公安信息网视频监控安全接入解决方案及对策.docx

公安信息网视频监控安全接入解决方案及对策.docx

《公安信息网视频监控安全接入解决方案及对策.docx》由会员分享，可在线阅读，更多相关《公安信息网视频监控安全接入解决方案及对策.docx（15页珍藏版）》请在冰豆网上搜索。

公安信息网视频监控安全接入解决方案及对策

公安信息网视频监控平安接入解决方案

2011年3月

一、概述

公安信息网〔公安网〕目前是星型拓扑构造，由一、二、三级主干网和接入网组成。

公安部至各省公安机关主干网为一级网络，省级公安机关至所辖地市公安机关的网络为二级网，地市级公安机关至所辖县区公安机关的网络为三级网络，基层科、所、队到分局或市局的网络为接入网。

公安网络系统的主要功能是为各级公安业务部门提供语音、数据、图像等交换和传输效劳。

公安数据业务包括人口、治安、交管、刑侦、预审、出入境管理等二十多种业务的信息传输与查询；办公自动化、电子等部管理数据；公安部信息浏览等业务，文字、图表、动、静态图像等数据的传输和交换。

在视频监控应用的接入过程中，公安信息通信网面临很大风险。

例如来自外网的各种攻击、入侵、植入木马、探头〔信息搜索代理Agent〕和病毒等威胁；各类设备上的后门有可能受控启用，造成信息失控、设备故障；外勾结造成的部重要信息通过视频应用通道泄漏；由于误操作、非授权访问等造成的信息丧失、失控等问题。

由于社会治安视频监控网络采用的网络传输环境复杂，前端系统〔视频监控点〕覆盖面广且管理部门不统一，因此，公安部制定了?

公安信息通信网边界接入平台平安规?

，严格制定了公安网与外网间信息交换的标准、架构、平安等技术要求，各级公安机关都必须按照规要求建立外网接入公安网的平安体系架构，治安视频监控网络也必须通过规的平安隔离接入平台接入公安网，本方案专门针对视频监控中的平安风险设计满足管理、平安、性能需求的解决方案。

二、视频监控业务及平安防御难点分析

2.1视频监控业务分析

社会治安视频监控系统是防、打击XX犯罪的重要技术手段之一，目前，省公安系统已经根本建立完成了覆盖全省的综合视频监控系统，并且取得了良好的实际效果，有力地协助公安机关快速、准确打击罪犯。

社会治安视频监控系统不仅仅是由公安机关建立和管理的专用网络，而是集中了全社会资源建立的视频综合数据传输网络，该网络包含三类视频监控点资源：

一类为主要干道、出入口、要害部位、人流密集地段和案件高发部位。

二类为治安复杂地段、人员聚集点、娱乐场所、商业街区、大中型居民住宅区、重要企事业单位以及金融珠宝网点等。

三类为一般的治安复杂点、街巷死角和局部社会单位如学校、幼儿园、医院及新建商场、办公大楼外围。

2.2公安网视频监控应用的平安防御难点分析

公安网视频监控应用的主要平安防御难点表现在：

〔1〕传输容平安过滤困难。

视频应用区别于WEB、数据库等其他应用的主要特点在于其传输的容为二进制图像数据流，因此，如何有效防止XX的病毒、木马数据嵌入视频应用中传输成为必须解决的问题。

〔2〕防止网泄露XX信息困难。

由于视频监控的访问具有双向性，即局部公安网视频监控需要对外向其他政法等单位提供，公安网也需要访问大量一、二、三类视频监控资源，如何有效防止木马程序利用视频通道泄露公安网XX数据也必须加以可靠解决。

