一、背景
随着平安城市、雪亮工程、天网工程等视频专网多年的建设,一张覆盖社会基本监控面的视频采集网络已经徐徐展开,以公安视频监控资源为基础、其它党政机关、社会监控资源为辅的公安视频专网是实现城市安全和稳定的重要保障,是“平安城市”建设的基础。在目前公安视频专网的建设过程中,各地基本完成海量前端设备部署,各级公安机关遵循“建为用,用为战”的原则,后续逐渐将工作重心由前期建设转向实战应用,同时也更加重视视频专网的安全建设和运维管理。
为规范公安视频传输网建设和管理工作,有效保障公安视频传输网运行效能和网络安全,公安部、发改委等提出了多项指导建议和指南,其中《关于加强公共安全视频监控建设联网应用工作的若干意见》,《关于加强公安视频监控安全管理工作的通知》,《公安视频传输网建设指南》等都为实现视频传输网络安全建设和管理提供了重要依据。为了公共安全,为了真正实现治安防控“全覆盖、无死角”的保障,视频专网的安全防护将是重中之重。
二、目前视频专网的安全形势
目前视频专网规模迅速扩大并广泛应用于公共安全建设,视频取证、
风险监测等领域,视频网络的安全问题也日益凸显,如:2016年,美国发生大规模断网事件,一共有超过百万台摄像头设备化身肉鸡参与了此次DDOS攻击;某监控产品摄像头存在远程执行漏洞,被提权后导致部分摄像头被境外控制,非法监测活动等问题。视频专网在建设过程中虽然采用网络逻辑隔离的方式(VLAN)等技术进行安全域的划分,但物理上仍然是同一张网络,视频专网IPC摄像头、监控终端工作站、视频NVR服务器、还有其他配套网络设备在同一张网络中,任何一个环节安全防护不到位,都有可能扩散到全网,影响整个网络的安全,目前主要面临有如下风险特性。
2.1、网络摄像头资产很难及时发现和全面统计
视频专网终端设备分布极为广泛,数量巨大,信息采集时间周期长,而且随着建设范围扩大,不断有新设备接入和端点的改造变化,基层数据维护管理不到位,发生资产信息不全、资产丢失等情况,无法建立完善的设备规范化管理机制,无法满足“一机一档”的管理要求。
2.2、视频设备缺乏有效监测
前端摄像头传输图像要求连续性极高,需要不间断运行,但又由于摄像头分布非常散,无人值守,很容易出现脱网或白屏隐患,造成视频数据不全,无法取证,无法实时监测和掌握设备的上下线,数据传输,接入等情况。
2.3、非法设备接入安全风险
视频专网主要以摄像头为主,而且无人值守,分布和接入点非常散,被仿冒接入和视频劫持的成本非常低,可以轻易进行网络入侵攻击和视频数据的非法访问,且事后很难进行追踪。
2.4、网络边界模糊的安全风险
虽然视频网络内采用逻辑隔离的方式(VLAN)等技术进行安全域的划分,但物理上仍然是同一张网络,非法人员可以使用各种网络设备插入视频专网中,如私接路由、非法外联等,网络的随意扩展造成了网络边界的不确定,也就非常容易引入安全威胁。
2.5、前端摄像头设备健康状态安全风险
前端摄像头设备如果使用了默认口令或弱口令,开放了风险端口,后门漏洞、传输不稳定等处于“亚健康”状态,网络摄像机很容易被控制,成为“睁眼瞎”,甚至设备化身肉鸡进行代理攻击,这对一些敏感区域的监控和网络都会造成严重影响。
2.6、管理工作站安全风险
视频专网中各主要节点位置都分布有若干管理电脑,主要提供视频图像的监控和调取等管理工作,此类终端缺乏有效的安全加固和集中管理措施,一旦管理终端被感染、入侵、控制,也就意味着整个视频专网暴露在安全风险之中。
2.7、数据泄露安全风险
视频专网目前监控取证PC分散部署,管理可能参差不齐,可能出现非法人员登录,非法操作,通过手机拍摄图像视频信息、外设和移动存储拷贝数据等方式,数据的泄露风险不可控,一旦重要敏感视频图像信息外发上网,涉及到追责和舆情问题。
三、视频终端安全准入整体解决方案
3.1、精准的资产发现和识别
奇安信视频准入系统采用主动识别和被动监测多种方式快速发现网络内的设备资产,通过设备特征指纹识别、自动学习等技术,发现设备类型、用户、操作系统、品牌、厂商、IP/MAC等信息,并自动归类形成“一机一档”管理体系,在混合网环境下,也可用部署终端探针,进一步增强接入发现的感知能力,扩大全网的感知范围。
3.2、前端设备的接入和仿冒控制
奇安信视频准入系统在前端设备接入前先要经过认证、授权,才能正常进行上行数据传输和信令交互,如果视频终端正常上线后,在正常业务交互过程中,通过内容感知、识别等技术,每一个设备自动建立学习业务模型,当有非法终端仿冒接入网络,迅速发现并通过制定安全策略等手段进行处置,防止IP、MAC
