视频监控网络整体安全解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
视频监控网络整体安全解决方案
深信服科技股份有限公司
2018年6月
目录
第1章项目背景 (3)
第2章视频监控网络安全现状描述 (3)
第3章视频监控网络安全需求 (5)
3.1 访问控制要求 (5)
3.2 入侵防范 (6)
3.3 病毒防护 (6)
3.4 补丁管理 (7)
3.5 脆弱性检测 (7)
3.6 安全审计 (7)
3.7 边界接入安全 (8)
3.8 终端安全管理 (8)
3.9 全网安全风险感知 (9)
第4章整体安全解决方案 (9)
4.1 安全体系架构 (9)
4.2 设计原则 (10)
4.2.1 合规性设计原则 (10)
4.2.2 安全技术体系设计 (12)
4.3 整体安全方案拓扑 (14)
4.3.1 视频监控网络与边界安全方案设计(横向) (16)
4.3.2 视频监控网络边界安全方案设计(纵向) (20)
4.3.3 系统应用区安全方案设计 (30)
第5章方案价值 (34)
5.1 部署简单 (34)
5.2 使用方便 (34)
5.3 贴近用户 (34)
5.4 功能强大 (34)
第6章设备清单 (35)
第1章项目背景
近年来,随着“平安城市”、“数字城市”、“智慧城市”等城市信息化概念的提出,国家、政府大力推进了视频监控系统的建设,逐渐形成了覆盖整个城市和各地区的视频监控网络,实现数字化监测与信息共享、治安重点区域实时监控,全面提升对突发案件、群体性事件和重大保卫活动的监控力度和响应能力。可在第一时间掌握重要视频监控区域的异常情况,达到实时监控管理、主动报警、威慑诸如犯罪及为事后取证提供依据等监控目的。视频监控网络设备的种类与数量不断上升,在治安、交通、智能楼宇等领域发挥日益重要的作用, 大数据分析、警用地理、车辆识别等核心应用正在向视频监控网络迁移,视频监控网络事实上已成为一张承载海量终端与海量数据的物联网。
视频监控网络设备数量巨大、物理部署范围广泛,且前端设备大都部署在道路、街区或其它隐蔽场所等极易被黑客利用,进而侵入到整个网络,导致核心业务系统无法正常运行、大量保密信息被窃取,因此建立完善的设备安全准入和设备监管机制成为了安全体系建设的重要课题。
第2章视频监控网络安全现状描述
视频摄像头作为视频监控网络重要组成部分,基数大且部署分散,品牌多样,目前无技术工具自动统计。另外对于大型机构一
般采取分布式管理,权限分散,无集中式管理平台,且无法贯彻落实视频网络建设要求;
视频监控设备部署地点大都暴露在道路、街区等公共场所,极易被恶意侵入,进而侵入到整个网络,导致核心业务系统无法正常运行、大量保密信息被窃取。
视频摄像头、交换机、路由器、防火墙、视频网业务服务器、运维终端等是视频监控网络全部组成部分,无技术手段鉴别是否存在非视频监控网终端的接入,无法规避由此引发的安全事件;视频监控网络对流量稳定性要求极高,但是不排除因为终端问题导致的异常访问流量发生,影响视频监控网络的稳定运行。另外大型机构视频监控网络数据网络结构复杂且庞大,不同区域互联方式不同,有直连、专线、VPN等,当出现安全事件时,目前采用命令行逐级排查,耗时耗力,缺乏快速定位手段;
视频监控网络边界接入环境复杂,边界接入平台多种多样,边界接入设备缺乏有效的认证与监管;网络中可能存在互联网通路,大大扩展了视频监控网络的网络边界,且其安全性较差,容易遭到破解,是对网络边界完整性的重大破坏。
视频监控网络中的监控PC终端大都为windows系统,缺乏有效的防病毒和补丁管理措施、usb外设管理措施,病毒和恶意代码可通过usb接口对监控终端进行感染,由于监控终端之间没有隔离措施,病毒会在整个监控网络中肆意传播。
通过非法接入的笔记本可对监控平台(windows)进行漏洞扫
描,由于缺乏补丁管理和安全加固措施,可利用漏洞(例如:弱密码、溢出)获取服务器权限并进行控制,进而非法获取视频信息。通过远程控制删除录像信息,修改配置,使摄像头无法正常工作,进而在监控区域内进行非法活动。
随着WEB技术的发展,应用系统的上线、开发和变更越来越频繁,应用系统的本身安全脆弱性。
第3章视频监控网络安全需求
结合视频监控网络安全现状,规划视频监控网络、内部网络信息安全保障体系,应涵盖了应用平台计算环境安全、区域边界安全、通信网络安全、安全管理等方面,保障视频监控网络的安全性、保密性、可用性,具体网络安全需求如下:
3.1访问控制要求
视频监控网络网络边界、内部网络中应采取有效的访问控制措施,防止非法访问,黑客攻击的发生,特别在前置摄像头与核心汇聚交换设备之间防护来自前置摄像头的安全威胁,如采用防火墙技术进行安全防护,各安全边界接入必须能够进行细粒度的访问控制能力,严格控制访问者的权限包括:
源、目的IP控制,能够进行源、目的IP的访问控制
●服务端口控制。对访问视频管理服务器的端口进行控制,其它视频端口默认关闭,动态开放
●访问时间控制。能够控制客户端访问视频资源的时间
●访问行为权限管理。能够根据用户名/用户组、IP/IP段进行视频资源的访问控制,包括:摄像头访问范围、云台控制、历史视频录像查询、历史视频录像播放、日志查询、视频数据库修改等进行权限控制
●单向访问控制。关闭双向视频通讯。
3.2入侵防范
应对视频监控网络中网络攻击行为进行实时的检测和分析,及时的发现异常行为,降低安全事件的发生率。如采用入侵防御系统进行安全检测和防护。
3.3病毒防护
病毒、木马一致是威胁网络安全的头号杀手,在视频监控网络中存在大量的终端、服务器,一旦感染恶意病毒、木马,将严重影响视频监控资源系统的稳定运行。应对视频监控网络终端、服务器,采用防病毒安全措施,防止恶意病毒、木马的传播。
同时,为了保证内网视频监控终端在接收视频数据时不被木马、病毒感染,视频监控浏览软件无论采用浏览器方式还是客户端软件方式,都应具备以下防护手段: