公安局视频专网安全建设方案.doc

1 视频专网建设现状近年来，公安视频专网的建设规模正在不断扩大，专网前端的IP接入设备（如IPC、RFID等）的种类与数量正在不断上升，这些前端设备被广泛应用于治安管理、交通疏导等领域，与国计民生息息相关；同时，如人脸对比、车辆识别、大数据分析、警用地理等核心业务，也正向公安视频专网迁移，目前的公安视频专网事实上已经成为一张承载海量终端与海量数据的物联网。公安视频专网的重要性正在不断提升，随之而来的安全问题也日益凸显，一旦出现黑客攻击、数据窃取等事件，将有可能造成治安管理失控、交通管制失效、敏感信息泄漏、LED屏幕倒流信息篡改等后果，严重危害社会稳定。与此相对的是，由于点多面广，大部分的公安视频专网无法部署有效的安全策略，前端设备与后端业务基本处于直连状态，大量无人值守的接入终端被黑客利用成为攻击源。攻击者可利用分散在社会各处的接入设备接入到整个网络中，对核心业务系统展开攻击，甚至窃取保密信息。因此，如何解决来自于前端IP设备的安全风险成为了公安视频专网安全体系建设的突出问题。当前视频专网安全问题已经上升到国家层面，发改委、中央综治办、公安部等九部委联合下发关于加强公共安全视频监控建设联网应用工作的若干意见，要求加强视频监控系统安全防护能力，严格安全准入机制；10月初的全国政法委视频电话会议上，孟书记也多次强调了网络安全建设的重要性；省公安厅也在9月份警示视频专网存在的安全风险。2 视频专网存在的风险目前，全国各地公安系统的视频专网及专网中的应用系统基本处于“裸奔”状态，没有任何的安全防护措施和手段，同时使用的操作系统和应用系统存在大量的高危漏洞，导致视频专网存在如下风险：1、前端摄像头接入交换机无法监控管理，存在非法终端接入风险；2、前端智能终端接入网络带来病毒和木马入侵风险；3、视频专网为开放式网络，安全设备部署较少，接入网可直接访问服务器网络；4、视频专网中存在多个业务系统，业务系统之间无访问控制策略；5、操作系统、业务系统、网络系统存在大量的漏洞，可被不法分子进行利用；6、视频专网无法做到专网专用，存在非法业务数据，影响视频监控图像质量；一旦攻击者通过前端摄像机渗透到视频专网中来，可对系统进行大范围严重破坏，极有可能对当前的正常电子业务工作造成灾难级影响，业务数据无法快速恢复，造成智能交通指挥瘫痪，指挥中心失去“眼睛”，卡口系统失效，违法抓拍停滞，违法档案删除，阻止智能布控应用，监控视频被不法分子使用，恶意追踪公民、车辆轨迹造成隐私泄露，诱导发布平台发布反动言论等等严重的后果，社会影响层面巨大。针对前端设备的准入控制不仅要求设备接入可信，也要求设备行为可控，因此要求在实施准入控制时，必须能够同时识别前端设备的身份，并有效管控传输的数据的合法性。此外，由于公安视频专网点多面广、性能要求高，在准入控制方案设计时，必须考虑部署及性能问题。以上要求是传统的安全设备难以实现的，这也是公安视频专网无法部署有效的安全策略的根本原因；因此，除进行传统安全加固外，还需进行专业的前端视频设备准入控制。3 风险防范的方法如前所述，公安视频专网安全的核心问题是前端设备在接入时缺乏有效的准入控制，包括身份鉴别与网络访问行为控制手段，而公安视频专网的安全体系必须建立在前端设备准入控制的基础之上。因此，在设计公安视频专网安全解决方案时，首先考虑解决前端设备的准入控制问题，牢牢把控住不法分子入侵的大门。考虑到公安视频专网是事实上的物联网，所有前端设备的网络访问行为是确定的，因此可以采用“网无许可皆不通”的白名单建设理念，除对前端设备进行身份鉴别之外，还可以明确禁止前端设备进行一切非预先确定的网络访问行为。具体来说，首先通过识别IP、MAC、特征码、注册协议等信息，实现只有授信设备接入网络，对未通过认证的设备进行实时阻断，并通过平台联动实时告警；其次，识别通过认证的前端设备的网络访问行为，只允许其传输预先确定的应用和数据。