基于混合策略和違規(guī)阻斷的視頻專網(wǎng)準入控制系統(tǒng)的研究與實現(xiàn)

隨著智慧城市和雪亮工程的建設(shè)，逐漸形成了覆蓋整個城市的視頻專網(wǎng)，實現(xiàn)了治安重點區(qū)域?qū)崟r監(jiān)控，全面提升了對突發(fā)事件的響應能力。視頻專網(wǎng)作為視頻監(jiān)控系統(tǒng)的主要承載網(wǎng)絡(luò)，具有網(wǎng)絡(luò)安全級別高、網(wǎng)絡(luò)規(guī)模龐大、網(wǎng)絡(luò)分支較多、接入位置分散、人為監(jiān)管困難等特點，前端設(shè)備、系統(tǒng)應用、存儲系統(tǒng)等存在較大的安全風險。網(wǎng)絡(luò)準入控制（NetworkAccessControl，NAC）是一項由思科公司發(fā)起、多家廠商參加的計劃，其宗旨是防止病毒等新興黑客技術(shù)對企業(yè)安全造成危害。借助NAC，用戶可以只允許合法的、值得信任的終端設(shè)備接入網(wǎng)絡(luò)。結(jié)合視頻專網(wǎng)現(xiàn)狀和面臨的突出問題，本文旨在通過部署基于混合策略和違規(guī)阻斷的網(wǎng)絡(luò)準入控制系統(tǒng)，針對視頻專網(wǎng)進行統(tǒng)一的資產(chǎn)管理和準入管控，保障視頻專網(wǎng)運行效能和網(wǎng)絡(luò)安全。1研究現(xiàn)狀隨著視頻專網(wǎng)前端設(shè)備數(shù)量日益增長，前端設(shè)備品類繁多、品牌復雜、維護單位眾多，包含大量的網(wǎng)絡(luò)攝像機、NVR/DVR設(shè)備、電子警察應用設(shè)備等，視頻專網(wǎng)的全網(wǎng)資產(chǎn)識別和分類統(tǒng)計變得尤為困難。同時視頻專網(wǎng)規(guī)模龐大，存在設(shè)備眾多、分支較多、地理位置分散、人為監(jiān)管困難等問題，導致大量設(shè)備無故離線和未知設(shè)備的違規(guī)外聯(lián)，視頻專網(wǎng)數(shù)據(jù)庫系統(tǒng)內(nèi)視頻、圖像、車輛軌跡等敏感信息存在泄露風險。因此，需要設(shè)計一套準入控制解決方案，對視頻專網(wǎng)所有接入設(shè)備進行安檢，允許可信合規(guī)的設(shè)備入網(wǎng)，并阻斷未經(jīng)安檢或者不符合策略的設(shè)備，提升整體網(wǎng)絡(luò)安全。2準入控制系統(tǒng)架構(gòu)與流程設(shè)計2.1系統(tǒng)總體架構(gòu)專網(wǎng)是指除互聯(lián)網(wǎng)或者其他公共網(wǎng)絡(luò)外使用私有IP地址空間，不連接互聯(lián)網(wǎng)或者通過安全隔離設(shè)備連接互聯(lián)網(wǎng)的政府部門或社會企事業(yè)單位的專用網(wǎng)絡(luò)。視頻專網(wǎng)也稱視頻傳輸網(wǎng)，它是公安機關(guān)采用專線方式或虛擬專用網(wǎng)絡(luò)方式，建設(shè)在公安信息網(wǎng)之外的用于傳輸公安業(yè)務所涉視頻圖像、匯聚來自各層級視頻圖像的信息系統(tǒng)，并支撐公安視頻圖像業(yè)務等各項功能的非涉密網(wǎng)絡(luò)。市級視頻專網(wǎng)為市—縣—派出所3級網(wǎng)絡(luò)，網(wǎng)絡(luò)拓撲包括接入層、匯聚層、核心層，是典型的3層結(jié)構(gòu)，前端由攝像機、卡口、無人機、單兵設(shè)備、車載圖傳、執(zhí)法記錄儀、物聯(lián)網(wǎng)傳感器等智能采集設(shè)備組成，終端由計算機、智能設(shè)備、啞終端等組成，其網(wǎng)絡(luò)拓撲圖如圖1所示。圖1市級視頻專網(wǎng)網(wǎng)絡(luò)拓撲圖本系統(tǒng)采用B/S+C/S架構(gòu)，使用模塊化開發(fā)模式，物理層支持多種主流網(wǎng)絡(luò)設(shè)備；網(wǎng)絡(luò)層提供多種多樣的主流網(wǎng)絡(luò)準入技術(shù)，完美兼容適配各類網(wǎng)絡(luò)結(jié)構(gòu)；準入層劃分為管理網(wǎng)絡(luò)骨架的承載網(wǎng)絡(luò)、管理網(wǎng)絡(luò)區(qū)域的業(yè)務網(wǎng)絡(luò)和管理網(wǎng)絡(luò)安全的準入策略3個核心部分；安全檢測層用于實現(xiàn)安全評估、流量監(jiān)測、終端控件核查和多樣性身份鑒別；應用層提供直觀、明了、清晰的可視化窗口和業(yè)務應用。