視頻監(jiān)控網(wǎng)絡(luò)整體安全解決方案

視頻監(jiān)控網(wǎng)絡(luò)整體安全解決方案深信服科技股份有限公司2018年6月第1章項(xiàng)目背景 3第2章視頻監(jiān)控網(wǎng)絡(luò)安全現(xiàn)狀描述 3第3章視頻監(jiān)控網(wǎng)絡(luò)安全需求 53.1訪問控制要求 53.2入侵防范 63.3病毒防護(hù) 63.4補(bǔ)丁管理 73.5脆弱性檢測 73.6安全審計(jì) 73.7邊界接入安全 83.8終端安全管理 83.9全網(wǎng)安全風(fēng)險(xiǎn)感知 9第4章整體安全解決方案 94.1安全體系架構(gòu) 94.2設(shè)計(jì)原則 4.2.1合規(guī)性設(shè)計(jì)原則 4.2.2安全技術(shù)體系設(shè)計(jì) 4.3整體安全方案拓?fù)?4.3.1視頻監(jiān)控網(wǎng)絡(luò)與邊界安全方案設(shè)計(jì)(橫向) 4.3.2視頻監(jiān)控網(wǎng)絡(luò)邊界安全方案設(shè)計(jì)(縱向) 204.3.3系統(tǒng)應(yīng)用區(qū)安全方案設(shè)計(jì) 第5章方案價(jià)值 5.1部署簡單 5.2使用方便 5.3貼近用戶 5.4功能強(qiáng)大 第6章設(shè)備清單 第1章項(xiàng)目背景城市信息化概念的提出，國家、政府大力推進(jìn)了視頻監(jiān)控系統(tǒng)的建設(shè)，逐漸形成了覆蓋整個(gè)城市和各地區(qū)的視頻監(jiān)控網(wǎng)絡(luò)，實(shí)現(xiàn)數(shù)字化監(jiān)測與信息共享、治安重點(diǎn)區(qū)域?qū)崟r(shí)監(jiān)控，全面提升對(duì)突發(fā)案件、群體性事件和重大保衛(wèi)活動(dòng)的監(jiān)控力度和響應(yīng)能力?？稍诘谝粫r(shí)間掌握重要視頻監(jiān)控區(qū)域的異常情況，達(dá)到實(shí)時(shí)監(jiān)控管理、主動(dòng)報(bào)警、威懾諸如犯罪及為事后取證提供依據(jù)等監(jiān)控目的。視頻監(jiān)控網(wǎng)絡(luò)設(shè)備的種類與數(shù)量不斷上升，在治安、交通、智能樓宇等領(lǐng)域發(fā)揮日益重要的作用，大數(shù)據(jù)分析、警用地理、車輛識(shí)別等核心應(yīng)用正在向視頻監(jiān)控網(wǎng)絡(luò)遷移，視頻監(jiān)控網(wǎng)絡(luò)事實(shí)上已成為一張承載海量終端與海量數(shù)據(jù)的物聯(lián)網(wǎng)。視頻監(jiān)控網(wǎng)絡(luò)設(shè)備數(shù)量巨大、物理部署范圍廣泛，且前端設(shè)備大都部署在道路、街區(qū)或其它隱蔽場所等極易被黑客利用，進(jìn)而侵入到整個(gè)網(wǎng)絡(luò)，導(dǎo)致核心業(yè)務(wù)系統(tǒng)無法正常運(yùn)行、大量保密信息被竊取，因此建立完善的設(shè)備安全準(zhǔn)入和設(shè)備監(jiān)管機(jī)制成為了安全體系建設(shè)的重要課題。第2章視頻監(jiān)控網(wǎng)絡(luò)安全現(xiàn)狀描述4視頻攝像頭作為視頻監(jiān)控網(wǎng)絡(luò)重要組成部分，基數(shù)大且部署分散，品牌多樣，目前無技術(shù)工具自動(dòng)統(tǒng)計(jì)。另外對(duì)于大型機(jī)構(gòu)一般采取分布式管理，權(quán)限分散，無集中式管理平臺(tái)，且無法貫徹落實(shí)視頻網(wǎng)絡(luò)建設(shè)要求；4視頻監(jiān)控設(shè)備部署地點(diǎn)大都暴露在道路、街區(qū)等公共場所，極易被惡意侵入，進(jìn)而侵入到整個(gè)網(wǎng)絡(luò)，導(dǎo)致核心業(yè)務(wù)系統(tǒng)無法正常運(yùn)行、大量保密信息被竊取。視頻攝像頭、交換機(jī)、路由器、防火墻、視頻網(wǎng)業(yè)務(wù)服務(wù)器、運(yùn)維終端等是視頻監(jiān)控網(wǎng)絡(luò)全部組成部分，無技術(shù)手段鑒別是否存在非視頻監(jiān)控網(wǎng)終端的接入，無法規(guī)避由此引發(fā)的安全事件；4視頻監(jiān)控網(wǎng)絡(luò)對(duì)流量穩(wěn)定性要求極高，但是不排除因?yàn)榻K端問題導(dǎo)致的異常訪問流量發(fā)生，影響視頻監(jiān)控網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。另外大型機(jī)構(gòu)視頻監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜且龐大，不同區(qū)域互聯(lián)方式不同，有直連、專線、VPN等，當(dāng)出現(xiàn)安全事件時(shí)，目前采用命令行逐級(jí)排查，耗時(shí)耗力，缺乏快速定位手段；視頻監(jiān)控網(wǎng)絡(luò)邊界接入環(huán)境復(fù)雜，邊界接入平臺(tái)多種多樣，邊界接入設(shè)備缺乏有效的認(rèn)證與監(jiān)管;網(wǎng)絡(luò)中可能存在互聯(lián)網(wǎng)通路，大大擴(kuò)展了視頻監(jiān)控網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界，且其安全性較差，容易遭到破解，是對(duì)網(wǎng)絡(luò)邊界完整性的重大破壞。視頻監(jiān)控網(wǎng)絡(luò)中的監(jiān)控PC終端大都為windows系統(tǒng)，缺乏有效的防病毒和補(bǔ)丁管理措施、usb外設(shè)管理措施，病毒和惡意代碼可通過usb接口對(duì)監(jiān)控終端進(jìn)行感染，由于監(jiān)控終端之間沒有隔離措施，病毒會(huì)在整個(gè)監(jiān)控網(wǎng)絡(luò)中肆意傳播。通過非法接入的筆記本可對(duì)監(jiān)控平臺(tái)(windows)進(jìn)行漏洞掃描，由于缺乏補(bǔ)丁管理和安全加固措施，可利用漏洞(例如：弱密碼、溢出)獲取服務(wù)器權(quán)限并進(jìn)行控制，進(jìn)而非法獲取視頻信息。