这样即使有攻击者通过伪造身份冒名接入网络，所有的攻击行为（例如网络扫描、渗透提权、信息窃取等）也会被实时阻断。通过以上两步，即可实现前端设备接入“可信”，设备行为“可控”，在前端设备与后端业务系统之间建立起可信、可控的高效访问通道。通过对物理链路的管控，基本能够杜绝不法分子通过场外不可控区域使用非法手段接入视频专网的行为，保障视频专网的外部安全性。在解决了前端设备的准入控制问题之后，还需要考虑公安视频专网整网安全方案，在保证整网数据通道高速、可靠的前提基础上，对数据、系统应用平台进行安全防护与应用加速，并在公安视频专网与第三方接入平台之间部署安全控制策略，只允许通过与预先应用相关的数据，不仅实现专网的安全隔离，还保证了网间应用数据共享。其次可以进行风险评估、系统加固、后期运维等全生命周期的安全咨询与建设服务。在工具方面，视频监控专网实时信息分析及控制平台可实时展示网络现状与安全态势，帮助了解网络风险点，从管理层面进一步提升公安视频专网健壮性。最后，通过以下几方面加强安全风险的管控：一是技术方面，对操作系统，要定期进行安全加固，对发现的操作系统高危漏洞，要及时进行补丁更新；对应用系统，在投入使用前必须要求厂家进行严格的安全审计和代码审查，保证应用系统的安全性；对服务器硬件设备，要根据视频网的建设标准，要求厂家进行相应的硬件调整。而是制度方面，要针对视频网制定严格的安全管理制度。对于厂家的维护人员和系统的管理人员，要严格遵守视频网的管理规范，不得擅自通过双网卡机器连接视频网和公安网。三是教育培训方面，要加强对视频网的管理维护人员的安全教育和培训，及时修改系统的弱口令，对于不同的系统设置不同的口令，提高密码强度；及时获取安全方面的最新动态，针对视频网进行对应的加固。四是维护方面，要加强对视频网的巡查和检测，预防非授权人员通过物理手段接入到视频网内进行破坏。3.1 详细安全架构设计方案3.1.1 方案描述本次设计方案根据*市公安局视频专网现状，依据公安部指导文件，视频专网满足等级保护要求进行设计。接入边界防护：前端摄像头汇聚后，在中广有线OLT设备与视频网核心设备之间部署高性能防火墙，进行策略访问控制，防止前端网络遭受攻击后蔓延至我局，导致业务服务器被攻击。视频管理PC防护：建议将视频网内PC电脑通过交换机进行汇聚，接入核心交换前经过万兆防火墙进行策略控制，防止PC中毒后蔓延至服务器区。安全风险的管控：规划安全管理运维区，部署入侵检测设备，对全网进行威胁分析，并能够与防火墙联动，及时阻断威胁。前端视频设备管控：在*市局部署视频准入分析平台，部署视频探针，对视频设备进行资产管理、设备准入、行为管控等。3.2 实现功能在解决公安视频专网安全建设问题时，应将设备身份鉴别、深度业务控制、高性能等多项要素进行融合，突破传统技术框架的限制，保证了公安视频专网的可信、可控、可用。传统的身份鉴别方式是向智能终端下发认证证书或安装认证软件，而公安视频专网的前端设备不具备安装认证软件的能力，针对此类身份鉴别必须收集硬件编码、网络地址、特征码等信息，综合确定设备身份；深度应用控制则需要分析行业应用特征，并形成完整可用的特征库，对前端设备传输的数据进行实时的分析，确定前端设备行为的合法性；在实现身份鉴别与深度应用控制的前提下，海量终端、海量数据的接入与传输不能产生时延，保证后端业务系统对前端设备传输数据的实时调用需求。在上述的核心能力之上，结合公安视频专网的应用特点，形成了公安视频专网前端设备准入控制解决方案。该解决方案应在现网改动最小、业务影响最小的前提下，提供有效管控前端设备身份与行为的手段，在技术与管理两方面帮助用户构建可信、可控、可用的公安视频专网。3.2.1 视频专网监测系统（采集分析引擎） 系统接收探测引擎探测的设备，显示设备信息及设备状态。