公安信息網(wǎng)視頻監(jiān)控安全安全接入解決方案

1、PAGE33公安信息網(wǎng)視頻監(jiān)控安全接入解決方案2011年3月目 錄 TOC o 1-3 h z u HYPERLINK l _Toc4 一、概述 PAGEREF _Toc4 h 4 HYPERLINK l _Toc5 二、視頻監(jiān)控業(yè)務(wù)及安全防御難點(diǎn)分析 PAGEREF _Toc5 h 5 HYPERLINK l _Toc6 視頻監(jiān)控業(yè)務(wù)分析 PAGEREF _Toc6 h 5 HYPERLINK l _Toc7 公安網(wǎng)視頻監(jiān)控應(yīng)用的安全防御難點(diǎn)分析 PAGEREF _Toc7 h 6 HYPERLINK l _Toc8 三、建設(shè)標(biāo)準(zhǔn)與目標(biāo) PAGEREF _Toc8 h 7 HYPERLINK

2、 l _Toc9 建設(shè)標(biāo)準(zhǔn) PAGEREF _Toc9 h 7 HYPERLINK l _Toc0 建設(shè)目標(biāo) PAGEREF _Toc0 h 8 HYPERLINK l _Toc1 四、視頻安全接入解決方案 PAGEREF _Toc1 h 9 HYPERLINK l _Toc2 總體架構(gòu)設(shè)計(jì) PAGEREF _Toc2 h 9 HYPERLINK l _Toc3 接入對象 PAGEREF _Toc3 h 12 HYPERLINK l _Toc4 接入鏈路 PAGEREF _Toc4 h 13 HYPERLINK l _Toc5 邊界接入平臺視頻接入鏈路 PAGEREF _Toc5 h 14 H

3、YPERLINK l _Toc6 公安信息通訊網(wǎng) PAGEREF _Toc6 h 16 HYPERLINK l _Toc7 平臺安全防御體系設(shè)計(jì) PAGEREF _Toc7 h 16 HYPERLINK l _Toc8 視頻接入認(rèn)證服務(wù) PAGEREF _Toc8 h 17 HYPERLINK l _Toc9 網(wǎng)絡(luò)隔離與訪問控制功能 PAGEREF _Toc9 h 20 HYPERLINK l _Toc0 反彈木馬阻斷功能 PAGEREF _Toc0 h 22 HYPERLINK l _Toc1 視頻數(shù)據(jù)實(shí)時(shí)病毒檢測與阻斷 PAGEREF _Toc1 h 23 HYPERLINK l _Toc

4、2 視頻用戶認(rèn)證與授權(quán)功能 PAGEREF _Toc2 h 25 HYPERLINK l _Toc3 集中安全管理與日志審計(jì) PAGEREF _Toc3 h 26 HYPERLINK l _Toc4 高性能設(shè)計(jì) PAGEREF _Toc4 h 28 HYPERLINK l _Toc5 高可靠性設(shè)計(jì) PAGEREF _Toc5 h 29 HYPERLINK l _Toc6 五、主要技術(shù)性能 PAGEREF _Toc6 h 30 HYPERLINK l _Toc7 安全功能 PAGEREF _Toc7 h 30 HYPERLINK l _Toc8 技術(shù)性能 PAGEREF _Toc8 h 32 H

5、YPERLINK l _Toc9 設(shè)備規(guī)格 PAGEREF _Toc9 h 33一、概述公安信息網(wǎng)（公安網(wǎng)）目前是星型拓?fù)浣Y(jié)構(gòu)，由一、二、三級主干網(wǎng)和接入網(wǎng)組成。公安部至各省公安機(jī)關(guān)主干網(wǎng)為一級網(wǎng)絡(luò)，省級公安機(jī)關(guān)至所轄地市公安機(jī)關(guān)的網(wǎng)絡(luò)為二級網(wǎng)，地市級公安機(jī)關(guān)至所轄縣區(qū)公安機(jī)關(guān)的網(wǎng)絡(luò)為三級網(wǎng)絡(luò)，基層科、所、隊(duì)到分局或市局的網(wǎng)絡(luò)為接入網(wǎng)。公安網(wǎng)絡(luò)系統(tǒng)的主要功能是為各級公安業(yè)務(wù)部門提供語音、數(shù)據(jù)、圖像等交換和傳輸服務(wù)。公安數(shù)據(jù)業(yè)務(wù)包括人口、治安、交管、刑偵、預(yù)審、出入境管理等二十多種業(yè)務(wù)的信息傳輸與查詢；辦公自動化、電子郵件等內(nèi)部管理數(shù)據(jù)；公安內(nèi)部信息網(wǎng)站瀏覽等業(yè)務(wù)，文字、圖表、動、靜態(tài)圖像等數(shù)據(jù)

