HiSec視頻大數據安全解決方案

1、HiSec視頻大數據安全解決方案技術白皮書目錄 HYPERLINK l _bookmark0 方案背景1 HYPERLINK l _bookmark1 風險分析1 HYPERLINK l _bookmark2 解決思路2 HYPERLINK l _bookmark3 方案價值2 HYPERLINK l _bookmark4 方案概述3 HYPERLINK l _bookmark5 方案架構3 HYPERLINK l _bookmark6 方案介紹5 HYPERLINK l _bookmark7 前端接入控制5 HYPERLINK l _bookmark8 設備指紋認證5 HYPERLINK l

2、 _bookmark9 安防業(yè)務識別及過濾5 HYPERLINK l _bookmark10 IPS 入侵檢測及防護6 HYPERLINK l _bookmark11 廣目系統(tǒng)6 HYPERLINK l _bookmark12 資產管理7 HYPERLINK l _bookmark13 攻擊防范管理7 HYPERLINK l _bookmark14 業(yè)務統(tǒng)計7 HYPERLINK l _bookmark15 配置管理8 HYPERLINK l _bookmark16 日志管理8 HYPERLINK l _bookmark17 大屏監(jiān)控8 HYPERLINK l _bookmark18 視頻數據

3、中心安全聯(lián)動閉環(huán)9 HYPERLINK l _bookmark19 安全業(yè)務統(tǒng)一管理9 HYPERLINK l _bookmark20 設備管理9 HYPERLINK l _bookmark21 對象管理10 HYPERLINK l _bookmark22 策略管理10 HYPERLINK l _bookmark23 安全聯(lián)動處置10 HYPERLINK l _bookmark24 典型應用場景/典型組網12 1方案背景 HYPERLINK l _bookmark1 風險分析 HYPERLINK l _bookmark2 解決思路 HYPERLINK l _bookmark3 方案價值風險分析

4、攝像頭部署位置的特殊性以及視頻全網互聯(lián)趨勢的推動，都給視頻網絡帶來了極大的安全挑戰(zhàn)。 以下幾類典型的安全風險亟需網絡建設者關注：風險 1：非法私接IPC 大量使用，網絡末端延伸到戶外，傳統(tǒng)網絡安全邊界失效。IPC 存在被仿冒，被劫持，敏感信息泄露等問題。風險 2：劫持攝像頭黑客入侵網絡后，利用攝像頭漏洞劫持網絡內大量攝像頭，為 DDos 攻擊等進一步破壞制造條件。風險 3：劫持視頻管理平臺黑客入侵網絡后，通過暴力破解或者橫向擴散，畫出內部網絡拓撲結構，破壞承載關鍵數據的主機，可導致視頻管理平臺異常。風險 4：數據竊取黑客入侵網絡后，通過前端接入設備將關鍵數據外發(fā)，完成數據的竊取。應對這些風險，

5、亟需一套適用于視頻監(jiān)控網絡的安全解決方案。解決思路華為視頻大數據安全解決方案通過端到端的方案設計，集合精準訪問控制、場景化 IPS 防御、智能流量分析、集中可視化管理、高效協(xié)同聯(lián)動等能力，建立統(tǒng)一的視頻網絡安全保障體系，提供更安全可靠的視頻監(jiān)控網絡。方案價值HiSec 視頻大數據安全解決方案可以帶來如下價值：多重接入控制集合了設備、流量、行為多重身份過濾，在視頻網絡海量前端接入的情況下大大減小攻擊面。感知全網安全態(tài)勢圖形化界面幫助客戶直觀理解全網安全態(tài)勢，并可以根據區(qū)域、關鍵資產去查看對應的風險，并給出處理建議。運維人員可以快速找到自己負責的區(qū)域和資產， 并根據安全狀態(tài)和處理建議對這些設備進行

