公安信息网视频监控安全接入解决技术方案

1、公安信息网视频监控安全接入解决方案2011年3月目录一、概述2二、视频监控业务及安全防御难点分析3视频监控业务分析3公安网视频监控应用的安全防御难点分析4三、建设标准与目标5建设标准5建设目标5四、视频安全接入解决方案6总体架构设计6接入对象8接入链路8边界接入平台视频接入链路9公安信息通讯网12平台安全防御体系设计12视频接入认证服务12网络隔离与访问控制功能15反弹木马阻断功能161 / 25视频数据实时病毒检测与阻断17视频用户认证与授权功能18集中安全管理与日志审计20高性能设计21高可靠性设计22五、主要技术性能22安全功能22技术性能24设备规格24一、概述公安信息网（公安网）目前

2、是星型拓扑结构，由一、二、三级主 干网和接入网组成。公安部至各省公安机关主干网为一级网络，省级 公安机关至所辖地市公安机关的网络为二级网，地市级公安机关至所 辖县区公安机关的网络为三级网络，基层科、所、队到分局或市局的 网络为接入网。公安网络系统的主要功能是为各级公安业务部门提供语音、数 据、图像等交换和传输服务。公安数据业务包括人口、治安、交管、 刑侦、预审、出入境管理等二十多种业务的信息传输与查询；办公自 动化、电子邮件等内部管理数据；公安内部信息网站浏览等业务，文 字、图表、动、静态图像等数据的传输和交换。2 / 25在视频监控应用的接入过程中，公安信息通信网面临很大风险。例如来自外网的

3、各种攻击、入侵、植入木马、探头（信息搜索代理 Agent）和病毒等威胁；各类设备上的后门有可能受控启用，造成信 息失控、设备故障；内外勾结造成的内部重要信息通过视频应用通道 泄漏；由于误操作、非授权访问等造成的信息丢失、失控等问题。由于社会治安视频监控网络采用的网络传输环境复杂，前端系统（视频监控点）覆盖面广且管理部门不统一，因此，公安部制定了公 安信息通信网边界接入平台安全规范，严格制定了公安网与外网间 信息交换的标准、架构、安全等技术要求，各级公安机关都必须按照 规范要求建设外网接入公安网的安全体系架构， 治安视频监控网络也 必须通过规范的安全隔离接入平台接入公安内网，本方案专门针对视频监

4、控中的安全风险设计满足管理、安全、性能需求的解决方案。二、视频监控业务及安全防御难点分析视频监控业务分析社会治安视频监控系统是防范、打击违法犯罪的重要技术手段之 一，目前，广东省公安系统已经基本建设完成了覆盖全省的综合视频 监控系统，并且取得了良好的实际效果，有力地协助公安机关快速、 准确打击罪犯。社会治安视频监控系统不仅仅是由公安机关建设和管理的专用 网络，而是集中了全社会资源建设的视频综合数据传输网络，该网络3 / 25包含三类视频监控点资源:一类为主要干道、出入口、要害部位、人流密集地段和案件高发 部位。二类为治安复杂地段、人员聚集点、娱乐场所、商业街区、大中型居民住宅区、重要企事业单位

5、以及金融珠宝网点等。三类为一般的治安复杂点、街巷死角和部分社会单位如学校、幼 儿园、医院及新建商场、办公大楼外围。公安网视频监控应用的安全防御难点分析公安网视频监控应用的主要安全防御难点表现在：(1)传输内容安全过滤困难。视频应用区别于 WEB数据库等其他应用的主要特点在于其传输的内容为二进制图像数据流，因此，如何有效防止违法的病毒、木马数据嵌入视频应用中传输成为必须解决的 问题。(2)防止内网泄露机密信息困难。由于视频监控的访问具有双向性， 即部分公安内网视频监控需要对外向其他政法等单位提供，公安内网也需要访问大量一、二、三类视频监控资源，如何有效防止木马程序 利用视频通道泄露公安内网机密数

