公安视频专网网络准入控制系统的技术探析
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.2 内部防泄密需求 在视频专网中,占比不高但运行在网络上的各种运 维终端(主要是 PC 机)是直接关联日常业务运维的重 要机器。由于能够访问到关键的视频数据,因此运维终 端往往成为内部泄密事件的重要源头。 非法访问 :非法用户可以通过网络监听、暴力破解 或社会工程等手段获取合法用户登录信息从而进入系统 进行有限范围内的数据访问操作,或进而直接探测视频 专网服务器,并利用系统漏洞提升自己的访问权限以达 到完全控制系统的目的 ;普通合法用户也可以利用这种 方式通过运维终端实现对视频专网服务器的越权访问, 这样所导致的直接后果就是系统文件和涉密视频文件数
根据国家《公共安全视频监控资源接入、共享及管 理技术要求 ( 征求意见稿 )》,按照标准、规范的要求加 强 视 频 专 网 网 络 安 全 防 护 建 设, 本 论 文 主 要 讨 论 关 于 “前端接入防护区”的相关安全防护与管理设计,实现对 公安视频专网中包括视频图像监控设备、终端计算机、 网络设备、服务器各类设备的统一身份鉴别、注册管理、 身份鉴别、风险管控、安全审计以及对伪冒终端发现后 的预警阻断和安全管控等方面的安全建设,强化公安视 频专网设备的发现、接入、安全保障、入侵预警等,形 成一套体系化的安全解决方案。
文章编号:1007-9416(2023)07-0040-03
公安视频专网网络准入控制系统的技术探析
傅鹏程 1,2,3 宣林川 1,2,3 周宇林 1,2,3 1. 安徽科力信息产业有限责任公司 ; 2. 城市交通管理集成与优化技术公安部重点实验室 ;3. 安徽省智能交通重点实验室
2023 年第 7 期
网络联动模块 策略配置模块
外设控制模块 网络驱动模块
策略配置模块 视频前端模块
认证服务模块 设备指纹模块 风险隔离模块
审计服务模块 策略配置模块
视频协议模块 大数据分析模块
数据存储模块
可视化模块
数据 控制 接口 接口
数据
调度 通告
接口
接口 接口
图 1 总体技术架构图
Fig.1 Overall technical architecture diagram
证机制,确保合法身份的设备或人员才能够进入或访问 用,定期进行安全加固等各种安全措施。运维终端区安
41 Copyright©博看网. All Rights Reserved.
第 41 卷
数字技术与应用
全设计主要包括 : (1)外设控制模块 :利用 Windows 外设驱动的接
公安视频专网系统及相关视频信息资源,是国家公 共安全的重要组成部分,已成为国家重要的关键信息基 础设施,但由于视频监控网络系统在前期建设中缺乏总 体安全规划,安全投入不足,随着视频专网网络应用的 不断扩大,各系统设备逐步增加,前端接入和视频监控 平台自身的安全和视频监控数据安全和视频监控敏感信 息泄露等风险凸显。当前,由于接入摄像头分布广且数 量大,因此视频专网往往面临着网络边界无人监管、摄 像头缺乏安全防护和监测手段、运维人员有意 / 无意操作 导致关键数据泄密等问题。因此,如何在视频专网中针 对海量摄像头的接入建设一套全方位终端访问控制系统, 成为了公安视频专网建设在网络安全方面的重要工作。 1 需求分析
口,对各种外设包括 USB 接口、串口、蓝牙、无线等进 行管控,对 USB 的使用进行细粒度的控制和审计 ;
(2)网络驱动模块 :深入网络驱动层,对视频传输 网中的一机两用现象进行监测和控制。一旦发现有非网 内地址通信,第一时间进行告警和阻断 ;
(3)策略配置模块 :运维终端安全监控的统一管理 入口,负责对各种安全要求的实现和统一派发,同时实 时监视策略的触发状态,以便及时进行响应。
网络接入位置众多,前端摄像机只需要设置一个 IP 地址就可以直接连接到视频监控网中——同样的,任何 一台 PC 只需要设置一个内网 IP 地址即可访问视频专网 中的其他各种资源,进一步地,可以扫描网内的所有设 备实现网络的入侵和非法数据的访问。