系統(tǒng)架構(gòu)如圖2所示。圖2系統(tǒng)架構(gòu)2.2準入流程設(shè)計在旁路模式下，主要利用簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol，SNMP）實時發(fā)現(xiàn)在線的IT設(shè)備在網(wǎng)情況和在網(wǎng)位置，同時對比策略庫中的策略，例如對比在線IT設(shè)備的MAC地址和指紋信息是否與資產(chǎn)庫（白名單）中的可信IT設(shè)備一致，如信息一致，則保持網(wǎng)絡(luò)現(xiàn)狀；如信息對比異常，則啟用自動化阻斷程序，丟棄異常違規(guī)設(shè)備的所有網(wǎng)絡(luò)數(shù)據(jù)包。總體管理流程如圖3所示。圖3總體管理流程具體流程包括：（1）準入控制系統(tǒng)通過SNMP協(xié)議實時發(fā)現(xiàn)全網(wǎng)在線設(shè)備，系統(tǒng)自動檢查在線設(shè)備是否與資產(chǎn)庫一致；（2）系統(tǒng)發(fā)現(xiàn)新增設(shè)備后，檢查是否匹配入網(wǎng)預案；（3）若新增設(shè)備能夠匹配入網(wǎng)預案的可信條件，則系統(tǒng)直接放行不做任何阻斷處理，維持網(wǎng)絡(luò)現(xiàn)狀；（4）系統(tǒng)發(fā)現(xiàn)新增設(shè)備后，檢查到不匹配任何入網(wǎng)條件，則會產(chǎn)生違規(guī)接入告警事件；（5）系統(tǒng)通過遠程控制協(xié)議調(diào)用自動化程序，對違規(guī)設(shè)備直連的網(wǎng)絡(luò)端口下發(fā)指令，實現(xiàn)接入層的阻斷處理。3系統(tǒng)功能設(shè)計3.1資產(chǎn)自動發(fā)現(xiàn)目前準入控制系統(tǒng)主要有5種資產(chǎn)識別技術(shù)，能夠精準識別視頻專網(wǎng)的資產(chǎn)信息。（1）SNMP探測：SNMP探知所有連接交換網(wǎng)絡(luò)的在線資產(chǎn)或私網(wǎng)資產(chǎn)。（2）地址解析協(xié)議（AddressResolutionProtocol，ARP）監(jiān)聽：ARP監(jiān)聽所有二層網(wǎng)絡(luò)的廣播數(shù)據(jù)包，有效發(fā)現(xiàn)隱藏網(wǎng)絡(luò)。（3）端口鏡像：通過端口鏡像技術(shù)對傳輸數(shù)據(jù)進行應用級監(jiān)聽分析，有效判別服務流量和用戶流量。（4）指紋識別：通過視頻專網(wǎng)專用指紋識別庫，實現(xiàn)對全網(wǎng)在線資產(chǎn)的指紋特征、運行服務、操作系統(tǒng)、軟件型號、攝像機型號、攝像機功能的識別。（5）文字識別：通過應用網(wǎng)站專用文字識別技術(shù)，實現(xiàn)針對Web應用站點業(yè)務系統(tǒng)的精準識別，在服務器資產(chǎn)類別的基礎(chǔ)上重新歸類出公安業(yè)務專用的資產(chǎn)庫。通過以上多重技術(shù)的結(jié)合，把資產(chǎn)IP、資產(chǎn)MAC、品牌廠商、操作系統(tǒng)、運行服務、入網(wǎng)端口、應用業(yè)務等入網(wǎng)信息有機結(jié)合，實現(xiàn)IT資產(chǎn)的多元素自定義綁定的效果。3.2資產(chǎn)指紋特征視頻專網(wǎng)指紋特征識別庫采用的是主動探測和被動監(jiān)聽兩種模式結(jié)合的方式。其中，主動探測是主動采集在線資產(chǎn)的品牌廠商、資產(chǎn)型號、操作系統(tǒng)、運行服務等；被動監(jiān)聽是實時采樣整個網(wǎng)絡(luò)接入設(shè)備的傳輸流量，并進行拆包解析數(shù)據(jù)行為。