显示：在网设备的 IP 和 MAC 地址、品牌、型号、 所属地址组、部门、发现时间、弱密码等信息；自动监控识别并准入网络视频设备、网络设备等硬件类型设备。可对设备进行导出导入、查询、支持设备流量详情展示；支持树状部门展示。 系统对探测引擎上报的设备进行准入与非准入操作。对于非视频设备和网络设备，系统不自动准入。可以通过准入配置设置对设备进行准入; 系统后台为非视频设备和网络设备自动生成注册码，通过管理员手工登录注册网址，方对待准入设备进行批量注册准入。系统对剩下的待准入设备自动进行入网隔离、告警。 系统接收探测引擎探测出的设备故障状态，显示设备故障的历史情况和现状。支持自动检查设备的 IP 地址、MAC 地址冲突；支持地址冲突设备列表展示，列表信息 至少包括 IP 地址、MAC 地址、设备类型、地址组、部门、管理员、冲突 MAC、冲突设备类型、状态等；地址冲突设备列表支持根据字段排序。 系统接收探测引擎上报的Mac地址进行判断是否Mac地址冲突，冲突设备将显示出来是Mac冲突还是类型冲突。支持通过 IP 地址、MAC 地址、设备类型、设备状态等信息设置复合条件查询地址冲突 信息；支持对地址冲突设备进行更新处置操作；支持查看设备详细信息，设备流量详情展示。 系统支持通过行为分析自动识别专网中的异常行为，并生成设备异常行为管理；支持设备异常列表，列表信息至少包括 IP 地址、MAC 地址、设备类型、品牌、型号、地址组、部门、地理信息、管理员、联系电话、发现时间、风险、状态等。通过行为异常显示当前异常设备，对设备行为进行核实排查隐患。 行为审计显示。支持通过行为分析自动识别视频专网中的异常行为，并记录为异常活动；支持异常活 动报警列表，列表信息至少包括策略名称、级别、协议类型、源地址、源端口、目的地址、目的 端口、字节数、包数、报警时间、payload 等；支持查看异常活动报警的 payload 信息；支持通过 协议、源 IP、源端口、目的 IP、目的端口、时间查询异常活动报警; 异常活动报警列表支持根据 字段排序。 网络行为分析。对监控网的网络行为进行分析。支持通过行为分析自动识别并归纳视频专网中的访问服务器、协议扫描、端口扫描、 常用协议、一对一访问等网络行为；支持网络行为列表，列表信息至少包括策略名称、协议、源 地址、源端口、目的地址、目的端口等。15、 支持通过策略名称查询网络行为；网络行为列表支持根据字段排序。 对监测的设备进行可视化统计管理。支持监控主视图，在监控主视图上集中展示主要监控指标、态势曲线及重要的报警信息。支持总体安全指标显示，安全指标计算包含待准入设备、离线设备、地址冲突设备、 异常活动设备、弱口令设备等因素。支持部署资产台数、在线率、已运行天数显示。支持待准入数量、阻断设备数量、待准入数量显示，点击可跳转到相应管理功能页面。支持运行指标显示，至少包括资产类型分类及相应数量、资产品牌分类及相应数量、 设备准入情况、离线设备情况、地址冲突设备情况、异常活动设备情况等。支持待准入、离线设备、地址冲突设备、异常活动设备历史列表和曲线，支持在列表和曲线间做切换操作；支持跳转到相应功能页面。 报表管理。支持导出设备信息、异常活动信息、网络行为信息等报表；设备报表导出支持按IP、MAC、端口、协议、时间查询导出；异常活动信息和网络行为信息的报表支持按源地址、目的地址、源端口、目的端口、协议、时间查询导出；支持 doc、excel、pdf、html 等格式报表。 支持地址组管理，能够将发现的设备自动关联到对应的地址组及地址组的所属部门；支持地址组嵌套，支持树形结构的地址组管理；支持添加、删除、修改地址组；支持地址组名称、 部门、地址范围、默认设备类型、上级地址组等属性。 支持部门添加、删除、修改等；支持部门名称、上级部门、地址组等属性。 