6、据也必须加以可靠解决。(3)应用协议控制困难。由于行业特殊原因，视频监控协议始终没 有制定标准，导致各视频厂家协议差异较大，不兼容现象普遍，安全 控制难度大。4 / 25三、建设标准与目标建设标准本方案严格按照公安部相关视频接入安全标准及体系架构设计, 满足各类公安网视频安全接入环境的要求，主要依据标准包括：未定编号公安信息通信网边界接入平台安全规范未定编号公安信息通讯网边界接入平台安全规范（试行）视频专网GA/T367-2001 视频安全监控系统技术要求GB/T 20279-2006网络和终端设备隔离部件安全技术要求GB17859-1999计算机信息系统安全保护等级划分准则GA/T669-2

7、006城市监控报警联网系统通用技术要求建设目标依据公安部相关规定和公安信息通信网现有安全基础设施、依据公安网边界安全隔离接入平台规范要求， 建设具备安全性、可管理性、 高性能、高可靠性的社会监控视频接入平台，实现公安内网安全、视 频接入区域边界安全、通讯内容安全、访问权限安全等。包括：安全性：确保内外网在访问视频数据时防止携带病毒、木马等程序进入公安内网，防止可能存在的木马利用视频接入通讯通 道泄露公安机密信息；完整性：确保视频数据在传输中不被恶意篡改；5 / 25可用性：确保视频接入业务能够满足性能需求，安全正常运行；可审计性：能够有效监控和审计视频接入业务的运行情况。 当 发生违规或异常情

8、况时，能够及时发现、报警并处理；可管理性：对于专用视频接入隔离设备运行过程能够管理和监控，具有规范合理的接入业务流程，纳入日常维护管理；可扩展性和高可靠性：视频接入平台应具有可扩展的，能够根 据视频访问业务的扩展不断扩充接入流量， 同时，具备硬件冗 余容错能力。可集成性：提供必要的日志和管理接口，能够与公安部隔离接 入平台紧密集成，将监控视频接入纳入到统一的公安信息通信 网隔离接入平台管理体系中。四、视频安全接入解决方案总体架构设计视频接入公安网应用属于公安信息通信网边界接入平台的一种特殊应用类型存在，伟思公司根据公安部相关技术要求设计了一套符 合公安安全接入规范技术要求的系统。 如下图所示，

9、视频接入公安网 主要由四部分构成：接入对象、外部接入链路、边界接入平台视频链 路接入区和公安信息通信网（公安内网）。6 / 25公安信息通信网接入链路边界接入平台视频接入链路防火墙视频接入 认证服务造公安 视频终揣安全监测与管理区边界 保护区路由 接入区路田器安全隔离设备公安 PKI/PMI 系统视植控4与型安全隔离区应用 服务区专线接入接入对象视频管理服务器存储7 / 25接入对象接入对象主要指各类视频监控系统，视频监控系统主要由前端 设备、存储设备、视频管理平台服务器、视频转发服务器等设备组成。 目前，主要的视频监控系统按接入链路划分主要可分为。(1)公安自建视频监控系统这类视频系统主要包

10、括交警、消防和公安建立的各类直属公安管 辖的监控点，这类监控点主要包括了城区主要干道、治安卡口、社区 广场等。这类视频监控系统一般采用专线方式组网并通过专线接入公 安网。(2)各党政机关视频监控系统这类视频监控系统主要包括交通、环卫等单位建立的监控系统， 这类系统一般可以通过政务专网接入公安网。(3)社会视频监控资源这类视频监控系统主要由社会各单位自主建立， 包括网吧、酒店、 公司等单位，这些视频监控系统一般由电信运营商在公网上建立视频 虚拟专网，通过专线方式可接入公安网。这三类接入对象由于所采用组网方式的安全性不同，因此，必须通过相互物理隔离的接入链路接入公安边界接入平台视频接入链路。接入链

