公安局視頻專網(wǎng)安全系統(tǒng)建設方案設計

1、1 視頻專網(wǎng)建設現(xiàn)狀近年來，公安視頻專網(wǎng)的建設規(guī)模正在不斷擴大，專網(wǎng)前端的IP接入設備（如IPC、RFID等）的種類與數(shù)量正在不斷上升，這些前端設備被廣泛應用于治安管理、交通疏導等領域，與國計民生息息相關；同時，如人臉對比、車輛識別、大數(shù)據(jù)分析、警用地理等核心業(yè)務，也正向公安視頻專網(wǎng)遷移，目前的公安視頻專網(wǎng)事實上已經(jīng)成為一張承載海量終端與海量數(shù)據(jù)的物聯(lián)網(wǎng)。公安視頻專網(wǎng)的重要性正在不斷提升，隨之而來的安全問題也日益凸顯，一旦出現(xiàn)黑客攻擊、數(shù)據(jù)竊取等事件，將有可能造成治安管理失控、交通管制失效、敏感信息泄漏、LED屏幕倒流信息篡改等后果，嚴重危害社會穩(wěn)定。與此相對的是，由于點多面廣，大部分的公安視

2、頻專網(wǎng)無法部署有效的安全策略，前端設備與后端業(yè)務基本處于直連狀態(tài)，大量無人值守的接入終端被黑客利用成為攻擊源。攻擊者可利用分散在社會各處的接入設備接入到整個網(wǎng)絡中，對核心業(yè)務系統(tǒng)展開攻擊，甚至竊取保密信息。因此，如何解決來自于前端IP設備的安全風險成為了公安視頻專網(wǎng)安全體系建設的突出問題。當前視頻專網(wǎng)安全問題已經(jīng)上升到國家層面，發(fā)改委、中央綜治辦、公安部等九部委聯(lián)合下發(fā)關于加強公共安全視頻監(jiān)控建設聯(lián)網(wǎng)應用工作的若干意見，要求加強視頻監(jiān)控系統(tǒng)安全防護能力，嚴格安全準入機制；10月初的全國政法委視頻電話會議上，孟書記也多次強調(diào)了網(wǎng)絡安全建設的重要性；省公安廳也在9月份警示視頻專網(wǎng)存在的安全風險。2

3、 視頻專網(wǎng)存在的風險目前，全國各地公安系統(tǒng)的視頻專網(wǎng)及專網(wǎng)中的應用系統(tǒng)基本處于“裸奔”狀態(tài)，沒有任何的安全防護措施和手段，同時使用的操作系統(tǒng)和應用系統(tǒng)存在大量的高危漏洞，導致視頻專網(wǎng)存在如下風險：1、前端攝像頭接入交換機無法監(jiān)控管理，存在非法終端接入風險；2、前端智能終端接入網(wǎng)絡帶來病毒和木馬入侵風險；3、視頻專網(wǎng)為開放式網(wǎng)絡，安全設備部署較少，接入網(wǎng)可直接訪問服務器網(wǎng)絡；4、視頻專網(wǎng)中存在多個業(yè)務系統(tǒng)，業(yè)務系統(tǒng)之間無訪問控制策略；5、操作系統(tǒng)、業(yè)務系統(tǒng)、網(wǎng)絡系統(tǒng)存在大量的漏洞，可被不法分子進行利用；6、視頻專網(wǎng)無法做到專網(wǎng)專用，存在非法業(yè)務數(shù)據(jù)，影響視頻監(jiān)控圖像質(zhì)量；一旦攻擊者通過前端攝像機

4、滲透到視頻專網(wǎng)中來，可對系統(tǒng)進行大范圍嚴重破壞，極有可能對當前的正常電子業(yè)務工作造成災難級影響，業(yè)務數(shù)據(jù)無法快速恢復，造成智能交通指揮癱瘓，指揮中心失去“眼睛”，卡口系統(tǒng)失效，違法抓拍停滯，違法檔案刪除，阻止智能布控應用，監(jiān)控視頻被不法分子使用，惡意追蹤公民、車輛軌跡造成隱私泄露，誘導發(fā)布平臺發(fā)布反動言論等等嚴重的后果，社會影響層面巨大。針對前端設備的準入控制不僅要求設備接入可信，也要求設備行為可控，因此要求在實施準入控制時，必須能夠同時識別前端設備的身份，并有效管控傳輸?shù)臄?shù)據(jù)的合法性。此外，由于公安視頻專網(wǎng)點多面廣、性能要求高，在準入控制方案設計時，必須考慮部署及性能問題。以上要求是傳統(tǒng)的安