在视频专网中,网络往往被分布在多个地理位置的 视频前端,任何一个视频前端节点的网络接口都有可能 成为边界的入口,因此传统防火墙或网闸的单点防护方 式无法有效抵御来自数万个网络接入位置的入侵风险, 因此需要通过更大范围的网络准入控制产品来对视频前 端的网络接入边界进行访问控制,县 / 乡 / 镇各级视频 前端设备必须通过网络准入控制系统后进入视频传输网, 只允许授信终端接入,并对专网内非视频流量进行监测, 防止恶意流量进入,保证网络前端边界安全可控,做到 设备入网可知、入网可信、边界可控。
2.1 技术架构
保入网设备可信,访问人员可信 ;
鉴于视频专网的网络结构特性,按照安全技术实施
(4)设备指纹模块 :综合利用多种静态特征,包括
对应的区域分为侧重视频专网网络边界控制的网络接入 IP、MAC、开放端口、远程探测返回值、特殊协议返回
区、侧重运维终端管理的运维终端区、侧重视频专网大 数据分析监测的安全监管区(如图 1 所示)。
无意的行为,如 U 盘拷贝、一机两用等,往往造成这些 而做出相关的响应 ;
重要视频文件被传播至外部机器,甚至直接散播到互联 网上,给公安行业造成极大的不良影响 [2]。
(2)策略配置模块 :主要是配置各种接入安全的规 范化策略,例如针对摄像头的防伪冒策略,针对运维终
鉴于以上问题,需要针对运维终端进行网络接入控 端必须安装杀毒软件,必须打关键补丁策略等。违反策
第 41 卷 第 7 期 2023 年 7 月
数字技术与应用 Digital Technology &Application
Vol.41 No.7 Jul 2023
中图分类号:TP3
文献标识码:A
DOI:10.19695/12-1369.2023.07.13
3 结语 本次研究通过搭建全网统一的网络准入控制平台,
做到统一安全策略配置、安全风险隔离、安全审计、安 全大数据分析、可视化和综合指挥调度等一系列功能, 最终实现“资产理得清、资源管得住、风险看得见、责 任查得出”的建设目的,保障视频专网稳定运行。
引用 [1] 公安部科技信息化局.公共安全视频监控资源接入、共享及 管理技术要求[S].2018. [2] GB35114-2017.公共安全视频监控联网信息安全技术要求[S]. [3] 张超,孙皓,鹿文杨,等.基于MAC认证的终端网络准入控制系 统方案[J].通信技术,2021(9):2208-2213. [4] GB/T 22239.信息安全技术信息系统安全等级保护基本要求[S]. [5] 韩磊,李洋,任新.网络准入控制中的内网安全防护方案探讨 [J].信息系统工程,2022,(10):88-91. [6] 石友晨,王胤权,李洋,等.基于准入控制技术的企业网络安全 的优化研究[J].中国管理信息化,2021,(16):70-71.
2.4.3 视频业务运行监测 系统能够自动发现视频专网内的各种服务器资源及 相关的业务种类,并自动生成业务运行画像,一旦发现 偏离安全基线的异常行为立即告警。 2.4.4 恶意流量及行为监控 系统可以对网络中设备的流量情况进行监控。包括 : 源端口、目的端口、源 IP 地址、目的 IP 地址、流量数 值,可以实时的进行网络流量的分析,观察是否有异常 流量的产生。还可以指定阈值,当出现网络流量端口、 源目的地址违规时,系统可以自动进行报警,防止网络 摄机、NVR 等设备被非法控制。 2.4.5 统一策略平台 统一策略平台通过使用集中管理模块,将所有的安 全信息进行采集,智能分析、形成报表、提供趋势性的 安全防护建议。包括基础平台子模块、状态监控子模块、 安全状态分析子模块等 [6]。 2.4.6 多级协同的安全管理 通过视频专网各个层面的人员提供了统一的安全窗 口,不仅使得包括管理人员、技术人员、业务人员在内 的各级人员通过这个窗口能够寻找到自己所关心的信息, 更能够利用这个平台明确不同层次人员在安全管理工作 中所处的位置和肩负的职责,从而形成一套自上而下、 分工明确、责任清晰、协同工作的安全管理模式,并全 面提高视频传输专网对于风险响应的能力。
据的泄露和破坏 [1]。
网络资源。网络接入区安全设计主要包括 :
