公安信息網(wǎng)視頻監(jiān)控安全接入解決方案

PAGEPAGE9公安信息網(wǎng)視頻監(jiān)控安全接入解決方案20113目錄一、概述 4二、視頻監(jiān)控業(yè)務及安全防御難點分析 5視頻監(jiān)控業(yè)務分析 5公安網(wǎng)視頻監(jiān)控應用的安全防御難點分析 6三、建設標準與目標 7建設標準 7建設目標 8四、視頻安全接入解決方案 9總體架構(gòu)設計 9接入對象 接入鏈路 12邊界接入平臺視頻接入鏈路 13公安信息通訊網(wǎng) 15平臺安全防御體系設計 15視頻接入認證服務 16網(wǎng)絡隔離與訪問控制功能 19反彈木馬阻斷功能 21視頻數(shù)據(jù)實時病毒檢測與阻斷 22視頻用戶認證與授權(quán)功能 24集中安全管理與日志審計 25高性能設計 27高可靠性設計 28五、主要技術性能 29安全功能 29技術性能 31設備規(guī)格 32一、概述公安信息網(wǎng)（公安網(wǎng)）網(wǎng)絡為接入網(wǎng)。公安網(wǎng)絡系統(tǒng)的主要功能是為各級公安業(yè)務部門提供語音、數(shù)字、圖表、動、靜態(tài)圖像等數(shù)據(jù)的傳輸和交換。例如來自外網(wǎng)的各種攻擊、入侵、植入木馬、探頭（信息搜索代理Agent）和病毒等威脅；各類設備上的后門有可能受控啟用，造成信（視頻監(jiān)控點二、視頻監(jiān)控業(yè)務及安全防御難點分析視頻監(jiān)控業(yè)務分析準確打擊罪犯。社會治安視頻監(jiān)控系統(tǒng)不僅僅是由公安機關建設和管理的專用包含三類視頻監(jiān)控點資源：一類為主要干道、出入口、要害部位、人流密集地段和案件高發(fā)部位。二類為治安復雜地段、人員聚集點、娛樂場所、商業(yè)街區(qū)、大中型居民住宅區(qū)、重要企事業(yè)單位以及金融珠寶網(wǎng)點等。兒園、醫(yī)院及新建商場、辦公大樓外圍。公安網(wǎng)視頻監(jiān)控應用的安全防御難點分析公安網(wǎng)視頻監(jiān)控應用的主要安全防御難點表現(xiàn)在：傳輸內(nèi)容安全過濾困難。視頻應用區(qū)別于WEB、數(shù)據(jù)庫等其他問題。應用協(xié)議控制困難。由于行業(yè)特殊原因，視頻監(jiān)控協(xié)議始終沒控制難度大。三、建設標準與目標建設標準本方案嚴格按照公安部相關視頻接入安全標準及體系架構(gòu)設計，滿足各類公安網(wǎng)視頻安全接入環(huán)境的要求，主要依據(jù)標準包括：未定編號公安信息通信網(wǎng)邊界接入平臺安全規(guī)范未定編號公安信息通訊網(wǎng)邊界接入平臺安全規(guī)范（試行）視頻專網(wǎng)GA/T367-2001視頻安全監(jiān)控系統(tǒng)技術要求GB/T20279-2006網(wǎng)絡和終端設備隔離部件安全技術要求GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則GA/T669-2006城市監(jiān)控報警聯(lián)網(wǎng)系統(tǒng)通用技術要求建設目標依據(jù)公安部相關規(guī)定和公安信息通信網(wǎng)現(xiàn)有安全基礎設施高性能、高可靠性的社會監(jiān)控視頻接入平臺，實現(xiàn)公安內(nèi)網(wǎng)安全、視頻接入?yún)^(qū)域邊界安全、通訊內(nèi)容安全、訪問權(quán)限安全等。包括：道泄露公安機密信息；完整性：確保視頻數(shù)據(jù)在傳輸中不被惡意篡改；發(fā)生違規(guī)或異常情況時，能夠及時發(fā)現(xiàn)、報警并處理；控，具有規(guī)范合理的接入業(yè)務流程，納入日常維護管理；余容錯能力。網(wǎng)隔離接入平臺管理體系中。四、視頻安全接入解決方案總體架構(gòu)設計視頻接入公安網(wǎng)應用屬于公安信息通信網(wǎng)邊界接入平臺的一種路接入?yún)^(qū)和公安信息通信網(wǎng)（公安內(nèi)網(wǎng)）。