6、安全加固工作?？焖侔l(fā)現(xiàn)高級威脅基于強大的流量、日志采集和大數據分析檢測技術，發(fā)現(xiàn)現(xiàn)網中的高級威脅攻擊，幫助客戶實時快速發(fā)現(xiàn)網絡中的安全威脅事件。秒級安全聯(lián)動響應通過和安全設備的快速聯(lián)動，實現(xiàn)秒級響應，大大提高安全響應速度和效率。并可以進行手動或自動的安全策略聯(lián)動，對安全威脅進行處置，防止和降低其對網絡和業(yè)務的影響。 2方案概述 HYPERLINK l _bookmark5 2.1方案架構方案架構為解決視頻監(jiān)控網絡的關鍵風險，方案從前端接入控制、安全態(tài)勢感知、安全聯(lián)動處置三部分構建主動防御體系。視頻安全解決方案的架構如圖所示：方案關鍵組件：防火墻（視頻安全網關）：對入網終端做接入控制，防止非視頻

7、應用、非授權廠商 IPC接入；通過 IPS 簽名攔截攝像頭將威脅帶入視頻網絡；接收CIS 下發(fā)的聯(lián)動策略，阻斷受感染終端。廣目系統(tǒng)：視頻安全網關前端接入控制可對接廣目系統(tǒng)，通過廣目系統(tǒng)做配置下發(fā)， 并在廣目系統(tǒng)做前端接入控制效果呈現(xiàn)。SecoManager：安全控制器，作為方案的“中樞神經”, 該組件定位于網絡安全策略管理、業(yè)務編排。在視頻網絡中主要用于對后端防火墻進行統(tǒng)一安全業(yè)務納管，并接收CIS 下發(fā)的處置任務，編排成為安全設備可執(zhí)行的策略，實現(xiàn)自動威脅響應、安全策略仿真和策略調優(yōu)，提高運維效率。CIS：采集防火墻及其他安全設備上送的流量及日志做關聯(lián)分析，呈現(xiàn)網絡安全態(tài)勢， 并聯(lián)動 Sec

8、oManager 編排并下發(fā)安全策略，聯(lián)動防火墻阻斷威脅，實現(xiàn)聯(lián)動閉環(huán)。關鍵流程步驟：前端接入控制從視頻前端安全入手，對于接入視頻網絡的流量，通過視頻安全網關安全策略控制放行的協(xié)議、終端設備廠商等，降低終端仿冒、威脅流量入侵監(jiān)控中心的風 險；通過視頻安全網關流量學習，可向廣目系統(tǒng)上報資產信息，廣目系統(tǒng)可做資產信息處理、下發(fā)準入配置給視頻安全網關，并呈現(xiàn)視頻安全網關的接入控制效果；視頻數據中心安全聯(lián)動閉環(huán)SecoManager 實現(xiàn)對視頻數據中心防火墻的統(tǒng)一管理。CIS 綜合安全設備流量及日志做關聯(lián)分析、安全態(tài)勢呈現(xiàn)，并聯(lián)動 SecoManager編排并下發(fā)安全策略，聯(lián)動防火墻阻斷威脅，實現(xiàn)聯(lián)動

9、閉環(huán)。 3方案介紹 HYPERLINK l _bookmark7 前端接入控制 HYPERLINK l _bookmark18 視頻數據中心安全聯(lián)動閉環(huán)前端接入控制針對攝像頭易被仿冒、易被利用的特點，華為防火墻通過設備指紋認證、流量指紋過濾、協(xié)議漏洞檢測等手段，層層阻斷非法入侵，達到攝像頭安全接入的目的。通過與前端設備管理平臺配合，提高配置管理易用性，并可直觀展現(xiàn)資產安全狀態(tài)及接入控制效果。設備指紋認證設備指紋是指可以用于區(qū)分不同攝像頭的固有信息，包括 MAC、IP、廠商、序列號、固件版本號等信息。防火墻可以通過 IP、MAC 信息對設備進行認證過濾：將授權 IP 加入安全策略列表，非授權 I