6、的傳輸和交換。在視頻監(jiān)控應(yīng)用的接入過程中，公安信息通信網(wǎng)面臨很大風(fēng)險(xiǎn)。例如來自外網(wǎng)的各種攻擊、入侵、植入木馬、探頭（信息搜索代理Agent）和病毒等威脅；各類設(shè)備上的后門有可能受控啟用，造成信息失控、設(shè)備故障；內(nèi)外勾結(jié)造成的內(nèi)部重要信息通過視頻應(yīng)用通道泄漏；由于誤操作、非授權(quán)訪問等造成的信息丟失、失控等問題。由于社會治安視頻監(jiān)控網(wǎng)絡(luò)采用的網(wǎng)絡(luò)傳輸環(huán)境復(fù)雜，前端系統(tǒng)（視頻監(jiān)控點(diǎn)）覆蓋面廣且管理部門不統(tǒng)一，因此，公安部制定了公安信息通信網(wǎng)邊界接入平臺安全規(guī)范，嚴(yán)格制定了公安網(wǎng)與外網(wǎng)間信息交換的標(biāo)準(zhǔn)、架構(gòu)、安全等技術(shù)要求，各級公安機(jī)關(guān)都必須按照規(guī)范要求建設(shè)外網(wǎng)接入公安網(wǎng)的安全體系架構(gòu)，治安視頻監(jiān)控網(wǎng)

7、絡(luò)也必須通過規(guī)范的安全隔離接入平臺接入公安內(nèi)網(wǎng)，本方案專門針對視頻監(jiān)控中的安全風(fēng)險(xiǎn)設(shè)計(jì)滿足管理、安全、性能需求的解決方案。二、視頻監(jiān)控業(yè)務(wù)及安全防御難點(diǎn)分析視頻監(jiān)控業(yè)務(wù)分析社會治安視頻監(jiān)控系統(tǒng)是防范、打擊違法犯罪的重要技術(shù)手段之一，目前，廣東省公安系統(tǒng)已經(jīng)基本建設(shè)完成了覆蓋全省的綜合視頻監(jiān)控系統(tǒng)，并且取得了良好的實(shí)際效果，有力地協(xié)助公安機(jī)關(guān)快速、準(zhǔn)確打擊罪犯。社會治安視頻監(jiān)控系統(tǒng)不僅僅是由公安機(jī)關(guān)建設(shè)和管理的專用網(wǎng)絡(luò)，而是集中了全社會資源建設(shè)的視頻綜合數(shù)據(jù)傳輸網(wǎng)絡(luò)，該網(wǎng)絡(luò)包含三類視頻監(jiān)控點(diǎn)資源：一類為主要干道、出入口、要害部位、人流密集地段和案件高發(fā)部位。二類為治安復(fù)雜地段、人員聚集點(diǎn)、娛樂場

8、所、商業(yè)街區(qū)、大中型居民住宅區(qū)、重要企事業(yè)單位以及金融珠寶網(wǎng)點(diǎn)等。三類為一般的治安復(fù)雜點(diǎn)、街巷死角和部分社會單位如學(xué)校、幼兒園、醫(yī)院及新建商場、辦公大樓外圍。公安網(wǎng)視頻監(jiān)控應(yīng)用的安全防御難點(diǎn)分析公安網(wǎng)視頻監(jiān)控應(yīng)用的主要安全防御難點(diǎn)表現(xiàn)在：（1）傳輸內(nèi)容安全過濾困難。視頻應(yīng)用區(qū)別于WEB、數(shù)據(jù)庫等其他應(yīng)用的主要特點(diǎn)在于其傳輸?shù)膬?nèi)容為二進(jìn)制圖像數(shù)據(jù)流，因此，如何有效防止違法的病毒、木馬數(shù)據(jù)嵌入視頻應(yīng)用中傳輸成為必須解決的問題。（2）防止內(nèi)網(wǎng)泄露機(jī)密信息困難。由于視頻監(jiān)控的訪問具有雙向性，即部分公安內(nèi)網(wǎng)視頻監(jiān)控需要對外向其他政法等單位提供，公安內(nèi)網(wǎng)也需要訪問大量一、二、三類視頻監(jiān)控資源，如何有效防止