PAGEPAGE12接入對象接入對象主要指各類視頻監(jiān)控系統(tǒng)，視頻監(jiān)控系統(tǒng)主要由前端公安自建視頻監(jiān)控系統(tǒng)各黨政機關視頻監(jiān)控系統(tǒng)這類視頻監(jiān)控系統(tǒng)主要包括交通、環(huán)衛(wèi)等單位建立的監(jiān)控系統(tǒng)，這類系統(tǒng)一般可以通過政務專網(wǎng)接入公安網(wǎng)。社會視頻監(jiān)控資源這三類接入對象由于所采用組網(wǎng)方式的安全性不同，因此，必須通過相互物理隔離的接入鏈路接入公安邊界接入平臺視頻接入鏈路。接入鏈路接入鏈路是指由視頻監(jiān)控系統(tǒng)接入公安邊界接入平臺的鏈路方路由器或防火墻相連。根據(jù)4.1.1線路接入防火墻，如下圖所示：邊界接入平臺視頻接入鏈路建立了邊界接入平臺的各級公安機關可以依托現(xiàn)有的邊界接入平臺及其設備（IDS），再根據(jù)視頻接入規(guī)范增添視頻專用隔離設備（視頻專用隔離網(wǎng)閘）服務器、視頻用戶認證服務器即可。13對于沒有建立公安邊界安全接入平臺的公安機關，按照公安部的接入規(guī)范要求，則需要完整的建設包括邊界接入管理平臺、防火墻、IDS入侵檢測系統(tǒng)、視頻專用隔離設備、視頻接入認證服務器、視頻用戶認證服務器等在內(nèi)的整套邊界接入平臺。D11.2-2Mbps14PAGEPAGE16邊界接入平臺視頻接入鏈路具有針對視頻應用的專用安全功能，公安信息通訊網(wǎng)公安信息通信網(wǎng)邊界接入平臺與公安信息通訊網(wǎng)核心交換機相連，實現(xiàn)公安信息通信網(wǎng)內(nèi)各視頻終端對視頻監(jiān)控系統(tǒng)（視頻專網(wǎng)的實時訪問。平臺安全防御體系設計偉思視頻專用安全隔離與信息交換系統(tǒng)由三大安全功能單元構(gòu)元和視頻用戶認證服務器安全功能單元。視頻接入認證服務偉思視頻專用安全隔離與信息交換系統(tǒng)的視頻接入認證服務器安信息通信網(wǎng)提供視頻信息服務的硬件設備進行身份確認禁止未經(jīng)過認證的設備接入公安信息通訊網(wǎng)。視頻接入認證服務器安全功能單元采用設備指紋+IP&MAC綁定HASH值以及設備IP、MAC地址等信息形成該設備獨有的指紋，就像每個人不同的指紋一樣，沒有在接入認證服務單元上注冊的設備將被阻止接入公安/認證的視頻設備包括：DVR視頻管理服務器視頻轉(zhuǎn)發(fā)服務器視頻編解碼服務器流媒體服務器視頻模擬/數(shù)字矩陣存儲設備視頻接入認證安全功能單元還具備視頻信令協(xié)議分析和內(nèi)容過析和內(nèi)容過濾。偉思視頻接入認證安全功能單元能夠分析視頻信令的格式和內(nèi)ASCII或GB2312等中文編碼的內(nèi)容關鍵字過濾算法無法實現(xiàn)對這些視頻監(jiān)控系統(tǒng)信令的協(xié)議SIPH.323偉思視頻接入認證安全功能單元除了能夠?qū)崿F(xiàn)信令請求的協(xié)議17檢查和內(nèi)容過濾功能以外，還具備對請求返回結(jié)果的內(nèi)容過濾功能。偉思視頻接入認證安全功能單元還在國內(nèi)獨創(chuàng)性地提供了訪問偉思視頻接入認證安全功能單元的信令分析與檢查功能包括：18CRC校驗信令報文頭檢查信令格式檢查信令集內(nèi)容檢查信令參數(shù)內(nèi)容檢查信令返回信息校驗信令行為邏輯檢查功能偉思視頻接入認證安全功能單元能夠終止視頻設備對公安網(wǎng)的訪問。DB33T639跨區(qū)域視SIPH.323協(xié)議規(guī)范的視頻監(jiān)控系統(tǒng)的支持。網(wǎng)絡隔離與訪問控制功能偉思視頻專用安全隔離與信息交換系統(tǒng)采用基于ASIC設計的硬19對視頻數(shù)據(jù)和信令進行分離，分別獨立處理和傳輸。偉思視頻專用安全隔離與信息交換系統(tǒng)采用動態(tài)端口控制功能，能夠利用ip_conntrack并在視頻畫面關閉后自動關閉視頻傳輸通道。如下圖所示：偉思視頻專用安全隔離與信息交換系統(tǒng)具備強大的ACL控制功IPPORT20間在內(nèi)的訪問控制策略。反彈木馬阻斷功能端口，因此，在視頻數(shù)據(jù)流通道上檢測木馬是國際難題。本方案提出的解決思路是通過應用隔離技術將木馬與視頻應用途徑。