数据外发 :运维终端由于可以直接调用或回访视频
(1)网络联动模块 :主要是针对视频传输网络中的
数据,因此容易在本地留存相关视频文件,这些文件往 交 换 设 备 进 行 联 动, 包 括 利 用 SNMP、Telnet、SSH、
往都是敏感或涉密的业务数据。而由于内部用户有意或 Trunk、Mirror 等多种方式采集网络中的接入信息,继
收稿日期 :2023-03-13 作者简介 :傅鹏程(1987—),男,安徽六安人,本科,工程师,研究方向 :交通机电与信息化。
40 Copyright©博看网. All Rights Reserved.
傅鹏程 宣林川 周宇林:公安视频专网网络准入控制系统的技术探析
网络接入区
运维终端区
安全监管区
侵防范】、【访问控制】相关条款。本区域安全设计将主 计】以及设备与计算安全部分的【入侵防范】相关条款。
要负责视频专网所有视频前端及运维终端接入边界处的
本区域安全设计将主要负责片区所辖单位的所有管
逻辑接入控制。当任何终端(包括摄像头或 PC 机)插 理终端的安全规范化及安全审计工作。需要确保运维终
上网线试图进入网络时,均会触发网络接入区的身份认 端不私接外来 U 盘,不外传视频文件,不发生一机两
值等多种手段综合生成设备的唯一性指纹,防止摄像头 被伪冒接入 [3]。
2.2 网络接入区
2.3 运维终端区
网络接入区的安全设计需要符合等级保护安全通用
运维终端区的安全设计需要符合等级保护安全通用要
要求(三级)网络与通信安全部分的【边界防护】、【入 求(三级)网络与通信安全部分的【身份鉴别】、【安全审
制、终端本身安全规范化检查、U 盘管控、一机两用监 略的行为将触发相关的安全响应动作 ;
测等,通过全面的实时监测,确保运维终端“规范入网、
(3)认证服务模块 :针对各类设备,调用设备指纹
有序用网、数据不出网、数据访问有据可查”。
模块进行可信认证 ;针对运维终端的使用人员,利用邮
2 技术路线
箱、账号口令、短信等多种方式进行身份验证。最终确
根据《公共安全视频监控联网信息安全技术要求》 (GB35114-2017),视频专网网络准入控制系统需要解决 如下几个方面的问题。
1.1 边界入侵防护需求 视频专网网络规模庞大,覆盖市、县、乡、镇多级架 构,所覆盖的网络摄像机(IP糊,安全管理资源缺乏,因此极易发生非 法接入导致的入侵事件,危害视频监控业务的正常运行。
2.4 安全监管区 安全监管区的安全设计需要符合等级保护物联网安 全扩展要求(三级)网络与通信安全部分的【数据源认 证】、【异构网安全接入】,以及设备与计算安全部分的 【终端感知节点设备的设备安全】、【感知网关节点设备的 设备安全】[4],以及管理要求部分的【感知节点设备监 控管理和安全管理中心】相关条款。根据等级保护中提 出的“进行集中的安全管理”和“系统运维管理”要求, 视频专网安全监管区将设计以下主要功能点。
2.4.1 视频前端漏洞发现 系统可以实时对网络中的 NVR/IPC 设备进行安全 状态扫描 [5],包括扫描 NVR/IPC 的弱口令、高危端口、 系统漏洞、非法对外服务等。 与普通的漏洞扫描器不同的是,系统的实时安全状 态发现功能是一个全自动的过程。首先,当 NVR/IPC 接入网络时,系统可以迅速发现并启动扫描,而不需管 理员手工进行扫描任务的派发 ;其次,当 NVR/IPC 发 生变更时,系统将第一时间进行新一轮的扫描,防止配 置变更带来新的安全问题 ;最后,当系统更新了安全扫 描库时,也将会自动的进行 NVR/IPC 的安全状态扫描, 立刻汇报是否有新增安全问题。 2.4.2 视频前端 APT 感知 系统能够利用大数据和机器学习技术生成视频前端 设备的行为画像。 在 APT 攻击中,失陷终端往往会发出各种异常行 为,例如未知的 DNS 请求,外部 IP 地址请求等,系统 将能够通过学习网内正常 DNS 和 IP 地址聚类进行异常 检测。通过分析网内的正常视频协议,生成协议基线画 像,系统能够对视频专网内的异常流量进行感知,从而 迅速定位潜在的入侵风险。