9、木馬程序利用視頻通道泄露公安內(nèi)網(wǎng)機(jī)密數(shù)據(jù)也必須加以可靠解決。（3）應(yīng)用協(xié)議控制困難。由于行業(yè)特殊原因，視頻監(jiān)控協(xié)議始終沒有制定標(biāo)準(zhǔn)，導(dǎo)致各視頻廠家協(xié)議差異較大，不兼容現(xiàn)象普遍，安全控制難度大。三、建設(shè)標(biāo)準(zhǔn)與目標(biāo) 建設(shè)標(biāo)準(zhǔn)本方案嚴(yán)格按照公安部相關(guān)視頻接入安全標(biāo)準(zhǔn)及體系架構(gòu)設(shè)計(jì)，滿足各類公安網(wǎng)視頻安全接入環(huán)境的要求，主要依據(jù)標(biāo)準(zhǔn)包括：未定編號 公安信息通信網(wǎng)邊界接入平臺安全規(guī)范未定編號 公安信息通訊網(wǎng)邊界接入平臺安全規(guī)范（試行）視頻專網(wǎng)GA/T367-2001 視頻安全監(jiān)控系統(tǒng)技術(shù)要求GB/T 20279-2006 網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求GB17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)

10、等級劃分準(zhǔn)則GA/T669-2006 城市監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng)通用技術(shù)要求 建設(shè)目標(biāo) 依據(jù)公安部相關(guān)規(guī)定和公安信息通信網(wǎng)現(xiàn)有安全基礎(chǔ)設(shè)施、依據(jù)公安網(wǎng)邊界安全隔離接入平臺規(guī)范要求，建設(shè)具備安全性、可管理性、高性能、高可靠性的社會監(jiān)控視頻接入平臺，實(shí)現(xiàn)公安內(nèi)網(wǎng)安全、視頻接入?yún)^(qū)域邊界安全、通訊內(nèi)容安全、訪問權(quán)限安全等。包括：安全性：確保內(nèi)外網(wǎng)在訪問視頻數(shù)據(jù)時(shí)防止攜帶病毒、木馬等程序進(jìn)入公安內(nèi)網(wǎng)，防止可能存在的木馬利用視頻接入通訊通道泄露公安機(jī)密信息； 完整性：確保視頻數(shù)據(jù)在傳輸中不被惡意篡改； 可用性：確保視頻接入業(yè)務(wù)能夠滿足性能需求，安全正常運(yùn)行；可審計(jì)性：能夠有效監(jiān)控和審計(jì)視頻接入業(yè)務(wù)的運(yùn)行情況。當(dāng)

11、發(fā)生違規(guī)或異常情況時(shí)，能夠及時(shí)發(fā)現(xiàn)、報(bào)警并處理； 可管理性：對于專用視頻接入隔離設(shè)備運(yùn)行過程能夠管理和監(jiān)控，具有規(guī)范合理的接入業(yè)務(wù)流程，納入日常維護(hù)管理； 可擴(kuò)展性和高可靠性：視頻接入平臺應(yīng)具有可擴(kuò)展的，能夠根據(jù)視頻訪問業(yè)務(wù)的擴(kuò)展不斷擴(kuò)充接入流量，同時(shí)，具備硬件冗余容錯(cuò)能力?？杉尚裕禾峁┍匾娜罩竞凸芾斫涌?，能夠與公安部隔離接入平臺緊密集成，將監(jiān)控視頻接入納入到統(tǒng)一的公安信息通信網(wǎng)隔離接入平臺管理體系中。四、視頻安全接入解決方案 總體架構(gòu)設(shè)計(jì)視頻接入公安網(wǎng)應(yīng)用屬于公安信息通信網(wǎng)邊界接入平臺的一種特殊應(yīng)用類型存在，偉思公司根據(jù)公安部相關(guān)技術(shù)要求設(shè)計(jì)了一套符合公安安全接入規(guī)范技術(shù)要求的系統(tǒng)。如下

12、圖所示，視頻接入公安網(wǎng)主要由四部分構(gòu)成：接入對象、外部接入鏈路、邊界接入平臺視頻鏈路接入?yún)^(qū)和公安信息通信網(wǎng)（公安內(nèi)網(wǎng)）。 接入對象 接入對象主要指各類視頻監(jiān)控系統(tǒng)，視頻監(jiān)控系統(tǒng)主要由前端設(shè)備、存儲設(shè)備、視頻管理平臺服務(wù)器、視頻轉(zhuǎn)發(fā)服務(wù)器等設(shè)備組成。目前，主要的視頻監(jiān)控系統(tǒng)按接入鏈路劃分主要可分為;（1）公安自建視頻監(jiān)控系統(tǒng) 這類視頻系統(tǒng)主要包括交警、消防和公安建立的各類直屬公安管轄的監(jiān)控點(diǎn)，這類監(jiān)控點(diǎn)主要包括了城區(qū)主要干道、治安卡口、社區(qū)廣場等。這類視頻監(jiān)控系統(tǒng)一般采用專線方式組網(wǎng)并通過專線接入公安網(wǎng)。（2）各黨政機(jī)關(guān)視頻監(jiān)控系統(tǒng) 這類視頻監(jiān)控系統(tǒng)主要包括交通、環(huán)衛(wèi)等單位建立的監(jiān)控系統(tǒng)，這類系