11、路接入链路是指由视频监控系统接入公安边界接入平台的链路方8 / 25式。根据公安部的相关要求，本方案设计要求所有接入链路均为专线 方式接入，由视频监控系统的核心交换机接入公安边界接入平台。如 果视频监控系统的核心交换机与公安网边界接入平台处于同一机房 内，可通过核心交换机直接连接公安边界接入平台的接入路由器或防 火墙。如果视频监控系统的核心交换机与公安网边界接入平台物理距 离较远，则可租用电信专线将核心交换机与公安边界接入平台的接入 路由器或防火墙相连。根据4.1.1节说明，不同类型的视频监控系统应采用物理独立的 线路接入防火墙，如下图所示：接入链路接入对象边界接入平台视频接入链路该区域是视频

12、监控系统接入公安网的核心区域。 其主要结构与公安部颁发的公安信息通信网边界接入平台安全规范基本相同，包括路由接入区、边界保护区、应用服务区、安全隔离区与安全监测与9 / 25 管理区五部分。作为边界接入平台的特殊应用类型， 视频接入也纳入 接入平台的管理，作为其中的一条视频专用的接入链路，因此，已经 建立了边界接入平台的各级公安机关可以依托现有的边界接入平台及其设备（如边界接入管理平台、防火墙、IDS等），再根据视频接 入规范增添视频专用隔离设备（视频专用隔离网闸）、视频接入认证 服务器、视频用户认证服务器即可。对于没有建立公安边界安全接入平台的公安机关，按照公安部的接入规范要求，则需要完整的

13、建设包括边界接入管理平台、防火墙、 IDS入侵检测系统、视频专用隔离设备、视频接入认证服务器、视频 用户认证服务器等在内的整套边界接入平台。由于视频占用带宽资源非常大，一路 D1质量的视频监控画面通 常达到1.2-2Mbps的带宽，因此，公安网现有基于数据交换的边界接 入平台中的设备性能往往无法满足视频接入要求，在这种情况下，可以考虑在各个下级单位建立视频边界接入平台如下图所示，或在本单位升级现有边界接入平台中的设备。10 / 25公安机关共享视频监控系统边界接入平台视频接入链路具有针对视频应用的专用安全功能,经过设备身份认证后的视频接入设备， 通过专线方式接入到视频接入 链路，在视频接入链路

14、中，视频控制信令和数据的会话终止于应用服 务区，在应用服务区，视频接入认证服务器对接入对象进行设备认证， 并对视频信令格式进行检查及内容过滤， 只允许合法的协议和数据通 过，在安全隔离区，安全隔离设备将视频控制信令和数据进行分别处 理和传输，其中视频数据为单向传输，视频控制信令为双向传输，视 频用户认证服务器对公安信息通讯网上使用视频资源的用户进行统 一注册，身份认证及权限管理，仅允许认证通过的用户访问已授权的 视频资源11 / 25公安信息通讯网公安信息通信网边界接入平台与公安信息通讯网核心交换机相 连，实现公安信息通信网内各视频终端对视频监控系统（视频专网） 的实时访问。平台安全防御体系设

15、计伟思视频专用安全隔离与信息交换系统由三大安全功能单元构 成：视频接入认证服务器安全功能单元、网络隔离与视频安全控制单 元和视频用户认证服务器安全功能单元。视频接入认证服务伟思视频专用安全隔离与信息交换系统的视频接入认证服务器 安全功能单元具有强大的视频接入认证功能，能够对视频专网内向公 安信息通信网提供视频信息服务的硬件设备进行身份确认禁止未经 过认证的设备接入公安信息通讯网。视频接入认证服务器安全功能单元采用设备指纹+IP&MA绑定的多因素强认证机制对视频硬件设备进行认证，设备通讯协议指纹认证方式是利用视频设备的二次开发接口对视频设备进行扫描，通过设备的反馈信息的指纹特征来验证视频设备是否

16、为已注册的合法设备， 指纹取样包括：设备序列号、设备反馈信息的关键特征HASH!以及设 备IP、MAC1址等信息形成该设备独有的指纹，就像每个人不同的指 纹一样，没有在接入认证服务单元上注册的设备将被阻止接入公安12 / 25网。可以注册/认证的视频设备包括:DVR视频管理服务器视频转发服务器视频编解码服务器流媒体服务器视频模拟/数字矩阵存储设备查询设备/调用段备二次开发视频接入认证服务单元挂尸信,风视频设备指纹数据库视频监控系统设备良愦信息视频接入认证安全功能单元还具备视频信令协议分析和内容过滤功能，能够针对不同的视频厂商的视频监控协议，分别进行协议分析和内容过滤。伟思视频接入认证安全功能单

