鐵路綜合視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建思路探討

諸葉剛

(中國(guó)鐵路上海局集團(tuán)有限公司電務(wù)部，上海 200071)

1 概述

2017 年《鐵路綜合視頻監(jiān)控系統(tǒng)技術(shù)規(guī)范》頒布實(shí)施，鐵路綜合視頻監(jiān)控系統(tǒng)克服了體系規(guī)范不統(tǒng)一、集成化程度低、智能化程度低、共享性差等發(fā)展中存在的問(wèn)題，日益成為鐵路安全運(yùn)行的重要保障系統(tǒng)，但鐵路綜合視頻監(jiān)控系統(tǒng)一直以來(lái)都是按照專(zhuān)網(wǎng)模式建設(shè)發(fā)展，網(wǎng)絡(luò)安全問(wèn)題未得到充分的重視，已成為鐵路綜合視頻監(jiān)控系統(tǒng)日益引起重視的研究課題。典型的鐵路綜合視頻監(jiān)控系統(tǒng)組網(wǎng)，如圖1 所示。

2 鐵路綜合視頻監(jiān)控系統(tǒng)存在的安全問(wèn)題分析

視頻監(jiān)控系統(tǒng)在其他行業(yè)應(yīng)用過(guò)程中所發(fā)生的安全事故，包括病毒入侵網(wǎng)絡(luò)、攝像機(jī)被控制、通過(guò)攝像機(jī)攻擊網(wǎng)絡(luò)、越權(quán)訪問(wèn)等，在鐵路行業(yè)應(yīng)用過(guò)程中也時(shí)有發(fā)生。分析這些安全問(wèn)題的成因，可以歸結(jié)為視頻數(shù)據(jù)源、前端攝像機(jī)、網(wǎng)絡(luò)傳輸、存儲(chǔ)和終端管理等5 大類(lèi)安全風(fēng)險(xiǎn)問(wèn)題。

圖1 鐵路綜合視頻監(jiān)控系統(tǒng)組網(wǎng)圖Fig.1 Railway integrated video monitoring system network diagram

1）視頻數(shù)據(jù)的安全風(fēng)險(xiǎn)包含視頻文件備份不及時(shí)、被錯(cuò)誤刪除或者更改、視頻文件被盜取等。

2）前端攝像機(jī)是網(wǎng)絡(luò)被入侵的重要風(fēng)險(xiǎn)點(diǎn)，包括存在弱口令導(dǎo)致易被其他人登陸控制、攝像機(jī)的系統(tǒng)組件存在系統(tǒng)漏洞容易被侵入控制、開(kāi)放了不必要的遠(yuǎn)程服務(wù)導(dǎo)致上線后容易被入侵、攝像機(jī)被拆除替換為其他終端設(shè)備成為入侵網(wǎng)絡(luò)的入口。

3）網(wǎng)絡(luò)方面則由于安全域劃分不清晰造成網(wǎng)絡(luò)安全區(qū)域之間缺少安全隔離，在安全事件發(fā)生時(shí)，受波及范圍會(huì)迅速擴(kuò)大且難以控制?？臻e的網(wǎng)絡(luò)端口可能會(huì)被接入非法終端，網(wǎng)絡(luò)和系統(tǒng)存在的安全漏洞容易被不法人員進(jìn)行攻擊。

4）各類(lèi)視頻相關(guān)服務(wù)器作為最重要的系統(tǒng)核心單元，也是網(wǎng)絡(luò)入侵者的主要攻擊目標(biāo)，存儲(chǔ)方面的安全風(fēng)險(xiǎn)主要包括視頻服務(wù)器安裝的操作系統(tǒng)和軟件，本身存在安全漏洞，可能被病毒或黑客入侵。視頻服務(wù)器的外設(shè)接口可能成為外界安全侵入的入口，內(nèi)部人員可能通過(guò)視頻服務(wù)器的外設(shè)接口，如USB 口引入病毒等有害程序。管理人員在服務(wù)器上進(jìn)行管理操作，可能因?yàn)槭д`等原因錯(cuò)誤刪除或者更改文件、配置等。

5）視頻終端也是網(wǎng)絡(luò)被入侵的一個(gè)關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，其主要安全風(fēng)險(xiǎn)包括視頻終端的身份可靠性不能保證。綜合視頻監(jiān)控網(wǎng)絡(luò)是一張覆蓋全路的大型網(wǎng)絡(luò)，全網(wǎng)沒(méi)有部署可靠的身份認(rèn)證系統(tǒng)，不能保證視頻終端的操作都是被授權(quán)和可信任的。視頻終端安裝的操作系統(tǒng)和軟件，本身存在安全漏洞，可能被病毒或黑客入侵。視頻終端的外設(shè)接口可能成為外界安全侵入的入口，內(nèi)部人員可能通過(guò)視頻終端的外設(shè)接口，如USB 口引入病毒等有害程序。相關(guān)人員通過(guò)視頻終端進(jìn)行操作時(shí)，可能錯(cuò)誤刪除或者更改視頻文件。