根据国家《公共安全视频监控资源接入、共享及管 理技术要求 ( 征求意见稿 )》,按照标准、规范的要求加 强 视 频 专 网 网 络 安 全 防 护 建 设, 本 论 文 主 要 讨 论 关 于 “前端接入防护区”的相关安全防护与管理设计,实现对 公安视频专网中包括视频图像监控设备、终端计算机、 网络设备、服务器各类设备的统一身份鉴别、注册管理、 身份鉴别、风险管控、安全审计以及对伪冒终端发现后 的预警阻断和安全管控等方面的安全建设,强化公安视 频专网设备的发现、接入、安全保障、入侵预警等,形 成一套体系化的安全解决方案。
文章编号:1007-9416(2023)07-0040-03
公安视频专网网络准入控制系统的技术探析
傅鹏程 1,2,3 宣林川 1,2,3 周宇林 1,2,3 1. 安徽科力信息产业有限责任公司 ; 2. 城市交通管理集成与优化技术公安部重点实验室 ;3. 安徽省智能交通重点实验室
2023 年第 7 期
网络联动模块 策略配置模块
外设控制模块 网络驱动模块
策略配置模块 视频前端模块
认证服务模块 设备指纹模块 风险隔离模块
审计服务模块 策略配置模块
视频协议模块 大数据分析模块
数据存储模块
可视化模块
数据 控制 接口 接口
数据
调度 通告
接口
接口 接口
图 1 总体技术架构图
Fig.1 Overall technical architecture diagram
证机制,确保合法身份的设备或人员才能够进入或访问 用,定期进行安全加固等各种安全措施。运维终端区安
41 Copyright©博看网. All Rights Reserved.
第 41 卷
数字技术与应用
全设计主要包括 : (1)外设控制模块 :利用 Windows 外设驱动的接
公安视频专网系统及相关视频信息资源,是国家公 共安全的重要组成部分,已成为国家重要的关键信息基 础设施,但由于视频监控网络系统在前期建设中缺乏总 体安全规划,安全投入不足,随着视频专网网络应用的 不断扩大,各系统设备逐步增加,前端接入和视频监控 平台自身的安全和视频监控数据安全和视频监控敏感信 息泄露等风险凸显。当前,由于接入摄像头分布广且数 量大,因此视频专网往往面临着网络边界无人监管、摄 像头缺乏安全防护和监测手段、运维人员有意 / 无意操作 导致关键数据泄密等问题。因此,如何在视频专网中针 对海量摄像头的接入建设一套全方位终端访问控制系统, 成为了公安视频专网建设在网络安全方面的重要工作。 1 需求分析
口,对各种外设包括 USB 接口、串口、蓝牙、无线等进 行管控,对 USB 的使用进行细粒度的控制和审计 ;
(2)网络驱动模块 :深入网络驱动层,对视频传输 网中的一机两用现象进行监测和控制。一旦发现有非网 内地址通信,第一时间进行告警和阻断 ;
(3)策略配置模块 :运维终端安全监控的统一管理 入口,负责对各种安全要求的实现和统一派发,同时实 时监视策略的触发状态,以便及时进行响应。
网络接入位置众多,前端摄像机只需要设置一个 IP 地址就可以直接连接到视频监控网中——同样的,任何 一台 PC 只需要设置一个内网 IP 地址即可访问视频专网 中的其他各种资源,进一步地,可以扫描网内的所有设 备实现网络的入侵和非法数据的访问。
在视频专网中,网络往往被分布在多个地理位置的 视频前端,任何一个视频前端节点的网络接口都有可能 成为边界的入口,因此传统防火墙或网闸的单点防护方 式无法有效抵御来自数万个网络接入位置的入侵风险, 因此需要通过更大范围的网络准入控制产品来对视频前 端的网络接入边界进行访问控制,县 / 乡 / 镇各级视频 前端设备必须通过网络准入控制系统后进入视频传输网, 只允许授信终端接入,并对专网内非视频流量进行监测, 防止恶意流量进入,保证网络前端边界安全可控,做到 设备入网可知、入网可信、边界可控。