〔3〕应用协议控制困难。

由于行业特殊原因，视频监控协议始终没有制定标准，导致各视频厂家协议差异较大，不兼容现象普遍，平安控制难度大。

三、建立标准与目标

3.1建立标准

本方案严格按照公安部相关视频接入平安标准及体系架构设计，满足各类公安网视频平安接入环境的要求，主要依据标准包括：

未定编号公安信息通信网边界接入平台平安规

未定编号公安信息通讯网边界接入平台平安规〔试

行〕视频专网

GA/T367-2001视频平安监控系统技术要求

GB/T20279-2006网络和终端设备隔离部件平安技术要求

GB17859-1999计算机信息系统平安保护等级划分准那么

GA/T669-2006城市监控报警联网系统通用技术要求

3.2建立目标

依据公安部相关规定和公安信息通信网现有平安根底设施、依据公安网边界平安隔离接入平台规要求，建立具备平安性、可管理性、高性能、高可靠性的社会监控视频接入平台，实现公安网平安、视频接入区域边界平安、通讯容平安、访问权限平安等。

包括：

●平安性：

确保外网在访问视频数据时防止携带病毒、木马等程序进入公安网，防止可能存在的木马利用视频接入通讯通道泄露公安XX信息；

●完整性：

确保视频数据在传输中不被恶意篡改；

●可用性：

确保视频接入业务能够满足性能需求，平安正常运行；

●可审计性：

能够有效监控和审计视频接入业务的运行情况。

当发生违规或异常情况时，能够及时发现、报警并处理；

●可管理性：

对于专用视频接入隔离设备运行过程能够管理和监控，具有规合理的接入业务流程，纳入日常维护管理；

●可扩展性和高可靠性：

视频接入平台应具有可扩展的，能够根据视频访问业务的扩展不断扩大接入流量，同时，具备硬件冗余容错能力。

●可集成性：

提供必要的日志和管理接口，能够与公安部隔离接入平台严密集成，将监控视频接入纳入到统一的公安信息通信网隔离接入平台管理体系中。

四、视频平安接入解决方案

4.1总体架构设计

视频接入公安网应用属于公安信息通信网边界接入平台的一种特殊应用类型存在，伟思公司根据公安部相关技术要求设计了一套符合公安平安接入规技术要求的系统。

如下列图所示，视频接入公安网主要由四局部构成：

接入对象、外部接入链路、边界接入平台视频链路接入区和公安信息通信网〔公安网〕。

4.1.1接入对象

接入对象主要指各类视频监控系统，视频监控系统主要由前端设备、存储设备、视频管理平台效劳器、视频转发效劳器等设备组成。

目前，主要的视频监控系统按接入链路划分主要可分为;

〔1〕公安自建视频监控系统

这类视频系统主要包括交警、消防和公安建立的各类直属公安管辖的监控点，这类监控点主要包括了城区主要干道、治安卡口、社区广场等。

这类视频监控系统一般采用专线方式组网并通过专线接入公安网。

〔2〕各党政机关视频监控系统

这类视频监控系统主要包括交通、环卫等单位建立的监控系统，这类系统一般可以通过政务专网接入公安网。

〔3〕社会视频监控资源

这类视频监控系统主要由社会各单位自主建立，包括网吧、酒店、公司等单位，这些视频监控系统一般由电信运营商在公网上建立视频虚拟专网，通过专线方式可接入公安网。

这三类接入对象由于所采用组网方式的平安性不同，因此，必须通过相互物理隔离的接入链路接入公安边界接入平台视频接入链路。

4.1.2接入链路

接入链路是指由视频监控系统接入公安边界接入平台的链路方式。

根据公安部的相关要求，本方案设计要求所有接入链路均为专线方式接入，由视频监控系统的核心交换机接入公安边界接入平台。

如果视频监控系统的核心交换机与公安网边界接入平台处于同一机房，可通过核心交换机直接连接公安边界接入平台的接入路由器或防火墙。

如果视频监控系统的核心交换机与公安网边界接入平台物理距离较远，那么可租用电信专线将核心交换机与公安边界接入平台的接入路由器或防火墙相连。

根据4.1.1节说明，不同类型的视频监控系统应采用物理独立的线路接入防火墙，如下列图所示：

4.1.3边界接入平台视频接入链路

该区域是视频监控系统接入公安网的核心区域。

其主要构造与公安部颁发的?

公安信息通信网边界接入平台平安规?