5、全設備難以實現(xiàn)的，這也是公安視頻專網(wǎng)無法部署有效的安全策略的根本原因；因此除進行傳統(tǒng)安全加固外，還需進行專業(yè)的前端視頻設備準入控制。3 風險防范的方法如前所述，公安視頻專網(wǎng)安全的核心問題是前端設備在接入時缺乏有效的準入控制，包括身份鑒別與網(wǎng)絡訪問行為控制手段，而公安視頻專網(wǎng)的安全體系必須建立在前端設備準入控制的基礎之上。因此，在設計公安視頻專網(wǎng)安全解決方案時，首先考慮解決前端設備的準入控制問題，牢牢把控住不法分子入侵的大門?？紤]到公安視頻專網(wǎng)是事實上的物聯(lián)網(wǎng)，所有前端設備的網(wǎng)絡訪問行為是確定的，因此可以采用“網(wǎng)無許可皆不通”的白名單建設理念，除對前端設備進行身份鑒別之外，還可以明確禁止前端設備

6、進行一切非預先確定的網(wǎng)絡訪問行為。具體來說，首先通過識別IP.MAC、特征碼、注冊協(xié)議等信息，實現(xiàn)只有授信設備接入網(wǎng)絡，對未通過認證的設備進行實時阻斷，并通過平臺聯(lián)動實時告警；其次，識別通過認證的前端設備的網(wǎng)絡訪問行為，只允許其傳輸預先確定的應用和數(shù)據(jù)。這樣即使有攻擊者通過偽造身份冒名接入網(wǎng)絡，所有的攻擊行為（例如網(wǎng)絡掃描、滲透提權、信息竊取等）也會被實時阻斷。通過以上兩步，即可實現(xiàn)前端設備接入“可信”，設備行為“可控”，在前端設備與后端業(yè)務系統(tǒng)之間建立起可信、可控的高效訪問通道。通過對物理鏈路的管控，基本能夠杜絕不法分子通過場外不可控區(qū)域使用非法手段接入視頻專網(wǎng)的行為保障視頻專網(wǎng)的外部安全性

7、。在解決了前端設備的準入控制問題之后，還需要考慮公安視頻專網(wǎng)整網(wǎng)安全方案，在保證整網(wǎng)數(shù)據(jù)通道高速、可靠的前提基礎上，對數(shù)據(jù)、系統(tǒng)應用平臺進行安全防護與應用加速，并在公安視頻專網(wǎng)與第三方接入平臺之間部署安全控制策略，只允許通過與預先應用相關的數(shù)據(jù)，不僅實現(xiàn)專網(wǎng)的安全隔離，還保證了網(wǎng)間應用數(shù)據(jù)共享。魚安18頻專財其次可以進行風險評估、系統(tǒng)加固、后期運維等全生命周期的安全咨詢與建設服務。在工具方面，視頻監(jiān)控專網(wǎng)實時信息分析及控制平臺可實時展示網(wǎng)絡現(xiàn)狀與安全態(tài)勢，幫助了解網(wǎng)絡風險點，從管理層面進一步提升公安視頻專網(wǎng)健壯性。最后，通過以下幾方面加強安全風險的管控：一是技術方面，對操作系統(tǒng)要定期進行安全加

8、固，對發(fā)現(xiàn)的操作系統(tǒng)高危漏洞，要及時進行補丁更新；對應用系統(tǒng)，在投入使用前必須要求廠家進行嚴格的安全審計和代碼審查，保證應用系統(tǒng)的安全性；對服務器硬件設備，要根據(jù)視頻網(wǎng)的建設標準，要求廠家進行相應的硬件調(diào)整。而是制度方面，要針對視頻網(wǎng)制定嚴格的安全管理制度對于廠家的維護人員和系統(tǒng)的管理人員，要嚴格遵守視頻網(wǎng)的管理規(guī)范，不得擅自通過雙網(wǎng)卡機器連接視頻網(wǎng)和公安網(wǎng)。三是教育培訓方面，要加強對視頻網(wǎng)的管理維護人員的安全教育和培訓，及時修改系統(tǒng)的弱口令，對于不同的系統(tǒng)設置不同的口令，提高密碼強度；及時獲取安全方面的最新動態(tài)，針對視頻網(wǎng)進行對應的加固。四是維護方面，要加強對視頻網(wǎng)的巡查和檢測，預防非授權人