通過遠(yuǎn)程控制刪除錄像信息，修改配置，使攝像頭無法正常工作，進(jìn)而在監(jiān)控區(qū)域內(nèi)進(jìn)行非法活動(dòng)。隨著WEB技術(shù)的發(fā)展，應(yīng)用系統(tǒng)的上線、開發(fā)和變更越來越頻繁，應(yīng)用系統(tǒng)的本身安全脆弱性。第3章視頻監(jiān)控網(wǎng)絡(luò)安全需求結(jié)合視頻監(jiān)控網(wǎng)絡(luò)安全現(xiàn)狀，規(guī)劃視頻監(jiān)控網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)信息安全保障體系，應(yīng)涵蓋了應(yīng)用平臺(tái)計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全、安全管理等方面，保障視頻監(jiān)控網(wǎng)絡(luò)的安全性、保密性、可用性，具體網(wǎng)絡(luò)安全需求如下：3.1訪問控制要求視頻監(jiān)控網(wǎng)絡(luò)網(wǎng)絡(luò)邊界、內(nèi)部網(wǎng)絡(luò)中應(yīng)采取有效的訪問控制措施，防止非法訪問，黑客攻擊的發(fā)生，特別在前置攝像頭與核心匯聚交換設(shè)備之間防護(hù)來自前置攝像頭的安全威脅，如采用防火墻技術(shù)進(jìn)行安全防護(hù)，各安全邊界接入必須能夠進(jìn)行細(xì)粒度的訪問控制能力，嚴(yán)格控制訪問者的權(quán)限包括：●源、目的IP控制，能夠進(jìn)行源、目的IP的訪問控制●服務(wù)端口控制。對(duì)訪問視頻管理服務(wù)器的端口進(jìn)行控制，其它視頻端口默認(rèn)關(guān)閉，動(dòng)態(tài)開放●訪問時(shí)間控制。能夠控制客戶端訪問視頻資源的時(shí)間●訪問行為權(quán)限管理。能夠根據(jù)用戶名/用戶組、IP/IP段進(jìn)行視頻資源的訪問控制，包括：攝像頭訪問范圍、云臺(tái)控制、歷史視頻錄像查詢、歷史視頻錄像播放、日志查詢、視頻數(shù)據(jù)庫修改等進(jìn)行權(quán)限控制●單向訪問控制。關(guān)閉雙向視頻通訊。3.2入侵防范應(yīng)對(duì)視頻監(jiān)控網(wǎng)絡(luò)中網(wǎng)絡(luò)攻擊行為進(jìn)行實(shí)時(shí)的檢測和分析，及時(shí)的發(fā)現(xiàn)異常行為，降低安全事件的發(fā)生率。如采用入侵防御系統(tǒng)進(jìn)行安全檢測和防護(hù)。3.3病毒防護(hù)病毒、木馬一致是威脅網(wǎng)絡(luò)安全的頭號(hào)殺手，在視頻監(jiān)控網(wǎng)絡(luò)中存在大量的終端、服務(wù)器，一旦感染惡意病毒、木馬，響視頻監(jiān)控資源系統(tǒng)的穩(wěn)定運(yùn)行。應(yīng)對(duì)視頻監(jiān)控網(wǎng)絡(luò)終端、服務(wù)器，采用防病毒安全措施，防止惡意病毒、木馬的傳播。同時(shí)，為了保證內(nèi)網(wǎng)視頻監(jiān)控終端在接收視頻數(shù)據(jù)時(shí)不被木馬、病毒感染，視頻監(jiān)控瀏覽軟件無論采用瀏覽器方式還是客戶端軟件方式，都應(yīng)具備以下防護(hù)手段：●視頻監(jiān)控終端禁止執(zhí)行來自外部的涉及操作系統(tǒng)、文件系統(tǒng)或運(yùn)行其它應(yīng)用進(jìn)程的指令●視頻監(jiān)控終端對(duì)接收到的視頻流僅允許進(jìn)行解碼播放，不允許執(zhí)行視頻流內(nèi)任何指令●視頻監(jiān)控終端應(yīng)安裝必要的防病毒軟件●支持網(wǎng)絡(luò)防病毒，用于windows視頻服務(wù)器和視頻監(jiān)控終端3.4補(bǔ)丁管理視頻監(jiān)控網(wǎng)絡(luò)中的視頻服務(wù)器和視頻監(jiān)控終端為windows操作系統(tǒng)，需要定期更新系統(tǒng)補(bǔ)丁，支持補(bǔ)丁統(tǒng)一管理，用于windows視頻服務(wù)器和視頻監(jiān)控終端的統(tǒng)一補(bǔ)丁管理。3.5脆弱性檢測可實(shí)現(xiàn)對(duì)設(shè)備定期的脆弱性檢測，及時(shí)發(fā)現(xiàn)高危漏洞和弱密碼3.6安全審計(jì)由于在視頻監(jiān)控網(wǎng)絡(luò)中，大量的訪問用戶從不同時(shí)間、地點(diǎn)訪問視頻監(jiān)控資源，如不對(duì)用戶網(wǎng)絡(luò)訪問行為進(jìn)行有效的安全記錄，當(dāng)發(fā)生安全事件時(shí)，很難去追溯和定責(zé)。因此，應(yīng)加強(qiáng)高清視頻監(jiān)控網(wǎng)絡(luò)安全審計(jì)能力，記錄用戶訪問的身份、行為、訪問過程等內(nèi)容信息，為事后分析取證提供數(shù)據(jù)支撐。3.7邊界接入安全視頻監(jiān)控網(wǎng)絡(luò)安全接入平臺(tái)的設(shè)計(jì)需要滿足第三方信息通信網(wǎng)對(duì)外部圖像資源的安全瀏覽，并與第三方信息通信網(wǎng)之間的數(shù)據(jù)需要通過視頻交換平臺(tái)進(jìn)行數(shù)據(jù)的共享和傳輸。視頻監(jiān)控網(wǎng)絡(luò)與第三方信息通信網(wǎng)應(yīng)嚴(yán)格按照信息網(wǎng)邊界接入平臺(tái)建設(shè)的技術(shù)規(guī)范實(shí)現(xiàn)邊界安全防護(hù)。因此采用必要的安全隔離設(shè)備，對(duì)視頻監(jiān)控網(wǎng)絡(luò)進(jìn)入第三方信息通信網(wǎng)的數(shù)據(jù)進(jìn)行隔離。3.8終端安全管理在視頻監(jiān)控網(wǎng)絡(luò)中，視頻終端的安全性尤為重要，視頻監(jiān)控網(wǎng)絡(luò)中的前置攝像頭和網(wǎng)絡(luò)設(shè)備存在大量弱口令、溢出等安全漏洞隱患。針對(duì)前端攝像機(jī)接入形成的網(wǎng)絡(luò)邊界，制定技術(shù)可靠、安全防護(hù)性高的、基于終端準(zhǔn)入認(rèn)證的前端攝像機(jī)訪問控制技術(shù)措施。