国家 / 地区
docurl=/cn/Solution/IndustrySolution/Public_security/Solutions/201811/1132885_30004_0.htm

“横向到边 纵向到底”视频监控网安全解决方案

【发布时间:2018-11-22】

一、 背景介绍

视频监控网安全建设依据

《中华人民共和国网络安全法》总则第五条要求监测、防御、处置网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏。

国务院、中央综治办、公安部、交通运输部等中央九部委联合下发的《关于加强公共安全视频监控建设联网应用工作的若干意见》要求视频传输网实现“全程可控”,严格安全准入机制,加强网络安全传输,提升安全防护能力。

国家网信办关于《关键信息基础设施安全保护条例(征求意见稿)》第十八条要求政府机关运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围。

公安部关于《安全防范视频监控联网系统信息传输、交换、控制技术的要求》中明确对视频传输网的安全规范提出了要求,包括视频安全边界,视频链路质量等一系列标准。

公安部关于《视频传输网络建设指导意见》中明确对公安视频传输网的架构,安全能力,安全部署方式等内容作出了详细的规范。

视频监控联网安全现状

1、公安/交警视频专网前端设备无法部署有效安全管控策略,前端与后端业务平台直连:

前端IP摄像机与网络核心、业务平台直接连通,网络中缺少有效的安全管控手段

攻击者可利用分散在城市各处的前端设备接入到整个网络中,攻击核心业务系统,窃取保密信息

2、点多面广,难以管控:前端IP摄像机数量庞大,而且地理位置分散,难以管控

3、传统安全,无法部署:传统方案无法提供可支撑海量终端、海量数据的安全防护

4、物联网病毒:

Mirai病毒:DDOS(分布式拒绝服务)——半个美国互联网瘫痪

BrickerBot病毒:PDOS(永久拒绝服务攻击)——物联网设备变“砖”

图 1视频监控联网安全现状

二、 “横向到边 纵向到底”建设内容

根据公安部《视频传输网络建设指导意见——安全部分》规划,新华三设计出一套公安视频监控网安全架构:

公安视频传输网是指独立于公安信息网,采用专线或虚拟专网方式建设的,专门用于支撑视频图像服务及汇接各层级图像信息的专用网络。包含前端接入区、系统应用区、纵向边界区、横向边界区四个部分,横向边界区又细分为互联网接入、其他专网接入、公安信息网接入三个部分。为了能够更好的实现安全管控,建议横向边界区尽可能的集中在省/市一级的视频专网,避免边界分散带来的安全隐患。

图 2公安视频监控网安全架构

下面,将详细阐述横向到边的三部分应用方案和纵向到底的应用方案。

横向边界区——互联网资源共享链路安全

在公安视频传输网边界部署互联网资源共享链路,实现公安视频传输网向互联网视频资源安全共享;

包括防火墙、安全审计、视频数据单项传输,共计3项安全能力;

横向边界区——专网视频资源交互安全

建设视频资源交互链路,实现公安视频传输网内用户主动访问其他专网视频资源,以及其他专网内用户主动访问公安视频传输网授权视频资源;

包括防火墙、安全审计、入侵检测、安全检测管理平台、视频安全接入系统,共计5项安全能力;

横向边界区——专网数据资源交互安全

建设数据资源交互链路,实现视频专网与其他专网之间双向的数据资源(数据库和文件等)共享与安全交换;

包括防火墙、安全审计、入侵检测、抗DDoS、安全检测管理平台、安全数据交换系统,共计5项安全能力;

纵向到底

在省——市——区各级单位之间部署纵向安全接入链路,以保证各单位之间访问的安全合理;

包括防火墙、入侵防御、应用控制、安全检测管理平台,共计4项安全能力。

三、 H3C解决方案

新华三针对“横向到边 纵向到底”的解决方案是通过前端采集器、视频准入网关、物联网管控平台、安全态势感知平台四款产品相结合,部署一整套针对公安视频监控网的安全解决方案。其中,前端采集器包含应用识别、威胁发现、资产状态识别等功能,为安全态势感知平台及物联网管控平台提供信息。视频准入网关通过配置流量白名单等方式实现精细的视频流量识别及管控,视频准入网关可以作为物联网及安全态势感知平台的动作执行单元。物联网管控平台负责对全网资产进行识别,对全网的资产状态进行监控,通过前端采集器收集资产状态信息,通过准入网关进行阻断。安全态势感知平台实现全网安全事件关联分析,辅助安全决策,同时对全网日志进行采集,作为安全日志审计平台。