伪造,通过指纹特征信息,防止从设备层面的伪造,杜绝非法接入和仿冒行为。
3.3、前端设备的安全基线及状态监测
前端摄像头或其他终端接入网络,奇安信视频准入系统通过监测引擎实现立即发现,然后持续监控设备在线、离线、接入等活动状态信息,通过主动扫描和被动监听等技术对摄像头的弱口令、开放端口、漏洞、流量协议、流量波动等情况进行全面检查,一但发现有异常进行预警并隔离,实时掌握设备的安全风险信息,隔离具有威胁的“亚健康”设备。
3.4、视频网络边界的接入发现和控制
奇安信视频准入可对网络进行拓扑发现,并对无正常外联能力的终端进行主动探测,探测其是否有违规外联能力,如果有外联能力可以从取证服务器上对其能力的探测结果进行记录,同时标记终端有违规外联能力并通知管理员或进行阻断。
通过对终端网络行为流量的深入分析,感知并检查网络是否由NAT方式接入,并尝试分析NAT前的接入设备信息。
3.5、视频监控平台实名认证和追溯
前端设备视频数据实时传输到视频存储平台,工作站通过监测平台可以调取和监控视频图像信息,通过对监测平台的实名认证和审计追溯,防止非法人员的登录访问操作,并对操作行为进行审计。
3.6、视频取证工作站安全和数据防护
视频专网中分散着非常多的各种管理工作站和监控PC机,如果防护不到位,同样会影响到视频专网的安全,需要对这些终端进行合理的安全防护、加固和管理,如:漏洞、安全基线、外设存储、操作追溯、屏幕水印、合规接入等对这些终端进行统一全面的安全防护和集中管理,防止“亚健康”状态的工作站对视频专网的影响,减小视频数据的泄密风险。
3.7、可视化大屏数据综合展示
奇安信天擎终端数据可视化系统(简称天擎数据可视化系统)是奇安信天擎终端安全管理系统的可选组件,天擎数据可视化系统是针对系统产生的各种维度的数据,为组织中安全管理者和运维人员提供专注于终端安全维度的分析和展示服务端组件。
四、方案优势
?旁路部署,不影响目前视频网络结构,不会增加新的故障点和网络瓶颈。
?统一管理平台,集中管理所有摄像头和终端PC设备,可以做到统一策略管理、数据统一上报。
?拥有知识产权的终端身份库,能覆盖5千多种终端类型。
?拥有国内最大的协议解析库,可以精准感知上千种应用协议。
?通过机器学习和建模,准确实现非法终端接入感知。
?发现仿冒设备接入,并给予处置
奇安信视频专网终端安全准入整体安全解决方案,为用户建立安全、可控、可信的网络环境,全方位、多层次地保障视频专网的安全,提升信息化管理效率,保障视频资源数据安全,为雪亮工程、平安中国建设贡献一份力量!
毕节市公安局 公安网边界接入平台(部门间信息共享平台、视频接入链路) 建 设 方 案 上海辰锐信息科技公司 2013年10月
目录 1建设背景 (4) 2业务需求 (6) 2.1项目现状 (6) 2.2共享平台需求 (6) 2.2.1功能需求分析 (6) 2.2.2性能需求分析 (7) 2.2.3安全需求分析 (8) 2.2.4管理需求分析 (9) 2.2.5扩展需求分析 (9) 2.3视频接入需求 (9) 2.3.1功能需求分析 (9) 2.3.2性能需求分析 (10) 2.3.3安全需求分析 (10) 2.3.4管理需求分析 (11) 2.3.5扩展需求分析 (11) 3总体设计 (12) 3.1设计目标 (12) 3.2设计思想 (12) 3.3设计依据 (12) 3.4总体架构设计 (13) 3.4.1安全体系 (13) 3.4.2体系结构 (14) 3.5监测与管理区设计 (18) 3.5.1探针及监管功能设计 (18) 3.5.2级联监控管理设计 (19) 4总体方案 (20) 5功能设计 (22) 5.1共享平台功能设计 (22) 5.1.1查询比对类 (22) 5.1.2数据交换类 (22) 5.1.3Web访问类 (24) 5.2视频接入功能设计 (24) 6安全设计 (26) 6.1共享平台安全设计 (26) 6.1.1查询比对类 (26) 6.1.2数据交换类 (27) 6.1.3Web访问类 (27) 6.2视频接入安全设计 (28) 6.2.1数据接收 (28) 6.2.2数据检查 (29) 6.2.3数据传输 (29)