系统支持向多级管理系统上报数据，接收多级下发的操作指令，包括准入、阻断、配置onvif、配置SNMP密码等操作。 3.2.2 视频专网监测系统（视频探针）n 探测设备信息，将设备信息发送至采集分析引擎。设备信息包括设备IP、Mac地址、状态、类型、型号、设备弱密码。n 探测设备是否离线，将设备状态发送至采集分析引擎。n 接收采集分析引擎的阻断命令，对设备进行阻断。n 接收采集分析引擎的onvif密码，识别网络摄像机的状态。上报网络摄像机图片至采集分析引擎。3.2.3 视频专网监测系统（多级管理中心）多级管理中心页面功能与采集分析引擎管理页面功能基本一致，多级管理中心增加的是可以配置下级节点信息，对下级数据进行接收、显示出来，并支持对下级进行准入、阻断、配置onvif密码、SNMP密码、更新或清除设备冲突操作等操作。n 支持配置下节点信息，接收下级上报的设备信息、设备待准入信息、设备故障管理信息、设备冲突信息、行为异常管理信息、异常活动报警信息；支持同时管理多个下级节点。n 支持在多级管理中心操作，对下级下发设备准入操作、阻断操作、配置onvif密码、配置SNMP密码操作、更新或清除设备冲突操作。n 多级管理中心页面功：能与采集分析引擎管理中心的页面功能基本一致。3.3 项目建设价值3.3.1 方案合规，产品可信本次建设视频专网安全监测分析系统须通过公安部第三研究所针对产品安全功能的针对性测试，并具备公安部颁发的安全专用产品销售许可证等安全证书，协助日照市公安局建设一张安全合规的视频网专用网络。3.3.2 多个层面，全面防护本次建设视频专网安全监测分析系统通过设备资产管控、网络行为管控、视频应用管控三个层面实现安全控制，只有通过认证的IP、MAC地址，并且网络行为符合视频专网业务需求，所使用的应用符合视频专网应用的行为才能放行，其他IP、MAC地址和流量全部阻断。3.3.3 功能实现，针对性强本次建设视频专网安全监测分析系统内置了主流视频监控设备资产特性及网络协议，用户部署后即可实现监测和报警功能。系统功能实现从可视化监测、资产管理、运行监测、安全控制等多方面入手，全面解决视频专网资产管理、设备故障、非法入侵等问题，帮助我单位全方位解决视频专网安全运行问题，实现视频专网可知、可控、可管理。3.3.4 可视管理，精确定位本次建设视频专网安全监测分析系统支持网内设备、违规报警、异常设备、未知连接数量等运行指标可视化展示，支持白名单top5、设备流量top5、协议流量top5等流量指标可视化展示，支持网络行为、异常设备的集中图形化展示，让我单位从全局的角度去掌控网络状况。3.3.5 部署简单，无单点故障本次建设视频专网安全监测分析系统的部署不需要改变已有网络结构，不用在网络内串接设备，不用在系统上安装代理，可以很方便的完成部署，无论逻辑上还是物理上都采用旁路工作模式，彻底杜绝单点故障导致视频专网全网瘫痪的现象发生。4 建设方案清单设备名称产品功能安全监控分析系统作为整个方案的分析平台，接收来自探测引擎收集的相关数据，构建视频设备资产信息库以及视频系统漏洞库，分析视频专网中出现的网络行为，形成防护策略下发探针实现准入以及阻断等操作，同时支持向安全监控综合管理平台上报数据，接收安全监控综合管理平台下发的操作指令，包括准入、阻断、配置等操作。1） 系统接收探测引擎探测的设备信息，统一收集分析，形成视频设备资产信息库统一管理。2） 系统根据探测引擎上报的设备信息并进行分析，对视频设备进行准入与非准入操作。3） 系统接收探测引擎收集的视频系统漏洞信息，将漏洞信息纳入视频设备资产信息库，对全网视频设备的漏洞状态进行及时展示和预警，杜绝因漏洞或者弱口令引发的攻击行为4） 系统接收探测引擎探测出的设备状态(离线、故障、地址冲突、黑白屏)信息并进行分析，显示设备故障的历史情况和现状。5） 系统接收探测