針對公安視頻專網(wǎng)安全的研究分析_第1頁
針對公安視頻專網(wǎng)安全的研究分析_第2頁
針對公安視頻專網(wǎng)安全的研究分析_第3頁
針對公安視頻專網(wǎng)安全的研究分析_第4頁
針對公安視頻專網(wǎng)安全的研究分析_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

0引言隨著我國城市化進(jìn)程的發(fā)展,視頻監(jiān)控系統(tǒng)作為維護(hù)社會公共安全的重要載體和工具,遍布城市各個角落和人民日常生活的各個領(lǐng)域,其功能和作用愈發(fā)顯著。鶴崗市公安局以“雪亮工程”建設(shè)項目為契機,根據(jù)市局黨委2020年度全局“七個一”工作清單戰(zhàn)略部署,利用“視頻專網(wǎng)”將新建視頻資源整合,全力打造全局前端設(shè)備“一張網(wǎng)”的概念,即將“視頻專網(wǎng)”作為全市視頻資源的載體,將重點區(qū)域、重點場所、公交車、出租車、執(zhí)法執(zhí)勤車輛、執(zhí)法記錄儀(無線物聯(lián)網(wǎng)卡視頻回傳)等符合要求的視頻資源全部整合到“一張網(wǎng)”中,實現(xiàn)全局“一張網(wǎng)”掌控全市動態(tài)。鶴崗市副市長、公安局黨委書記、局長徐連斌提出的“三警戰(zhàn)略”中“科技強警”以及“大數(shù)據(jù)賦能、信息化增效、科技化強警”的主導(dǎo)思想,奠定了2020年鶴崗市公安局信息化工作的主基調(diào)。將智能化、大數(shù)據(jù)思維,融入到鶴崗市公安局科技信息化建設(shè)當(dāng)中來,開拓民警創(chuàng)新性思維模式,大力支持“發(fā)明創(chuàng)造”,開啟“數(shù)字鶴崗”新時代。鶴崗市公安局立足于“視頻專網(wǎng)”的研發(fā)創(chuàng)新,于2020年5月13日成功申請由中華人民共和國國家版權(quán)局頒發(fā)的計算機軟件著作權(quán)登記證書(3項)。計算機軟件著作權(quán)登記證書的頒發(fā),開創(chuàng)了鶴崗市公安局“國家著作權(quán)”的先河。同時憑借對視頻專網(wǎng)應(yīng)用的積累,將會有越來越多的想法和創(chuàng)新得到實踐,越來越多的成果得以應(yīng)用。對公安機關(guān)來講,海量的視頻圖像信息已經(jīng)成為打擊犯罪、治安防控、維穩(wěn)處突、社會管理的重要資源,承載著視頻資源的“視頻專網(wǎng)”更是重中之重。綜上所述,視頻專網(wǎng)的安全問題更顯得尤為重要。1現(xiàn)狀和需求近年來,公安視頻專網(wǎng)的建設(shè)規(guī)模正在不斷擴(kuò)大,專網(wǎng)前端的IP接入設(shè)備(如IPC、RFID等)的種類與數(shù)量正在不斷上升,這些前端設(shè)備被廣泛應(yīng)用于治安管理、交通疏導(dǎo)等領(lǐng)域,與國計民生息息相關(guān);同時,如人臉對比、車輛識別、大數(shù)據(jù)分析等核心業(yè)務(wù),也正向公安視頻專網(wǎng)遷移,目前的公安視頻專網(wǎng)事實上已經(jīng)成為一張承載海量終端與海量數(shù)據(jù)的物聯(lián)網(wǎng)。公安視頻專網(wǎng)的重要性正在不斷提升,隨之而來的安全問題也日益凸顯,一旦出現(xiàn)黑客攻擊、數(shù)據(jù)竊取等事件,將有可能造成治安管理失控、交通管制失效、敏感信息泄漏、LED屏幕倒流信息篡改等后果,嚴(yán)重危害社會穩(wěn)定。與此相對的是,由于點多面廣,大部分公安視頻專網(wǎng)無法部署有效的安全策略,前端設(shè)備與后端業(yè)務(wù)基本處于直連狀態(tài),大量無人值守的接入終端被黑客利用成為攻擊源。攻擊者可利用分散在社會各處的前端設(shè)備接入整個網(wǎng)絡(luò)中,對核心業(yè)務(wù)系統(tǒng)展開攻擊,甚至竊取保密信息。因此,如何解決來自于前端設(shè)備的安全風(fēng)險、如何防護(hù)視頻專網(wǎng)后臺的安全、如何監(jiān)測視頻專網(wǎng)中的異常情況成為公安視頻專網(wǎng)安全體系建設(shè)的突出問題。