根本一样，包括路由接入区、边界保护区、应用效劳区、平安隔离区与平安监测与管理区五局部。

作为边界接入平台的特殊应用类型，视频接入也纳入接入平台的管理，作为其中的一条视频专用的接入链路，因此，已经建立了边界接入平台的各级公安机关可以依托现有的边界接入平台及其设备〔如边界接入管理平台、防火墙、IDS等〕，再根据视频接入规增添视频专用隔离设备〔视频专用隔离网闸〕、视频接入认证效劳器、视频用户认证效劳器即可。

对于没有建立公安边界平安接入平台的公安机关，按照公安部的接入规要求，那么需要完整的建立包括边界接入管理平台、防火墙、IDS入侵检测系统、视频专用隔离设备、视频接入认证效劳器、视频用户认证效劳器等在的整套边界接入平台。

由于视频占用带宽资源非常大，一路D1质量的视频监控画面通常到达1.2-2Mbps的带宽，因此，公安网现有基于数据交换的边界接入平台中的设备性能往往无法满足视频接入要求，在这种情况下，可以考虑在各个下级单位建立视频边界接入平台如下列图所示，或在本单位升级现有边界接入平台中的设备。

边界接入平台视频接入链路具有针对视频应用的专用平安功能，经过设备身份认证后的视频接入设备，通过专线方式接入到视频接入链路，在视频接入链路中，视频控制信令和数据的会话终止于应用效劳区，在应用效劳区，视频接入认证效劳器对接入对象进展设备认证，并对视频信令格式进展检查及容过滤，只允许合法的协议和数据通过，在平安隔离区，平安隔离设备将视频控制信令和数据进展分别处理和传输，其中视频数据为单向传输，视频控制信令为双向传输，视频用户认证效劳器对公安信息通讯网上使用视频资源的用户进展统一注册，身份认证及权限管理，仅允许认证通过的用户访问已授权的视频资源。

4.1.4公安信息通讯网

公安信息通信网边界接入平台与公安信息通讯网核心交换机相连，实现公安信息通信网各视频终端对视频监控系统〔视频专网〕的实时访问。

4.2平台平安防御体系设计

伟思视频专用平安隔离与信息交换系统由三大平安功能单元构成：

视频接入认证效劳器平安功能单元、网络隔离与视频平安控制单元和视频用户认证效劳器平安功能单元。

4.2.1视频接入认证效劳

伟思视频专用平安隔离与信息交换系统的视频接入认证效劳器平安功能单元具有强大的视频接入认证功能，能够对视频专网向公安信息通信网提供视频信息效劳的硬件设备进展身份确认制止未经过认证的设备接入公安信息通讯网。

视频接入认证效劳器平安功能单元采用设备指纹+IP&MAC绑定的多因素强认证机制对视频硬件设备进展认证，设备通讯协议指纹认证方式是利用视频设备的二次开发接口对视频设备进展扫描，通过设备的反应信息的指纹特征来验证视频设备是否为已注册的合法设备，指纹取样包括：

设备序列号、设备反应信息的关键特征HASH值以及设备IP、MAC地址等信息形成该设备独有的指纹，就像每个人不同的指纹一样，没有在接入认证效劳单元上注册的设备将被阻止接入公安网。

可以注册/认证的视频设备包括：

●DVR

●视频管理效劳器

●视频转发效劳器

●视频编解码效劳器

●流媒体效劳器

●视频模拟/数字矩阵

●存储设备

视频接入认证平安功能单元还具备视频信令协议分析和容过滤功能，能够针对不同的视频厂商的视频监控协议，分别进展协议分析和容过滤。

伟思视频接入认证平安功能单元能够分析视频信令的格式和容。

与传统容过滤功能不同，由于很多视频监控系统厂商采用二进制方式设计信令及容，因此，传统的基于ASCII或GB2312等中文编码的容关键字过滤算法无法实现对这些视频监控系统信令的协议和容检查。

伟思视频接入认证平安功能单元采用基于模式匹配的容过滤算法，能够实现对SIP、H.323、自定义协议等任何视频通讯协议格式的信令分析和容过滤，并能够阻断非法或本设备未注册视频协议的传输。

