视频监控网络整体安全解决方案.docx
《视频监控网络整体安全解决方案.docx》由会员分享,可在线阅读,更多相关《视频监控网络整体安全解决方案.docx(35页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 视频监控网络整体安全解决方案深信服科技股份有限公司2018年6月目录第1章 项目背景3第2章 视频监控网络安全现状描述3第3章 视频监控网络安全需求53.1 访问控制要求53.2 入侵防范63.3 病毒防护63.4 补丁管理73.5 脆弱性检测73.6 安全审计73.7 边界接入安全83.8 终端安全管理83.9 全网安全风险感知9第4章 整体安全解决方案94.1 安全体系架构94.2 设计原则104.2.1 合规性设计原则104.2.2 安全技术体系设计124.3 整体安全方案拓扑144.3.1 视频监控网络与边界安全方案设计(横向)164.3.2 视频监控网络边界安全方案设计(纵向)20
2、4.3.3 系统应用区安全方案设计30第5章 方案价值345.1 部署简单345.2 使用方便345.3 贴近用户345.4 功能强大34第6章 设备清单35第1章 项目背景近年来,随着“平安城市”、“数字城市”、“智慧城市”等城市信息化概念的提出,国家、政府大力推进了视频监控系统的建设,逐渐形成了覆盖整个城市和各地区的视频监控网络,实现数字化监测与信息共享、治安重点区域实时监控,全面提升对突发案件、群体性事件和重大保卫活动的监控力度和响应能力。可在第一时间掌握重要视频监控区域的异常情况,达到实时监控管理、主动报警、威慑诸如犯罪及为事后取证提供依据等监控目的。视频监控网络设备的种类与数量不断上
3、升,在治安、交通、智能楼宇等领域发挥日益重要的作用, 大数据分析、警用地理、车辆识别等核心应用正在向视频监控网络迁移,视频监控网络事实上已成为一张承载海量终端与海量数据的物联网。视频监控网络设备数量巨大、物理部署范围广泛,且前端设备大都部署在道路、街区或其它隐蔽场所等极易被黑客利用,进而侵入到整个网络,导致核心业务系统无法正常运行、大量保密信息被窃取,因此建立完善的设备安全准入和设备监管机制成为了安全体系建设的重要课题。第2章 视频监控网络安全现状描述l 视频摄像头作为视频监控网络重要组成部分,基数大且部署分散,品牌多样,目前无技术工具自动统计。另外对于大型机构一般采取分布式管理,权限分散,无
4、集中式管理平台,且无法贯彻落实视频网络建设要求;l 视频监控设备部署地点大都暴露在道路、街区等公共场所,极易被恶意侵入,进而侵入到整个网络,导致核心业务系统无法正常运行、大量保密信息被窃取。l 视频摄像头、交换机、路由器、防火墙、视频网业务服务器、运维终端等是视频监控网络全部组成部分,无技术手段鉴别是否存在非视频监控网终端的接入,无法规避由此引发的安全事件;l 视频监控网络对流量稳定性要求极高,但是不排除因为终端问题导致的异常访问流量发生,影响视频监控网络的稳定运行。另外大型机构视频监控网络数据网络结构复杂且庞大,不同区域互联方式不同,有直连、专线、VPN等,当出现安全事件时,目前采用命令行逐
5、级排查,耗时耗力,缺乏快速定位手段;l 视频监控网络边界接入环境复杂,边界接入平台多种多样,边界接入设备缺乏有效的认证与监管 ;网络中可能存在互联网通路,大大扩展了视频监控网络的网络边界,且其安全性较差,容易遭到破解,是对网络边界完整性的重大破坏。l 视频监控网络中的监控PC终端大都为windows系统,缺乏有效的防病毒和补丁管理措施、usb外设管理措施,病毒和恶意代码可通过usb接口对监控终端进行感染,由于监控终端之间没有隔离措施,病毒会在整个监控网络中肆意传播。l 通过非法接入的笔记本可对监控平台(windows)进行漏洞扫描,由于缺乏补丁管理和安全加固措施,可利用漏洞(例如:弱密码、溢出