10、P 流量不允許通過將授權 MAC 加入安全策略列表，非授權 MAC 流量不允許通過對 IP、MAC 進行綁定，IP、MAC 關系綁定錯誤的流量不允許通過設備指紋的獲取方式包括：基于流量的被動應用識別及基于接入設備的主動掃描。設備指紋主動掃描，即采用主動探測方式獲得前端攝像頭設備準確指紋信息，通過主動探測，獲取設備指紋，包括廠商、MAC、型號、IP，多個維度對終端 IPC 進行識別，提升攝像頭識別準確率。主動掃描能在設備接入網絡之前獲取到資產清單，可根據需要添加到安全策略的配置中，與應用識別一起對接入設備做準入控制。與廣目系統(tǒng)對接，可將主動掃描到的資產清單上報給廣目平臺，用戶通過廣目平臺確認需要

11、放行及攔截的資產，達到準入控制效果。安防業(yè)務識別及過濾黑客可以通過修改設備的固有信息欺騙防火墻，從而達到繞過防火墻指紋認證的目的，為此防火墻提供了流量指紋過濾功能。防火墻對經過的每條流量進行深度識別，確認流量的協(xié)議、廠商信息等，同時和策略中配置的協(xié)議/廠商信息進行匹配，只對授權流量進行放行。防火墻可以識別國內主流攝像頭廠商（大華、海康、宇視、華為）的各種流量（ONVIF、GB-T28181、私有SDK）。流量識別基于特征庫，特征庫可以在線更新或本地更新，從而及時響應攝像頭流量的特征變更。特征庫提供自定義功能，可以在特殊情況下靈活配置達到阻斷特性流量的功能。IPS 入侵檢測及防護黑客可以控制攝像

12、頭，利用攝像頭漏洞進行網絡入侵。由于惡意流量是通過正常的視頻流量進行承載，因此無法通過指紋認證或流量過濾進行攔截。為此防火墻提供了基于漏洞的入侵檢測功能。防火墻對經過的每條流量進行深度協(xié)議解析和特征匹配，確認是否為惡意流量，同時根據策略配置對流量進行阻斷或告警。防火墻可以檢測國內主流攝像頭廠商（大華、?？怠⒂钜?、華為）的漏洞。入侵檢測基于特征庫，特征庫可以在線更新或本地更新，從而及時響應攝像頭漏洞。同時特征庫提供自定義功能，可以在緊急情況下通過自定義特征配置達到快速阻斷特定流量的目的。廣目系統(tǒng)廣目系統(tǒng)是與華為視頻安全網關相結合的軟件產品，具備前端資產發(fā)現(xiàn)及識別、準入控制、態(tài)勢感知、風險監(jiān)控、級

13、聯(lián)監(jiān)管、安全態(tài)勢展示等功能； 系統(tǒng)可以對接入資產的運行狀況進行動態(tài)分析和展示，讓用戶從全局的角度去了解和掌控資產狀況，直觀展現(xiàn)每個資產運行軌跡及完整的資產生命周期； 系統(tǒng)強化資產發(fā)現(xiàn)、準入、安全保障，做到“資產可知、入網可信、邊界可控、行為可查”。系統(tǒng)主要由資產管理、攻擊防范管理、業(yè)務統(tǒng)計、配置管理、日志管理及大屏監(jiān)控組成。廣目系統(tǒng)與視頻安全網關功能對接如圖所示：資產管理系統(tǒng)通過組織區(qū)域管理及 IP 劃分、網關注冊、資產學習、資產準入、態(tài)勢感知及資產退出的管理，可以對接入資產的運行狀況進行動態(tài)分析和展示，讓用戶從全局的角度去了解和掌控資產狀況，直觀展現(xiàn)每個資產運行軌跡及完整的資產生命周期。可通