伟思视频接入认证平安功能单元除了能够实现信令请求的协议检查和容过滤功能以外，还具备对请求返回结果的容过滤功能。

伟思视频接入认证平安功能单元还在国独创性地提供了访问行为检查功能。

该功能结合信令协议和容检查，能够更有效地防止非法信令在公安外网间传输。

受制于平安策略的制订方式，单纯的信令分析和容检查功能不可能建立完善、严密的视频信令检查机制，攻击者可以在数据包的特定位置隐藏二进制编码信息进展恶意信息的外网传输。

采用访问行为检查功能能够弥补这个漏洞，访问行为检查功能将严格审查视频终端的操作步骤，不允许非法流程或信令的传输，例如，用户在未经登录的情况下就调阅视频历史记录，该步骤显然是违反正常行为逻辑的，可能是黑客利用合法指令携带的参数传输非法信息，伟思视频接入认证平安功能单元在这种情况下将立即阻断该连接，如下列图所示：

伟思视频接入认证平安功能单元的信令分析与检查功能包括：

●信令包长的完整性CRC校验

●信令报文头检查

●信令格式检查

●信令集容检查

●信令参数容检查

●信令返回信息校验

●信令行为逻辑检查功能

伟思视频接入认证平安功能单元能够终止视频设备对公安网的访问。

伟思视频接入认证平安功能单元目前能够针对华为、海康、全球眼、先进视讯、XX贝尔、烽火、大华等十多个厂商的视频监控系统提供视频控制信令分析和容过滤功能，也提供对DB33T639跨区域视频监控联网共享技术规或遵循SIP、H.323协议规的视频监控系统的支持。

4.2.2网络隔离与访问控制功能

伟思视频专用平安隔离与信息交换系统采用基于ASIC设计的硬件电子开关芯片，实现了公安网与视频监控专网的物理断开，并能够对视频数据和信令进展别离，分别独立处理和传输。

伟思视频专用平安隔离与信息交换系统采用动态端口控制功能，能够利用ip_conntrack对所有连接通道进展动态的开放和关闭，在默认状态下，视频控制信令传输通道始终开放，但视频数据传输通道关闭，只有在视频终端调用相关视频时，才动态开放对应的视频通道，并在视频画面关闭后自动关闭视频传输通道。

如下列图所示：

伟思视频专用平安隔离与信息交换系统具备强大的ACL控制功能，管理员能够设置针对源、目的IP、PORT端口、视频协议类型、时间在的访问控制策略。

4.2.3反弹木马阻断功能

视频监控应用中一个重要平安难题是：

由于视频数据流通道上是难以识别的二进制视频图像数据流，且某些视频协议需要开放大围端口，因此，在视频数据流通道上检测木马是国际难题。

本方案提出的解决思路是通过应用隔离技术将木马与视频应用程序进展隔离，确保只有视频客户端能够通过隔离区中的隔离网闸访问视频设备。

这样有效地解决了木马利用视频通道泄密或控制网的途径。

如下列图所示：

视频监控的访问方向都是由客户端向视频设备发出命令，视频设备反应信息或视频流，即都是单向由客户端发起的访问，隔离网闸通过应用隔离技术控制客户端的哪些程序能够与视频设备交互数据，就能够有效防止木马利用视频流通讯通道控制主机或泄漏XX信息。

4.2.4视频数据实时病毒检测与阻断

应用隔离技术解决了木马等非法客户端恶意程序攻击的问题，但对于病毒而言，却可以在数据层利用视频数据中夹杂恶意数据导致合法的视频客户端程序溢出并利用其传播病毒。

当正常的使用者操作程序的时候，所进展的操作一般不会超出程序的运行围；而黑客却利用缓冲长度界限向程序中输入超出其常规长度的容，造成缓冲区的溢出从而破坏程序的堆栈，使程序运行出现特殊的问题转而执行其它黑客希望执行的指令，以到达攻击的目的。