9、員通過物理手段接入到視頻網(wǎng)內(nèi)進行破壞。文案大全3.1 詳細安全架構設計方案資全管理運維區(qū)Ij視頻服務器、存儲區(qū)3.1.1方案描述本次設計方案根據(jù)*市公安局視頻專網(wǎng)現(xiàn)狀，依據(jù)公安部指導文件，視頻專網(wǎng)滿足等級保護要求進行設計。接入邊界防護：前端攝像頭匯聚后，在中廣有線OLT設備與視頻網(wǎng)核心設備之間部署高性能防火墻，進行策略訪問控制，防止前端網(wǎng)絡遭受攻擊后蔓延至我局，導致業(yè)務服務器被攻擊。視頻管理pc防護：建議將視頻網(wǎng)內(nèi)pc電腦通過交換機進行匯聚，接入核心交換前經(jīng)過萬兆防火墻進行策略控制，防止PC中毒后蔓延至服務器區(qū)。安全風險的管控：規(guī)劃安全管理運維區(qū)，部署入侵檢測設備，對全網(wǎng)進行威脅分析，并能夠與

10、防火墻聯(lián)動，及時阻斷威脅。前端視頻設備管控：在*市局部署視頻準入分析平臺，部署視頻探針，對視頻設備進行資產(chǎn)管理、設備準入、行為管控等。3.2 實現(xiàn)功能在解決公安視頻專網(wǎng)安全建設問題時，應將設備身份鑒別、深度業(yè)務控制、高性能等多項要素進行融合，突破傳統(tǒng)技術框架的限制，保證了公安視頻專網(wǎng)的可信、可控、可用。傳統(tǒng)的身份鑒別方式是向智能終端下發(fā)認證證書或安裝認證軟件，而公安視頻專網(wǎng)的前端設備不具備安裝認證軟件的能力，針對此類身份鑒別必須收集硬件編碼、網(wǎng)絡地址、特征碼等信息，綜合確定設備身份；深度應用控制則需要分析行業(yè)應用特征，并形成完整可用的特征庫，對前端設備傳輸?shù)臄?shù)據(jù)進行實時的分析，確定前端設備行為

11、的合法性；在實現(xiàn)身份鑒別與深度應用控制的前提下，海量終端、海量數(shù)據(jù)的接入與傳輸不能產(chǎn)生時延，保證后端業(yè)務系統(tǒng)對前端設備傳輸數(shù)據(jù)的實時調(diào)用需求。在上述的核心能力之上，結合公安視頻專網(wǎng)的應用特點，形成了公安視頻專網(wǎng)前端設備準入控制解決方案。該解決方案應在現(xiàn)網(wǎng)改動最小、業(yè)務影響最小的前提下，提供有效管控前端設備身份與行為的手段，在技術與管理兩方面幫助用戶構建可信、可控、可用的公安視頻專網(wǎng)。3.2.1視頻專網(wǎng)監(jiān)測系統(tǒng)（采集分析引擎）系統(tǒng)接收探測引擎探測的設備，顯示設備信息及設備狀態(tài)。顯示：在網(wǎng)設備的IP和MAC地址、品牌、型號、所屬地址組、部門發(fā)現(xiàn)時間、弱密碼等信息；自動監(jiān)控識別并準入網(wǎng)絡視頻設備、網(wǎng)

12、絡設備等硬件類型設備?？蓪υO備進行導出導入、查詢、支持設備流量詳情展示；支持樹狀部門展示。系統(tǒng)對探測引擎上報的設備進行準入與非準入操作。對于非視頻設備和網(wǎng)絡設備，系統(tǒng)不自動準入。可以通過準入配置設置對設備進行準入;系統(tǒng)后臺為非視頻設備和網(wǎng)絡設備自動生成注冊碼，通過管理員手工登錄注冊網(wǎng)址，方對待準入設備進行批量注冊準入。系統(tǒng)對剩下的待準入設備自動進行入網(wǎng)隔離、告警。系統(tǒng)接收探測引擎探測出的設備故障狀態(tài)，顯示設備故障的歷史情況和現(xiàn)狀。支持自動檢查設備的IP地址、MAC地址沖突；支持地址沖突設備列表展示，列表信息至少包括IP地址、MAC地址、設備類型、地址組、部門、管理員、沖突MAC、沖突設備類型、

13、狀態(tài)等；地址沖突設備列表支持根據(jù)字段排序。系統(tǒng)接收探測引擎上報的Mac地址進行判斷是否Mac地址沖突，沖突設備將顯示出來是Mac沖突還是類型沖突。支持通過IP地址、MAC地址、設備類型、設備狀態(tài)等信息設置復合條件查詢地址沖突信息；支持對地址沖突設備進行更新處置操作；支持查看設備詳細信息，設備流量詳情展示。系統(tǒng)支持通過行為分析自動識別專網(wǎng)中的異常行為，并生成設備異常行為管理；支持設備異常列表，列表信息至少包括IP地址、MAC地址、設備類型、品牌、型號、地址組、部門、地理信息、管理員、聯(lián)系電話、發(fā)現(xiàn)時間、風險、狀態(tài)等。通過行為異常顯示當前異常設備，對設備行為進行核實排查隱患。行為審計顯示。支持通過