3 鐵路綜合視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建分析

隨著鐵路綜合視頻監(jiān)控系統(tǒng)定級(jí)為等保3 級(jí)系統(tǒng)，要求系統(tǒng)所采取的網(wǎng)絡(luò)安全防護(hù)措施應(yīng)滿足《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019），確保系統(tǒng)網(wǎng)絡(luò)安全符合網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃目標(biāo)的總體要求，如圖2 所示。因此，綜合視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建整體思路應(yīng)符合安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心以及物聯(lián)網(wǎng)安全擴(kuò)展的體系框架要求和安全要素覆蓋，實(shí)現(xiàn)技術(shù)規(guī)范所規(guī)定的網(wǎng)絡(luò)與通信安全、網(wǎng)絡(luò)邊界安全、用戶(hù)訪問(wèn)安全及應(yīng)用和數(shù)據(jù)安全的總體安全防護(hù)效果。

構(gòu)建鐵路綜合視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防御體系應(yīng)保障系統(tǒng)具備與三級(jí)等保要求相適應(yīng)的安全保護(hù)能力，同時(shí)還應(yīng)滿足構(gòu)建縱深的防御體系、采取互補(bǔ)的安全措施、保證一致的安全強(qiáng)度、建立統(tǒng)一的支撐平臺(tái)、進(jìn)行集中的安全管理的總體性要求，以保證鐵路綜合視頻監(jiān)控系統(tǒng)的整體安全保護(hù)能力。

4 鐵路綜合視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建方案

鐵路綜合視頻監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全體系構(gòu)建的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)圍繞安全管理中心建設(shè)，結(jié)合節(jié)點(diǎn)保護(hù)，實(shí)現(xiàn)前端接入安全、網(wǎng)絡(luò)邊界安全、用戶(hù)訪問(wèn)安全、應(yīng)用數(shù)據(jù)安全以及系統(tǒng)日志安全，如圖3 所示。該安全體系保證實(shí)現(xiàn)的整體安全效果可以實(shí)現(xiàn)前端攝像機(jī)接入安全，有效防護(hù)網(wǎng)絡(luò)邊界安全、用戶(hù)訪問(wèn)安全、應(yīng)用數(shù)據(jù)安全以及系統(tǒng)日志安全。

4.1 安全管理中心建設(shè)方案

圖2 等級(jí)保護(hù)安全框架Fig.2 Classified security protection framework

圖3 鐵路綜合視頻監(jiān)控系統(tǒng)安全體系框架Fig.3 Security protection system framework of railway integrated video monitoring system

在網(wǎng)絡(luò)管理中心部署安全日志分析平臺(tái)、堡壘機(jī)、入侵檢測(cè)防御設(shè)備、終端準(zhǔn)入身份認(rèn)證系統(tǒng)、行為設(shè)計(jì)設(shè)備、漏洞掃描、防火墻等。日志審計(jì)分析平臺(tái)對(duì)全網(wǎng)安全設(shè)備的日志進(jìn)行收集和統(tǒng)一管理分析，把整網(wǎng)安全構(gòu)成一個(gè)體系，分析發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，進(jìn)行安全態(tài)勢(shì)分析預(yù)測(cè)，把握整網(wǎng)系統(tǒng)的安全狀態(tài)；入侵檢測(cè)防御設(shè)備部署在中心交換機(jī)，進(jìn)行網(wǎng)絡(luò)管理中心的入侵發(fā)現(xiàn)和告警；堡壘機(jī)部署在網(wǎng)絡(luò)管理區(qū)域，作為服務(wù)器和網(wǎng)絡(luò)安全設(shè)備的統(tǒng)一運(yùn)維管理入口，對(duì)網(wǎng)絡(luò)管理人員進(jìn)行設(shè)備操作時(shí)，做身份驗(yàn)證、操作過(guò)程錄像、操作日志記錄，保障運(yùn)維安全；終端準(zhǔn)入身份認(rèn)證系統(tǒng)部署在網(wǎng)絡(luò)管理區(qū)域，作為攝像機(jī)、視頻終端的入網(wǎng)身份驗(yàn)證，防止非法設(shè)備接入；行為審計(jì)設(shè)備部署在中心交換機(jī)，記錄網(wǎng)絡(luò)用戶(hù)對(duì)視頻服務(wù)器的會(huì)話行為日志；漏洞掃描系統(tǒng)可以部署在網(wǎng)絡(luò)管理中心，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行安全漏洞的掃描分析，形成結(jié)果報(bào)告，作為網(wǎng)絡(luò)安全加固的依據(jù)；病毒動(dòng)態(tài)防御部署在網(wǎng)絡(luò)管理區(qū)域，監(jiān)控和預(yù)警網(wǎng)絡(luò)病毒攻擊；防火墻串接部署在中心交換機(jī)接入鏈路的安全邊界，進(jìn)行邊界安全防護(hù)。