6、)获取服务器权限并进行控制,进而非法获取视频信息。通过远程控制删除录像信息,修改配置,使摄像头无法正常工作,进而在监控区域内进行非法活动。l 随着WEB技术的发展,应用系统的上线、开发和变更越来越频繁,应用系统的本身安全脆弱性。第3章 视频监控网络安全需求结合视频监控网络安全现状,规划视频监控网络、内部网络信息安全保障体系,应涵盖了应用平台计算环境安全、区域边界安全、通信网络安全、安全管理等方面,保障视频监控网络的安全性、保密性、可用性,具体网络安全需求如下:3.1 访问控制要求视频监控网络网络边界、内部网络中应采取有效的访问控制措施,防止非法访问,黑客攻击的发生,特别在前置摄像头与核心汇聚交
7、换设备之间防护来自前置摄像头的安全威胁,如采用防火墙技术进行安全防护,各安全边界接入必须能够进行细粒度的访问控制能力,严格控制访问者的权限包括:l 源、目的IP控制,能够进行源、目的IP的访问控制l 服务端口控制。对访问视频管理服务器的端口进行控制,其它视频端口默认关闭,动态开放l 访问时间控制。能够控制客户端访问视频资源的时间l 访问行为权限管理。能够根据用户名/用户组、IP/IP段进行视频资源的访问控制,包括:摄像头访问范围、云台控制、历史视频录像查询、历史视频录像播放、日志查询、视频数据库修改等进行权限控制l 单向访问控制。关闭双向视频通讯。3.2 入侵防范应对视频监控网络中网络攻击行为
8、进行实时的检测和分析,及时的发现异常行为,降低安全事件的发生率。如采用入侵防御系统进行安全检测和防护。3.3 病毒防护病毒、木马一致是威胁网络安全的头号杀手,在视频监控网络中存在大量的终端、服务器,一旦感染恶意病毒、木马,将严重影响视频监控资源系统的稳定运行。应对视频监控网络终端、服务器,采用防病毒安全措施,防止恶意病毒、木马的传播。同时,为了保证内网视频监控终端在接收视频数据时不被木马、病毒感染,视频监控浏览软件无论采用浏览器方式还是客户端软件方式,都应具备以下防护手段:l 视频监控终端禁止执行来自外部的涉及操作系统、文件系统或运行其它应用进程的指令l 视频监控终端对接收到的视频流仅允许进行
9、解码播放,不允许执行视频流内任何指令l 视频监控终端应安装必要的防病毒软件l 支持网络防病毒,用于windows视频服务器和视频监控终端的统一病毒防护。3.4 补丁管理视频监控网络中的视频服务器和视频监控终端为windows操作系统,需要定期更新系统补丁,支持补丁统一管理,用于windows视频服务器和视频监控终端的统一补丁管理。3.5 脆弱性检测可实现对设备定期的脆弱性检测,及时发现高危漏洞和弱密码漏洞。3.6 安全审计由于在视频监控网络中,大量的访问用户从不同时间、地点访问视频监控资源,如不对用户网络访问行为进行有效的安全记录,当发生安全事件时,很难去追溯和定责。因此,应加强高清视频监控网
10、络安全审计能力,记录用户访问的身份、行为、访问过程等内容信息,为事后分析取证提供数据支撑。3.7 边界接入安全视频监控网络安全接入平台的设计需要满足第三方信息通信网对外部图像资源的安全浏览,并与第三方信息通信网之间的数据需要通过视频交换平台进行数据的共享和传输。视频监控网络与第三方信息通信网应严格按照信息网边界接入平台建设的技术规范实现边界安全防护。因此采用必要的安全隔离设备,对视频监控网络进入第三方信息通信网的数据进行隔离。3.8 终端安全管理在视频监控网络中,视频终端的安全性尤为重要,视频监控网络中的前置摄像头和网络设备存在大量弱口令、溢出等安全漏洞隐患。针对前端摄像机接入形成的网络边界,