14、行為分析自動識別視頻專網(wǎng)中的異常行為，并記錄為異常活動；支持異?；顒訄缶斜?，列表信息至少包括策略名稱、級別、協(xié)議類型、源地址、源端口、目的地址、目的端口、字節(jié)數(shù)、包數(shù)、報警時間、payload等；支持查看異?；顒訄缶膒ayload信息；支持通過協(xié)議、源IP、源端口、目的IP、目的端口、時間查詢異?；顒訄缶划惓；顒訄缶斜碇С指鶕?jù)字段排序。網(wǎng)絡行為分析。對監(jiān)控網(wǎng)的網(wǎng)絡行為進行分析。支持通過行為分析自動識別并歸納視頻專網(wǎng)中的訪問服務器、協(xié)議掃描、端口掃描、常用協(xié)議、一對一訪問等網(wǎng)絡行為；支持網(wǎng)絡行為列表，列表信息至少包括策略名稱、協(xié)議、源地址、源端口、目的地址、目的端口等。15、支持通過策略

15、名稱查詢網(wǎng)絡行為；網(wǎng)絡行為列表支持根據(jù)字段排序。對監(jiān)測的設備進行可視化統(tǒng)計管理。支持監(jiān)控主視圖，在監(jiān)控主視圖上集中展示主要監(jiān)控指標、態(tài)勢曲線及重要的報警信息。支持總體安全指標顯示，安全指標計算包含待準入設備、離線設備、地址沖突設備、異?；顒釉O備、弱口令設備等因素。支持部署資產(chǎn)臺數(shù)、在線率、已運行天數(shù)顯示。支持待準入數(shù)量、阻斷設備數(shù)量、待準入數(shù)量顯示，點擊可跳轉到相應管理功能頁面。支持運行指標顯示，至少包括資產(chǎn)類型分類及相應數(shù)量、資產(chǎn)品牌分類及相應數(shù)量、設備準入情況、離線設備情況、地址沖突設備情況、異?；顒釉O備情況等。支持待準入、離線設備、地址沖突設備、異?；顒釉O備歷史列表和曲線，支持在列表和曲

16、線間做切換操作；支持跳轉到相應功能頁面。報表管理。支持導出設備信息、異?；顒有畔ⅰ⒕W(wǎng)絡行為信息等報表；設備報表導出支持按IPsMAC、端口、協(xié)議、時間查詢導出；異常活動信息和網(wǎng)絡行為信息的報表支持按源地址、目的地址、源端口、目的端口、協(xié)議、時間查詢導出；支持doc、excel、pdf、html等格式報表。支持地址組管理，能夠將發(fā)現(xiàn)的設備自動關聯(lián)到對應的地址組及地址組的所屬部門；支持地址組嵌套，支持樹形結構的地址組管理；支持添加、刪除、修改地址組；支持地址組名稱、部門、地址范圍、默認設備類型、上級地址組等屬性。支持部門添加、刪除、修改等；支持部門名稱、上級部門、地址組等屬性。系統(tǒng)支持向多級管理系

17、統(tǒng)上報數(shù)據(jù)，接收多級下發(fā)的操作指令，包括準入、阻斷、配置onvif、配置SNMP密碼等操作。3.2.2視頻專網(wǎng)監(jiān)測系統(tǒng)（視頻探針）探測設備信息，將設備信息發(fā)送至采集分析引擎。設備信息包括設備IP、Mac地址、狀態(tài)、類型、型號、設備弱密碼。探測設備是否離線，將設備狀態(tài)發(fā)送至采集分析引擎。接收采集分析引擎的阻斷命令，對設備進行阻斷。接收采集分析引擎的onvif密碼，識別網(wǎng)絡攝像機的狀態(tài)。上報網(wǎng)絡攝像機圖片至采集分析引擎。3.2.3 視頻專網(wǎng)監(jiān)測系統(tǒng)（多級管理中心）多級管理中心頁面功能與采集分析引擎管理頁面功能基本一致，多級管理中心增加的是可以配置下級節(jié)點信息，對下級數(shù)據(jù)進行接收、顯示出來，并支持對