3.3資產(chǎn)指紋庫系統(tǒng)生成視頻專網(wǎng)指紋識別庫，其中主要包括網(wǎng)絡(luò)設(shè)備、終端設(shè)備、啞終端等，如表1所示。表1資產(chǎn)指紋庫3.4網(wǎng)絡(luò)資源管理3.4.1流量管理系統(tǒng)在整個網(wǎng)絡(luò)中實時學習網(wǎng)絡(luò)拓撲，自動識別網(wǎng)絡(luò)設(shè)備廠商、型號，并實現(xiàn)網(wǎng)絡(luò)設(shè)備面板視圖管理、端口列表管理，直觀地展示網(wǎng)絡(luò)設(shè)備的工作狀態(tài)，同時能夠?qū)崿F(xiàn)網(wǎng)絡(luò)設(shè)備CPU、內(nèi)存實時監(jiān)視、端口流量實時統(tǒng)計，支持SNMP模板，實現(xiàn)自動配置網(wǎng)絡(luò)。3.4.2VLAN管理系統(tǒng)自動同步交換機的虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）數(shù)據(jù)庫，集中展示所有交換機的VLAN分布情況。根據(jù)VLAN職能可以將其分為終端VLAN、業(yè)務VLAN、安全VLAN、候?qū)廣LAN和隔離VLAN等。各職能VLAN具備不同的安全策略，例如，終端VLAN主要分配內(nèi)網(wǎng)終端的基礎(chǔ)訪問權(quán)限；業(yè)務VLAN主要分配內(nèi)網(wǎng)服務器的業(yè)務權(quán)限；安全VLAN主要管理安全設(shè)備。3.4.3IP管理支持對全網(wǎng)的IP地址進行發(fā)現(xiàn)和管理，可以發(fā)現(xiàn)各網(wǎng)段正在使用、長期離線、非法入侵和未使用的IP，并且可以添加有效備注信息，也可以通過自身動態(tài)主機配置協(xié)議（DynamicHostConfigurationProtocol，DHCP）功能進行IP地址的分配，從而有效管理內(nèi)部IP地址。同時，支持以圖表的形式展現(xiàn)IP資源的實際使用情況，協(xié)助管理員對視頻專網(wǎng)IP資源的使用進行整體規(guī)劃，快速完成IP資源分配、回收登記管理。IP信息展示方式分為兩個維度，支持基于組織架構(gòu)查詢，也支持基于IP網(wǎng)段查詢。3.5前端接入管理以“接入設(shè)備可信、接入數(shù)據(jù)可控”為原則，通過主動掃描、被動監(jiān)聽和手工設(shè)置等手段，建立弱口令掃描、高危端口掃描、白名單準入等策略，實現(xiàn)對網(wǎng)絡(luò)中非法惡意行為的識別、告警和實時阻斷，避免非法訪問、入侵攻擊等非法數(shù)據(jù)接入視頻專網(wǎng)。該過程采用無客戶端技術(shù)，無須對所有視頻攝像頭物聯(lián)網(wǎng)設(shè)備進行大量的客戶端安裝。前端設(shè)備入網(wǎng)流程如下：（1）前端設(shè)備首次入網(wǎng)時，自動阻斷其所有網(wǎng)絡(luò)通信能力；（2）匹配入網(wǎng)策略，包括弱口令檢查、高危端口檢查、自定義策略檢查等；（3）根據(jù)策略匹配情況進行審核，包括直接放行、限時放行、人工放行等多種審核模式。3.6終端接入管理對于計算機終端接入，準入控制系統(tǒng)首先要判斷終端是否為首次入網(wǎng)，自動阻斷其所有網(wǎng)絡(luò)通信能力，進行終端注冊和認證，確認終端合法性；其次安裝準入Agent，基于準入客戶端實現(xiàn)合規(guī)檢查和安全檢查，對存在安全風險的終端進行隔離并引導其修復，直至完全合規(guī)后允許其進入網(wǎng)絡(luò)。終端計算機入網(wǎng)流程如下：（1）當終端計算機首次入網(wǎng)時，自動阻斷其所有網(wǎng)絡(luò)通信能力，僅可訪問準入產(chǎn)品的入網(wǎng)申請界面；（2）入網(wǎng)申請時，包括終端身份認證、策略匹配、安全審核；（3）終端完全符合管理策略后，放行入網(wǎng)。對于啞終端接入，不適合通過認證客戶端或者Portal方式進行認證，可以建立一套終端安全管理基線，能夠?qū)λ泄芾斫K端的外設(shè)如光驅(qū)、打印機、藍牙無線網(wǎng)卡等進行管控。