13、統(tǒng)一般可以通過政務(wù)專網(wǎng)接入公安網(wǎng)。（3）社會視頻監(jiān)控資源 這類視頻監(jiān)控系統(tǒng)主要由社會各單位自主建立，包括網(wǎng)吧、酒店、公司等單位，這些視頻監(jiān)控系統(tǒng)一般由電信運(yùn)營商在公網(wǎng)上建立視頻虛擬專網(wǎng)，通過專線方式可接入公安網(wǎng)。 這三類接入對象由于所采用組網(wǎng)方式的安全性不同，因此，必須通過相互物理隔離的接入鏈路接入公安邊界接入平臺視頻接入鏈路。 接入鏈路 接入鏈路是指由視頻監(jiān)控系統(tǒng)接入公安邊界接入平臺的鏈路方式。根據(jù)公安部的相關(guān)要求，本方案設(shè)計(jì)要求所有接入鏈路均為專線方式接入，由視頻監(jiān)控系統(tǒng)的核心交換機(jī)接入公安邊界接入平臺。如果視頻監(jiān)控系統(tǒng)的核心交換機(jī)與公安網(wǎng)邊界接入平臺處于同一機(jī)房內(nèi)，可通過核心交換機(jī)直接連

14、接公安邊界接入平臺的接入路由器或防火墻。如果視頻監(jiān)控系統(tǒng)的核心交換機(jī)與公安網(wǎng)邊界接入平臺物理距離較遠(yuǎn)，則可租用電信專線將核心交換機(jī)與公安邊界接入平臺的接入路由器或防火墻相連。 根據(jù)節(jié)說明，不同類型的視頻監(jiān)控系統(tǒng)應(yīng)采用物理獨(dú)立的線路接入防火墻，如下圖所示： 邊界接入平臺視頻接入鏈路該區(qū)域是視頻監(jiān)控系統(tǒng)接入公安網(wǎng)的核心區(qū)域。其主要結(jié)構(gòu)與公安部頒發(fā)的公安信息通信網(wǎng)邊界接入平臺安全規(guī)范基本相同，包括路由接入?yún)^(qū)、邊界保護(hù)區(qū)、應(yīng)用服務(wù)區(qū)、安全隔離區(qū)與安全監(jiān)測與管理區(qū)五部分。作為邊界接入平臺的特殊應(yīng)用類型，視頻接入也納入接入平臺的管理，作為其中的一條視頻專用的接入鏈路，因此，已經(jīng)建立了邊界接入平臺的各級公安

15、機(jī)關(guān)可以依托現(xiàn)有的邊界接入平臺及其設(shè)備（如邊界接入管理平臺、防火墻、IDS等），再根據(jù)視頻接入規(guī)范增添視頻專用隔離設(shè)備（視頻專用隔離網(wǎng)閘）、視頻接入認(rèn)證服務(wù)器、視頻用戶認(rèn)證服務(wù)器即可。對于沒有建立公安邊界安全接入平臺的公安機(jī)關(guān)，按照公安部的接入規(guī)范要求，則需要完整的建設(shè)包括邊界接入管理平臺、防火墻、IDS入侵檢測系統(tǒng)、視頻專用隔離設(shè)備、視頻接入認(rèn)證服務(wù)器、視頻用戶認(rèn)證服務(wù)器等在內(nèi)的整套邊界接入平臺。由于視頻占用帶寬資源非常大，一路D1質(zhì)量的視頻監(jiān)控畫面通常達(dá)到的帶寬，因此，公安網(wǎng)現(xiàn)有基于數(shù)據(jù)交換的邊界接入平臺中的設(shè)備性能往往無法滿足視頻接入要求，在這種情況下，可以考慮在各個(gè)下級單位建立視頻邊界