6.2.5授权访问 (30) 7管理设计 (31) 7.1监管功能 (31) 7.2级联功能 (33) 8设备介绍 (34) 8.1可信边界安全网关 (34) 8.2网络数据交换 (35) 8.3视频安全接入系统 (35) 8.4集中监控与审计系统 (37) 9共享平台功能 (38) 9.1共享平台架构 (38) 9.2内、外网门户网站 (40) 9.2.1单点登陆 (40) 9.2.2统一用户管理 (40) 9.2.3页面定制 (40) 9.2.4信息公告 (41) 9.2.5应用导航 (41) 9.2.6应用统计 (41) 9.3内、外网应用服务系统 (42) 9.3.1可视化业务配置器 (42) 9.3.2标准的Web 服务接口 (42) 9.3.3信息查询 (42) 9.3.4数据核查 (43) 9.3.5数据比对 (43) 9.3.6数据上传下载 (43) 9.3.7共享痕迹留存 (43) 9.3.8数据权限控制 (44) 9.3.9服务门户定制 (44) 9.3.10监控与管理 (44) 9.4数据采集系统 (45) 9.5数据集成系统 (46) 9.6平台管理监控系统 (48) 9.6.1注册管理 (48) 9.6.2用户管理 (48) 9.6.3监控与审计 (48) 9.6.4查询统计 (50) 9.7扩展功能设计 (50) 10共享平台数据处理设计 (52) 10.1数据库设计 (52) 10.2数据标准管理 (52) 10.3数据处理过程 (53) 10.4数据采集 (54) 10.4.1数据采集方式 (54)
城市视频监控联网系统信息安全设计方案 二〇一五年十一月
目录 1 项目背景 (1) 2 信息安全相关知识 (1) 2.1信息安全服务与机制 (2) 2.1.1 安全服务 (2) 2.1.2 安全机制 (3) 2.2安全体系架构 (3) 2.2.1 网络安全基本模型 (3) 2.2.2 信息安全框架 (3) 2.3信息安全起因 (4) 2.3.1 技术缺陷 (4) 2.3.2 管理缺陷 (5) 2.4网络攻击方式 (5) 2.4.1 口令攻击 (5) 2.4.2 软件攻击 (6) 2.4.3 窃听攻击 (7) 2.4.4 欺诈攻击 (7) 2.4.5 病毒攻击 (8) 2.4.6 拒绝服务攻击 (8) 2.5信息安全后果 (9) 2.6信息安全技术 (9) 2.6.1 PKI体系 (9) 2.6.2 用户身份认证 (12) 2.6.3 认证机制 (13) 2.6.4 认证协议 (15) 3 联网视频信息的特点 (17) 3.1系统多级架构 (17) 3.2网络状况复杂 (17)
3.3视频数据量大 (17) 4 视频系统信息安全分类 (17) 4.1信令加密 (18) 4.2媒体流加密 (18) 5 安全系统的实现 (18) 5.1认证中心 (18) 5.2视频安全平台 (18) 5.3系统评价 (18) 6 系统建成预期效果 (19) 7 安全技术展望 (19)
1 项目背景 互联网、大数据时代虽然带来了安防行业新的机遇与信息面貌,但是伴随信息聚集性越来越高,云安全问题也带来了新的挑战。对不法分子来说,只要击破云服务器,意味着可以获得更多的资源,例如iCloud泄露门,12306信息泄露,携程信息泄露等。海康威视“安全门”事件,对正在大力发展信息经济与互联网经济的中国,提出了信息安全的极大思考。信息安全任重而道远,千里之堤,毁于蚁穴。所以在信息安全上,应仔细排查安全隐患,防患于未然。 公开数据显示,有74.1%的网民在过去半年内遇到网络信息安全事件。有专家估计,中国每年因网络信息安全问题造成的经济损失高达数百亿美元。 在今年的全国两会上,中国移动广东公司总经理钟天华代表建议,加快制定网络信息安全法,从监管主体、设施安全、运行安全、信息安全、法律责任等方面规范网络信息安全。 各省城市视频监控联网系统共享平台已基本建设完成,标准基于国标GB/T 28181,但对于视频信息安全的要求没有严格要求。在国家对网络和信息安全高度重视的当下,扮演政府、企业、社区“守门人”角色的安防行业,实现自主可控异常重要。需要一套完整解决方案。 2 信息安全相关知识 网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