2.1 技术架构
保入网设备可信,访问人员可信 ;
鉴于视频专网的网络结构特性,按照安全技术实施
(4)设备指纹模块 :综合利用多种静态特征,包括
对应的区域分为侧重视频专网网络边界控制的网络接入 IP、MAC、开放端口、远程探测返回值、特殊协议返回
区、侧重运维终端管理的运维终端区、侧重视频专网大 数据分析监测的安全监管区(如图 1 所示)。
无意的行为,如 U 盘拷贝、一机两用等,往往造成这些 而做出相关的响应 ;
重要视频文件被传播至外部机器,甚至直接散播到互联 网上,给公安行业造成极大的不良影响 [2]。
(2)策略配置模块 :主要是配置各种接入安全的规 范化策略,例如针对摄像头的防伪冒策略,针对运维终
鉴于以上问题,需要针对运维终端进行网络接入控 端必须安装杀毒软件,必须打关键补丁策略等。违反策
第 41 卷 第 7 期 2023 年 7 月
数字技术与应用 Digital Technology &Application
Vol.41 No.7 Jul 2023
中图分类号:TP3
文献标识码:A
DOI:10.19695/12-1369.2023.07.13
3 结语 本次研究通过搭建全网统一的网络准入控制平台,
做到统一安全策略配置、安全风险隔离、安全审计、安 全大数据分析、可视化和综合指挥调度等一系列功能, 最终实现“资产理得清、资源管得住、风险看得见、责 任查得出”的建设目的,保障视频专网稳定运行。
引用 [1] 公安部科技信息化局.公共安全视频监控资源接入、共享及 管理技术要求[S].2018. [2] GB35114-2017.公共安全视频监控联网信息安全技术要求[S]. [3] 张超,孙皓,鹿文杨,等.基于MAC认证的终端网络准入控制系 统方案[J].通信技术,2021(9):2208-2213. [4] GB/T 22239.信息安全技术信息系统安全等级保护基本要求[S]. [5] 韩磊,李洋,任新.网络准入控制中的内网安全防护方案探讨 [J].信息系统工程,2022,(10):88-91. [6] 石友晨,王胤权,李洋,等.基于准入控制技术的企业网络安全 的优化研究[J].中国管理信息化,2021,(16):70-71.
2.4.3 视频业务运行监测 系统能够自动发现视频专网内的各种服务器资源及 相关的业务种类,并自动生成业务运行画像,一旦发现 偏离安全基线的异常行为立即告警。 2.4.4 恶意流量及行为监控 系统可以对网络中设备的流量情况进行监控。包括 : 源端口、目的端口、源 IP 地址、目的 IP 地址、流量数 值,可以实时的进行网络流量的分析,观察是否有异常 流量的产生。还可以指定阈值,当出现网络流量端口、 源目的地址违规时,系统可以自动进行报警,防止网络 摄机、NVR 等设备被非法控制。 2.4.5 统一策略平台 统一策略平台通过使用集中管理模块,将所有的安 全信息进行采集,智能分析、形成报表、提供趋势性的 安全防护建议。包括基础平台子模块、状态监控子模块、 安全状态分析子模块等 [6]。 2.4.6 多级协同的安全管理 通过视频专网各个层面的人员提供了统一的安全窗 口,不仅使得包括管理人员、技术人员、业务人员在内 的各级人员通过这个窗口能够寻找到自己所关心的信息, 更能够利用这个平台明确不同层次人员在安全管理工作 中所处的位置和肩负的职责,从而形成一套自上而下、 分工明确、责任清晰、协同工作的安全管理模式,并全 面提高视频传输专网对于风险响应的能力。
据的泄露和破坏 [1]。
网络资源。网络接入区安全设计主要包括 :