16、接入平臺如下圖所示，或在本單位升級現(xiàn)有邊界接入平臺中的設(shè)備。邊界接入平臺視頻接入鏈路具有針對視頻應(yīng)用的專用安全功能，經(jīng)過設(shè)備身份認(rèn)證后的視頻接入設(shè)備，通過專線方式接入到視頻接入鏈路，在視頻接入鏈路中，視頻控制信令和數(shù)據(jù)的會話終止于應(yīng)用服務(wù)區(qū)，在應(yīng)用服務(wù)區(qū)，視頻接入認(rèn)證服務(wù)器對接入對象進(jìn)行設(shè)備認(rèn)證，并對視頻信令格式進(jìn)行檢查及內(nèi)容過濾，只允許合法的協(xié)議和數(shù)據(jù)通過，在安全隔離區(qū)，安全隔離設(shè)備將視頻控制信令和數(shù)據(jù)進(jìn)行分別處理和傳輸，其中視頻數(shù)據(jù)為單向傳輸，視頻控制信令為雙向傳輸，視頻用戶認(rèn)證服務(wù)器對公安信息通訊網(wǎng)上使用視頻資源的用戶進(jìn)行統(tǒng)一注冊，身份認(rèn)證及權(quán)限管理，僅允許認(rèn)證通過的用戶訪問已授權(quán)的視頻

17、資源。 公安信息通訊網(wǎng) 公安信息通信網(wǎng)邊界接入平臺與公安信息通訊網(wǎng)核心交換機(jī)相連，實(shí)現(xiàn)公安信息通信網(wǎng)內(nèi)各視頻終端對視頻監(jiān)控系統(tǒng)（視頻專網(wǎng)）的實(shí)時(shí)訪問。 平臺安全防御體系設(shè)計(jì) 偉思視頻專用安全隔離與信息交換系統(tǒng)由三大安全功能單元構(gòu)成：視頻接入認(rèn)證服務(wù)器安全功能單元、網(wǎng)絡(luò)隔離與視頻安全控制單元和視頻用戶認(rèn)證服務(wù)器安全功能單元。視頻接入認(rèn)證服務(wù) 偉思視頻專用安全隔離與信息交換系統(tǒng)的視頻接入認(rèn)證服務(wù)器安全功能單元具有強(qiáng)大的視頻接入認(rèn)證功能，能夠?qū)σ曨l專網(wǎng)內(nèi)向公安信息通信網(wǎng)提供視頻信息服務(wù)的硬件設(shè)備進(jìn)行身份確認(rèn)禁止未經(jīng)過認(rèn)證的設(shè)備接入公安信息通訊網(wǎng)。 視頻接入認(rèn)證服務(wù)器安全功能單元采用設(shè)備指紋+IP&M

18、AC綁定的多因素強(qiáng)認(rèn)證機(jī)制對視頻硬件設(shè)備進(jìn)行認(rèn)證，設(shè)備通訊協(xié)議指紋認(rèn)證方式是利用視頻設(shè)備的二次開發(fā)接口對視頻設(shè)備進(jìn)行掃描，通過設(shè)備的反饋信息的指紋特征來驗(yàn)證視頻設(shè)備是否為已注冊的合法設(shè)備，指紋取樣包括：設(shè)備序列號、設(shè)備反饋信息的關(guān)鍵特征HASH值以及設(shè)備IP、MAC地址等信息形成該設(shè)備獨(dú)有的指紋，就像每個(gè)人不同的指紋一樣，沒有在接入認(rèn)證服務(wù)單元上注冊的設(shè)備將被阻止接入公安網(wǎng)。可以注冊/認(rèn)證的視頻設(shè)備包括：DVR視頻管理服務(wù)器視頻轉(zhuǎn)發(fā)服務(wù)器視頻編解碼服務(wù)器流媒體服務(wù)器視頻模擬/數(shù)字矩陣存儲設(shè)備 視頻接入認(rèn)證安全功能單元還具備視頻信令協(xié)議分析和內(nèi)容過濾功能，能夠針對不同的視頻廠商的視頻監(jiān)控協(xié)議，分

19、別進(jìn)行協(xié)議分析和內(nèi)容過濾。 偉思視頻接入認(rèn)證安全功能單元能夠分析視頻信令的格式和內(nèi)容。與傳統(tǒng)內(nèi)容過濾功能不同，由于很多視頻監(jiān)控系統(tǒng)廠商采用二進(jìn)制方式設(shè)計(jì)信令及內(nèi)容，因此，傳統(tǒng)的基于ASCII或GB2312等中文編碼的內(nèi)容關(guān)鍵字過濾算法無法實(shí)現(xiàn)對這些視頻監(jiān)控系統(tǒng)信令的協(xié)議和內(nèi)容檢查。偉思視頻接入認(rèn)證安全功能單元采用基于模式匹配的內(nèi)容過濾算法，能夠?qū)崿F(xiàn)對SIP、自定義協(xié)議等任何視頻通訊協(xié)議格式的信令分析和內(nèi)容過濾，并能夠阻斷非法或本設(shè)備未注冊視頻協(xié)議的傳輸。 偉思視頻接入認(rèn)證安全功能單元除了能夠?qū)崿F(xiàn)信令請求的協(xié)議檢查和內(nèi)容過濾功能以外，還具備對請求返回結(jié)果的內(nèi)容過濾功能。 偉思視頻接入認(rèn)證安全功能