1视频专网建设现状 近年来,公安视频专网的建设规模正在不断扩大,专网前端的IP接入设备(如IPC、RFID等)的种类与数量正在不断上升,这些前端设备被广泛应用于治安管理、交通疏导等领域,与国计民生息息相关;同时,如人脸对比、车辆识别、大数据分析、警用地理等核心业务,也正向公安视频专网迁移,目前的公安视频专网事实上已经成为一张承载海量终端与海量数据的物联网。 公安视频专网的重要性正在不断提升,随之而来的安全问题也日益凸显,一旦出现黑客攻击、数据窃取等事件,将有可能造成治安管理失控、交通管制失效、敏感信息泄漏、LED屏幕倒流信息篡改等后果,严重危害社会稳定。 与此相对的是,由于点多面广,大部分的公安视频专网无法部署有效的安全策略,前端设备与后端业务基本处于直连状态,大量无人值守的接入终端被黑客利用成为攻击源。攻击者可利用分散在社会各处的接入设备接入到整个网络中,对核心业务系统展开攻击,甚至窃取保密信息。因此,如何解决来自于前端IP设备的安全风险成为了公安视频专网安全体系建设的突出问题。 当前视频专网安全问题已经上升到国家层面,发改委、中央综治办、公安部等九部委联合下发《关于加强公共安全视频监控建设联网应用工作的若干意见》,要求加强视频监控系统安全防护能力,严格安全准入机制;10月初的全国政法委视频电话会议上,孟书记也多次强调了网络安全建设的重要性;省公安厅也在9月份警示视频专网存在的安全风险。
2视频专网存在的风险 目前,全国各地公安系统的视频专网及专网中的应用系统基本处于“裸奔”状态,没有任何的安全防护措施和手段,同时使用的操作系统和应用系统存在 大量的高危漏洞,导致视频专网存在如下风险: 1、前端摄像头接入交换机无法监控管理,存在非法终端接入风险; 2、前端智能终端接入网络带来病毒和木马入侵风险; 3、视频专网为开放式网络,安全设备部署较少,接入网可直接访问服务器网络; 4、视频专网中存在多个业务系统,业务系统之间无访问控制策略; 5、操作系统、业务系统、网络系统存在大量的漏洞,可被不法分子进行利用; 6、视频专网无法做到专网专用,存在非法业务数据,影响视频监控图像质量; 一旦攻击者通过前端摄像机渗透到视频专网中来,可对系统进行大范围严 重破坏,极有可能对当前的正常电子业务工作造成灾难级影响,业务数据无法 快速恢复,造成智能交通指挥瘫痪,指挥中心失去“眼睛”,卡口系统失效, 违法抓拍停滞,违法档案删除,阻止智能布控应用,监控视频被不法分子使用,恶意追踪公民、车辆轨迹造成隐私泄露,诱导发布平台发布反动言论等等严重 的后果,社会影响层面巨大。 针对前端设备的准入控制不仅要求设备接入可信,也要求设备行为可控, 因此要求在实施准入控制时,必须能够同时识别前端设备的身份,并有效管控 传输的数据的合法性。此外,由于公安视频专网点多面广、性能要求高,在准 入控制方案设计时,必须考虑部署及性能问题。以上要求是传统的安全设备难
XX公安局 视频安全接入平台解决方案
中国电信视频服务产品(上海)运营中心 中国电信股份有限公司上海研究院 2016年9月 目录 第1章项目综述 (3) 1.1项目背景 (3) 1.2建设目标 (5) 1.3建设总体要求 (5) 1.4遵循标准 (7) 第2章系统架构 (8) 2.1公安网访问视频监控专网 (10) 2.2电子政务外网访问视频监控专网 (12) 2.3 3G无线视频接入 (15) 第3章视频安全交换平台架构 (18) 3.1底层传输 (18) 3.2配置管理 (19)
3.3流量管理 (20) 3.4监控管理 (20) 3.5 协议接口模块 (22) 3.6认证管理 (22) 3.7内/外网终端管理 (23) 3.8链路管理 (23) 第4章视频集中监控系统 (23) 第5章平台安全分析 (25) 5.1终端安全 (26) 5.2链路安全 (26) 5.3应用安全 (26) 5.4系统安全 (28) 第6章技术指标 (29) 第1章项目综述 1.1项目背景 XX市社会治安视频监控系统前端监控点分布应结合实际治安状况,科学 设点、合理布局,建设出入城市主要治安卡口、人车流量大的主要道路路口、