发生溢出攻击的主要原因是视频客户端执行了超长的命令参数或者是客户端对外提供了不必要的效劳功能造成的，由于视频客户端仅仅是视频的播放和控制终端，它只是请求的发起方并非效劳方，其自身并不需要对外提供任何效劳。

因此，本方案中严格要求视频客户端对外不提供任何效劳功能，视频浏览功能尽可能简化、对所有输入参数和返回值严格控制在32位以。

通过上述处理，能够有效控制数据级病毒通过视频客户端进展传播。

4.2.5视频用户认证与授权功能

伟思视频接入认证平安功能单元具备基于公安PKI/PMI数字证书用户认证与授权的功能。

采用单点登录方式，所有公安网用户只需要数字证书KEY，就可以进展视频监控系统的访问，管理者可以针对每个用户设置其不同视频资源访问权限，实现对用户视频访问的认证与授权。

在管理平台中，能够严格设置认证与授权策略，防止视频终端用户越权访问视频设备，修改视频设备参数，更改视频管理数据库。

主要权限配置功能包括：

●对能够访问视频设备的客户端IP进展策略控制

●对能够访问视频设备的客户端访问时间进展策略控制

●对能够访问视频设备的客户端程序进展策略控制

●对客户端能够访问的视频管理效劳器IP进展策略控制

●对客户端能够访问的视频管理效劳器端口进展策略控制

●对所有访问视频设备的用户进展身份认证

●按用户/用户组对客户端能够进展的视频监控行为进展授权

●根据客户端IP或用户/用户组设置能够访问摄像头的围

●根据客户端IP或用户/用户组设置是否能够检索历史录像

●根据客户端IP或用户/用户组设置是否能够控制云台

●根据客户端IP或用户/用户组设置是否能够查看历史录像

●根据客户端IP或用户/用户组设置是否能够浏览GIS数字地图

●根据客户端IP或用户/用户组设置是否能够修改视频管理数据库

●根据客户端IP或用户/用户组设置是否能够进展远程对讲

●根据客户端IP或用户/用户组设置是否能够操作报警I/O输出

●根据客户端IP或用户/用户组设置是否能够配置视频设备参数

4.3集中平安管理与日志审计

伟思视频专用平安隔离与信息交换系统作为边界接入平台视频接入链路的核心设备，能够与公安部批准的5家平台厂商的边界接入管理平台进展集成，满足边界接入平台视频链路的平安要求。

伟思视频专用平安隔离与信息交换系统提供标准的SNMPv1/v3设备管理接口和SYSLOG日志输出接口，包括合众、三所、国保金泰、天行等在的管理平台均遵循公安部对边界接入管理平台产品的要求提供SNMP和SYSLOG设备集中管理功能，因此，伟思视频专用平安隔离与信息交换系统可以与各平台厂商无缝集成，承受管理平台的集中管理，无需二次开发。

平安管理区的主要功能是通过集中监控与审计系统对视频平安接入隔离网闸的管理、运行情况和通讯日志进展平安检测与审计；进展平安设备的配置管理及日常运行维护，配置和管理平安策略、流量监测、统计分析、平安审计，并以友好及人性化界面进展展示。

管理与审计系统提供二次开发接口，能够实现各类信息的级联上报，集中报送到公安隔离接入平台。

功能主要包括以下两个主要局部：

●设备监控信息上报，能够有效将视频平安接入隔离网闸的运行状态、接口流量、在线用户情况、配置信息、报警信息等上报接入平台；

●日志与统计信息上报，对通讯日志、管理日志等日志信息，流量排名、异常情况汇总等统计信息上报接入平台；

管理与审计系统具有一套完善的平安管理构造，包括以下容：

●管理方式：

采用B/S架构，通过Web浏览器对网闸进展管理

●连接平安性：

管理机与设备间采用SSL等加密方式进展连接

●分级分权限管理：

设备管理包括用户管理员、平安策略员和日志审计管理员三种角色，用户管理员能够增加/删除用户、设备配置；平安策略员能够配置访问控制规那么，但不能配置设备属性、查看日志；仅允许日志审计管理员查看、管理日志。