20、單元還在國內(nèi)獨(dú)創(chuàng)性地提供了訪問行為檢查功能。該功能結(jié)合信令協(xié)議和內(nèi)容檢查，能夠更有效地防止非法信令在公安內(nèi)外網(wǎng)間傳輸。受制于安全策略的制訂方式，單純的信令分析和內(nèi)容檢查功能不可能建立完善、嚴(yán)密的視頻信令檢查機(jī)制，攻擊者可以在數(shù)據(jù)包內(nèi)的特定位置隱藏二進(jìn)制編碼信息進(jìn)行惡意信息的內(nèi)外網(wǎng)傳輸。采用訪問行為檢查功能能夠彌補(bǔ)這個(gè)漏洞，訪問行為檢查功能將嚴(yán)格審查視頻終端的操作步驟，不允許非法流程或信令的傳輸，例如，用戶在未經(jīng)登錄的情況下就調(diào)閱視頻歷史記錄，該步驟顯然是違反正常行為邏輯的，可能是黑客利用合法指令攜帶的參數(shù)傳輸非法信息，偉思視頻接入認(rèn)證安全功能單元在這種情況下將立即阻斷該連接，如下圖所示：偉思視

21、頻接入認(rèn)證安全功能單元的信令分析與檢查功能包括：信令包長的完整性CRC校驗(yàn)信令報(bào)文頭檢查信令格式檢查信令集內(nèi)容檢查信令參數(shù)內(nèi)容檢查信令返回信息校驗(yàn)信令行為邏輯檢查功能 偉思視頻接入認(rèn)證安全功能單元能夠終止視頻設(shè)備對公安網(wǎng)的訪問。偉思視頻接入認(rèn)證安全功能單元目前能夠針對華為、?？怠⑷蜓?、先進(jìn)視訊、上海貝爾、烽火、大華等十多個(gè)廠商的視頻監(jiān)控系統(tǒng)提供視頻控制信令分析和內(nèi)容過濾功能，也提供對DB33T639跨區(qū)域視頻監(jiān)控聯(lián)網(wǎng)共享技術(shù)規(guī)范或遵循SIP、協(xié)議規(guī)范的視頻監(jiān)控系統(tǒng)的支持。網(wǎng)絡(luò)隔離與訪問控制功能偉思視頻專用安全隔離與信息交換系統(tǒng)采用基于ASIC設(shè)計(jì)的硬件電子開關(guān)芯片，實(shí)現(xiàn)了公安網(wǎng)與視頻監(jiān)控專網(wǎng)

22、的物理斷開，并能夠?qū)σ曨l數(shù)據(jù)和信令進(jìn)行分離，分別獨(dú)立處理和傳輸。偉思視頻專用安全隔離與信息交換系統(tǒng)采用動態(tài)端口控制功能，能夠利用ip_conntrack對所有連接通道進(jìn)行動態(tài)的開放和關(guān)閉，在默認(rèn)狀態(tài)下，視頻控制信令傳輸通道始終開放，但視頻數(shù)據(jù)傳輸通道關(guān)閉，只有在視頻終端調(diào)用相關(guān)視頻時(shí)，才動態(tài)開放對應(yīng)的視頻通道，并在視頻畫面關(guān)閉后自動關(guān)閉視頻傳輸通道。如下圖所示：偉思視頻專用安全隔離與信息交換系統(tǒng)具備強(qiáng)大的ACL控制功能，管理員能夠設(shè)置針對源、目的IP、PORT端口、視頻協(xié)議類型、時(shí)間在內(nèi)的訪問控制策略。 反彈木馬阻斷功能視頻監(jiān)控應(yīng)用中一個(gè)重要安全難題是：由于視頻數(shù)據(jù)流通道上是難以識別的二進(jìn)制視

23、頻圖像數(shù)據(jù)流，且某些視頻協(xié)議需要開放大范圍端口，因此，在視頻數(shù)據(jù)流通道上檢測木馬是國際難題。本方案提出的解決思路是通過應(yīng)用隔離技術(shù)將木馬與視頻應(yīng)用程序進(jìn)行隔離，確保只有視頻客戶端能夠通過隔離區(qū)中的隔離網(wǎng)閘訪問視頻設(shè)備。這樣有效地解決了木馬利用視頻通道泄密或控制內(nèi)網(wǎng)的途徑。如下圖所示：視頻監(jiān)控的訪問方向都是由客戶端向視頻設(shè)備發(fā)出命令，視頻設(shè)備反饋信息或視頻流，即都是單向由客戶端發(fā)起的訪問，隔離網(wǎng)閘通過應(yīng)用隔離技術(shù)控制客戶端的哪些程序能夠與視頻設(shè)備交互數(shù)據(jù)，就能夠有效防止木馬利用視頻流通訊通道控制主機(jī)或泄漏機(jī)密信息。 視頻數(shù)據(jù)實(shí)時(shí)病毒檢測與阻斷應(yīng)用隔離技術(shù)解決了木馬等非法客戶端惡意程序攻擊的問題，