防止前端攝像機(jī)被非法替換、終端非法接入、網(wǎng)絡(luò)非法訪問等安全問題的發(fā)生。還需對(duì)攝像頭運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)測，對(duì)異常狀態(tài)及時(shí)統(tǒng)一分級(jí)報(bào)警，實(shí)現(xiàn)各類狀態(tài)的數(shù)據(jù)匯總和集中展示。另外，視頻監(jiān)控網(wǎng)絡(luò)中存在部分PC終端，而這些終端都為windows操作系統(tǒng)，需要對(duì)這些終端進(jìn)行注冊(cè)管理，達(dá)到與其他設(shè)備統(tǒng)一管理，如果存在安全漏洞或者配置不完善，則容易遭受蠕蟲病毒攻擊、黑客攻擊或泄漏重要信息，給內(nèi)部網(wǎng)絡(luò)帶來安全隱患。要求對(duì)該設(shè)備進(jìn)行行為審計(jì)、“一機(jī)兩用”行為監(jiān)測、外設(shè)端口控制等做有效管理。要保證內(nèi)網(wǎng)的安全性，就必須對(duì)終端計(jì)算機(jī)上的漏洞情況進(jìn)行分析，打上所需要的補(bǔ)丁，以及時(shí)修補(bǔ)計(jì)算機(jī)上存在的漏洞，從而提高計(jì)算機(jī)自身的系統(tǒng)安全性。3.9全網(wǎng)安全風(fēng)險(xiǎn)感知應(yīng)具備對(duì)全網(wǎng)安全風(fēng)險(xiǎn)可視，具備對(duì)內(nèi)部橫向攻擊、違規(guī)操作、異常流量、異常行為等進(jìn)行感知分析，風(fēng)險(xiǎn)預(yù)警。能幫助用戶發(fā)現(xiàn)、識(shí)別、提取視頻監(jiān)控網(wǎng)絡(luò)內(nèi)部署的應(yīng)用系統(tǒng)，如人臉識(shí)別、車牌自動(dòng)識(shí)別等。能及時(shí)發(fā)現(xiàn)未經(jīng)授權(quán)上線的應(yīng)用、發(fā)生異常的應(yīng)用等，幫助用戶有效管理應(yīng)用。支持異常行為分析，異常行為可以通過報(bào)警由用戶查看，探測同時(shí)連接視頻網(wǎng)的高危行為。應(yīng)能對(duì)視頻監(jiān)控網(wǎng)絡(luò)中的設(shè)備、系統(tǒng)、應(yīng)用進(jìn)行定期的安全檢測，盡早地發(fā)現(xiàn)存在的安全漏洞，并進(jìn)行修補(bǔ)，從而降低漏洞被利用的風(fēng)險(xiǎn)，降低安全隱患。支持對(duì)非法通訊行為暴露在用戶監(jiān)視之下，在網(wǎng)絡(luò)內(nèi)部的攻擊、掃描、探測等行為能夠被用戶有效管控。第4章整體安全解決方案4.1安全體系架構(gòu)關(guān)于通用視頻監(jiān)控網(wǎng)絡(luò)項(xiàng)目安全設(shè)計(jì)思想是：依照國家等級(jí)保護(hù)的相關(guān)要求，利用密碼、代碼驗(yàn)證、可信接入控制等核心技術(shù)，在既定框架下實(shí)現(xiàn)對(duì)信息系統(tǒng)的全面防護(hù)。整個(gè)體系模型如下圖所數(shù)據(jù)傳輸安全區(qū)域邊界安全通信網(wǎng)絡(luò)安全管理中心安全管理子系統(tǒng)系統(tǒng)管理子系統(tǒng)安全計(jì)算環(huán)境應(yīng)用層系統(tǒng)層控制部件仲裁器邊界控制策略跨域互連策略外部代理內(nèi)部代理信息安全保障體系架構(gòu)4.2設(shè)計(jì)原則4.2.1合規(guī)性設(shè)計(jì)原則本項(xiàng)目在滿足公共安全視頻監(jiān)控聯(lián)網(wǎng)平臺(tái)的實(shí)際安全需求基礎(chǔ)上，采取技術(shù)和管理相結(jié)合的安全防護(hù)措施，將安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。(一)構(gòu)建分域控制體系在總體架構(gòu)上將按照分層、分區(qū)、分域保護(hù)思路進(jìn)行，從結(jié)構(gòu)上根據(jù)企業(yè)的情況劃分為不同的安全區(qū)域，各個(gè)安全區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端、應(yīng)用系統(tǒng)形成單獨(dú)的計(jì)算環(huán)境、各個(gè)安全區(qū)域之間的訪問關(guān)系形成邊界、各個(gè)安全區(qū)域之間的連接鏈路和網(wǎng)絡(luò)設(shè)備構(gòu)成了網(wǎng)絡(luò)基礎(chǔ)設(shè)施；并通過統(tǒng)一的基礎(chǔ)支撐平臺(tái)來實(shí)現(xiàn)對(duì)整個(gè)平臺(tái)基礎(chǔ)安全設(shè)施的集中管理，構(gòu)建分域的控制體系。(二)構(gòu)建縱深的防御體系安全防御采用統(tǒng)一身份管理、訪問控制、入侵檢測、病毒防范、安全審計(jì)、防病毒、傳輸加密、集中數(shù)據(jù)備份等多種傳統(tǒng)技術(shù)和措施，并結(jié)合虛擬機(jī)間防護(hù)、虛擬機(jī)病毒防護(hù)等新的技術(shù)手段，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護(hù)，并在此基礎(chǔ)上實(shí)現(xiàn)綜合集中的安全管理，并充分考慮各種技術(shù)的組合和功能的互補(bǔ)性，合理利用措施，從外到內(nèi)形成一個(gè)縱深的安全防御體系，保障信息系統(tǒng)整體的安全保護(hù)能力。(三)保證一致的安全強(qiáng)度對(duì)于平臺(tái)計(jì)算環(huán)境和區(qū)域邊界，可以采用分級(jí)的辦法，在通信網(wǎng)絡(luò)上則采取強(qiáng)度一致的安全措施，并采取統(tǒng)一的防護(hù)策略，使各安全措施在作用和功能上相互補(bǔ)充，形成動(dòng)態(tài)的防護(hù)體系。(四)實(shí)現(xiàn)高效的安全運(yùn)營體系信息安全管理的目標(biāo)就是通過采取適當(dāng)?shù)目刂拼胧﹣肀Ｕ闲畔⒌谋Ｃ苄?、完整性、可用性，從而確保信息系統(tǒng)內(nèi)不發(fā)生安全事件、少發(fā)生安全事件、即使發(fā)生安全事件也能有效控制事件造成的影響。