●设备配置备份与恢复：

具备配置保存与恢复功能。

●统计与分析：

提供多种图形化工具显示设备工作状态、连接数量、流量等各种运行信息。

4.4高性能设计

伟思视频专用平安隔离与信息交换系统采用MIPS多核平台+ASIC硬件芯片实现了对视频访问的高性能设计，单台设备能够满足最大2000路D1质量画质的视频并发访问，1080p高清摄像头的带宽占用那么到达了每路4-8Mbps的要求，伟思视频专用平安隔离与信息交换系统高达5Gbps的吞吐性能有效保障了公安网今后对高清晰、大并发视频监控应用的性能需求。

4.5高可靠性设计

考虑到公安网边界接入平台对可靠性的要求，伟思视频专用平安隔离与信息交换系统具备双机热备功能，采用独立的HA热备接口和业领先的会话保障功能，能够实现设备切换过程中的TCP、UDP会话保持，即设备故障切换中，视频浏览不会中断。

五、主要技术性能

5.1平安功能

伟思ViGap视频监控专用隔离网闸具备以下平安特性：

Ø采用标准的2+1平安隔离体系架构，提供日志、审计与管理二次开发接口，能够与隔离平台集成，符合公安网边界平安接入规视频专用技术要求。

Ø通过建立基于ASIC芯片的8级视频流DPI平安处理流水线，使隔离网闸完全突破性能瓶颈限制，提供最高达5Gbps的吞吐性能和小于0.5ms的延时，能够满足2500路高质量D1分辨率视频并发访问。

Ø具备接入设备认证功能，能够根据视频设备硬件指纹认证视频接入设备的合法性，防止非法设备接入。

Ø具备视频数据与控制信令分别处理和传输能力，能够实现视频数据通道的单向传输。

Ø采用协议深度过滤技术和行为模式分析技术相结合，能够深入视频信令及参数进展检查和容过滤，阻断病毒、木马利用视频通道传输非视频数据，有效控制视频通道的平安使用。

Ø具备用户认证与授权功能，能够根据公安用户数字证书对视频终端用户进展认证和授权。

Ø具备平安访问控制功能，能够制订平安访问控制策略，将视频设备终止在接入认证效劳单元，不允许直接连接公安网。

Ø采用基于沙箱的病毒查杀技术，基于沙箱的病毒检测是一种完全不同于传统的基于文件扫描的病毒检测方法，它是指不经过重组复原，直接由病毒防御引擎对视频数据通道进展保护，能够有效阻断夹杂恶意代码的视频数据。

Ø系统具备强大的流量管理功能，支持WRED拥塞控制、GTS流量整形，支持WFQ/CBQ优先级队列算法，提供带宽保障能力，能够为关键应用或用户保存足够的带宽。

Ø特别根据公安普遍的视频多点接入情况，系统提供8个网络接口，且两两隔离，构成4组相互隔离的接入端口，完全满足公安网络环境。

Ø具备反弹木马防御能力，有效阻止公安网非法进程向外泄露公安XX数据。

Ø系统提供强大的报表功能，能够为管理员提供当前视频流量、系统处理性能、并发连接数、在线用户等一系列报表，为管理员提供可视化的视频监控接入管理环境。

5.2技术性能

●吞吐量：

>2Gbps-5Gbps

●系统延时：

<0.011ms-0.028ms

●并发连接数：

>20000-200000

●最大并发：

>450路D1质量，可扩展到2500路并发用户

●抗攻击性：

10000pps攻击流量下99.99%拦截率

5.3设备规格

硬件规格：

●尺寸规格：

标准2U机架式

●重量：

18KG

●电压：

100－240V，47－63HZ

●功率：

350W

●操作环境：

－5℃－50℃

●环境湿度：

5％－95％

系统接口

●网络接口：

8个100/1000MbpsRJ45以太网接口，2个SFP模块化接口

●系统控制：

1个DB9针RS232串行通讯接口，1个HA高可靠性接口

●系统显示：

2个网络连接LED指示灯