针对公安视频专网安全的研究分析

引言

随着我国城市化进程的发展，视频监控系统作为维护社会公共安全的重要载体和工具，遍布城市各个角落和人民日常生活的各个领域，其功能和作用愈发显著。鹤岗市公安局以“雪亮工程”建设项目为契机，根据市局党委2020年度全局“七个一”工作清单战略部署，利用“视频专网”将新建视频资源整合，全力打造全局前端设备“一张网”的概念，即将“视频专网”作为全市视频资源的载体，将重点区域、重点场所、公交车、出租车、执法执勤车辆、执法记录仪（无线物联网卡视频回传）等符合要求的视频资源全部整合到“一张网”中，实现全局“一张网”掌控全市动态。

鹤岗市副市长、公安局党委书记、局长徐连斌提出的“三警战略”中“科技强警”以及“大数据赋能、信息化增效、科技化强警”的主导思想，奠定了2020年鹤岗市公安局信息化工作的主基调。将智能化、大数据思维，融入到鹤岗市公安局科技信息化建设当中来，开拓民警创新性思维模式，大力支持“发明创造”，开启“数字鹤岗”新时代。

鹤岗市公安局立足于“视频专网”的研发创新，于2020年5月13日成功申请由中华人民共和国国家版权局颁发的计算机软件著作权登记证书（3项）。计算机软件著作权登记证书的颁发，开创了鹤岗市公安局“国家著作权”的先河。同时凭借对视频专网应用的积累，将会有越来越多的想法和创新得到实践，越来越多的成果得以应用。对公安机关来讲，海量的视频图像信息已经成为打击犯罪、治安防控、维稳处突、社会管理的重要资源，

承载着视频资源的“视频专网”更是重中之重。综上所述，视频专网的安全问题更显得尤为重要。

1

现状和需求

近年来，公安视频专网的建设规模正在不断扩大，专网前端的IP接入设备（如IPC、RFID等）的种类与数量正在不断上升，这些前端设备被广泛应用于治安管理、交通疏导等领域，与国计民生息息相关；同时，如人脸对比、车辆识别、大数据分析等核心业务，也正向公安视频专网迁移，目前的公安视频专网事实上已经成为一张承载海量终端与海量数据的物联网。

公安视频专网的重要性正在不断提升，随之而来的安全问题也日益凸显，一旦出现黑客攻击、数据窃取等事件，将有可能造成治安管理失控、交通管制失效、敏感信息泄漏、LED屏幕倒流信息篡改等后果，严重危害社会稳定。

与此相对的是，由于点多面广，大部分公安视频专网无法部署有效的安全策略，前端设备与后端业务基本处于直连状态，大量无人值守的接入终端被黑客利用成为攻击源。攻击者可利用分散在社会各处的前端设备接入整个网络中，对核心业务系统展开攻击，甚至窃取保密信息。因此，如何解决来自于前端设备的安全风险、如何防护视频专网后台的安全、如何监测视频专网中的异常情况成为公安视频专网安全体系建设的突出问题。

本文就视频专网的安全问题进行研究分析，未来如何将前端视频资源整合到视频专网当中，后端平台应当如何建设才能避免非法数据危及整个视频专网，一旦发生非法入侵，如何才能保证视频专网的安全。在整合视频资源的同时，如何保证视频专网的安全性，是摆在广大公安民警面前的一项重要课题。

2

关于视频专网安全建设

2.1 视频专网安全准入系统建设意义

按照“严控边界、纵深防御、主动监测、全面审计”的思路，以前端准入控制系统、数据中心基础安全防护系统和公安视频监控安全监管平台建设为重点，构建视频传输专网安全防护技术体系，实现对视频传输专网的实时监测、网络异常情况的及时预警、违规入侵的及时处置、安全事件的及时溯源取证，全面提升视频监控系统安全防护能力，确保重要视频图像信息不失控、敏感视频图像信息不泄露。

2.2 视频专网安全准入系统应用价值

（1）对前端非法私接和仿冒进行防范，实现接入前端视频专网设备后，阻断网络入侵和非法数据的访问。

（2）通过视频专网安全准入系统，解决因视频专网特性导致前端设备部署规模庞大、网络分支较多、网络摄像头接入地理位置分散、人为监管困难的问题。

（3）解决目前视频资源访问无法追踪，造成信息安全管理失控问题。

（4）通过部署视频专网安全准入系统，解决因视频专网实时视频流的高吞吐、高转发性，导致传统安全设备部署困难的问题。

2.3 视频专网安全准入系统建设方式

2.3.1 准入终端特征识别，禁止非法终端入网

通过建立合法资产库，对合法终端进行特征识别，禁止非资产库终端接入网络，确保接入终端合法。

2.3.2 业务特征深度识别，实时处置非法业务

通过建立视频专网安全准入系统内置视频协议白名单，深度识别符合GB28181、Onvif、GB35114-2017以及GA/T1400等标准的视频业务，只允许视频业务通过设备，实时阻断非法业务流量并告警，在终端合法准入的基础上，进一步实现对视频专网的深层次防护。

2.3.3 业务流量全面审计，不法行为无处遁形

通过安全监管平台实时展示和记录非法访问行为和正常业务，通过非法流量告警日志实现前端风险实时精准定位，通过大屏快速呈现在什么地点、什么时间发生了什么行为，让网络风险降到最低。通过合法业务的记录，可以回溯三个月内正常访问业务系统的所有行为。

2.3.4 网络资产精准识别，终端信息多维呈现

通过主动扫描、被动监听和手动设置等手段采集视频专网中的摄像头、PC、NVR等接入设备的资产信息，包括设备IP、设备类型、在线状态、接入链路状态、厂家、地理位置等，并进行分类统计，建立统一的资产库，解决多安防厂家并存的情况下接入资产难以统一监管的问题。

2.3.5监管平台级联部署，全网信息集中展示

通过建立视频准入监管平台支持三级级联部署，下级平台实时向上级平台汇总资产、告警以及网络质量等相关信息，多种信息在上级平台进行汇总，分类、排序等处理，通过可视化页面呈现全网资产状态、安全态势等信息，并且上级平台针对未及时处理的安全事件，可通过监管平台通知下级进行处理，确保业务稳定、安全运行。

3

视频专网安全准入整体规划

建设公安视频传输专网安全防护体系，在前端接入网络侧，需构建视频监控前端准入控制系统，完成对视频前端接入设备的认证和接入数据的管控。在平台侧，建成视频监控数据中心基础安全防护系统，完成应用防火墙、入侵防御等安全防护设施的部署；在数据中心区域，建成视频监控安全监管平台；实时精确掌握视频传输专网运行安全状态。

建设公安视频传输专网前端准入控制系统以“接入设备可信、接入数据可控”为原则，采用专业物联网准入控制设备，通过主动扫描、被动监听和手工设置等手段，建立前端接入数据协议白名单准入机制，实现对网络中非法恶意行为的识别、告警和实时阻断，避免非法访问、入侵攻击等非法数据接入公安视频传输专网。

3.1 资产管理

视频监控网资产数量多，分布广泛，视频网建设方式多样化，导致用户对现网资产的具体情况无法准确把握，通过建立视频专网安全准入系统，