11、制定技术可靠、安全防护性高的、基于终端准入认证的前端摄像机访问控制技术措施。防止前端摄像机被非法替换、终端非法接入、网络非法访问等安全问题的发生。还需对摄像头运行状态实时监测,对异常状态及时统一分级报警,实现各类状态的数据汇总和集中展示。另外,视频监控网络中存在部分PC终端,而这些终端都为windows操作系统,需要对这些终端进行注册管理,达到与其他设备统一管理,如果存在安全漏洞或者配置不完善,则容易遭受蠕虫病毒攻击、黑客攻击或泄漏重要信息,给内部网络带来安全隐患。要求对该设备进行行为审计、“一机两用”行为监测、外设端口控制等做有效管理。要保证内网的安全性,就必须对终端计算机上的漏洞情况进行分
12、析,打上所需要的补丁,以及时修补计算机上存在的漏洞,从而提高计算机自身的系统安全性。3.9 全网安全风险感知应具备对全网安全风险可视,具备对内部横向攻击、违规操作、异常流量、异常行为等进行感知分析,风险预警。能帮助用户发现、识别、提取视频监控网络内部署的应用系统,如人脸识别、车牌自动识别等。能及时发现未经授权上线的应用、发生异常的应用等,帮助用户有效管理应用。支持异常行为分析,异常行为可以通过报警由用户查看,探测同时连接视频网的高危行为。应能对视频监控网络中的设备、系统、应用进行定期的安全检测,尽早地发现存在的安全漏洞,并进行修补,从而降低漏洞被利用的风险,降低安全隐患。支持对非法通讯行为暴露
13、在用户监视之下,在网络内部的攻击、扫描、探测等行为能够被用户有效管控。第4章 整体安全解决方案4.1 安全体系架构关于通用视频监控网络项目安全设计思想是:依照国家等级保护的相关要求,利用密码、代码验证、可信接入控制等核心技术,在既定框架下实现对信息系统的全面防护。整个体系模型如下图所示:信息安全保障体系架构4.2 设计原则4.2.1 合规性设计原则本项目在满足公共安全视频监控联网平台的实际安全需求基础上,采取技术和管理相结合的安全防护措施,将安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。(一) 构建分域控制体系在总体架构上将按照分层、分区、分域保护思路进行,从结构上根
14、据企业的情况划分为不同的安全区域,各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施;并通过统一的基础支撑平台来实现对整个平台基础安全设施的集中管理,构建分域的控制体系。(二) 构建纵深的防御体系安全防御采用统一身份管理、访问控制、入侵检测、病毒防范、安全审计、防病毒、传输加密、集中数据备份等多种传统技术和措施,并结合虚拟机间防护、虚拟机病毒防护等新的技术手段,实现业务应用的可用性、完整性和保密性保护,并在此基础上实现综合集中的安全管理,并充分考虑各种技术的组合和功能的互补性,合理利用
15、措施,从外到内形成一个纵深的安全防御体系,保障信息系统整体的安全保护能力。(三) 保证一致的安全强度对于平台计算环境和区域边界,可以采用分级的办法,在通信网络上则采取强度一致的安全措施,并采取统一的防护策略,使各安全措施在作用和功能上相互补充,形成动态的防护体系。(四) 实现高效的安全运营体系信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性,从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全感知安全大数据平台,实现对平台的整体信息资产、安全事件、安全风险、访问行为等的统一分析与监管,通过关联分析技术,使
16、系统管理人员能够迅速发现问题,定位问题,有效应对安全事件的发生。(五) 建立可控的风险管控体系进行持续、多维度安全监测如对资产、价值、漏洞、威胁等方面,结合安全风险评估模型进行综合评估,实时地了解所有的业务系统以及其相关资产所面临的安全风险,实现全方位的预警通报,并有助于快速故障定位,当有异常情况或征兆时能够及时给管理员提示,以便管理员及时采取应对措施,降低安全事件影响范围,建立一套完整的检测、预警、通告、协同处置的风险管控体系。4.2.2 安全技术体系设计4.2.2.1 安全设计框架安全体系主要包括:物理安全、网络安全、主机安全、应用安全、数据安全、安全管理安全系统包含多网络区域:视频监控主