17、元能够分析视频信令的格式和内 容。与传统内容过滤功能不同，由于很多视频监控系统厂商采用二进 制方式设计信令及内容，因此，传统的基于 ASCII或GB231等中文编 码的内容关键字过滤算法无法实现对这些视频监控系统信令的协议 和内容检查。伟思视频接入认证安全功能单元采用基于模式匹配的内 容过滤算法，能够实现对SIP、H.323、自定义协议等任何视频通讯协 议格式的信令分析和内容过滤，并能够阻断非法或本设备未注册视频13 / 25协议的传输。伟思视频接入认证安全功能单元除了能够实现信令请求的协议 检查和内容过滤功能以外，还具备对请求返回结果的内容过滤功能。伟思视频接入认证安全功能单元还在国内独创性

18、地提供了访问 行为检查功能。该功能结合信令协议和内容检查，能够更有效地防止 非法信令在公安内外网间传输。受制于安全策略的制订方式，单纯的 信令分析和内容检查功能不可能建立完善、严密的视频信令检查机 制，攻击者可以在数据包内的特定位置隐藏二进制编码信息进行恶意 信息的内外网传输。采用访问行为检查功能能够弥补这个漏洞， 访问 行为检查功能将严格审查视频终端的操作步骤，不允许非法流程或信 令的传输，例如，用户在未经登录的情况下就调阅视频历史记录，该 步骤显然是违反正常行为逻辑的，可能是黑客利用合法指令携带的参 数传输非法信息，伟思视频接入认证安全功能单元在这种情况下将立 即阻断该连接，如下图所示：隗

19、断非法行为（,虽然值令合法）视频终端L*选择DVR 一调阅录像伟思视频接入认证安全功能单元的信令分析与检查功能包括： 信令包长的完整性CR皎验14 / 25信令报文头检查信令格式检查信令集内容检查信令参数内容检查信令返回信息校验信令行为逻辑检查功能伟思视频接入认证安全功能单元能够终止视频设备对公安网的 访问。伟思视频接入认证安全功能单元目前能够针对华为、海康、全球眼、先进视讯、上海贝尔、烽火、大华等十多个厂商的视频监控系统 提供视频控制信令分析和内容过滤功能， 也提供对DB33T63聘区域视 频监控联网共享技术规范或遵循 SIP、H.323协议规范的视频监控系统 的支持。网络隔离与访问控制功能

20、伟思视频专用安全隔离与信息交换系统采用基于 ASIC设计的硬 件电子开关芯片，实现了公安网与视频监控专网的物理断开， 并能够 对视频数据和信令进行分离，分别独立处理和传输。伟思视频专用安全隔离与信息交换系统采用动态端口控制功能， 能够利用ip_conntrack对所有连接通道进行动态的开放和关闭，在默 认状态下，视频控制信令传输通道始终开放，但视频数据传输通道关 闭，只有在视频终端调用相关视频时，才动态开放对应的视频通道，15 / 25并在视频画面关闭后自动关闭视频传输通道。如下图所示:摄像头编码器视频管理平台行为控制系统默认通道关闭控制流协议分析访问控制与认证系统伟思视频专用安全隔离与信息交

21、换系统具备强大的ACL空制功能，管理员能够设置针对源、目的IP、POR端口、视频协议类型、时 间在内的访问控制策略反弹木马阻断功能视频监控应用中一个重要安全难题是： 由于视频数据流通道上是 难以识别的二进制视频图像数据流，且某些视频协议需要开放大范围 端口，因此，在视频数据流通道上检测木马是国际难题。本方案提出的解决思路是通过应用隔离技术将木马与视频应用 程序进行隔离，确保只有视频客户端能够通过隔离区中的隔离网闸访16 / 25问视频设备。这样有效地解决了木马利用视频通道泄密或控制内网的途径。如下图所示：非法应用进程柜绝接入安全隔离区边界保护区路由接入区视城客户端视频监控的访问方向都是由客户端