通過建設(shè)集中的安全感知安全大數(shù)據(jù)平臺(tái)，實(shí)現(xiàn)對(duì)平臺(tái)的整體信息資產(chǎn)、安全事件、安全風(fēng)險(xiǎn)、訪問行為等的統(tǒng)一分析與監(jiān)管，通過關(guān)聯(lián)分析技術(shù)，使系統(tǒng)管理人員能夠迅速發(fā)現(xiàn)問題，定位問題，有效應(yīng)對(duì)安全事件的發(fā)生。(五)建立可控的風(fēng)險(xiǎn)管控體系進(jìn)行持續(xù)、多維度安全監(jiān)測如對(duì)資產(chǎn)、價(jià)值、漏洞、威脅等方面，結(jié)合安全風(fēng)險(xiǎn)評(píng)估模型進(jìn)行綜合評(píng)估，實(shí)時(shí)地了解所有的業(yè)務(wù)系統(tǒng)以及其相關(guān)資產(chǎn)所面臨的安全風(fēng)險(xiǎn)，實(shí)現(xiàn)全方位的預(yù)警通報(bào)，并有助于快速故障定位，當(dāng)有異常情況或征兆時(shí)能夠及時(shí)給管理員提示，以便管理員及時(shí)采取應(yīng)對(duì)措施，降低安全事件影響范圍，建立一套完整的檢測、預(yù)警、通告、協(xié)同處置的風(fēng)險(xiǎn)管控體系。4.2.2安全技術(shù)體系設(shè)計(jì)4.2.2.1安全設(shè)計(jì)框架安全體系主要包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理…安全系統(tǒng)包含多網(wǎng)絡(luò)區(qū)域：視頻監(jiān)控主網(wǎng)、系統(tǒng)應(yīng)用區(qū)、前端設(shè)備接入?yún)^(qū)、第三方對(duì)接信息網(wǎng)絡(luò)、互聯(lián)網(wǎng)等系統(tǒng)。通過可視化監(jiān)測、資產(chǎn)管理、運(yùn)行監(jiān)測、安全控制、病毒防護(hù)和補(bǔ)丁管理、運(yùn)維安全等維度解決視頻監(jiān)控網(wǎng)絡(luò)安全問題。4.3.2安全區(qū)域邊界界定公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)平臺(tái)的邊界主要包含兩大類：縱向橫向邊界區(qū)前端接入?yún)^(qū)第三方縱向邊界區(qū)(一)南北向邊界(縱向緯度)南北向邊界區(qū)主要實(shí)現(xiàn)企業(yè)互聯(lián)下級(jí)子單位與視頻監(jiān)控主網(wǎng)(二)東西向邊界(橫向緯度)橫向邊界區(qū)主要實(shí)現(xiàn)視頻監(jiān)控網(wǎng)絡(luò)與第三方對(duì)接新消息網(wǎng)絡(luò)，如互聯(lián)網(wǎng)以及物業(yè)總部甚至政府機(jī)構(gòu)等之間的安全接入，主要包(1)第三方對(duì)接信息網(wǎng)絡(luò)的邊界交互平臺(tái)區(qū)：視頻監(jiān)控網(wǎng)絡(luò)橫向連接第三方對(duì)接信息網(wǎng)絡(luò)(邊界平臺(tái));(2)互聯(lián)網(wǎng)邊界的交互平臺(tái)區(qū)：視頻監(jiān)控網(wǎng)絡(luò)橫向連接互聯(lián)網(wǎng)；4.3.3系統(tǒng)應(yīng)用區(qū)域劃分通過公共安全視頻監(jiān)控聯(lián)網(wǎng)平臺(tái)的安全區(qū)域的南北向和東西向邊界分析可以勾勒出整個(gè)應(yīng)用平臺(tái)的安全域劃分，如下：視頻監(jiān)控主網(wǎng)：平臺(tái)應(yīng)用系統(tǒng)服務(wù)器域、網(wǎng)絡(luò)管理系統(tǒng)服務(wù)器域、運(yùn)維管理系統(tǒng)域、視頻云計(jì)算數(shù)據(jù)中心域、視頻解析中心、安全運(yùn)下級(jí)單位視頻監(jiān)控網(wǎng)絡(luò)域：存儲(chǔ)系統(tǒng)域、安全運(yùn)維管理域、災(zāi)備中心域、外聯(lián)區(qū)域。4.3整體安全方案拓?fù)湟曨l監(jiān)控主網(wǎng)檢測探成面云視頻云業(yè)務(wù)區(qū)民共安全管理區(qū)業(yè)務(wù)應(yīng)用區(qū)第三方網(wǎng)絡(luò)圖安全系統(tǒng)總體拓?fù)鋱D公共安全視頻監(jiān)控聯(lián)網(wǎng)項(xiàng)目安全設(shè)計(jì)主要思路依據(jù)國家等級(jí)保護(hù)的相關(guān)要求，視頻監(jiān)控網(wǎng)絡(luò)網(wǎng)絡(luò)上公共視頻監(jiān)控系統(tǒng)應(yīng)根據(jù)實(shí)際情況建成等保二級(jí)以上的信息系統(tǒng)。視頻監(jiān)控網(wǎng)絡(luò)各區(qū)域平臺(tái)網(wǎng)絡(luò)內(nèi)部安全域主要?jiǎng)澐譃椋嚎v向邊界區(qū)、橫向邊界區(qū)、系統(tǒng)應(yīng)用區(qū)和前縱向邊界區(qū)主要實(shí)現(xiàn)視頻監(jiān)控網(wǎng)絡(luò)基于主網(wǎng)到下級(jí)節(jié)點(diǎn)單位的安全連接和訪問控制。橫向邊界區(qū)主要實(shí)現(xiàn)視頻監(jiān)控網(wǎng)絡(luò)與第三方對(duì)接網(wǎng)絡(luò)、互聯(lián)網(wǎng)之間的安全交互。通過建設(shè)第三方網(wǎng)絡(luò)邊界接入平臺(tái)、互聯(lián)網(wǎng)邊界交互平臺(tái)等，保障視頻監(jiān)控網(wǎng)絡(luò)與其他網(wǎng)絡(luò)間的安全連接以及資源系統(tǒng)應(yīng)用區(qū)主要包括視頻圖像信息共享平臺(tái)與各區(qū)域網(wǎng)絡(luò)相關(guān)的網(wǎng)絡(luò)設(shè)備、終端、服務(wù)器、云平臺(tái)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等。