治安复杂公共场所和易发案部位、校园监控,市区主要道路交叉口、人防重点目标、市容重点管理区域监控。 1、对于社会治安,逐步在市区建设形成三道治安监控防线:第一道是城市外围防线,在出入城市主要道路上建立治安卡口,安装以高清摄像机为支撑的智能卡口识别比对系统,主要控制出入城市的车辆信息;第二道防线是城区交通路口防线,在城区主要交通路口安装智能卡口识别比对系统,监控抓拍路面车辆并识别车牌号,捕捉前排司乘人员面部特征,与出城卡口信息结合,关联与交通违法处理系统、交警车辆信息库、被盗抢车辆数据库,搭建以车辆轨迹侦控为核心的“视频侦查作战平台”。另外,在主要道路边广场、大型商场周边等公共场所安装高速球形摄像机,做变化大场景监控,重点监控人流量大的公共复杂场所;第三道防线是易发案区域防线,在易发案区域、外来人口聚居区和城乡结合部复杂地段等地点安装摄像机,监控治安情况复杂的社会面。 2、对于学校治安,对学校采取人防和技防相结合的安防措施,在全市各级各类学校、幼儿园的校门口等重点部位新安装监控点、运用视频监控系统,确保公安机关实时监控学校的安全状况。 3、对于人防、城管监控应用,按人防、城管的要求,在指定的人防重点部位、市容重点管理区域安装监控点联入监控平台,通过授权可查看与业务相关的监控点和监控范围。解决城市抢险救灾的效率,提升城市管理水平和服务效益。 4、社会面治安监控点整合,社会面监控系统是较为庞大的监控资源,通过整合接入公安社会治安监控系统可以有效提高全市监控系统覆盖率,实现监控资源利用最大化。目前,社会面监控系统主要有各小区监控、银行监控、网吧监控、酒店和企业监控……等。对上述符合接入条件的社会面视频监控点,进行新系统接入,提高全市社会治安监控系统的覆盖率,提高治安防控能力,为有效的打击犯罪提供视频信息资源。
视频终端安全准入系统 解决方案 ?2018奇安信集团■版权声明 奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权,本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容,除另有特别注明外,所有版权均属奇安信集团及 其关联公司所有;受各国版权法及国际版权公约的保护。对于上述版权内容,任何个人、机构未经奇安 信集团或其关联公司的书面授权许可,不得以任何方式复制或引用本文的任何片断;超越合理使用范畴、并未经上述公司书面许可的使用行为,奇安信集团或其关联公司均保留追究法律责任的权利。
目录 一、背景 (3) 二、目前视频专网的安全形势 (3) 2.1、网络摄像头资产很难及时发现和全面统计 (4) 2.2、视频设备缺乏有效监测 (4) 2.3、非法设备接入安全风险 (4) 2.4、网络边界模糊的安全风险 (4) 2.5、前端摄像头设备健康状态安全风险 (4) 2.6、管理工作站安全风险 (5) 2.7、数据泄露安全风险 (5) 三、视频终端安全准入整体解决方案 (5) 3.1、精准的资产发现和识别 (5) 3.2、前端设备的接入和仿冒控制 (6) 3.3、前端设备的安全基线及状态监测 (7) 3.4、视频网络边界的接入发现和控制 (7) 3.5、视频监控平台实名认证和追溯 (8) 3.6、视频取证工作站安全和数据防护 (8) 3.7、可视化大屏数据综合展示 (9) 四、方案优势 (10)
一、背景 随着平安城市、雪亮工程、天网工程等视频专网多年的建设,一张覆盖社会基本监控面的视频采集网络已经徐徐展开,以公安视频监控资源为基础、其它党政机关、社会监控资源为辅的公安视频专网是实现城市安全和稳定的重要保障,是“平安城市”建设的基础。在目前公安视频专网的建设过程中,各地基本完成海量前端设备部署,各级公安机关遵循“建为用,用为战”的原则,后续逐渐将工作重心由前期建设转向实战应用,同时也更加重视视频专网的安全建设和运维管理。 为规范公安视频传输网建设和管理工作,有效保障公安视频传输网运行效能和网络安全,公安部、发改委等提出了多项指导建议和指南,其中《关于加强公共安全视频监控建设联网应用工作的若干意见》,《关于加强公安视频监控安全管理工作的通知》,《公安视频传输网建设指南》等都为实现视频传输网络安全建设和管理提供了重要依据。为了公共安全,为了真正实现治安防控“全覆盖、无死角”的保障,视频专网的安全防护将是重中之重。 二、目前视频专网的安全形势 目前视频专网规模迅速扩大并广泛应用于公共安全建设,视频取证、 风险监测等领域,视频网络的安全问题也日益凸显,如:2016年,美国发生大规模断网事件,一共有超过百万台摄像头设备化身肉鸡参与了此次DDOS攻击;某监控产品摄像头存在远程执行漏洞,被提权后导致部分摄像头被境外控制,非法监测活动等问题。视频专网在建设过程中虽然采用网络逻辑隔离的方式(VLAN)等技术进行安全域的划分,但物理上仍然是同一张网络,视频专网IPC摄像头、监控终端工作站、视频NVR服务器、还有其他配套网络设备在同一张网络中,任何一个环节安全防护不到位,都有可能扩散到全网,影响整个网络的安全,目前主要面临有如下风险特性。