22、向视频设备发出命令， 视频设 备反馈信息或视频流，即都是单向由客户端发起的访问， 隔离网闸通 过应用隔离技术控制客户端的哪些程序能够与视频设备交互数据， 就 能够有效防止木马利用视频流通讯通道控制主机或泄漏机密信息。视频数据实时病毒检测与阻断应用隔离技术解决了木马等非法客户端恶意程序攻击的问题，但对于病毒而言，却可以在数据层利用视频数据中夹杂恶意数据导致合 法的视频客户端程序溢出并利用其传播病毒。当正常的使用者操作程序的时候，所进行的操作一般不会超出程 序的运行范围；而黑客却利用缓冲长度界限向程序中输入超出其常规 长度的内容，造成缓冲区的溢出从而破坏程序的堆栈， 使程序运行出 现特殊的问题转而

23、执行其它黑客希望执行的指令，以达到攻击的目 的。17 / 25规则名称?浏览器攻击：Adobt Flash Fl a” 1远程代码执行漏洞0浏览器攻击：MnMc AHI动态光标远程代码执行漏洞 浏览需攻击：Yahoo! Music JuMb廿;（远程代吗执行漏洞回 浏第那攻击：BtUPlw”远程代码执行漏洞囹温览器攻击：暴风影音工工MtinX远程代码执行漏洞0 渡器攻击：迅雷看看品七64远程代码执行漏洞画 词鬣器攻击：联众世界Mti”X远程代吗执行漏洞:浏览器攻击：幅158。1BDAC近程代码执行潺洞0浏览器攻击：新浪Mt inX远程执行代码漏洞：浏览器攻击：FFLIVE AcdmK远程执行代

24、蚂漏洞0 81览器攻密：licroioft MDAC远程代码执行漏洞-变种H画浏览器攻击：百度接远程执行代码漏洞浏跑器攻击：Adob电Flash Fl寸”远程代妈执行隔洞-变种口0 雌器攻击：R.JT1婚”远程执行代吗漏洞-变种口浏览需攻击：Qmd放需版ticX远处代码执行濡洞发生溢出攻击的主要原因是视频客户端执行了超长的命令参数或者是客户端对外提供了不必要的服务功能造成的，由于视频客户端仅仅是视频的播放和控制终端，它只是请求的发起方并非服务方， 其 自身并不需要对外提供任何服务。因此，本方案中严格要求视频客户端对外不提供任何服务功能，视频浏览功能尽可能简化、对所有输入参数和返回值严格控制在3

25、2位以内。通过上述处理，能够有效控制数据级病毒通过视频客户端进 行传播。视频用户认证与授权功能伟思视频接入认证安全功能单元具备基于公安 PKI/PMI数字证书 用户认证与授权的功能。采用单点登录方式，所有公安内网用户只需要数字证书KEY就可以进行视频监控系统的访问，管理者可以针对每个用户设置其不同18 / 25视频资源访问权限，实现对用户视频访问的认证与授权。在管理平台中，能够严格设置认证与授权策略，防止视频终端用户越权访问视频设备，修改视频设备参数，更改视频管理数据库。主要权限配置功能包括：对能够访问视频设备的客户端IP进行策略控制对能够访问视频设备的客户端访问时间进行策略控制对能够访问视频

26、设备的客户端程序进行策略控制对客户端能够访问的视频管理服务器IP进行策略控制对客户端能够访问的视频管理服务器端口进行策略控制对所有访问视频设备的用户进行身份认证按用户/用户组对客户端能够进行的视频监控行为进行授权根据客户端IP或用户/用户组设置能够访问摄像头的范围根据客户端IP或用户/用户组设置是否能够检索历史录像根据客户端IP或用户/用户组设置是否能够控制云台根据客户端IP或用户/用户组设置是否能够查看历史录像根据客户端IP或用户/用户组设置是否能够浏览 GIS数字地图根据客户端IP或用户/用户组设置是否能够修改视频管理数据库根据客户端IP或用户/用户组设置是否能够进行远程对讲根据客户端IP

