视频终端安全准入系统
解决方案
?2024奇安信集团■版权声明奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权,本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容,除另有特别注明外,所有版权均属奇安信集团及其关联公司所有;受各国版权法及国际版权公约的保护。对于上述版权内容,任何个人、机构未经奇安信集团或其关联公司的书面授权许可,不得以任何方式复制或引用本文的任何片断;超越合理使用范畴、并未经上述公司书面许可的使用行为,奇安信集团或其关联公司均保留追究法律责任的权利。目录
一、背景.....................................................................................................3二、目前视频专网的安全形势.................................................................3
2.1、网络摄像头资产很难及时发现和全面统计...................................42.2、视频设备缺乏有效监测.....................................................................42.3、非法设备接入安全风险.....................................................................42.4、网络边界模糊的安全风险.................................................................42.5、前端摄像头设备健康状态安全风险....................................................42.6、管理工作站安全风险............................................................................52.7、数据泄露安全风险................................................................................5
三、视频终端安全准入整体解决方案....................................................5
3.1、精准的资产发现和识别........................................................................53.2、前端设备的接入和仿冒控制................................................................63.3、前端设备的安全基线及状态监测........................................................73.4、视频网络边界的接入发现和控制........................................................73.5、视频监控平台实名认证和追溯............................................................83.6、视频取证工作站安全和数据防护........................................................83.7、可视化大屏数据综合展示....................................................................9
四、方案优势...........................................................................................10
一、背景
随着平安城市、雪亮工程、天网工程等视频专网多年的建设,一张覆盖社会基本监控面的视频采集网络已经徐徐展开,以公安视频监控资源为基础、其它党政机关、社会监控资源为辅的公安视频专网是实现城市安全和稳定的重要保障,是“平安城市”建设的基础。在目前公安视频专网的建设过程中,各地基本完成海量前端设备部署,各级公安机关遵循“建为用,用为战”的原则,后续逐渐将工作重心由前期建设转向实战应用,同时也更加重视视频专网的安全建设和运维管理。
为规范公安视频传输网建设和管理工作,有效保障公安视频传输网运行效能和网络安全,公安部、发改委等提出了多项指导建议和指南,其中《关于加强公共安全视频监控建设联网应用工作的若干意见》,《关于加强公安视频监控安全管理工作的通知》,《公安视频传输网建设指南》等都为实现视频传输网络安全建设和管理提供了重要依据。为了公共安全,为了真正实现治安防控“全覆盖、无死角”的保障,视频专网的安全防护将是重中之重。
二、目前视频专网的安全形势
目前视频专网规模迅速扩大并广泛应用于公共安全建设,视频取证、风险监测等领域,视频网络的安全问题也日益凸显,如:2016年,美国发生大规模断网事件,一共有超过百万台摄像头设备化身肉鸡参与了此次DDOS攻击;某监控产品摄像头存在远程执行漏洞,被提权后导致部分摄像头被境外控制,非法监测活动等问题。视频专网在建设过程中虽然采用网络逻辑隔离的方式(VLAN)等技术进行安全域的划分,但物理上仍然是同一张网络,视频专网IPC摄像头、监控终端工作站、视频NVR服务器、还有其他配套网络设备在同一张网络中,任何一个环节安全防护不到位,都有可能扩散到全网,影响整个网络的安全,目前主要面临有如下风险特性。
2.1、网络摄像头资产很难及时发现和全面统计
视频专网终端设备分布极为广泛,数量巨大,信息采集时间周期长,而且随着建设范围扩大,不断有新设备接入和端点的改造变化,基层数据维护管理不到位,发生资产信息不全、资产丢失等情况,无法建立完善的设备规范化管理机制,无法满足“一机一档”的管理要求。
2.2、视频设备缺乏有效监测
前端摄像头传输图像要求连续性极高,需要不间断运行,但又由于摄像头分布非常散,无人值守,很容易出现脱网或白屏隐患,造成视频数据不全,无法取证,无法实时监测和掌握设备的上下线,数据传输,接入等情况。
2.3、非法设备接入安全风险
视频专网主要以摄像头为主,而且无人值守,分布和接入点非常散,被仿冒接入和视频劫持的成本非常低,可以轻易进行网络入侵攻击和视频数据的非法访问,且事后很难进行追踪。
2.4、网络边界模糊的安全风险
虽然视频网络内采用逻辑隔离的方式(VLAN)等技术进行安全域的划分,但物理上仍然是同一张网络,非法人员可以使用各种网络设备插入视频专网中,如私接路由、非法外联等,网络的随意扩展造成了网络边界的不确定,也就非常容易引入安全威胁。
2.5、前端摄像头设备健康状态安全风险
前端摄像头设备如果使用了默认口令或弱口令,开放了风险端口,后门漏洞、传输不稳定等处于“亚健康”状态,网络摄像机很容易被控制,成为“睁眼瞎”,甚至设备化身肉鸡进行代理攻击,这对一些敏感区域的监控和网络都会造成严重影响。
2.6、管理工作站安全风险
视频专网中各主要节点位置都分布有若干管理电脑,主要提供视频图像的监控和调取等管理工作,此类终端缺乏有效的安全加固和集中管理措施,一旦管理终端被感染、入侵、控制,也就意味着整个视频专网暴露在安全风险之中。
2.7、数据泄露安全风险
视频专网目前监控取证PC分散部署,管理可能参差不齐,可能出现非法人员登录,非法操作,通过手机拍摄图像视频信息、外设和移动存储拷贝数据等方式,数据的泄露风险不可控,一旦重要敏感视频图像信息外发上网,涉及到追责和舆情问题。
三、视频终端安全准入整体解决方案
3.1、精准的资产发现和识别
奇安信视频准入系统采用主动识别和被动监测多种方式快速发现网络内的设备资产,通过设备特征指纹识别、自动学习等技术,发现设备类型、用户、操作系统、品牌、厂商、IP/MAC等信息,并自动归类形成“一机一档”管理体系,在混合网环境下,也可用部署终端探针,进一步增强接入发现的感知能力,扩大全网的感知范围。