14、過由視頻安全網關學習經過當前網絡設備中的視頻流量，將資產信息上報給廣目系統(tǒng)，或由網絡管理員按照當前的資產信息格式將資產信息錄入或導入到廣目系統(tǒng)。在廣目系統(tǒng)形成一個初步的資產信息庫，前端設備管理人員在明確合法資產后，選擇相關資產下發(fā)準入命令將該資產定義為合法資產并同步到視頻安全網關側。視頻安全網關側將此資產列表作為合法設備的基線列表。攻擊防范管理針對視頻流量，視頻安全網關將探測的資產信息與后臺合法資產數據進行綜合驗證及指紋識別，及時發(fā)現(xiàn)非法私接；且視頻安全網關提取了攝像頭資產相關的攻擊防御簽名庫，對于網絡中的攻擊行為進行細分并上報相應告警日志。在廣目平臺上對攻擊行為進行告警展示。攻擊防范告警包括

15、：針對非合法資產產生非法私接告警；針對合法資產的非法應用流量產生告警；針對資產受到攻擊或主動發(fā)起攻擊進行告警，如入侵檢測、蠕蟲檢測、僵尸網絡、木馬檢測等；可配置資產離線進行告警。業(yè)務統(tǒng)計系統(tǒng)從不同的業(yè)務視角、通過豐富的統(tǒng)計圖表方便業(yè)務人員對全網資產全面掌控。 包括：使用情況統(tǒng)計：從資產狀態(tài)、廠商、區(qū)域、在線率、時間等多維度統(tǒng)計資產情況；攻擊威脅統(tǒng)計：從總體趨勢、區(qū)域、攻擊威脅類型、廠商等角度展現(xiàn)；告警情況統(tǒng)計：從區(qū)域、廠商、趨勢角度展現(xiàn)整體告警情況；非法四姐統(tǒng)計：從總體趨勢、區(qū)域等角度展現(xiàn)。配置管理在同一網絡中的視頻安全網關配置，有一定的相似性。網絡管理人員可以針對視頻安全網關配置統(tǒng)一的安全配

16、置模板。系統(tǒng)可對注冊的全網網關進行統(tǒng)一安全策略配置及下發(fā)，主要包括：日志配置、安全接入配置、應用配置、非法流量處理、內容安全檢測及免認證白名單。同時，提供告警配置、分級服務器配置等。日志管理詳盡記錄資產變化、用戶操作行為、網關配置管理等內容，主要包括資產接入日志、網關操作日志、資產行為日志、用戶行為日志、資產變更日志等。大屏監(jiān)控通過可視化方式展示健康指數、資產數量、資產運行狀態(tài)、資產廠家統(tǒng)計、資產區(qū)域統(tǒng)計、非法私接、異常流量以及告警信息等，方便網絡管理人員第一時間掌握和評估當前 IPC 及網絡安全情況。視頻數據中心安全聯(lián)動閉環(huán)安全業(yè)務統(tǒng)一管理大企業(yè)客戶網絡中部署大量防火墻設備（例如某集團僅華北

17、區(qū)就部署幾百臺防火墻），目前對于這些防火墻的運維管理，主要有以下痛點：防火墻的管理手段分散，無有效集中管理工具；管理員重復需要充分了解防火墻與網絡拓撲的關系，需要管理大量維護 IP 地址， 對管理員要求高；管理員無法統(tǒng)一查看安全策略情況，存在策略配置錯誤、策略冗余情況。針對上述痛點和問題，提出了安全業(yè)務集中管理方案（如下圖所示），通過 SecoManager，可以自動發(fā)現(xiàn)設備，進行配置一致性檢查，配置差異結果可視，安全策略自動實施和部署。關鍵組件說明：SecoManager 配置界面，面向用戶提供安全策略配置 portal；統(tǒng)一收集防火墻告警日志，提供統(tǒng)一運維；防火墻開放北向API，SecoM