本文就視頻專網(wǎng)的安全問題進(jìn)行研究分析,未來如何將前端視頻資源整合到視頻專網(wǎng)當(dāng)中,后端平臺應(yīng)當(dāng)如何建設(shè)才能避免非法數(shù)據(jù)危及整個視頻專網(wǎng),一旦發(fā)生非法入侵,如何才能保證視頻專網(wǎng)的安全。在整合視頻資源的同時,如何保證視頻專網(wǎng)的安全性,是擺在廣大公安民警面前的一項重要課題。2關(guān)于視頻專網(wǎng)安全建設(shè)2.1視頻專網(wǎng)安全準(zhǔn)入系統(tǒng)建設(shè)意義按照“嚴(yán)控邊界、縱深防御、主動監(jiān)測、全面審計”的思路,以前端準(zhǔn)入控制系統(tǒng)、數(shù)據(jù)中心基礎(chǔ)安全防護(hù)系統(tǒng)和公安視頻監(jiān)控安全監(jiān)管平臺建設(shè)為重點,構(gòu)建視頻傳輸專網(wǎng)安全防護(hù)技術(shù)體系,實現(xiàn)對視頻傳輸專網(wǎng)的實時監(jiān)測、網(wǎng)絡(luò)異常情況的及時預(yù)警、違規(guī)入侵的及時處置、安全事件的及時溯源取證,全面提升視頻監(jiān)控系統(tǒng)安全防護(hù)能力,確保重要視頻圖像信息不失控、敏感視頻圖像信息不泄露。2.2視頻專網(wǎng)安全準(zhǔn)入系統(tǒng)應(yīng)用價值(1)對前端非法私接和仿冒進(jìn)行防范,實現(xiàn)接入前端視頻專網(wǎng)設(shè)備后,阻斷網(wǎng)絡(luò)入侵和非法數(shù)據(jù)的訪問。(2)通過視頻專網(wǎng)安全準(zhǔn)入系統(tǒng),解決因視頻專網(wǎng)特性導(dǎo)致前端設(shè)備部署規(guī)模龐大、網(wǎng)絡(luò)分支較多、網(wǎng)絡(luò)攝像頭接入地理位置分散、人為監(jiān)管困難的問題。(3)解決目前視頻資源訪問無法追蹤,造成信息安全管理失控問題。(4)通過部署視頻專網(wǎng)安全準(zhǔn)入系統(tǒng),解決因視頻專網(wǎng)實時視頻流的高吞吐、高轉(zhuǎn)發(fā)性,導(dǎo)致傳統(tǒng)安全設(shè)備部署困難的問題。2.3視頻專網(wǎng)安全準(zhǔn)入系統(tǒng)建設(shè)方式2.3.1準(zhǔn)入終端特征識別,禁止非法終端入網(wǎng)通過建立合法資產(chǎn)庫,對合法終端進(jìn)行特征識別,禁止非資產(chǎn)庫終端接入網(wǎng)絡(luò),確保接入終端合法。2.3.2業(yè)務(wù)特征深度識別,實時處置非法業(yè)務(wù)通過建立視頻專網(wǎng)安全準(zhǔn)入系統(tǒng)內(nèi)置視頻協(xié)議白名單,深度識別符合GB28181、Onvif、GB35114-2017以及GA/T1400等標(biāo)準(zhǔn)的視頻業(yè)務(wù),只允許視頻業(yè)務(wù)通過設(shè)備,實時阻斷非法業(yè)務(wù)流量并告警,在終端合法準(zhǔn)入的基礎(chǔ)上,進(jìn)一步實現(xiàn)對視頻專網(wǎng)的深層次防護(hù)。2.3.3業(yè)務(wù)流量全面審計,不法行為無處遁形通過安全監(jiān)管平臺實時展示和記錄非法訪問行為和正常業(yè)務(wù),通過非法流量告警日志實現(xiàn)前端風(fēng)險實時精準(zhǔn)定位,通過大屏快速呈現(xiàn)在什么地點、什么時間發(fā)生了什么行為,讓網(wǎng)絡(luò)風(fēng)險降到最低。通過合法業(yè)務(wù)的記錄,可以回溯三個月內(nèi)正常訪問業(yè)務(wù)系統(tǒng)的所有行為。2.3.4網(wǎng)絡(luò)資產(chǎn)精準(zhǔn)識別,終端信息多維呈現(xiàn)通過主動掃描、被動監(jiān)聽和手動設(shè)置等手段采集視頻專網(wǎng)中的攝像頭、PC、NVR等接入設(shè)備的資產(chǎn)信息,包括設(shè)備IP、設(shè)備類型、在線狀態(tài)、接入鏈路狀態(tài)、廠家、地理位置等,并進(jìn)行分類統(tǒng)計,建立統(tǒng)一的資產(chǎn)庫,解決多安防廠家并存的情況下接入資產(chǎn)難以統(tǒng)一監(jiān)管的問題。