24、但對于病毒而言，卻可以在數(shù)據(jù)層利用視頻數(shù)據(jù)中夾雜惡意數(shù)據(jù)導(dǎo)致合法的視頻客戶端程序溢出并利用其傳播病毒。當(dāng)正常的使用者操作程序的時(shí)候，所進(jìn)行的操作一般不會超出程序的運(yùn)行范圍；而黑客卻利用緩沖長度界限向程序中輸入超出其常規(guī)長度的內(nèi)容，造成緩沖區(qū)的溢出從而破壞程序的堆棧，使程序運(yùn)行出現(xiàn)特殊的問題轉(zhuǎn)而執(zhí)行其它黑客希望執(zhí)行的指令，以達(dá)到攻擊的目的。 發(fā)生溢出攻擊的主要原因是視頻客戶端執(zhí)行了超長的命令參數(shù)或者是客戶端對外提供了不必要的服務(wù)功能造成的，由于視頻客戶端僅僅是視頻的播放和控制終端，它只是請求的發(fā)起方并非服務(wù)方，其自身并不需要對外提供任何服務(wù)。因此，本方案中嚴(yán)格要求視頻客戶端對外不提供任何服務(wù)功能

25、，視頻瀏覽功能盡可能簡化、對所有輸入?yún)?shù)和返回值嚴(yán)格控制在32位以內(nèi)。通過上述處理，能夠有效控制數(shù)據(jù)級病毒通過視頻客戶端進(jìn)行傳播。 視頻用戶認(rèn)證與授權(quán)功能偉思視頻接入認(rèn)證安全功能單元具備基于公安PKI/PMI數(shù)字證書用戶認(rèn)證與授權(quán)的功能。采用單點(diǎn)登錄方式，所有公安內(nèi)網(wǎng)用戶只需要數(shù)字證書KEY，就可以進(jìn)行視頻監(jiān)控系統(tǒng)的訪問，管理者可以針對每個(gè)用戶設(shè)置其不同視頻資源訪問權(quán)限，實(shí)現(xiàn)對用戶視頻訪問的認(rèn)證與授權(quán)。在管理平臺中，能夠嚴(yán)格設(shè)置認(rèn)證與授權(quán)策略，防止視頻終端用戶越權(quán)訪問視頻設(shè)備，修改視頻設(shè)備參數(shù)，更改視頻管理數(shù)據(jù)庫。主要權(quán)限配置功能包括：對能夠訪問視頻設(shè)備的客戶端IP進(jìn)行策略控制對能夠訪問視頻設(shè)

26、備的客戶端訪問時(shí)間進(jìn)行策略控制對能夠訪問視頻設(shè)備的客戶端程序進(jìn)行策略控制對客戶端能夠訪問的視頻管理服務(wù)器IP進(jìn)行策略控制對客戶端能夠訪問的視頻管理服務(wù)器端口進(jìn)行策略控制對所有訪問視頻設(shè)備的用戶進(jìn)行身份認(rèn)證按用戶/用戶組對客戶端能夠進(jìn)行的視頻監(jiān)控行為進(jìn)行授權(quán)根據(jù)客戶端IP或用戶/用戶組設(shè)置能夠訪問攝像頭的范圍根據(jù)客戶端IP或用戶/用戶組設(shè)置是否能夠檢索歷史錄像根據(jù)客戶端IP或用戶/用戶組設(shè)置是否能夠控制云臺根據(jù)客戶端IP或用戶/用戶組設(shè)置是否能夠查看歷史錄像根據(jù)客戶端IP或用戶/用戶組設(shè)置是否能夠?yàn)g覽GIS數(shù)字地圖根據(jù)客戶端IP或用戶/用戶組設(shè)置是否能夠修改視頻管理數(shù)據(jù)庫根據(jù)客戶端IP或用戶/用