18、anager 將安全策略通過NETCONF 通道下發(fā)到防火墻。設備管理設備管理包含防火墻設備的基本管理能力：設備自動發(fā)現(xiàn)、設備的增刪改查、雙機熱備組的增刪改查、設備配置的一致性對比功能、設備單點登錄等。在 SecoManager 中，為了方便用戶管理，會將雙機熱備的兩臺設備自動識別為一臺邏輯設備來進行統(tǒng)一的管理，同時做雙機熱備日常管理。設備配置一致性對比：將SecoManager 最后一次部署配置和設備當前的配置進行對比。如果配置不一致，可以查看相應的對比結果?？梢詫⑴渲猛降娇刂破魃?，也可以選擇放棄設備的變更。雙機熱備自動識別：SecoManager 在設備發(fā)現(xiàn)之后，會自動嘗試識別設備的雙機

19、熱備配置，將具體雙機熱備關系的兩臺物理設備識別為一臺邏輯設備來進行管理。這樣在策 略配置的過程中，就可以只關注這一臺設備。雙機熱備自動識別需要一個過程（幾分鐘），如果雙機熱備識別失敗，用戶也可以選擇手工識別。雙機熱備日常管理：可以針對雙機熱備的兩臺設備進行配置一致性檢查、主備一致性檢查、版本一致性檢查，如果發(fā)現(xiàn)配置不一致的情況下，支持手工調整修復。同時也可以進行手工主動切換。對象管理支持安全域、地址集、服務等對象的集中規(guī)劃管理。支持反病毒、入侵防御安全配置文件。安全配置文件是一種專門用于安全策略的特殊對象，它是一組內容安全檢測與防護規(guī)則的集合。通過安全配置文件可以定義在內容安全功能中，需要識別

20、的威脅以及對其采取的措施。策略管理安全策略管理功能主要用于訪問控制以及內容安全檢查。用戶通過設置對應的匹配條件包括源/目的安全區(qū)域、源/目的地址、服務、時間段來進行控制，在執(zhí)行動作上可以設置允許或禁止。同時也可以配置上對應的安全配置文件做內容安全防護。策略組視圖和設備視圖進行策略快速管理：可以查看單一策略組或單一設備，可以快速過濾策略組和設備相關的策略。選擇了某一個策略組或設備后，再新增策略時，默認也會選中該策略組或設備；可以查看策略變更統(tǒng)計、配置一致性統(tǒng)計、部署狀態(tài)統(tǒng)計。策略變更統(tǒng)計：當 SecoManager 的配置進行變更之后，將識別這個策略為變更狀態(tài)。變更的策略需要考慮部署到對應的設備

21、上。變更統(tǒng)計狀態(tài)包含：已變更、未變更。用戶可以通過點擊變更統(tǒng)計狀態(tài)的內容進行快速篩選該狀態(tài)下的策略。配置一致性統(tǒng)計：以策略的視角來檢查該策略與關聯(lián)的設備上的策略是否都一致。如果有任意一臺設備是不一致的，則提示不一致。該功能只會檢查最后一次部署的配置與設備是否一致。配置一致性狀態(tài)：一致、不一致、未知（未檢查）。用戶可以通過點擊配置一致性狀態(tài)的內容進行快速篩選該狀態(tài)下的策略。部署狀態(tài)統(tǒng)計：以策略的視角來統(tǒng)計該策略的部署狀態(tài)：未部署、已部署、部署中、部分部署、部署失敗。這樣可以比較直觀的看到策略部署的進展。用戶可以通過點擊部署狀態(tài)的內容進行快速篩選該狀態(tài)下的策略。安全聯(lián)動處置CIS 系統(tǒng)提供豐富的威脅檢測模型，管理員可以結合現(xiàn)網威脅類型，針對各類威脅類型進行聯(lián)動規(guī)則配置，規(guī)則配置生效后，一旦檢測到的威脅事件命中聯(lián)動規(guī)則后，CIS 按照聯(lián)動規(guī)則中的阻斷配置下發(fā)聯(lián)動策略。整個交互流程如下：管理員配置交換機,將待檢測的流量通過交換機端口鏡像給 CIS 流探針；管理員根據當前網絡中的威脅情況，在CIS