公安信息网视频监控安全接入解决 方案
2011年3月 目录 一、概述 (4) 二、视频监控业务及安全防御难点分析 (5) 2.1视频监控业务分析 (5) 2.2公安网视频监控应用的安全防御难点分析 (6) 三、建设标准与目标 (7) 3.1 建设标准 (7) 3.2 建设目标 (8) 四、视频安全接入解决方案 (9) 4.1 总体架构设计 (9) 4.1.1 接入对象 (12) 4.1.2 接入链路 (13) 4.1.3 边界接入平台视频接入链路 (14) 4.1.4 公安信息通讯网 (16) 4.2 平台安全防御体系设计 (16) 4.2.1视频接入认证服务 (17) 4.2.2网络隔离与访问控制功能 (20) 4.2.3 反弹木马阻断功能 (22)
4.2.4 视频数据实时病毒检测与阻断 (23) 4.2.5 视频用户认证与授权功能 (25) 4.3 集中安全管理与日志审计 (26) 4.4 高性能设计 (29) 4.5 高可靠性设计 (30) 五、主要技术性能 (30) 5.1 安全功能 (30) 5.2 技术性能 (33) 5.3 设备规格 (33)
一、概述 公安信息网(公安网)目前是星型拓扑结构,由一、二、三级主干网和接入网组成。公安部至各省公安机关主干网为一级网络,省级公安机关至所辖地市公安机关的网络为二级网,地市级公安机关至所辖县区公安机关的网络为三级网络,基层科、所、队到分局或市局的网络为接入网。 公安网络系统的主要功能是为各级公安业务部门提供语音、数据、图像等交换和传输服务。公安数据业务包括人口、治安、交管、刑侦、预审、出入境管理等二十多种业务的信息传输与查询;办公自动化、电子邮件等内部管理数据;公安内部信息网站浏览等业务,文字、图表、动、静态图像等数据的传输和交换。 在视频监控应用的接入过程中,公安信息通信网面临很大风险。
公安信息网视频监控安全接入解决方案 2011年3月 目录 一、概述................................. 错误!未指定书签。 二、视频监控业务及安全防御难点分析....... 错误!未指定书签。 2.1视频监控业务分析 ................. 错误!未指定书签。 2.2公安网视频监控应用的安全防御难点分析错误!未指定书签。 三、建设标准与目标....................... 错误!未指定书签。 3.1建设标准......................... 错误!未指定书签。 3.2建设目标......................... 错误!未指定书签。 四、视频安全接入解决方案................. 错误!未指定书签。 4.1总体架构设计...................... 错误!未指定书签。 4.1.1接入对象................... 错误!未指定书签。 4.1.2接入链路................... 错误!未指定书签。 4.1.3边界接入平台视频接入链路 ... 错误!未指定书签。 4.1.4公安信息通讯网 ............. 错误!未指定书签。 4.2平台安全防御体系设计 ............. 错误!未指定书签。 4.2.1视频接入认证服务 ........... 错误!未指定书签。 4.2.2网络隔离与访问控制功能 ..... 错误!未指定书签。 4.2.3反弹木马阻断功能 ........... 错误!未指定书签。 4.2.4视频数据实时病毒检测与阻断 . 错误!未指定书签。 4.2.5视频用户认证与授权功能 ..... 错误!未指定书签。 4.3集中安全管理与日志审计 ........... 错误!未指定书签。
目录 1.产品概述 (4) 2.产品原理 (4) 3.产品功能说明 (6) 3.1信令与流媒体通道分离 (6) 3.2控制命令监测黑白名单 (6) 3.3流媒体通道配额策略 (6) 3.4特权用户 (6) 3.5编码格式识别技术 (6) 3.6防抖动技术 (6) 3.7访问控制 (7) 3.8地址绑定 (7) 3.9轻松的管理 (7) 3.10完善的安全审计 (7) 3.11强大的抗攻击能力 (7) 4.技术优势 (8) 4.1安全高效的硬件交换系统 (8) 4.2高性能与高安全的多核架构 (9) 4.3强大的编码识别技术 (9) 4.4核心应用的安全最大化 (9) 4.5强大的定制扩展能力 (10) 5.典型应用 (10) 5.1公安全球眼视频解决方案 (10)