該區(qū)應(yīng)遵循滿足業(yè)務(wù)發(fā)展、適度防護(hù)的原則，采用入侵防御、網(wǎng)絡(luò)審計(jì)、全網(wǎng)安全感知、視頻安全接入系統(tǒng)、漏洞掃描、補(bǔ)丁管理、防病毒、日志審計(jì)、系統(tǒng)加固等安全技術(shù)措施進(jìn)行安全防護(hù)，提升系統(tǒng)應(yīng)用區(qū)的整體安全水平。前端接入?yún)^(qū)主要包括前端接入的攝像機(jī)及其他設(shè)備。建立前端安全防護(hù)機(jī)制，實(shí)現(xiàn)對(duì)前端接入資源的有效識(shí)別和安全管理。4.3.1視頻監(jiān)控網(wǎng)絡(luò)與邊界安全方案設(shè)計(jì)(橫向)4.3.1.1安全邊界整體框架拓?fù)洌阂曨l主網(wǎng)互聯(lián)網(wǎng)第三方交互平臺(tái)互聯(lián)網(wǎng)平臺(tái)平臺(tái)平臺(tái)視頻監(jiān)控網(wǎng)絡(luò)4.3.1.1.1視頻監(jiān)控網(wǎng)絡(luò)與第三方網(wǎng)絡(luò)邊界接入平臺(tái)安全設(shè)計(jì)視頻監(jiān)控網(wǎng)絡(luò)與第三方網(wǎng)絡(luò)之間的邊界接入平臺(tái)數(shù)據(jù)鏈路與視數(shù)據(jù)安全接入平臺(tái)1.邊界包過濾邊界包過濾能夠提供對(duì)數(shù)據(jù)包的進(jìn)/出網(wǎng)絡(luò)接口、協(xié)議(TCP、UDP、ICMP、以及其他非IP協(xié)議)、源地址、目的地址、源端口、目的端口、以及時(shí)間、用戶、服務(wù)(群組)的訪問過濾與控制功能，對(duì)進(jìn)入或流出的區(qū)域邊界的數(shù)據(jù)進(jìn)行安全檢查，只允許符合安全策略的數(shù)據(jù)包通過，同時(shí)對(duì)連接網(wǎng)絡(luò)的流量、內(nèi)容過濾進(jìn)行管2.邊界入侵防范邊界入侵代碼防范可在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。3.邊界入侵檢測入侵檢測：配備入侵檢測類設(shè)備，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)蠕蟲、間諜軟件、木馬軟件、溢出攻擊、數(shù)據(jù)庫攻擊、暴力破解、高級(jí)威脅攻擊等網(wǎng)絡(luò)入侵行為的有效防范。4.邊界完整性保護(hù)邊界完整性保護(hù)可對(duì)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)，以及外部用戶未經(jīng)許可違規(guī)接入內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查和控制。5.集中監(jiān)控審計(jì)部署集中監(jiān)控與審計(jì)設(shè)備，實(shí)現(xiàn)安全監(jiān)控、集中管理與審計(jì)，建議級(jí)聯(lián)部署，將下級(jí)節(jié)點(diǎn)單位信息上報(bào)視頻主網(wǎng)。6.邊界安全隔離與可信數(shù)據(jù)交換邊界安全隔離與可信數(shù)據(jù)交換可完成指揮信令的雙向流動(dòng)，以及視頻流單向/雙向流入第三方接入交互網(wǎng)絡(luò)的安全隔離與控制，同時(shí)還應(yīng)可采用兩頭落地的“數(shù)據(jù)交換”模式，實(shí)現(xiàn)網(wǎng)絡(luò)間的基于文件和數(shù)據(jù)庫同步的數(shù)據(jù)安全交換和高強(qiáng)度隔離。圖與第三方網(wǎng)絡(luò)邊界交互平臺(tái)(視頻資源接入鏈路)拓?fù)鋱D為全面保證視頻鏈路的功能性和安全性，該視頻鏈路邊界技術(shù)1.訪問控制：配備防火墻設(shè)備，實(shí)現(xiàn)視頻監(jiān)控網(wǎng)絡(luò)與第三方網(wǎng)絡(luò)之間的安全連接和訪問控制。2.安全審計(jì)：配備審計(jì)類設(shè)備，實(shí)現(xiàn)對(duì)鏈路中網(wǎng)絡(luò)流量信息和設(shè)備日志信息的全面審計(jì)。3.安全隔離：視頻監(jiān)控網(wǎng)絡(luò)與第三方網(wǎng)絡(luò)之間禁止通信協(xié)議交互，必須采用視頻安全接入系統(tǒng)(一體機(jī)設(shè)備)作為核心隔離設(shè)備，實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)的交互。6.視頻控制信令格式檢測：對(duì)于視頻控制信令，要按照預(yù)先注冊(cè)的信令類型、格式和內(nèi)容，對(duì)控制信令進(jìn)行“白名單”方式的格式檢查和內(nèi)容過濾，僅允許符合格式要求的控制信令數(shù)據(jù)通過，對(duì)不符合格式的數(shù)據(jù)進(jìn)行阻斷和報(bào)警。7.視頻數(shù)據(jù)格式檢測：對(duì)于視頻數(shù)據(jù)，按照預(yù)先注冊(cè)的視頻數(shù)據(jù)格式，對(duì)所傳輸?shù)囊曨l數(shù)據(jù)進(jìn)行實(shí)時(shí)分析和過濾，對(duì)不符合格式的視頻數(shù)據(jù)進(jìn)行阻斷和報(bào)警。8.視頻數(shù)據(jù)與視頻控制信令分別處理和傳輸：視頻數(shù)據(jù)和視頻控制信令必須按照不同的安全策略嚴(yán)格區(qū)分，分別進(jìn)行處理和傳輸。其中，視頻控制信令雙向傳輸、視頻數(shù)據(jù)單向傳輸。9.數(shù)據(jù)安全：對(duì)進(jìn)入第三方網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行完整性保護(hù)和合規(guī)性檢查。利用完整性保護(hù)技術(shù)保證導(dǎo)入數(shù)據(jù)的完整性，確保導(dǎo)入第三方網(wǎng)絡(luò)的數(shù)據(jù)未經(jīng)破壞、篡改。通過對(duì)導(dǎo)入數(shù)據(jù)格式和內(nèi)容合規(guī)性檢查，及時(shí)發(fā)現(xiàn)和阻止違反安全策略的數(shù)據(jù)傳輸并告警。10.