网络安全准入系统视频专网引擎产品解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、背景
随着平安城市、雪亮工程、天网工程等视频专网多年的建设,一张覆盖社会基本监控面的视频采集网络已经徐徐展开,以公安视频监控资源为基础、其它党政机关、社会监控资源为辅的公安视频专网是实现城市安全和稳定的重要保障,是“平安城市”建设的基础。在目前公安视频专网的建设过程中,各地基本完成海量前端设备部署,各级公安机关遵循“建为用,用为战”的原则,后续逐渐将工作重心由前期建设转向实战应用,同时也更加重视视频专网的安全建设和运维管理。
为规范公安视频传输网建设和管理工作,有效保障公安视频传输网运行效能和网络安全,公安部、发改委等提出了多项指导建议和指南,其中《关于加强公共安全视频监控建设联网应用工作的若干意见》,《关于加强公安视频监控安全管理工作的通知》,《公安视频传输网建设指南》等都为实现视频传输网络安全建设和管理提供了重要依据。为了公共安全,为了真正实现治安防控“全覆盖、无死角”的保障,视频专网的安全防护将是重中之重。
二、目前视频专网的安全形势
目前视频专网规模迅速扩大并广泛应用于公共安全建设,视频取证、
风险监测等领域,视频网络的安全问题也日益凸显,如:2016年,美国发生大规模断网事件,一共有超过百万台摄像头设备化身肉鸡参与了此次DDOS攻击;某监控产品摄像头存在远程执行漏洞,被提权后导致部分摄像头被境外控制,非法监测活动等问题。视频专网在建设过程中虽然采用网络逻辑隔离的方式(VLAN)等技术进行安全域的划分,但物理上仍然是同一张网络,视频专网IPC摄像头、监控终端工作站、视频NVR服务器、还有其他配套网络设备在同一张网络中,任何一个环节安全防护不到位,都有可能扩散到全网,影响整个网络的安全,目前主要面临有如下风险特性。
2.1、网络摄像头资产很难及时发现和全面统计
视频专网终端设备分布极为广泛,数量巨大,信息采集时间周期长,而且随着建设范围扩大,不断有新设备接入和端点的改造变化,基层数据维护管理不到位,发生资产信息不全、资产丢失等情况,无法建立完善的设备规范化管理机制,无法满足“一机一档”的管理要求。
2.2、视频设备缺乏有效监测
前端摄像头传输图像要求连续性极高,需要不间断运行,但又由于摄像头分布非常散,无人值守,很容易出现脱网或白屏隐患,造成视频数据不全,无法取证,无法实时监测和掌握设备的上下线,数据传输,接入等情况。
2.3、非法设备接入安全风险
视频专网主要以摄像头为主,而且无人值守,分布和接入点非常散,被仿冒接入和视频劫持的成本非常低,可以轻易进行网络入侵攻击和视频数据的非法访问,且事后很难进行追踪。
2.4、网络边界模糊的安全风险
虽然视频网络内采用逻辑隔离的方式(VLAN)等技术进行安全域的划分,但物理上仍然是同一张网络,非法人员可以使用各种网络设备插入视频专网中,如私接路由、非法外联等,网络的随意扩展造成了网络边界的不确定,也就非常容易引入安全威胁。
2.5、前端摄像头设备健康状态安全风险
前端摄像头设备如果使用了默认口令或弱口令,开放了风险端口,后门漏洞、传输不稳定等处于“亚健康”状态,网络摄像机很容易被控制,成为“睁眼瞎”,甚至设备化身肉鸡进行代理攻击,这对一些敏感区域的监控和网络都会造成严重影响。
2.6、管理工作站安全风险
视频专网中各主要节点位置都分布有若干管理电脑,主要提供视频图像的监控和调取等管理工作,此类终端缺乏有效的安全加固和集中管理措施,一旦管理终端被感染、入侵、控制,也就意味着整个视频专网暴露在安全风险之中。
2.7、数据泄露安全风险
视频专网目前监控取证PC分散部署,管理可能参差不齐,可能出现非法人员登录,非法操作,通过手机拍摄图像视频信息、外设和移动存储拷贝数据等方式,数据的泄露风险不可控,一旦重要敏感视频图像信息外发上网,涉及到追责和舆情问题。
三、视频终端安全准入整体解决方案
3.1、精准的资产发现和识别
奇安信视频准入系统采用主动识别和被动监测多种方式快速发现网络内的设备资产,通过设备特征指纹识别、自动学习等技术,发现设备类型、用户、操作系统、品牌、厂商、IP/MAC等信息,并自动归类形成“一机一档”管理体系,在混合网环境下,也可用部署终端探针,进一步增强接入发现的感知能力,扩大全网的感知范围。
3.2、前端设备的接入和仿冒控制
奇安信视频准入系统在前端设备接入前先要经过认证、授权,才能正常进行上行数据传输和信令交互,如果视频终端正常上线后,在正常业务交互过程中,通过内容感知、识别等技术,每一个设备自动建立学习业务模型,当有非法终端仿冒接入网络,迅速发现并通过制定安全策略等手段进行处置,防止IP、MAC
伪造,通过指纹特征信息,防止从设备层面的伪造,杜绝非法接入和仿冒行为。
3.3、前端设备的安全基线及状态监测
前端摄像头或其他终端接入网络,奇安信视频准入系统通过监测引擎实现立即发现,然后持续监控设备在线、离线、接入等活动状态信息,通过主动扫描和被动监听等技术对摄像头的弱口令、开放端口、漏洞、流量协议、流量波动等情况进行全面检查,一但发现有异常进行预警并隔离,实时掌握设备的安全风险信息,隔离具有威胁的“亚健康”设备。
3.4、视频网络边界的接入发现和控制
奇安信视频准入可对网络进行拓扑发现,并对无正常外联能力的终端进行主动探测,探测其是否有违规外联能力,如果有外联能力可以从取证服务器上对其能力的探测结果进行记录,同时标记终端有违规外联能力并通知管理员或进行阻断。
通过对终端网络行为流量的深入分析,感知并检查网络是否由NAT方式接入,并尝试分析NAT前的接入设备信息。
3.5、视频监控平台实名认证和追溯
前端设备视频数据实时传输到视频存储平台,工作站通过监测平台可以调取和监控视频图像信息,通过对监测平台的实名认证和审计追溯,防止非法人员的登录访问操作,并对操作行为进行审计。
3.6、视频取证工作站安全和数据防护
视频专网中分散着非常多的各种管理工作站和监控PC机,如果防护不到位,同样会影响到视频专网的安全,需要对这些终端进行合理的安全防护、加固和管理,如:漏洞、安全基线、外设存储、操作追溯、屏幕水印、合规接入等对这些终端进行统一全面的安全防护和集中管理,防止“亚健康”状态的工作站对视频专网的影响,减小视频数据的泄密风险。