1.产品概述 随着城市联网报警与监控系统的建设,以及社会上大量社会面视频监控系统的应用,如“全球眼”、“宽世界”等公共运营商集中运营的视频监控系统,以视频监控结合人为管理成为安防工作中重要手段之一。 各级政府机关将这些资源有机联网、整合共享,并且有效管理、灵活调用,与内网各信息系统进行挂接、联动,实现对紧急事件的快速反应、科学决策和集中处警。如何保证整个系统在网络层面的安全性越来越成为大家关注的重点。尤其是在面临专网视频监控系统(内部)与公网视频监控系统(外部)进行互通时,这个问题显得尤为突出。 就目前视频监控系统而言,存在着以下风险: ●暴露在外的DVS、DVR、IP摄像机可被用于直接网络攻击 ●范围巨大的传输网络链路存在数据窃听、篡改风险 ●网络隔离。避免在共享视频资源的同时,将安全风险引入内部网络 而现有的网闸产品在应用到视频监控网络中时,无法满足视频传输的正常要求,传输速率低、无法处理多样化的视频协议等缺陷成为视频网络中的瓶颈设备。 网神SecSIS3600安全隔离视频交换系统(简称:视频网闸)是新一代网络安全隔离产品。该产品采用专用硬件和模块化的工作组件设计,集成安全隔离、实时图像传递、视频协议及信令分析、通道配额管理、内容检测、访问控制、安全决策等多种安全功能为一体,适合部署于不同安全等级的网络间,在实现多个网络安全隔离的同时,实现高速的、安全的视频数据交换,提供可靠的视频应用服务。 2.产品原理 网神SecSIS3600安全隔离与信息交换系统的工作基于人工信息交换的操作模式,即由内外网主机模块分别负责接收来自所连接网络的访问请求,两模块间没有直接的物理连接,形成一个物理隔断,从而保证可信网和非可信网之间没有数据包的交换,没有网络连接的建立。在此前提下,通过专有硬件实现网络间信息的实时交换。这种交换并不是数据包的转发,而是应用层数据的静态读写操作,因此可信网的用户可以通过安全隔离与信息交换系统放心
公安信息通信网边界接入平台安全规范(试行)——视频接入安全部分 公安部科技信息化局 二〇一〇年四月
目录 1适用范围3 2规范性引用文件3 3术语和定义3 3.1视频专网3 3.2接入链路3 3.3视频数据3 3.4视频数据单向传输3 3.5视频控制信令5 4安全技术要求5 4.1视频接入链路5 4.1.1总体要求5 4.1.2业务操作方法7 4.1.3区域划分7 4.1.4网络安全7 4.1.5主机安全8 4.1.6应用安全8 4.2集中监控审计9 4.2.1接入链路安全监控管理9 4.2.2接入链路监管系统数据规范9 5安全管理要求11 6视频接入链路测评要求11 7设备安全要求11
1适用范围 本规范仅限于指导公安机关共享外部视频资源的安全接入建设,实现外部视频资源单向传输至公安信息通信网,为公安业务工作提供支撑服务。对于公安信息通信网内视频资源对外共享情况,不属于本规范的适用范围。 本规范规定了视频接入方式的安全技术要求、安全管理要求、安全评测要求以及设备安全要求。 2规范性引用文件 本规范的制订参照了以下规范和标准: 《公安信息通信网边界接入平台安全规范(试行)》(公信通[2007]191号,2007年10月) 《城市报警与监控系统建设、管理、应用规范性文件汇编》(公安部科技信息化局,2009年) 《公安信息通信网联网设备及应用系统注册管理办法》(公信通[2007]139号,2007年5月) 3术语和定义 3.1视频专网 视频专网是指采用专线方式或VPN虚拟专网方式建设的、专用于支撑视频监控服务的网络。 3.2接入链路 接入链路是视频接入业务与公安信息通信网之间的专用通道,将其作为公安信息通信网边界接入平台的一条独立链路,纳入平台统一监控、审计与管理。 3.3视频数据 视频数据是以电信号方式加以捕捉、记录、处理、存储、传送与重现的一系列图像和音频信息。 3.4视频数据单向传输 视频数据单向传输是指视频专网与公安信息通信网之间视频数据是单方向