数据外发 :运维终端由于可以直接调用或回访视频
(1)网络联动模块 :主要是针对视频传输网络中的
数据,因此容易在本地留存相关视频文件,这些文件往 交 换 设 备 进 行 联 动, 包 括 利 用 SNMP、Telnet、SSH、
往都是敏感或涉密的业务数据。而由于内部用户有意或 Trunk、Mirror 等多种方式采集网络中的接入信息,继
收稿日期 :2023-03-13 作者简介 :傅鹏程(1987—),男,安徽六安人,本科,工程师,研究方向 :交通机电与信息化。
40 Copyright©博看网. All Rights Reserved.
傅鹏程 宣林川 周宇林:公安视频专网网络准入控制系统的技术探析
网络接入区
运维终端区
安全监管区
侵防范】、【访问控制】相关条款。本区域安全设计将主 计】以及设备与计算安全部分的【入侵防范】相关条款。
要负责视频专网所有视频前端及运维终端接入边界处的
本区域安全设计将主要负责片区所辖单位的所有管
逻辑接入控制。当任何终端(包括摄像头或 PC 机)插 理终端的安全规范化及安全审计工作。需要确保运维终
上网线试图进入网络时,均会触发网络接入区的身份认 端不私接外来 U 盘,不外传视频文件,不发生一机两
值等多种手段综合生成设备的唯一性指纹,防止摄像头 被伪冒接入 [3]。
2.2 网络接入区
2.3 运维终端区
网络接入区的安全设计需要符合等级保护安全通用
运维终端区的安全设计需要符合等级保护安全通用要
要求(三级)网络与通信安全部分的【边界防护】、【入 求(三级)网络与通信安全部分的【身份鉴别】、【安全审
制、终端本身安全规范化检查、U 盘管控、一机两用监 略的行为将触发相关的安全响应动作 ;
测等,通过全面的实时监测,确保运维终端“规范入网、
(3)认证服务模块 :针对各类设备,调用设备指纹
有序用网、数据不出网、数据访问有据可查”。
模块进行可信认证 ;针对运维终端的使用人员,利用邮
2 技术路线
箱、账号口令、短信等多种方式进行身份验证。最终确
根据《公共安全视频监控联网信息安全技术要求》 (GB35114-2017),视频专网网络准入控制系统需要解决 如下几个方面的问题。
1.1 边界入侵防护需求 视频专网网络规模庞大,覆盖市、县、乡、镇多级架 构,所覆盖的网络摄像机(IP糊,安全管理资源缺乏,因此极易发生非 法接入导致的入侵事件,危害视频监控业务的正常运行。
2.4 安全监管区 安全监管区的安全设计需要符合等级保护物联网安 全扩展要求(三级)网络与通信安全部分的【数据源认 证】、【异构网安全接入】,以及设备与计算安全部分的 【终端感知节点设备的设备安全】、【感知网关节点设备的 设备安全】[4],以及管理要求部分的【感知节点设备监 控管理和安全管理中心】相关条款。根据等级保护中提 出的“进行集中的安全管理”和“系统运维管理”要求, 视频专网安全监管区将设计以下主要功能点。
2.4.1 视频前端漏洞发现 系统可以实时对网络中的 NVR/IPC 设备进行安全 状态扫描 [5],包括扫描 NVR/IPC 的弱口令、高危端口、 系统漏洞、非法对外服务等。 与普通的漏洞扫描器不同的是,系统的实时安全状 态发现功能是一个全自动的过程。首先,当 NVR/IPC 接入网络时,系统可以迅速发现并启动扫描,而不需管 理员手工进行扫描任务的派发 ;其次,当 NVR/IPC 发 生变更时,系统将第一时间进行新一轮的扫描,防止配 置变更带来新的安全问题 ;最后,当系统更新了安全扫 描库时,也将会自动的进行 NVR/IPC 的安全状态扫描, 立刻汇报是否有新增安全问题。 2.4.2 视频前端 APT 感知 系统能够利用大数据和机器学习技术生成视频前端 设备的行为画像。 在 APT 攻击中,失陷终端往往会发出各种异常行 为,例如未知的 DNS 请求,外部 IP 地址请求等,系统 将能够通过学习网内正常 DNS 和 IP 地址聚类进行异常 检测。通过分析网内的正常视频协议,生成协议基线画 像,系统能够对视频专网内的异常流量进行感知,从而 迅速定位潜在的入侵风险。