2.3.5監(jiān)管平臺級聯(lián)部署,全網(wǎng)信息集中展示通過建立視頻準(zhǔn)入監(jiān)管平臺支持三級級聯(lián)部署,下級平臺實時向上級平臺匯總資產(chǎn)、告警以及網(wǎng)絡(luò)質(zhì)量等相關(guān)信息,多種信息在上級平臺進(jìn)行匯總,分類、排序等處理,通過可視化頁面呈現(xiàn)全網(wǎng)資產(chǎn)狀態(tài)、安全態(tài)勢等信息,并且上級平臺針對未及時處理的安全事件,可通過監(jiān)管平臺通知下級進(jìn)行處理,確保業(yè)務(wù)穩(wěn)定、安全運行。3視頻專網(wǎng)安全準(zhǔn)入整體規(guī)劃建設(shè)公安視頻傳輸專網(wǎng)安全防護(hù)體系,在前端接入網(wǎng)絡(luò)側(cè),需構(gòu)建視頻監(jiān)控前端準(zhǔn)入控制系統(tǒng),完成對視頻前端接入設(shè)備的認(rèn)證和接入數(shù)據(jù)的管控。在平臺側(cè),建成視頻監(jiān)控數(shù)據(jù)中心基礎(chǔ)安全防護(hù)系統(tǒng),完成應(yīng)用防火墻、入侵防御等安全防護(hù)設(shè)施的部署;在數(shù)據(jù)中心區(qū)域,建成視頻監(jiān)控安全監(jiān)管平臺;實時精確掌握視頻傳輸專網(wǎng)運行安全狀態(tài)。建設(shè)公安視頻傳輸專網(wǎng)前端準(zhǔn)入控制系統(tǒng)以“接入設(shè)備可信、接入數(shù)據(jù)可控”為原則,采用專業(yè)物聯(lián)網(wǎng)準(zhǔn)入控制設(shè)備,通過主動掃描、被動監(jiān)聽和手工設(shè)置等手段,建立前端接入數(shù)據(jù)協(xié)議白名單準(zhǔn)入機制,實現(xiàn)對網(wǎng)絡(luò)中非法惡意行為的識別、告警和實時阻斷,避免非法訪問、入侵攻擊等非法數(shù)據(jù)接入公安視頻傳輸專網(wǎng)。3.1資產(chǎn)管理視頻監(jiān)控網(wǎng)資產(chǎn)數(shù)量多,分布廣泛,視頻網(wǎng)建設(shè)方式多樣化,導(dǎo)致用戶對現(xiàn)網(wǎng)資產(chǎn)的具體情況無法準(zhǔn)確把握,通過建立視頻專網(wǎng)安全準(zhǔn)入系統(tǒng),需支持豐富的資產(chǎn)管理功能,幫助用戶發(fā)現(xiàn)識別視頻專網(wǎng)資產(chǎn)詳細(xì)情況、IP地址利用情況以及支持和公安“一機一檔”系統(tǒng)進(jìn)行對接。3.1.1資產(chǎn)掃描和管理視頻專網(wǎng)安全準(zhǔn)入系統(tǒng),應(yīng)具備識別主流但不限于??怠⒋笕A、宇視、天地偉業(yè)等安防廠商的設(shè)備,通過主動掃描、被動監(jiān)聽和手動設(shè)置等手段采集視頻專網(wǎng)中的攝像頭、PC、NVR等接入設(shè)備的資產(chǎn)信息,包括設(shè)備IP、設(shè)備類型、在線狀態(tài)、接入鏈路狀態(tài)、廠家、地理位置等,并進(jìn)行分類統(tǒng)計,建立統(tǒng)一的資產(chǎn)庫,解決多安防廠家并存的情況下接入資產(chǎn)難以統(tǒng)一監(jiān)管的問題。視頻專網(wǎng)安全準(zhǔn)入系統(tǒng)將掃描的設(shè)備經(jīng)過確認(rèn)建立合法資產(chǎn)庫,生成準(zhǔn)入白名單,資產(chǎn)庫還實時顯示資產(chǎn)的鏈路質(zhì)量,實時發(fā)現(xiàn)終端是否穩(wěn)定,避免出現(xiàn)視頻卡頓、丟失等情況。3.1.2IP地址管理視頻專網(wǎng)安全準(zhǔn)入系統(tǒng),應(yīng)支持以圖表的方式展現(xiàn)IP資源的實際使用情況,包含已使用、未使用IP地址以及每個IP地址的終端類型,協(xié)助管理員對視頻專網(wǎng)IP資源使用進(jìn)行整體規(guī)劃,快速完成IP資源分配、回收登記管理。