視頻數(shù)據(jù)病毒木馬檢測：采取必要的安全技術(shù)和防范措施，防止視頻數(shù)據(jù)夾雜惡意代碼進(jìn)入視頻傳輸網(wǎng)絡(luò)。11.集中監(jiān)控審計(jì)：部署集中監(jiān)控與審計(jì)設(shè)備，實(shí)現(xiàn)安全監(jiān)控、集中管理與審計(jì)，建議級(jí)聯(lián)部署，將下級(jí)節(jié)點(diǎn)單位信息上報(bào)視頻主4.3.2視頻監(jiān)控網(wǎng)絡(luò)邊界安全方案設(shè)計(jì)(縱向)視頻監(jiān)控網(wǎng)絡(luò)由于其相對(duì)封閉性對(duì)比完全開放的互聯(lián)網(wǎng)而言其安全系數(shù)相對(duì)較高；但是在相對(duì)可信的專網(wǎng)環(huán)境下一旦出現(xiàn)病毒(如勒索病毒)、木馬、僵尸主機(jī)等將會(huì)在專網(wǎng)環(huán)境中快速傳播，造成不可控的損失。同時(shí)，也存在非法訪問、越權(quán)訪問、非法下聯(lián)等惡意數(shù)據(jù)訪問行為，將會(huì)為網(wǎng)絡(luò)安全帶來了極大的隱患。通過在視頻監(jiān)控網(wǎng)絡(luò)中的縱向邊界部署下一代防火墻與視頻安全接入系統(tǒng)設(shè)備，通過下一代防火墻與視頻安全接入系統(tǒng)的聯(lián)動(dòng)功能，很好實(shí)現(xiàn)對(duì)視頻網(wǎng)內(nèi)前端視頻邊界的可視化監(jiān)測、資產(chǎn)管理、運(yùn)行監(jiān)測、安全控制、病毒防護(hù)和補(bǔ)丁管理等多方面入手，全面解決視頻監(jiān)控網(wǎng)絡(luò)資產(chǎn)管理、設(shè)備故障、非法入侵等問題，幫助用戶全方位解決視頻監(jiān)控網(wǎng)絡(luò)安全運(yùn)行問題，實(shí)現(xiàn)視頻監(jiān)控網(wǎng)絡(luò)可知、可控、可管理4.3.2.1視頻監(jiān)控網(wǎng)絡(luò)縱向邊界安全隔離需要在前置攝像頭與匯聚接入交換機(jī)、核心匯聚交換設(shè)備之間都架構(gòu)下一代防火墻，以防護(hù)來自前置攝像頭的安全威脅風(fēng)險(xiǎn)，以保護(hù)視頻監(jiān)控網(wǎng)絡(luò)的內(nèi)網(wǎng)資源主要涉及視頻監(jiān)控系統(tǒng)各類用戶在接入系統(tǒng)過程中網(wǎng)絡(luò)和系統(tǒng)的邊界安全，主要通過身份認(rèn)證、訪問控制等安全技術(shù)措施，實(shí)現(xiàn)粗粒度控制下合法訪問者對(duì)網(wǎng)絡(luò)和系統(tǒng)的訪問。對(duì)于視頻監(jiān)控系統(tǒng)各安全域與視頻監(jiān)控網(wǎng)絡(luò)間鏈路：1、下一代防火墻設(shè)置訪問控制策略，嚴(yán)格過濾進(jìn)出平臺(tái)系統(tǒng)的2、下一代防火墻部署透明模式，簡化下一代防火墻的配置，提高安全性與抗攻擊性；3、所有安全設(shè)備串行部署，保證安全強(qiáng)度。通過在全網(wǎng)的重要邊界部署下一代防火墻，實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)邊界的統(tǒng)一的訪問控制、入侵防范和惡意代碼防范等要求。在視頻監(jiān)控網(wǎng)絡(luò)的匯聚與核心接入邊界位置部署下一代防火墻，用于阻止和降低邊界外部安全帶來的威脅和風(fēng)險(xiǎn)。下一代防火墻可以進(jìn)行訪問控制基于IP/端口號(hào)對(duì)數(shù)據(jù)流量進(jìn)行禁止或允許。基于卓越的應(yīng)用和用戶識(shí)別能力，對(duì)數(shù)據(jù)流量和訪問來源進(jìn)行精細(xì)化辨識(shí)和分類，可以從同一個(gè)端口協(xié)議的數(shù)據(jù)流量中辨識(shí)出任意多種不同的應(yīng)用，或從無意無序的IP地址中辨識(shí)出有意義的用戶身份信息，針對(duì)識(shí)別出的應(yīng)用和用戶施加細(xì)粒度、有區(qū)別的訪問控制策略、流量管理策略和安全掃描策略，實(shí)現(xiàn)直接、準(zhǔn)確、精細(xì)的管理。防火墻可以實(shí)現(xiàn)地域訪問控制，通過對(duì)訪問者的IP地址進(jìn)行歸屬地判斷，判斷所屬國家或地區(qū)是否能夠?qū)I(yè)務(wù)進(jìn)行訪問。下一代防火墻設(shè)備內(nèi)置全球IP地址庫，地址庫由三部分組成：黑名單、白名單和全球地址庫。訪問者的IP首先會(huì)根據(jù)IP黑名單進(jìn)行匹配，如果此IP是黑名單的IP則直接拒絕訪問；根據(jù)IP白名單進(jìn)行匹配，如果此IP是白名單的IP則直接允許訪問；如果不在黑白名單中，則通過IP地址庫進(jìn)行匹配，得出此IP的歸屬地，然后根據(jù)用戶配置的此國家或是地區(qū)的訪問策略進(jìn)行拒絕或允下一代防火墻包含入侵防御針功能，可以對(duì)風(fēng)險(xiǎn)數(shù)據(jù)進(jìn)行識(shí)別與阻斷；下一代防火墻可支持深入到網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部，識(shí)別并進(jìn)行攻擊代碼特征匹配，過濾有害數(shù)據(jù)流量，丟棄有害數(shù)據(jù)包，并進(jìn)行記錄，用于事后分析。除此之外，下一代防火墻可綜合考慮應(yīng)用程序在網(wǎng)絡(luò)傳輸中的異常情況，來輔助識(shí)別入侵和攻擊。比如，用戶或用戶程序違反相關(guān)安全條例、數(shù)據(jù)包出現(xiàn)的時(shí)段和位置異常、信息系統(tǒng)或應(yīng)用程序存在漏洞或者弱口令且正在被利用等現(xiàn)象。下一代防火墻支持已知病毒特征匹配，但是它并不僅僅依賴于已知病毒特征。