4.2 視頻接入節(jié)點(diǎn)建設(shè)方案

在視頻接入節(jié)點(diǎn)部署防火墻、入侵防御設(shè)備、視頻監(jiān)控安全網(wǎng)關(guān)、行為審計(jì)設(shè)備等。其中防火墻部署在節(jié)點(diǎn)交換機(jī)接入鐵路數(shù)據(jù)網(wǎng)的安全邊界，進(jìn)行邊界安全防護(hù)；入侵檢測(cè)防御設(shè)備部署在節(jié)點(diǎn)交換機(jī)，對(duì)該接入點(diǎn)的視頻服務(wù)器進(jìn)行入侵防護(hù)；視頻安全網(wǎng)關(guān)部署在節(jié)點(diǎn)交換機(jī)與存儲(chǔ)業(yè)務(wù)區(qū)之間，進(jìn)行攝像機(jī)的安全防護(hù)；行為審計(jì)設(shè)備部署在節(jié)點(diǎn)交換機(jī)，記錄網(wǎng)絡(luò)用戶(hù)對(duì)該節(jié)點(diǎn)視頻服務(wù)器的會(huì)話行為日志。

4.3 網(wǎng)絡(luò)邊界建設(shè)方案

按不同的網(wǎng)絡(luò)區(qū)域和邊界，部署相應(yīng)的安全設(shè)備，達(dá)到邊界安全防護(hù)。在監(jiān)控中心和接入節(jié)點(diǎn)，部署防火墻、視頻監(jiān)控安全網(wǎng)關(guān)、入侵防御、行為審計(jì)設(shè)備，保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界防護(hù)設(shè)備提供的受控端口進(jìn)行通信。全新下一代防火墻提供到應(yīng)用層安全防護(hù)，支持深度狀態(tài)檢測(cè)、外部攻擊防范、應(yīng)用層過(guò)濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；入侵檢測(cè)防御系統(tǒng)通過(guò)對(duì)網(wǎng)絡(luò)中深層攻擊行為進(jìn)行準(zhǔn)確的分析判斷，主動(dòng)有效的保護(hù)網(wǎng)絡(luò)安全。 配合實(shí)時(shí)更新的入侵攻擊特征庫(kù)，可檢測(cè)防護(hù)3 500 種以上的網(wǎng)絡(luò)攻擊行為，包含DoS/DDoS、病毒、蠕蟲(chóng)、僵尸網(wǎng)絡(luò)、木馬、可疑代碼、探測(cè)與掃描等各種網(wǎng)絡(luò)威脅。

4.4 用戶(hù)訪問(wèn)建設(shè)方案

在監(jiān)控中心部署認(rèn)證系統(tǒng)，對(duì)所有的入網(wǎng)終端進(jìn)行身份認(rèn)證，可支持IEEE802.1x、Portal、MAC 地址白名單等多種認(rèn)證方式。在用戶(hù)首次登陸認(rèn)證時(shí)，可強(qiáng)制要求修改密碼，保證網(wǎng)絡(luò)訪問(wèn)安全；在網(wǎng)絡(luò)管理區(qū)，部署堡壘機(jī)作為全網(wǎng)運(yùn)維的統(tǒng)一入口 ，對(duì)管理員賬號(hào)身份進(jìn)行安全管理。網(wǎng)絡(luò)管理人員進(jìn)行設(shè)備操作時(shí)做身份驗(yàn)證、操作過(guò)程錄像、操作日志記錄，保障設(shè)備維護(hù)安全。

4.5 應(yīng)用數(shù)據(jù)建設(shè)方案

在監(jiān)控中心、接入節(jié)點(diǎn)部署視頻監(jiān)控安全網(wǎng)關(guān)，對(duì)視頻監(jiān)控網(wǎng)絡(luò)的音視頻數(shù)據(jù)進(jìn)行7 層安全防護(hù)，識(shí)別及管控?cái)z像頭等設(shè)備，并結(jié)合漏洞發(fā)現(xiàn)、病毒檢殺、攻擊檢測(cè)等技術(shù)提供全面安全防護(hù)。同時(shí)具備全面、準(zhǔn)確、細(xì)致的攻擊、非法終端接入、攝像頭仿冒等安全事件記錄，形成多種多樣的數(shù)據(jù)報(bào)表，將網(wǎng)絡(luò)情況清晰、詳細(xì)的呈現(xiàn)。