4安全策略管理4.1弱口令檢測系統(tǒng)具備針對攝像機和NVR/DVR的onvif弱口令探測能力，實現(xiàn)對全網(wǎng)在線的攝像機和NVR/DVR實現(xiàn)高危弱口令探知，然后通過字典庫進行弱口令比對分析。4.2高危端口檢測系統(tǒng)具備針對攝像機和NVR/DVR的高危端口探測能力，實現(xiàn)對全網(wǎng)在線的攝像機和NVR/DVR實現(xiàn)高危端口探知（如默認不開啟的TELNET和SSH協(xié)議），通過高危端口列表進行比對分析。4.3木馬病毒檢查與各類防毒墻聯(lián)動，一旦匹配木馬病毒特征庫，將立刻對入網(wǎng)終端進行隔離處理，防止木馬病毒傳播。4.4國標識別準入檢測前端攝像頭是否符合GB35114系列標準，包括檢測攝像頭具備的安全能力是A級、B級還是C級，對于符合GB35114系列標準的前端，允許其接入視頻專網(wǎng)；對于不符合GB35114標準的前端，予以實時告警，并通過日志的形式展示，便于對攝像頭的合規(guī)性進行檢測和排查。4.5設(shè)備白名單準入建立合法接入設(shè)備的資產(chǎn)白名單。自動化提取接入網(wǎng)絡(luò)攝像機等前端的設(shè)備IP、MAC、編碼、廠商、行政區(qū)域、安裝地址、經(jīng)緯度、位置類型、聯(lián)網(wǎng)等屬性，并以此為基線，生成資產(chǎn)庫和設(shè)備白名單。當接入設(shè)備入網(wǎng)時，通過主動掃描與被動監(jiān)聽相結(jié)合的方式，將設(shè)備的信息與既有資產(chǎn)庫進行比對，比對成功則將設(shè)備放行，比對失敗則進行實時阻斷及告警。4.6數(shù)據(jù)白名單準入基于接入數(shù)據(jù)協(xié)議特征建立業(yè)務白名單。內(nèi)置GB/T28181和GB35114系列國標協(xié)議特征庫及主流安防廠家的私有協(xié)議特征庫，實現(xiàn)基于協(xié)議特征庫白名單的數(shù)據(jù)管控。當數(shù)據(jù)接入到視頻專網(wǎng)時，對數(shù)據(jù)進行逐包協(xié)議特征解析，并與協(xié)議特征白名單進行匹配，如果匹配成功則將數(shù)據(jù)放行，匹配失敗則將數(shù)據(jù)實時阻斷并告警，以防止病毒、木馬、分布式拒絕服務攻擊、非法掃描等入侵行為接入視頻專網(wǎng)。4.7基于訪問控制列表的訪問控制根據(jù)VLAN職能、交換機虛擬接口、訪問對象、訪問目標、標簽分別或組合下發(fā)入網(wǎng)策略，實現(xiàn)區(qū)別化入網(wǎng)管理，可對不同的VLAN定義不同的認證、安檢策略，支持時間控制策略，檢查是否在規(guī)定的時間入網(wǎng)，以充分保證網(wǎng)絡(luò)安全。4.8安全狀態(tài)評估對接入設(shè)備主要是計算機終端進行安全狀態(tài)評估。例如，可以檢測是否安裝Agent并運行、是否符合終端安全評估要求、主機環(huán)境是否可信等。5違規(guī)外聯(lián)檢測與阻斷5.1違規(guī)外聯(lián)檢測內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)保密極為重要，但在實際環(huán)境中，管理員難以對每個終端設(shè)備進行管理，因疏忽而產(chǎn)生的內(nèi)外網(wǎng)互聯(lián)的情況，容易造成數(shù)據(jù)泄露、黑客入侵等各種網(wǎng)絡(luò)安全事件。準入控制系統(tǒng)提供無客戶端的終端違規(guī)外聯(lián)檢查，可及時發(fā)現(xiàn)網(wǎng)內(nèi)出現(xiàn)的違規(guī)連接互聯(lián)網(wǎng)行為的終端，并提供違規(guī)設(shè)備的內(nèi)網(wǎng)IP、設(shè)備MAC、外網(wǎng)IP、設(shè)備位置、外聯(lián)時間等相關(guān)信息。將網(wǎng)內(nèi)在線終端資產(chǎn)發(fā)送外網(wǎng)檢測數(shù)據(jù)報文，若設(shè)備存在外聯(lián)情況，則該外聯(lián)終端將觸發(fā)誘導，發(fā)送響應報文到互聯(lián)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務器，服務器會第一時間發(fā)現(xiàn)并定位。