17、网、系统应用区、前端设备接入区、第三方对接信息网络、互联网等系统。通过可视化监测、资产管理、运行监测、安全控制、病毒防护和补丁管理、运维安全等维度解决视频监控网络安全问题。4.3.2安全区域边界界定公共安全视频监控建设联网平台的边界主要包含两大类:纵向边界和横向边界:(一) 南北向边界(纵向纬度) 南北向边界区主要实现企业互联下级子单位与视频监控主网的安全接入。(二) 东西向边界(横向纬度)横向边界区主要实现视频监控网络与第三方对接新消息网络,如互联网以及物业总部甚至政府机构等之间的安全接入,主要包含:(1) 第三方对接信息网络的边界交互平台区:视频监控网络横向连接第三方对接信息网络(边界平台
18、);(2) 互联网边界的交互平台区:视频监控网络横向连接互联网;4.3.3系统应用区域划分 通过公共安全视频监控联网平台的安全区域的南北向和东西向边界分析可以勾勒出整个应用平台的安全域划分,如下:视频监控主网:平台应用系统服务器域、网络管理系统服务器域、运维管理系统域、视频云计算数据中心域、视频解析中心、安全运维区域、外联区域;下级单位视频监控网络域:存储系统域、安全运维管理域、灾备中心域、外联区域。前端视频采集域:前端探头汇聚域等。4.3 整体安全方案拓扑图 安全系统总体拓扑图公共安全视频监控联网项目安全设计主要思路依据国家等级保护的相关要求,视频监控网络网络上公共视频监控系统应根据实际情况
19、建成等保二级以上的信息系统。视频监控网络各区域平台网络内部安全域主要划分为:纵向边界区、横向边界区、系统应用区和前端接入区四部分:纵向边界区主要实现视频监控网络基于主网到下级节点单位的安全连接和访问控制。横向边界区主要实现视频监控网络与第三方对接网络、互联网之间的安全交互。通过建设第三方网络边界接入平台、互联网边界交互平台等,保障视频监控网络与其他网络间的安全连接以及资源的安全共享。系统应用区主要包括视频图像信息共享平台与各区域网络相关的网络设备、终端、服务器、云平台、应用系统、数据库等。该区应遵循满足业务发展、适度防护的原则,采用入侵防御、网络审计、全网安全感知、视频安全接入系统、漏洞扫描、
20、补丁管理、防病毒、日志审计、系统加固等安全技术措施进行安全防护,提升系统应用区的整体安全水平。前端接入区主要包括前端接入的摄像机及其他设备。建立前端安全防护机制,实现对前端接入资源的有效识别和安全管理。4.3.1 视频监控网络与边界安全方案设计(横向)4.3.1.1 安全边界整体框架拓扑:图 安全边界总体框架图4.3.1.1.1 视频监控网络与第三方网络边界接入平台安全设计视频监控网络与第三方网络之间的边界接入平台数据链路与视频链路。图 与第三方网络边界交互平台(数据链路)拓扑图1.边界包过滤边界包过滤能够提供对数据包的进/出网络接口、协议(TCP、UDP、ICMP、以及其他非IP协议)、源地
21、址、目的地址、源端口、目的端口、以及时间、用户、服务(群组)的访问过滤与控制功能,对进入或流出的区域边界的数据进行安全检查,只允许符合安全策略的数据包通过,同时对连接网络的流量、内容过滤进行管理。2.边界入侵防范边界入侵代码防范可在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。3.边界入侵检测入侵检测:配备入侵检测类设备,实现对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、暴力破解、高级威胁攻击等网络入侵行为的有效防范。4.边界完整性保护边界完整性保护可对内部网络中出现的内部用户未通过准许私自联到外部网络,以及外
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 视频 监控 网络 整体 安全 解决方案
限制150内