IP信息展示方式分兩個維度,支持基于組織架構(gòu)查詢,也支持基于IP網(wǎng)段查詢。3.1.3“一機一檔”對接視頻專網(wǎng)安全準(zhǔn)入系統(tǒng),應(yīng)包含視頻資源“一機一檔”作為公共安全視頻網(wǎng)網(wǎng)絡(luò)準(zhǔn)入及安全管理系統(tǒng)子模塊,為視頻監(jiān)控日常管理、宏觀規(guī)劃和實戰(zhàn)應(yīng)用提供快速、準(zhǔn)確、翔實的技術(shù)數(shù)據(jù)。視頻專網(wǎng)安全準(zhǔn)入系統(tǒng)資產(chǎn)管理功能應(yīng)支持將掃描獲取的信息按照公安部“一機一檔”格式進(jìn)行導(dǎo)出并支持和公安“一機一檔”系統(tǒng)進(jìn)行對接,充分滿足公安視頻圖像信息管理的應(yīng)用要求。3.2終端安全準(zhǔn)入視頻專網(wǎng)安全準(zhǔn)入系統(tǒng),應(yīng)具備通過身份認(rèn)證功能區(qū)分合法終端,有效防御私接對網(wǎng)絡(luò)造成的危害。物聯(lián)網(wǎng)中絕大部分終端是啞終端,不適合通過認(rèn)證客戶端或者Portal方式進(jìn)行認(rèn)證,針對物聯(lián)網(wǎng)的特點,視頻專網(wǎng)安全準(zhǔn)入系統(tǒng)主要有以下幾種準(zhǔn)入機制。3.2.1基于終端特征準(zhǔn)入機制視頻專網(wǎng)安全準(zhǔn)入系統(tǒng)應(yīng)具備采集前端設(shè)備的IP、MAC、系統(tǒng)信息、類型等信息生成唯一指紋的功能,對視頻監(jiān)控設(shè)備的接入進(jìn)行指紋識別,如果終端指紋和設(shè)備指紋庫信息一致,前端終端允許接入視頻專網(wǎng),對指紋信息錯誤的終端實時阻斷并告警。(如圖一所示)圖1終端特征準(zhǔn)入機制3.2.2基于GB28181標(biāo)準(zhǔn)的準(zhǔn)入機制GB28181作為公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求,公安視頻傳輸網(wǎng)的設(shè)備應(yīng)該遵循此標(biāo)準(zhǔn)進(jìn)行信息傳輸、交換,但現(xiàn)在公安視頻傳輸網(wǎng)業(yè)務(wù)大量使用私有協(xié)議承載,導(dǎo)致“一機一檔”信息采集困難,運維管理不統(tǒng)一,視頻專網(wǎng)安全準(zhǔn)入系統(tǒng)應(yīng)支持識別IPC是否采用GB28181標(biāo)準(zhǔn)接入,對不符合國標(biāo)的終端可進(jìn)行告警和阻斷。3.2.3基于GB35114-2017標(biāo)準(zhǔn)的準(zhǔn)入機制GB35114-2017作為視頻監(jiān)控聯(lián)網(wǎng)視頻信息以及控制信息安全保障的要求,要與準(zhǔn)入控制機制相結(jié)合,在強制要求按照GB35114-2017標(biāo)準(zhǔn)建設(shè)的視頻專網(wǎng)中,視頻專網(wǎng)安全準(zhǔn)入系統(tǒng)應(yīng)通過對注冊報文、控制報文以及視頻流報文進(jìn)行深度識別,對不符合GB35114標(biāo)準(zhǔn)的終端進(jìn)行實時阻斷并告警。3.3協(xié)議白名單過濾視頻專網(wǎng)安全準(zhǔn)入系統(tǒng)應(yīng)具備基于接入數(shù)據(jù)協(xié)議特征建立業(yè)務(wù)白名單功能。需內(nèi)置主流安防廠家的視頻等接入業(yè)務(wù)的協(xié)議特征庫,并支持特征庫手動擴(kuò)展功能,默認(rèn)關(guān)閉非業(yè)務(wù)端口,對于業(yè)務(wù)端口基于協(xié)議特征庫白名單進(jìn)行數(shù)據(jù)管控。須只允許授權(quán)的終端接入視頻專網(wǎng)。