27、或用户/用户组设置是否能够操作报警I/O输出根据客户端IP或用户/用户组设置是否能够配置视频设备参数19 / 25集中安全管理与日志审计伟思视频专用安全隔离与信息交换系统作为边界接入平台视频接入链路的核心设备，能够与公安部批准的 5家平台厂商的边界接入 管理平台进行集成，满足边界接入平台视频链路的安全要求。伟思视频专用安全隔离与信息交换系统提供标准的 SNMPv1/v毁备管理接口和SYSLOG志输出接口，包括合众、三所、国保金泰、天 行等在内的管理平台均遵循公安部对边界接入管理平台产品的要求 提供SNMPSYSLOG备集中管理功能，因此，伟思视频专用安全隔离 与信息交换系统可以与各平台厂商无缝

28、集成， 接受管理平台的集中管 理，无需二次开发。路由接入区安全隔离区安全检测管理区安全管理区的主要功能是通过集中监控与审计系统对视频安全接入隔离网闸的管理、运行情况和通讯日志进行安全检测与审计； 进 行安全设备的配置管理及日常运行维护， 配置和管理安全策略、流量 监测、统计分析、安全审计，并以友好及人性化界面进行展示。管理与审计系统提供二次开发接口，能够实现各类信息的级联上20 / 25报，集中报送到公安隔离接入平台。功能主要包括以下两个主要部分:设备监控信息上报，能够有效将视频安全接入隔离网闸的运行状态、接口流量、在线用户情况、配置信息、报警信息等上报接入平台；日志与统计信息上报，对通讯日志

29、、管理日志等日志信息，流量排名、异常情况汇总等统计信息上报接入平台；管理与审计系统具有一套完善的安全管理结构，包括以下内容：管理方式：采用B/S架构，通过 WeWU览器对网闸进行管理连接安全性：管理机与设备间采用 SSL等加密方式进行连接分级分权限管理：设备管理包括用户管理员、安全策略员和 日志审计管理员三种角色，用户管理员能够增加 /删除用户、设备配置；安全策略员能够配置访问控制规则，但不能配置设备属性、查看日志；仅允许日志审计管理员查看、管理日o设备配置备份与恢复：具备配置保存与恢复功能。统计与分析：提供多种图形化工具显示设备工作状态、连接 数量、流量等各种运行信息。高性能设计伟思视频专用

30、安全隔离与信息交换系统采用 MIPS核平台+ASIC 硬件芯片实现了对视频访问的高性能设计，单台设备能够满足最大2000路D1 质量画质的视频并发访问，1080P高清摄像头的带宽占用则21 / 25达到了每路4-8Mbps的要求，伟思视频专用安全隔离与信息交换系统 高达5GbpS勺吞吐性能有效保障了公安网今后对高清晰、大并发视频 监控应用的性能需求。Optional2 x 1&bitRLDRAMfFCRAMDDR l/ll SDRAM (up to 800 MHz)Regular ExpressionPacket I/O ProcessorU a 144 btCompress Icn32KlB

31、 Icache8KB Dcache2-16 cnMIPS coresContentContentSecuritySecurityPCI-XSecure VaultPacket Ordfir Unit1MBShared L2 CachePacket I/O ProcessorSPI4.2or1-4x GEMbit,133MH 2AXS高OBIAI 一口立 ueazl 01SPI4.2or1-4xGE高可靠性设计考虑到公安网边界接入平台对可靠性的要求，伟思视频专用安全 隔离与信息交换系统具备双机热备功能， 采用独立的H澳备接口和业 内领先的会话保障功能，能够实现设备切换过程中的TCR UD唆话保 持，即设备故障切换中，视频浏览不会中断。五、主要技术性能安全功能伟思ViGap视频监控专用隔离网闸具备以下安全特性：22 / 25 采用标准的2+1安全隔离体系架构，提供日志、审计与管理二次 开发接口，能