一、背景 随着平安城市、雪亮工程、天网工程等视频专网多年的建设,一张覆盖社会基本监控面的视频采集网络已经徐徐展开,以公安视频监控资源为基础、其它党政机关、社会监控资源为辅的公安视频专网是实现城市安全和稳定的重要保障,是“平安城市”建设的基础。在目前公安视频专网的建设过程中,各地基本完成海量前端设备部署,各级公安机关遵循“建为用,用为战”的原则,后续逐渐将工作重心由前期建设转向实战应用,同时也更加重视视频专网的安全建设和运维管理。 为规范公安视频传输网建设和管理工作,有效保障公安视频传输网运行效能和网络安全,公安部、发改委等提出了多项指导建议和指南,其中《关于加强公共安全视频监控建设联网应用工作的若干意见》,《关于加强公安视频监控安全管理工作的通知》,《公安视频传输网建设指南》等都为实现视频传输网络安全建设和管理提供了重要依据。为了公共安全,为了真正实现治安防控“全覆盖、无死角”的保障,视频专网的安全防护将是重中之重。 二、目前视频专网的安全形势 目前视频专网规模迅速扩大并广泛应用于公共安全建设,视频取证、 风险监测等领域,视频网络的安全问题也日益凸显,如:2016年,美国发生大规模断网事件,一共有超过百万台摄像头设备化身肉鸡参与了此次DDOS攻击;某监控产品摄像头存在远程执行漏洞,被提权后导致部分摄像头被境外控制,非法监测活动等问题。视频专网在建设过程中虽然采用网络逻辑隔离的方式(VLAN)等技术进行安全域的划分,但物理上仍然是同一张网络,视频专网IPC摄像头、监控终端工作站、视频NVR服务器、还有其他配套网络设备在同一张网络中,任何一个环节安全防护不到位,都有可能扩散到全网,影响整个网络的安全,目前主要面临有如下风险特性。
浅析专网安全防护系统实现 通过对专网涉密信息系统的分析研究,从网络运行安全、信息安全和安全保密管理等方面综合考虑。依照等级化保护进行安全防护体系设计与实现,保证涉密网中传输数据信息的安全性、完整性、真实性及抗抵赖性,形成事前防护,事中安全检测,事后审计取证于一体的安全防护体系,达到实体安全、应用安全、系统安全、管理安全,以满足专网涉密信息系统安全防护要求。 一、安全防护系统功能与要求 专网安全防护系统的主要功能是保证专用网络达到机密级防护要求。 ①从网络安全角度考虑应具备功能:与其他网络实施物理隔离,不同部门之间应根据需要实施逻辑隔离措施,对用户进行访问控制;具有网络防病毒措施,能通过网络实时更新病毒库;具有网上事件审计记录能力;具有对违规事件进行监视、报警和控制处理的措施;向控制区域外传输信息应具有网络加密措施防止信息的非法窃取和篡改;全网建立统一的身份认证体系;设立网络安全管理中心,能够对网络的安全设备等资源进行管理,对用户违规行为进行监控:交换机的端口、用户计算机的MAC地址和IP地址三者绑定。 ②从用户安全角度考虑要求应具备功能:涉密网用户采用专用部件认证;用户计算机应安装防病毒软件并及时升级;用户计算机的操作系统应及时安装补丁程序;用户计算机应关闭不需要的系统服务:用户应有互不相同的用户名和操作口令,保证身份唯一性;涉密网计算机禁止安装无关应用软件。 ③从应用安全角度考虑要求应具备功能:应用系统软件应及时安装补丁程序;涉密信息的应用系统应具有对用户进行身份认证、对信息进行细粒度授权访问控制功能;公共信息服务器与涉密信息服务器分设,只提供专用服务;文电、业务处理等应用系统应具有签名验证、密级标识等功能:提供信息服务的WWW 服务器具有网页防篡改措施,防止对信息内容非法修改。 二、系统组成 专网安全防护系统由防火墙、入侵检测、网络审计、漏洞扫描、内网安全管理与审计、认证/授权/访问控制、安全设备管理平台、整盘保护、文档加密、防病毒等系统设备组成。拓扑示意图如图1所示。 在非密、秘密、机密级安全域和服务器安全域等特定应用安全域利用分别配置防火墙设备进行边界防护,设定严格访问控制策略,对区域间通信进行审计,将日志信息及时传递给安全管理中心。 入侵检测系统对访问应用服务器的连接进行深层检测:对各级安全域的访问会话进行监控,记录访问者的操作行为;与防火墙系统进行联动,对非授权行为或攻击事件进行自动阻断,并进行记录;将安全事件汇总给安全管理中心,支持全局统一审计要求。 漏洞扫描系统对操作系统、网络产品、安全产品、数据库和服务器进行漏洞检测和漏洞分析。对安全产品漏洞检测,防止安全产品自身存在安全隐患,防止黑客利用这些漏洞进入内部网或重要安全区域,对交换机、路由器设备进行漏洞扫描;对内部网服务器进行定期扫描,及时了解新的系统漏洞;对内部网的客户端进行漏洞扫描,防止内部网出现蠕虫病毒或其它利用系统漏洞的木马程序。