通過入侵防御系統(tǒng)可實(shí)現(xiàn)對(duì)敏感信息的安全防護(hù)，特別是系統(tǒng)底層漏洞防護(hù)，防止黑客盜取數(shù)據(jù)；4.3.2.2視頻監(jiān)控網(wǎng)絡(luò)前端攝像頭終端安全準(zhǔn)入視頻攝像頭分布范圍廣泛，通常分布式管理，權(quán)限分散，無集中式管理平臺(tái)，且無法貫徹落實(shí)視頻網(wǎng)絡(luò)安全建設(shè)要求視頻監(jiān)控網(wǎng)絡(luò)中的前置攝像頭存在大量弱口令、溢出等安全漏洞隱患，通過一套系統(tǒng)即可檢測并發(fā)現(xiàn)異常報(bào)警，部署可實(shí)現(xiàn)：4.3.2.2.1設(shè)備管理IPC準(zhǔn)入設(shè)備以入網(wǎng)設(shè)備信息綁定、杜絕非法入侵和運(yùn)行監(jiān)測為主要設(shè)計(jì)理念，實(shí)現(xiàn)對(duì)視頻監(jiān)控系統(tǒng)視頻網(wǎng)設(shè)備的準(zhǔn)入控制管理。秉承“不改變網(wǎng)絡(luò)、不依賴網(wǎng)絡(luò)設(shè)備、部署簡單”的特性，兼容各種復(fù)雜的網(wǎng)絡(luò)環(huán)境，解決非法設(shè)備隨意接入視頻監(jiān)控系統(tǒng)二期視頻網(wǎng)的問題，達(dá)到“信任接入、接入可知、接入可管”的管理規(guī)自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中的設(shè)備，識(shí)別設(shè)備類型、版本、漏洞等信息，并能根據(jù)IP和MAC地址進(jìn)行單個(gè)或批量綁定。□□ba0000000共3條記錄，每頁顯示50條，當(dāng)前第1/1頁1跳轉(zhuǎn)][首頁][上一頁[設(shè)備發(fā)現(xiàn)并入庫自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中的前置攝像頭設(shè)備，識(shí)別ip地址、mac地址、設(shè)備類型、品牌、風(fēng)險(xiǎn)等信息，并生成資產(chǎn)庫。十無無有無4.3.2.2.2非法設(shè)備發(fā)現(xiàn)并阻斷通過設(shè)備資產(chǎn)管控、網(wǎng)絡(luò)行為管控、視頻應(yīng)用管控三個(gè)層面實(shí)現(xiàn)安全控制，只有通過認(rèn)證的IP、MAC地址，并且網(wǎng)絡(luò)行為符合視頻監(jiān)控網(wǎng)絡(luò)業(yè)務(wù)需求，所使用符合視頻監(jiān)控網(wǎng)絡(luò)應(yīng)用的行為才能放行，其他IP、MAC地址和流量全部阻斷。放行報(bào)警阻斷4.3.2.2.3流量監(jiān)測通過對(duì)特定連接的流量監(jiān)測實(shí)現(xiàn)運(yùn)行監(jiān)測功能。一旦攝像頭出現(xiàn)被遮擋、涂抹的問題，IPC準(zhǔn)入設(shè)備通過對(duì)流量的變化進(jìn)行分析，識(shí)別問題并告警，管理人員可以通過調(diào)用攝像頭畫面的方式進(jìn)行問題確定及處理。4.3.2.2.4設(shè)備離線監(jiān)測能及時(shí)發(fā)現(xiàn)不能正常工作的設(shè)備并進(jìn)行報(bào)警，如果設(shè)備恢復(fù)運(yùn)行，系統(tǒng)會(huì)自動(dòng)記錄恢復(fù)時(shí)間，幫助用戶做好運(yùn)行管理工作，大大降低用戶工作量。位置：主機(jī)設(shè)備管理>設(shè)備離線監(jiān)測設(shè)備離線檢測□□□共2條記錄，每頁顯示50條，當(dāng)前第1/1頁1[跳轉(zhuǎn)][首頁[上一頁[1][下一頁[尾頁4.3.2.2.5視頻數(shù)據(jù)訪問管控(可選)上述安全措施能夠有效對(duì)網(wǎng)絡(luò)、主機(jī)和數(shù)據(jù)起到安全防范功能，但對(duì)非法用戶訪問、合法用戶通過調(diào)看視頻后非法外泄、惡意翻拍等行為則無力防范。因此有必要在上述安全措施的基礎(chǔ)上對(duì)政府共享用戶增加用戶認(rèn)證和對(duì)視頻數(shù)據(jù)訪問的管理控制，保證共享平臺(tái)的原始視頻、圖片等的數(shù)據(jù)不外泄，有效應(yīng)對(duì)惡意翻拍。用戶認(rèn)證和圖像加水印功能均通過視頻圖像共享管理系統(tǒng)實(shí)現(xiàn)，對(duì)政府共享用戶認(rèn)證方式采用讀取二代身份證信息，水印采用WEB網(wǎng)頁或客戶端上蓋上一層透明蒙板的方式，水印顯示訪問人員4.3.2.3全網(wǎng)安全感知預(yù)警平臺(tái)在視頻監(jiān)控網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)旁路部署威脅檢測探針，對(duì)數(shù)據(jù)流量進(jìn)行鏡像采集，將異常風(fēng)險(xiǎn)進(jìn)行采集并上傳到安全感知平臺(tái)基于大數(shù)據(jù)、機(jī)器學(xué)習(xí)、人工智能技術(shù)進(jìn)行分析。對(duì)未知安全風(fēng)險(xiǎn)進(jìn)行預(yù)警和大屏展示。針對(duì)被動(dòng)安全保障體系難以新型威脅和APT攻擊，以及缺乏看到看懂的感知環(huán)節(jié)的不足，本方案提出了基于行為檢測和關(guān)聯(lián)分析技術(shù)、對(duì)全網(wǎng)流量進(jìn)行安全監(jiān)測的可視化和預(yù)警檢測解決方案。方案設(shè)計(jì)體現(xiàn)適用性、前瞻性、可行性的基本原則，實(shí)現(xiàn)安全效果可評(píng)估、安全態(tài)勢(shì)可視化。主要基于“看清業(yè)務(wù)邏輯、看見潛在威脅、看懂安全風(fēng)險(xiǎn)、輔助分析決策”的思路進(jìn)行設(shè)計(jì)實(shí)現(xiàn)的。析信息資產(chǎn)解析展示層實(shí)現(xiàn)層基于深信服STA探針等數(shù)據(jù)源，構(gòu)建全網(wǎng)態(tài)勢(shì)感知系統(tǒng)。本方案通過部署安全防護(hù)和檢測系統(tǒng)對(duì)網(wǎng)絡(luò)中的安全要素進(jìn)行采集，并通過風(fēng)險(xiǎn)監(jiān)測建模實(shí)現(xiàn)對(duì)異常行為的檢測和展示。采集層：通過安全監(jiān)測系統(tǒng)實(shí)現(xiàn)對(duì)視頻監(jiān)控網(wǎng)絡(luò)進(jìn)行全流量的采集，包括數(shù)據(jù)包、協(xié)議、會(huì)話、系統(tǒng)信息、資產(chǎn)信息、攻擊日志、漏洞信息、軟件信息等；實(shí)現(xiàn)層：對(duì)采集的信息進(jìn)行風(fēng)險(xiǎn)建模檢測異常行為并通過管理分析技術(shù)確定已發(fā)生或潛在安全威脅。