策略名称、协议、源 地址、源端口、目的地址、目的端口等。15、 支持通过策略名称查询网络行为；网络行为列表支持根据字段排序。对监测的设备进展可视化统计管理。支持监控主视图，在监控主视图上集中展示主要监控指标、态势曲线及重要的报警信息。支持总体平安指标显示，平安指标计算包含待准入设备、离线设备、地址冲突设备、 异常活动设备、弱口令设备等因素。支持部署资产台数、在线率、已运行天数显示。支持待准入数量、阻断设备数量、待准入数量显示，点击可跳转到相应管理功能页面。支持运行指标显示，至少包括资产类型分类及相应数量、资产品牌分类及相应数量、 设备准入情况、离线设备情

14、况、地址冲突设备情况、异常活动设备情况等。支持待准入、离线设备、地址冲突设备、异常活动设备历史列表和曲线，支持在列表和曲线间做切换操作；支持跳转到相应功能页面。报表管理。支持导出设备信息、异常活动信息、网络行为信息等报表；设备报表导出支持按IP、MAC、端口、协议、时间查询导出；异常活动信息和网络行为信息的报表支持按源地址、目的地址、源端口、目的端口、协议、时间查询导出；支持 doc、excel、pdf、html 等格式报表。支持地址组管理，可以将发现的设备自动关联到对应的地址组及地址组的所属部门；支持地址组嵌套，支持树形构造的地址组管理；支持添加、删除、修改地址组；支持地址组名称、 部门、地址范围、默认设备类型、上级地址组等属性。支持部门添加、删除、修改等；支持部门名称、上级部门、地址组等属性。系统支持向多级管理系统上报数据，接收多级下发的操作指令，包括准入、阻断、配置onvif