當(dāng)數(shù)據(jù)接入視頻專網(wǎng)時,對數(shù)據(jù)進(jìn)行逐包協(xié)議特征解析,并與協(xié)議特征白名單進(jìn)行匹配,如果白名單匹配成功,則將數(shù)據(jù)放行,如果匹配失敗則將數(shù)據(jù)實時阻斷,并進(jìn)行實時告警。(如圖二所示)圖2白名單過濾原理3.4建設(shè)視頻數(shù)據(jù)中心基礎(chǔ)安全防護(hù)系統(tǒng)視頻專網(wǎng)數(shù)據(jù)中心安全防護(hù)是保護(hù)數(shù)據(jù)中心核心軟硬件運行安全的系統(tǒng)。為運行在視頻傳輸專網(wǎng)數(shù)據(jù)中心的各類監(jiān)控系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫服務(wù)器等核心業(yè)務(wù)系統(tǒng)提供安全防護(hù)措施,使數(shù)據(jù)中心具備訪問控制、攻擊防護(hù)和病毒過濾等安全能力。需在核心業(yè)務(wù)前端通過部署防火墻、入侵防御、防病毒、漏洞風(fēng)險檢測等安全防護(hù)設(shè)備,將公安視頻傳輸專網(wǎng)數(shù)據(jù)中心區(qū)域與其他區(qū)域進(jìn)行安全隔離,實現(xiàn)數(shù)據(jù)中心與其他區(qū)域之間的安全連接和訪問控制。3.4.1防火墻通過部署防火墻設(shè)備,實現(xiàn)對不同區(qū)域的安全劃分,在不同的安全域之間形成網(wǎng)絡(luò)邊界,通過邊界保護(hù)策略,有效規(guī)避大部分網(wǎng)絡(luò)層安全威脅,降低系統(tǒng)層安全威脅對視頻專網(wǎng)數(shù)據(jù)中心的影響。利用邊界防護(hù)手段,嚴(yán)格規(guī)范業(yè)務(wù)系統(tǒng)的數(shù)據(jù)傳輸及應(yīng)用,防范不同網(wǎng)絡(luò)區(qū)域之間的非法訪問和攻擊,從而確保數(shù)據(jù)中心各個區(qū)域的有序訪問。3.4.2

IPS入侵防御&防病毒通過部署入侵防御&防病毒模塊,對各種蠕蟲、木馬、病毒、SQL注入、網(wǎng)頁篡改、惡意代碼、網(wǎng)絡(luò)釣魚、間諜軟件等攻擊提供有效的安全防護(hù)。在遭到0day攻擊時,可通過還原攻擊特征及內(nèi)容,有效準(zhǔn)確地檢測出各種應(yīng)用上的攻擊,判斷對方的惡意,準(zhǔn)確地將漏洞行為特征分析出來,通過內(nèi)置的協(xié)議防護(hù)策略,結(jié)合系統(tǒng)內(nèi)部集成的協(xié)議正規(guī)化規(guī)則,對不符合協(xié)議規(guī)則的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾防護(hù)。3.4.3漏洞風(fēng)險檢測通過部署漏洞風(fēng)險檢測設(shè)備,對資產(chǎn)進(jìn)行指紋提取及分析,可快速發(fā)現(xiàn)現(xiàn)網(wǎng)存活設(shè)備,對其進(jìn)行精細(xì)化的資產(chǎn)信息展示。識別各類系統(tǒng)漏洞、中間件漏洞、數(shù)據(jù)庫漏洞、云平臺漏洞、WEB漏洞、行業(yè)漏洞。模擬人工滲透方式對漏洞進(jìn)行驗證,自動判斷漏洞的真實性。對私接互聯(lián)網(wǎng)、私接路由、一機兩用、隨身WiFi等行為主動監(jiān)測,預(yù)防出現(xiàn)跨網(wǎng)信息交互事件。3.5建設(shè)公安視頻監(jiān)控安全監(jiān)管平臺應(yīng)建設(shè)公安視頻監(jiān)控安全監(jiān)管平臺(簡稱:視監(jiān)安管平臺),此平臺是對視頻傳輸專網(wǎng)安全設(shè)備以及攝像機資產(chǎn)統(tǒng)一監(jiān)測的可視化管理平臺,通過該平臺建設(shè),能夠?qū)崟r精確掌握視頻傳輸專網(wǎng)運行安全狀態(tài)。安全監(jiān)管平臺應(yīng)支持大屏顯示

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論