27、戶組設(shè)置是否能夠進(jìn)行遠(yuǎn)程對講根據(jù)客戶端IP或用戶/用戶組設(shè)置是否能夠操作報(bào)警I/O輸出根據(jù)客戶端IP或用戶/用戶組設(shè)置是否能夠配置視頻設(shè)備參數(shù) 集中安全管理與日志審計(jì)偉思視頻專用安全隔離與信息交換系統(tǒng)作為邊界接入平臺視頻接入鏈路的核心設(shè)備，能夠與公安部批準(zhǔn)的5家平臺廠商的邊界接入管理平臺進(jìn)行集成，滿足邊界接入平臺視頻鏈路的安全要求。偉思視頻專用安全隔離與信息交換系統(tǒng)提供標(biāo)準(zhǔn)的SNMPv1/v3設(shè)備管理接口和SYSLOG日志輸出接口，包括合眾、三所、國保金泰、天行等在內(nèi)的管理平臺均遵循公安部對邊界接入管理平臺產(chǎn)品的要求提供SNMP和SYSLOG設(shè)備集中管理功能，因此，偉思視頻專用安全隔離與信息交

28、換系統(tǒng)可以與各平臺廠商無縫集成，接受管理平臺的集中管理，無需二次開發(fā)。安全管理區(qū)的主要功能是通過集中監(jiān)控與審計(jì)系統(tǒng)對視頻安全接入隔離網(wǎng)閘的管理、運(yùn)行情況和通訊日志進(jìn)行安全檢測與審計(jì)；進(jìn)行安全設(shè)備的配置管理及日常運(yùn)行維護(hù)，配置和管理安全策略、流量監(jiān)測、統(tǒng)計(jì)分析、安全審計(jì)，并以友好及人性化界面進(jìn)行展示。管理與審計(jì)系統(tǒng)提供二次開發(fā)接口，能夠?qū)崿F(xiàn)各類信息的級聯(lián)上報(bào)，集中報(bào)送到公安隔離接入平臺。功能主要包括以下兩個(gè)主要部分： 設(shè)備監(jiān)控信息上報(bào)，能夠有效將視頻安全接入隔離網(wǎng)閘的運(yùn)行狀態(tài)、接口流量、在線用戶情況、配置信息、報(bào)警信息等上報(bào)接入平臺； 日志與統(tǒng)計(jì)信息上報(bào)，對通訊日志、管理日志等日志信息，流量排名

29、、異常情況匯總等統(tǒng)計(jì)信息上報(bào)接入平臺； 管理與審計(jì)系統(tǒng)具有一套完善的安全管理結(jié)構(gòu)，包括以下內(nèi)容：管理方式：采用B/S架構(gòu)，通過Web瀏覽器對網(wǎng)閘進(jìn)行管理連接安全性：管理機(jī)與設(shè)備間采用SSL等加密方式進(jìn)行連接分級分權(quán)限管理：設(shè)備管理包括用戶管理員、安全策略員和日志審計(jì)管理員三種角色，用戶管理員能夠增加/刪除用戶、設(shè)備配置；安全策略員能夠配置訪問控制規(guī)則，但不能配置設(shè)備屬性、查看日志；僅允許日志審計(jì)管理員查看、管理日志。設(shè)備配置備份與恢復(fù)：具備配置保存與恢復(fù)功能。統(tǒng)計(jì)與分析：提供多種圖形化工具顯示設(shè)備工作狀態(tài)、連接數(shù)量、流量等各種運(yùn)行信息。 高性能設(shè)計(jì) 偉思視頻專用安全隔離與信息交換系統(tǒng)采用MIP

30、S多核平臺+ASIC硬件芯片實(shí)現(xiàn)了對視頻訪問的高性能設(shè)計(jì)，單臺設(shè)備能夠滿足最大2000路D1質(zhì)量畫質(zhì)的視頻并發(fā)訪問，1080p高清攝像頭的帶寬占用則達(dá)到了每路4-8Mbps的要求，偉思視頻專用安全隔離與信息交換系統(tǒng)高達(dá)5Gbps的吞吐性能有效保障了公安網(wǎng)今后對高清晰、大并發(fā)視頻監(jiān)控應(yīng)用的性能需求。 高可靠性設(shè)計(jì) 考慮到公安網(wǎng)邊界接入平臺對可靠性的要求，偉思視頻專用安全隔離與信息交換系統(tǒng)具備雙機(jī)熱備功能，采用獨(dú)立的HA熱備接口和業(yè)內(nèi)領(lǐng)先的會話保障功能，能夠?qū)崿F(xiàn)設(shè)備切換過程中的TCP、UDP會話保持，即設(shè)備故障切換中，視頻瀏覽不會中斷。五、主要技術(shù)性能 安全功能偉思ViGap視頻監(jiān)控專用隔離網(wǎng)閘具備以下安全特性：