4.6 系統(tǒng)日志建設(shè)方案

系統(tǒng)部署安全日志管理平臺(tái)，日志系統(tǒng)兼容大多數(shù)主流品牌的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、主機(jī)系統(tǒng)、中間件等，將異構(gòu)的安全日志信息進(jìn)行綜合分析，過(guò)濾無(wú)效數(shù)據(jù)，呈現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)。安全日志系統(tǒng)將各設(shè)備的異構(gòu)日志信息統(tǒng)一收集上來(lái)，結(jié)合日志模型庫(kù)執(zhí)行標(biāo)準(zhǔn)化編譯，經(jīng)過(guò)處理分析，組件過(guò)濾掉無(wú)效的數(shù)據(jù)和日志，最終篩選出真正有效的信息安全告警，幫助用戶(hù)快速定位網(wǎng)絡(luò)安全問(wèn)題，幫助管理者在網(wǎng)絡(luò)安全方面決策運(yùn)維。

4.7 前端接入建設(shè)方案

通過(guò)部署視頻安全網(wǎng)關(guān)設(shè)備，對(duì)攝像機(jī)進(jìn)行如下安全防護(hù)：能夠自動(dòng)發(fā)現(xiàn)和識(shí)別攝像機(jī)、能夠發(fā)現(xiàn)攝像機(jī)的安全漏洞，能夠識(shí)別視頻流和數(shù)據(jù)流，能夠?qū)α髁窟M(jìn)行病毒、攻擊、惡意代碼的過(guò)濾，能夠記錄攝像機(jī)的會(huì)話日志等。

4.8 系統(tǒng)主動(dòng)安全防御建設(shè)方案

在全網(wǎng)業(yè)務(wù)與安全日志大數(shù)據(jù)分析的基礎(chǔ)上，系統(tǒng)還應(yīng)具備未知攻擊的防范能力，變被動(dòng)安全為主動(dòng)安全防御，要求系統(tǒng)除具備傳統(tǒng)基于特征庫(kù)的防病毒防攻擊進(jìn)化為動(dòng)態(tài)防御、主動(dòng)防御，識(shí)別判斷病毒攻擊的網(wǎng)絡(luò)行為特征，利用蜜罐等技術(shù)構(gòu)建動(dòng)態(tài)防御系統(tǒng)，通過(guò)構(gòu)建一個(gè)虛擬的、動(dòng)態(tài)的、隨機(jī)變幻的局域網(wǎng)環(huán)境來(lái)提升局域網(wǎng)安全等級(jí)。動(dòng)態(tài)改變網(wǎng)絡(luò)拓?fù)?，給攻擊者呈現(xiàn)一個(gè)不斷變幻的“網(wǎng)絡(luò)迷宮”。攻擊者只要走錯(cuò)一步就會(huì)被系統(tǒng)發(fā)現(xiàn)，失去進(jìn)一步攻擊的基礎(chǔ)。結(jié)合軟件定義網(wǎng)絡(luò)（SDN）、云計(jì)算、大數(shù)據(jù)等技術(shù)，深入分析和識(shí)別網(wǎng)絡(luò)攻擊行為，能夠全面有效地抵御、識(shí)別和定位，包括APT 攻擊在內(nèi)的網(wǎng)絡(luò)攻擊行為。

5 結(jié)論

鐵路業(yè)務(wù)正常高效運(yùn)營(yíng)必須有安全體系防護(hù)的支撐保障，在安全防護(hù)體系的保護(hù)下，鐵路綜合視頻監(jiān)控系統(tǒng)將在鐵路運(yùn)營(yíng)中發(fā)揮更大的作用。同時(shí)，該安全防護(hù)體系還應(yīng)兼顧運(yùn)維管理方面的需要，實(shí)現(xiàn)交換機(jī)空閑端口管理、網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn)、網(wǎng)元設(shè)備自動(dòng)巡檢、前端終端設(shè)備有效管控、第三方應(yīng)用的網(wǎng)絡(luò)級(jí)監(jiān)控、網(wǎng)絡(luò)運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)控和預(yù)警等功能。在保障網(wǎng)絡(luò)安全、實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)正常運(yùn)營(yíng)的前提下，還應(yīng)充分落實(shí)安全運(yùn)維和業(yè)務(wù)運(yùn)維的有效結(jié)合，在保證安全防護(hù)基礎(chǔ)上盡可能降低對(duì)運(yùn)維人員安全運(yùn)維能力的要求，通過(guò)日志大數(shù)據(jù)、全網(wǎng)網(wǎng)元綜合網(wǎng)管等技術(shù)實(shí)現(xiàn)安全趨勢(shì)感知及閉環(huán)管理，實(shí)現(xiàn)安全運(yùn)維和業(yè)務(wù)運(yùn)維的有機(jī)融合。