檢測技術(shù)包括：攻擊特征的檢測、非法訪問的檢測、異常行為的檢測、可疑行為的檢測、漏洞檢測以及資產(chǎn)信息的檢測。分析技術(shù)包括：上下文關(guān)聯(lián)分析、異常協(xié)議分析、異常行為分析、訪問路徑關(guān)聯(lián)分析、安全事件關(guān)聯(lián)分析以及聯(lián)合云端安全即服務(wù)的自動(dòng)化智能分析以及人工分析確認(rèn)。展現(xiàn)層：將分析的數(shù)據(jù)經(jīng)過有效分析通過圖形化的方式直觀展現(xiàn)，實(shí)現(xiàn)安全態(tài)勢(shì)可感知、安全威脅可預(yù)警、一場行為可追溯的效基于業(yè)務(wù)風(fēng)險(xiǎn)的預(yù)警：整體安全態(tài)勢(shì)：結(jié)合攻擊趨勢(shì)、有效攻擊、業(yè)務(wù)資產(chǎn)脆弱性對(duì)全網(wǎng)安全態(tài)勢(shì)進(jìn)行整體評(píng)價(jià)，以業(yè)務(wù)系統(tǒng)的視角進(jìn)行呈現(xiàn)，可有效的把握整體安全態(tài)勢(shì)進(jìn)行安全決策分析；全網(wǎng)態(tài)勢(shì)感知：展示專網(wǎng)終端和服務(wù)器被外網(wǎng)攻擊的實(shí)時(shí)動(dòng)態(tài)圖，實(shí)現(xiàn)全網(wǎng)安全攻擊態(tài)勢(shì)大屏展示；失陷業(yè)務(wù)系統(tǒng)/資產(chǎn)：通過外發(fā)異常流量、網(wǎng)頁篡改監(jiān)測、黑鏈檢測等檢測技術(shù)確定業(yè)務(wù)系統(tǒng)/資產(chǎn)是否已被攻擊，并將資產(chǎn)存在的后門進(jìn)行檢測，并向管理員告知已失陷的安全事件；安全事件關(guān)聯(lián)分析：將下一代防火墻及安全檢測探針的安全事件進(jìn)行關(guān)聯(lián)分析，結(jié)合黑客攻擊鏈進(jìn)行關(guān)聯(lián)分析，并確定更加高級(jí)動(dòng)觸發(fā)報(bào)警事件到安全感知平臺(tái)，安全感知平臺(tái)下發(fā)策略與專網(wǎng)邊界防火墻進(jìn)行聯(lián)動(dòng)，通知邊界防火墻攔截異常的惡意流量，避免黑客接入視頻監(jiān)控網(wǎng)絡(luò)內(nèi)網(wǎng)。STASTA監(jiān)測平臺(tái)為下一代防火墻感知平臺(tái)4.3.3系統(tǒng)應(yīng)用區(qū)安全方案設(shè)計(jì)依據(jù)等級(jí)保護(hù)要求，將平臺(tái)分成業(yè)務(wù)應(yīng)用系統(tǒng)區(qū)、安全運(yùn)維管理區(qū)、視頻云區(qū)等，在各區(qū)域邊界部署下一代防火墻產(chǎn)品，起到區(qū)域隔離和接入安全控制的目的，下一代防火墻內(nèi)置了視頻監(jiān)控設(shè)備特有的漏洞和攻擊庫，能夠有效的識(shí)別和防御視頻監(jiān)控系統(tǒng)的漏洞和攻擊。部署下一代應(yīng)用層安全防護(hù)設(shè)備對(duì)病毒木馬、黑客入侵、DDOS攻擊、異常流量等安全威脅進(jìn)行監(jiān)測和防護(hù)，實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)的網(wǎng)絡(luò)層訪問控制。采用安全隔離設(shè)備，實(shí)現(xiàn)接入平臺(tái)與監(jiān)控業(yè)務(wù)之間的安全隔離。邊界攻擊往往來自于應(yīng)用層攻擊，黑客將攻擊流量潛藏在正常的流量中，例如通過視頻監(jiān)控、指令控制等行為將木馬、蠕蟲等攻擊流量散布到監(jiān)控管理中心和業(yè)務(wù)服務(wù)端。專網(wǎng)邊界下一代防火墻通過應(yīng)用層智能識(shí)別，識(shí)別出監(jiān)控網(wǎng)絡(luò)中的路口監(jiān)控流量、監(jiān)控控制流量、以及非法的惡意流量。同時(shí)基于視頻監(jiān)控網(wǎng)絡(luò)只上傳無下載的業(yè)務(wù)流量特性，下一代防火墻制定詳細(xì)的安全策略，限制任何監(jiān)控視頻流量的下行和外發(fā)。下一代防火墻需要對(duì)對(duì)接入的視頻數(shù)據(jù)進(jìn)行嚴(yán)格的安全檢查：數(shù)據(jù)源檢查：保證數(shù)據(jù)源的合法性，防止非法數(shù)據(jù)進(jìn)來；格式檢查：以保障視頻數(shù)據(jù)格式的正確，去除無用的“臟數(shù)據(jù)”;協(xié)議檢查：保證視頻應(yīng)用協(xié)議的合法性；木馬/病毒防護(hù)：保障視頻數(shù)據(jù)中不含非法的木馬/病毒，保障平臺(tái)與內(nèi)網(wǎng)安全。4.3.3.1視頻監(jiān)控網(wǎng)絡(luò)安全運(yùn)維管理設(shè)計(jì)黑客的攻擊手段多種多樣，網(wǎng)絡(luò)安全環(huán)境日益變化，攻防關(guān)系的不對(duì)等導(dǎo)致網(wǎng)絡(luò)安全事故頻發(fā)，因此網(wǎng)絡(luò)安全建設(shè)及管理變得尤全運(yùn)維都有一定的要求，安全運(yùn)維區(qū)設(shè)計(jì)如下：對(duì)視頻監(jiān)控網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶訪問操作行為等進(jìn)行日志審計(jì)記錄。審計(jì)記錄應(yīng)涵蓋訪問的日期、時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。部署數(shù)據(jù)庫審計(jì)、日志審計(jì)設(shè)備各1臺(tái)。通過部署數(shù)據(jù)庫審計(jì)系統(tǒng)，保護(hù)對(duì)數(shù)據(jù)庫非法操作及時(shí)告警與審計(jì)；保障非法操作的準(zhǔn)確溯源；保護(hù)數(shù)據(jù)庫中賬號(hào)