違規(guī)外聯(lián)檢測如圖4所示。圖4違規(guī)外聯(lián)檢測5.2違規(guī)外聯(lián)告警準入控制系統(tǒng)提供無客戶端的終端違規(guī)外聯(lián)檢查，并支持實時短信、郵件告警，提供Web管理頁面，管理人員可隨時隨地查看并掌握網(wǎng)絡(luò)安全動態(tài)和阻斷情況，包括內(nèi)網(wǎng)IP地址、內(nèi)網(wǎng)MAC地址、內(nèi)網(wǎng)連接位置（交換機端口）、外網(wǎng)IP地址、違規(guī)時長等信息。5.3違規(guī)外聯(lián)阻斷違規(guī)外聯(lián)數(shù)據(jù)通過部署在互聯(lián)網(wǎng)違規(guī)外聯(lián)的監(jiān)控服務器單向?qū)雰?nèi)網(wǎng)的準入控制系統(tǒng)，對出現(xiàn)違規(guī)外聯(lián)的設(shè)備進行自動阻斷，防止違規(guī)終端設(shè)備持續(xù)在網(wǎng)狀態(tài)。具體流程如圖5所示。圖5違規(guī)外聯(lián)阻斷具體流程包括：（1）發(fā)送誘導數(shù)據(jù)，監(jiān)測終端外聯(lián)情況；（2）內(nèi)網(wǎng)終端違規(guī)外聯(lián)互聯(lián)網(wǎng)，訪問互聯(lián)網(wǎng)各類應用；（3）違規(guī)外聯(lián)監(jiān)控服務器接收到終端外聯(lián)數(shù)據(jù)；（4）違規(guī)外聯(lián)監(jiān)控服務器通過邊界設(shè)備單向傳送違規(guī)外聯(lián)數(shù)據(jù)，將違規(guī)外聯(lián)數(shù)據(jù)推送至視頻專網(wǎng)的準入設(shè)備；（5）推送外聯(lián)數(shù)據(jù)（包括違規(guī)外聯(lián)事件涉及的時間戳、資產(chǎn)IP、資產(chǎn)MAC）；（6）準入系統(tǒng)接收到外聯(lián)數(shù)據(jù)后實施阻斷。6系統(tǒng)實現(xiàn)采用面向?qū)ο蠛兔嫦蜻^程的軟件設(shè)計思想和方法，使用Linux下的C和PHP編程技術(shù)，形成設(shè)計先進、界面友好的管理平臺。系統(tǒng)主要包括5大功能模塊：資產(chǎn)管理、前端接入管理、終端設(shè)備管理、安全策略管理、違規(guī)外聯(lián)檢測及阻斷。系統(tǒng)涉及大數(shù)據(jù)并發(fā)存取、混合準入技術(shù)、網(wǎng)絡(luò)可視化等關(guān)鍵技術(shù)。準入控制系統(tǒng)部署在內(nèi)部網(wǎng)絡(luò)環(huán)境，部署方式為旁路模式，部署方案包括自動運維部署和流量管控部署。自動運維部署采用Telnet/SSH方式來管理交換機，系統(tǒng)內(nèi)置交換機的VLAN切換和動態(tài)訪問控制列表控制策略的自動化運維腳本。利用SNMP協(xié)議在接入層交換機上獲知是否有新設(shè)備接入或者未做安全檢查的終端接入，如果不允許設(shè)備接入或者沒有通過安全檢查，則通過映射VLAN切換技術(shù)和動態(tài)ACL技術(shù)，將設(shè)備進行隔離，數(shù)據(jù)流量重定向，對終端做Web重定向、安全檢查與修復、訪問權(quán)限控制等操作。流量管控部署通過在核心或者匯聚設(shè)備上配置端口鏡像或PBR路由策略的方式，將流量復制到準入控制系統(tǒng)，準入控制系統(tǒng)對入網(wǎng)流量的合規(guī)來源和合規(guī)特征進行分析，從而進行流量引導和違規(guī)阻斷。針對視頻專網(wǎng)大流量的網(wǎng)絡(luò)環(huán)境，可以采用自動運維部署和流量管控部署兩種技術(shù)的有機結(jié)合。通過流量鏡像的方式在線采樣分析入網(wǎng)數(shù)據(jù)包，同時利用IPACL和SVIACL技術(shù)對穿越網(wǎng)絡(luò)的數(shù)據(jù)包進行L2～L7層的應用級防護。7與零信任安全體系的比較零信任安全防護體系作為新一代網(wǎng)