18、下級進行準入、阻斷、配置onvif密碼、SNMP密碼、更新或清除設備沖突操作等操作。 支持配置下節(jié)點信息，接收下級上報的設備信息、設備待準入信息、設備故障管理信息、設備沖突信息、行為異常管理信息、異?；顒訄缶畔?；支持同時管理多個下級節(jié)點。 支持在多級管理中心操作，對下級下發(fā)設備準入操作、阻斷操作、配置onvif密碼、配置SNMP密碼操作、更新或清除設備沖突操作。 多級管理中心頁面功：能與采集分析引擎管理中心的頁面功能基本一致。3.3 項目建設價值3.3.1方案合規(guī)，產(chǎn)品可信本次建設視頻專網(wǎng)安全監(jiān)測分析系統(tǒng)須通過公安部第三研究所針對產(chǎn)品安全功能的針對性測試，并具備公安部頒發(fā)的安全專用產(chǎn)品銷售許

19、可證等安全證書，協(xié)助日照市公安局建設一張安全合規(guī)的視頻網(wǎng)專用網(wǎng)絡。3.3.2多個層面，全面防護本次建設視頻專網(wǎng)安全監(jiān)測分析系統(tǒng)通過設備資產(chǎn)管控、網(wǎng)絡行為管控、視頻應用管控三個層面實現(xiàn)安全控制，只有通過認證的IP、MAC地址，并且網(wǎng)絡行為符合視頻專網(wǎng)業(yè)務需求，所使用的應用符合視頻專網(wǎng)應用的行為才能放行，其他|p、MAC地址和流量全部阻斷。3.3.3 功能實現(xiàn)，針對性強本次建設視頻專網(wǎng)安全監(jiān)測分析系統(tǒng)內(nèi)置了主流視頻監(jiān)控設備資產(chǎn)特性及網(wǎng)絡協(xié)議，用戶部署后即可實現(xiàn)監(jiān)測和報警功能。系統(tǒng)功能實現(xiàn)從可視化監(jiān)測、資產(chǎn)管理、運行監(jiān)測、安全控制等多方面入手，全面解決視頻專網(wǎng)資產(chǎn)管理、設備故障、非法入侵等問題，幫助

20、我單位全方位解決視頻專網(wǎng)安全運行問題，實現(xiàn)視頻專網(wǎng)可知、可控、可管理。3.3.4 可視管理，精確定位本次建設視頻專網(wǎng)安全監(jiān)測分析系統(tǒng)支持網(wǎng)內(nèi)設備、違規(guī)報警、異常設備、未知連接數(shù)量等運行指標可視化展示，支持白名單top5、設備流量top5、協(xié)議流量top5等流量指標可視化展示，支持網(wǎng)絡行為、異常設備的集中圖形化展示讓我單位從全局的角度去掌控網(wǎng)絡狀況。3.3.5 部署簡單，無單點故障本次建設視頻專網(wǎng)安全監(jiān)測分析系統(tǒng)的部署不需要改變已有網(wǎng)絡結構，不用在網(wǎng)絡內(nèi)串接設備，不用在系統(tǒng)上安裝代理，可以很方便的完成部署，無論邏輯上還是物理上都采用旁路工作模式，徹底杜絕單點故障導致視頻專網(wǎng)全網(wǎng)癱瘓的現(xiàn)象發(fā)生。4

21、建設方案清單設備名稱產(chǎn)品功能安全監(jiān)控分析系統(tǒng)作為整個方案的分析平臺，接收來自探測引擎收集的相關數(shù)據(jù)，構建視頻設備資產(chǎn)信息庫以及視頻系統(tǒng)漏洞庫，分析視頻專網(wǎng)中出現(xiàn)的網(wǎng)絡行為，形成防護策略下發(fā)探針實現(xiàn)準入以及阻斷等操作，同時支持向安全監(jiān)控綜合管理平臺上報數(shù)據(jù)，接收安全監(jiān)控綜合管理平臺下發(fā)的操作指令，包括準入、阻斷、配置等操作。1）系統(tǒng)接收探測引擎探測的設備信息，統(tǒng)一收集分析，形成視頻設備資產(chǎn)信息庫統(tǒng)一管理。2）系統(tǒng)根據(jù)探測引擎上報的設備信息并進行分析，對視頻設備進行準入與非準入操作。3）系統(tǒng)接收探測引擎收集的視頻系統(tǒng)漏洞信息，將漏洞信息納入視頻設備資產(chǎn)信息庫，對全網(wǎng)視頻設備的漏洞狀態(tài)進行及時展示和預警，杜絕因漏洞或者弱口令引發(fā)的攻擊行為4）系統(tǒng)接收探測引擎探測出的設備狀態(tài)（離線、故障、地址沖突、黑白屏）信息并進行分析，顯示設備故障的歷史情況和現(xiàn)狀。5）