如下圖所示：21視頻數(shù)據(jù)實時病毒檢測與阻斷法的視頻客戶端程序溢出并利用其傳播病毒。22發(fā)生溢出攻擊的主要原因是視頻客戶端執(zhí)行了超長的命令參數(shù)視頻瀏覽功能盡可能簡化、對所有輸入?yún)?shù)和返回值嚴格控制在3223PAGEPAGE25視頻用戶認證與授權(quán)功能偉思視頻接入認證安全功能單元具備基于公安PKI/PMI數(shù)字證書用戶認證與授權(quán)的功能。采用單點登錄方式，所有公安內(nèi)網(wǎng)用戶只需要數(shù)字證書KEY，就視頻資源訪問權(quán)限，實現(xiàn)對用戶視頻訪問的認證與授權(quán)。要權(quán)限配置功能包括：對能夠訪問視頻設備的客戶端IP對能夠訪問視頻設備的客戶端訪問時間進行策略控制對能夠訪問視頻設備的客戶端程序進行策略控制對客戶端能夠訪問的視頻管理服務器IP對客戶端能夠訪問的視頻管理服務器端口進行策略控制對所有訪問視頻設備的用戶進行身份認證按用戶/用戶組對客戶端能夠進行的視頻監(jiān)控行為進行授權(quán)根據(jù)客戶端IP/用戶組設置能夠訪問攝像頭的范圍根據(jù)客戶端IP/用戶組設置是否能夠檢索歷史錄像根據(jù)客戶端IP/用戶組設置是否能夠控制云臺根據(jù)客戶端IP/用戶組設置是否能夠查看歷史錄像根據(jù)客戶端IP/用戶組設置是否能夠瀏覽GIS根據(jù)客戶端IP/用戶組設置是否能夠修改視頻管理數(shù)據(jù)庫根據(jù)客戶端IP/用戶組設置是否能夠進行遠程對講根據(jù)客戶端IP/用戶組設置是否能夠操作報警I/O根據(jù)客戶端IP/用戶組設置是否能夠配置視頻設備參數(shù)集中安全管理與日志審計偉思視頻專用安全隔離與信息交換系統(tǒng)作為邊界接入平臺視頻接入鏈路的核心設備，能夠與公安部批準的5家平臺廠商的邊界接入管理平臺進行集成，滿足邊界接入平臺視頻鏈路的安全要求。偉思視頻專用安全隔離與信息交換系統(tǒng)提供標準的SNMPv1/v3設SYSLOG行等在內(nèi)的管理平臺均遵循公安部對邊界接入管理平臺產(chǎn)品的要求提供SNMP和SYSLOG安全管理區(qū)的主要功能是通過集中監(jiān)控與審計系統(tǒng)對視頻安全監(jiān)測、統(tǒng)計分析、安全審計，并以友好及人性化界面進行展示。上報接入平臺；流量排名、異常情況匯總等統(tǒng)計信息上報接入平臺；26管理與審計系統(tǒng)具有一套完善的安全管理結(jié)構(gòu)，包括以下內(nèi)容：管理方式：采用B/S架構(gòu)，通過Web連接安全性：管理機與設備間采用SSL分級分權(quán)限管理：設備管理包括用戶管理員、安全策略員和/設備配置；安全策略員能夠配置訪問控制規(guī)則，但不能配置設備屬性、查看日志；僅允許日志審計管理員查看、管理日志。設備配置備份與恢復：具備配置保存與恢復功能。數(shù)量、流量等各種運行信息。高性能設計27偉思視頻專用安全隔離與信息交換系統(tǒng)采用MIPS多核平臺+ASIC硬件芯片實現(xiàn)了對視頻訪問的高性能設計，單臺設備能夠滿足最大2000路D1質(zhì)量畫質(zhì)的視頻并發(fā)訪問，1080p高清攝像頭的帶寬占用則達到了每路4-8Mbps的要求，偉思視頻專用安全隔離與信息交換系統(tǒng)高達5Gbps的吞吐性能有效保障了公安網(wǎng)今后對高清晰、大并發(fā)視頻監(jiān)控應用的性能需求。高可靠性設計28PAGEPAGE32HATCPUDP持，即設備故障切換中，視頻瀏覽不會中斷。五、主要技術性能安全功能偉思ViGap2+1開發(fā)接口，能夠與隔離平臺集成，符合公安網(wǎng)邊界安全接入規(guī)范視頻專用技術要求。通過建立基于ASIC8DPI5Gbps0.5ms2500D1訪問。入設備的合法性，防止非法設備接入。據(jù)通道的單向傳輸。道傳輸非視頻數(shù)據(jù)，有效控制視頻通道的安全使用。端用戶進行認證和授權(quán)。備終止在接入認證服務單元，不允許直接連接公安內(nèi)網(wǎng)。阻斷夾雜惡意代碼的視頻數(shù)據(jù)。系統(tǒng)具備強大的流量管理功能，支持WREDGTSWFQ/CBQ關鍵應用或用戶保留足