公共安全视频网因具有设备数量多、24 小时在线、接入带宽高和联网摄像头安全防护差等特点使其成为不法分子的目标,通过利用弱口令及其它系统漏洞来实施威胁国家、社会、企业和家庭安全的不法行为。
一、方案概况
随着物联网技术和视频监控技术的发展以及“天网工程”“平安城市”“雪亮工程”等工程的顺利部署落地,各地市逐渐形成了覆盖城市、乡镇、公路的视频传输网完成对重点区域实时监控覆盖,全面提升了对突发案件、群体性事件、重大保卫活动的监控力度和响应能力,为社会稳定、城市安全提供了坚实的技术基础。与此同时,公共安全视频网因具有设备数量多、24 小时在线、接入带宽高和联网摄像头安全防护差等特点使其成为不法分子的目标,通过利用弱口令及其它系统漏洞来实施威胁国家、社会、企业和家庭安全的不法行为。
山东华软金盾软件股份有限公司的“公共安全视频网安全 + 运维解决方案”,是按照公安部《关于加强公安视频监控安全管理工作的通知》《公安视频传输网建设指南》等政策标准要求,对公共安全视频传输网进行安全及运维建设,按照“严控边界、纵深防御、主动监测、全面审计”的防护原则,完善技术防护体系,构建贯穿前端摄像机、传输网络、核心设备、管理平台、使用终端等视频网核心应用全流程的安全防护技术体系,保障公共安全视频网安全、稳定、可靠运行。
二、需求描述
1. 网络安全需求
(1)前端摄像机安全。由于摄像机等前端设备部署分布极为广泛,在视频传输网边界极易出现设备恶意替换、恶意入侵网络、设备被盗取等事件,更有甚者盗取视频传输网涉密数据甚至控制边界摄像机设备发起攻击。
(2)视频数据安全。由于公共安全视频网的敏感性和特殊性,保障系统的数据安全是非常关键、非常必要的,专网保存有大量的敏感视频数据,一旦泄露,会危害到社会稳定和个人隐私,严重地将会威胁国家安全。
2. 运维管理需求
(1)资产管理需求。视频网涉及海量前端设备及其他配套设备,需要全面掌握资产数量、资产状态等情况。
(2)闭环运维需求。及时将需要人工干预的告警推送至视频监控系统运维平台进行工单化处理,从而达到安全风险动态感知、闭环处理。
(3)图像质量诊断需求。提高视频图像质量的诊断、告警及运维效率,要求图像质量风险需紧密贴合行业标准,对视频图像问题进行巡检诊断、即时告警、生成报表。
三、系统架构
系统安全分区防护、一体运维的整体架构
进行设计。
本系统在前端接入区、系统应用区对公共安全视频网进行重点防护,针对前端接入区提供前端设备身份认证识别、准入控制、GIS 地图定位等功能;在系统应用区,在等保 2.0 标准要求的安全建设之外,补充视频数据安全防护功能。并对公共安全视频网进行包含资产管理、监控管理、告警管理、运维管理、应用管理五大部分的一体化运维管理。
四、系统功能
本方案主要功能如下:
1. 前端接入安全管理
(1)设备发现识别。对视频监控网络内的所有前端设备进行主动探测 + 被动协议分析两种方式进行发现与识别,将探测的前端设备信息与后台合法设备数据进行综合验证,对接入设备进行标定。
(2)网络拓扑管理。系统可根据网内的设备连接真实情况,绘制网络拓扑架构图,可显示相关设备的 IP 地址、设备厂商等信息。
(3)码流延迟管理。通过监控摄像头的码流延迟,不仅确定摄像头是否正常工作,还可以确定工作状况是否良好。
(4)GIS 地图展示。系统融入了地图离线包,抽取摄像头地理位置信息,并将摄像头分布情况自动关联至矢量地图。
2. 视频数据安全管理
(1)本地存储访问安全。系统提供虚拟安全磁盘存储空间,保障终端用户下载至本地视频数据的安全。
(2)数据对外交互安全。系统为用户提供基于视频数据使用权限控制的视频数据外发解决方案。
(3)数据直接导出安全。对导出的视频数据进行视频水印处理,即直接将水印内容写进视频数据本身。
(4)数据对外展示安全。针对客户现场投屏场景,为用户提供大屏水印解决方案。
(5)流程化审批管理。系统对导出及外发视频数据操作可设置灵活审批流程,支持单级审批、多级审批及会签审批。
3. 一体化运维管理
(1)资产管理。对视频网内设备资产提供发现识别、分类管理、GIS 展现、关联关系、资产分析等管理功能。
(2)监控管理。对前端设备、网络链路、网络设备、后台设备、后台系统进行整体运行监测监控。
(3)告警管理。对设备告警进行告警聚合、告警定位,方便运维人员及时处理。
(4)运维管理。通过工单引擎、人资管理,合理配置运维工单、管控运维进度。
(5)应用管理。提供地理信息、IP 地址信息管理及运维考核功能。
五、系统特点
1. 海量前端安全管理。针对视频网海量前端进行安全准入控制,避免了替换、仿冒、破坏前端对视频网造成的安全威胁,在感知层保障视频网安全。
2. 全品类资产梳理。对视频网涉及的多种类型设备进行全面识别,掌握各资产运行状态,避免“千里之堤,毁于蚁穴”的问题。
3. 全场景视频数据安全。对视频网中视频数据涉及的应用场景全盘考量,确保视频数据应用安全、可追溯。
4. 一体化运维管理。对视频网的前端、网络、系统乃至机房完成一体化运维管理,避免分散建设、分散运维对视频网稳定运行带来的风险。
六、系统优势
1. 资产识别全面。对视频网涉及的前端监控、智能设备箱、网络设备、服务器、数据库、中间件、安全设备全面识别发现。
2. 应用场景细致。对视频数据本地访问、下载、外发、导出、展示等应用场景均提供安全防护,同时不破坏原始视频数据。
3. 贴合实战应用。在安全及运维建设的基础上,不影响公安政法实战业务应用,并满足多种角色考核需求。
七、创新技术
1. 主被动全面资产识别发现。采用主动网络协议探测、被动数据流分析等相结合的探测方式,完整收集、全面探测网络内设备信息、拓扑结构、空间分布等信息。通过内置丰富的特征指纹库、规则库和设备特征识别技术,对入网的各种设备、业务进行组合式精准识别。
2. 先进的网络准入管理。采用全新一代NACP 准入控制技术,实现对视频网终端的入网管理,阻止非法移动终端任意接入网络。NACP 准入控制技术不依赖任何交换机等网络设备,不会改变用户网络拓扑架构,可满足各种复杂网络、混合型部署网络和纵级大型网络的准入管理要求。
3. 多水印类型应用。显式水印和隐式水印设计方案,更能够满足用户复杂的视频数据溯源处理环境,同时隐式水印能够最大限度降低水印对使用者的视觉刺激。
4. 全方位行为检测。实现对视频网维护人员访问视频资源的行为记录功能,能够实现对视频资源的查看行为、相关参数修改行为、云台控制,历史回放等行为的记录与告警,从而防止不法分子非法访问视频资源,造成信息泄露等安全事件。