視頻監(jiān)控系統(tǒng)安全解決方案

張衛(wèi)軍

(中遠(yuǎn)海運(yùn)科技股份有限公司，上海 200135)

0 引 言

隨著監(jiān)控行業(yè)的不斷發(fā)展，視頻監(jiān)控系統(tǒng)已廣泛融入到人們的日常生活中。以數(shù)字結(jié)構(gòu)化網(wǎng)絡(luò)攝像機(jī)為核心的視頻監(jiān)控系統(tǒng)在公安、銀行、教育、商場和工業(yè)園區(qū)等領(lǐng)域得到了廣泛應(yīng)用，在維護(hù)社會(huì)治安、應(yīng)對突發(fā)事件等方面發(fā)揮了重要作用，已成人們生產(chǎn)和生活中不可或缺的一道安全屏障。然而，當(dāng)前的視頻監(jiān)控系統(tǒng)和監(jiān)控設(shè)備普遍缺乏系統(tǒng)性的安全防護(hù)機(jī)制，視頻監(jiān)控系統(tǒng)信息泄露、網(wǎng)絡(luò)攻擊事件頻發(fā)，嚴(yán)重威脅著個(gè)人、企業(yè)乃至國家的安全。

當(dāng)前，國內(nèi)主流的視頻監(jiān)控系統(tǒng)采用的安全防護(hù)措施仍以網(wǎng)絡(luò)安全防護(hù)和視頻信息加密為主。這些措施無法滿足主動(dòng)全局安全感知、主動(dòng)防御、深度巡檢和量化管理等新時(shí)代監(jiān)控系統(tǒng)的安全要求。已有研究很少對通過增加部署整體安全感知平臺(tái)提升視頻監(jiān)控系統(tǒng)的安全性的方法進(jìn)行分析。對此，本文提出一套基于安全感知平臺(tái)的視頻監(jiān)控系統(tǒng)安全解決方案，提升視頻監(jiān)控系統(tǒng)的安全防護(hù)能力，供相關(guān)研究人員參考。

1 整體安全解決方案

數(shù)字化工業(yè)園區(qū)是現(xiàn)代化建設(shè)中的重點(diǎn)項(xiàng)目之一，而園區(qū)安全問題是日常管理中需解決的重要問題。依托數(shù)字化工業(yè)園區(qū)系統(tǒng)建設(shè)的視頻監(jiān)控系統(tǒng)是數(shù)字化工業(yè)園區(qū)的重要組成部分，其打破了原有視頻監(jiān)控系統(tǒng)的信息孤島狀態(tài)，達(dá)到了數(shù)字化工業(yè)園區(qū)視頻監(jiān)控系統(tǒng)統(tǒng)一平臺(tái)、統(tǒng)一互聯(lián)和統(tǒng)一運(yùn)維的目的，實(shí)現(xiàn)了園區(qū)視頻監(jiān)控系統(tǒng)與園區(qū)內(nèi)公安平安城市視頻專網(wǎng)和政府應(yīng)急指揮調(diào)度平臺(tái)的互聯(lián)互通，充分發(fā)揮了“看、控、存、管、用”的功能，真正起到了保障工業(yè)園區(qū)安全的作用。

然而，工業(yè)園區(qū)視頻監(jiān)控系統(tǒng)的網(wǎng)絡(luò)和系統(tǒng)架構(gòu)比較簡單，前端視頻類監(jiān)控設(shè)備、傳輸設(shè)備、后端存儲(chǔ)設(shè)備和應(yīng)用系統(tǒng)直接設(shè)置在1個(gè)網(wǎng)絡(luò)內(nèi)，同時(shí)在設(shè)計(jì)和實(shí)施時(shí)未考慮部署任何安全隔離和安全監(jiān)測等設(shè)備，導(dǎo)致系統(tǒng)的安全性較差，經(jīng)常遭到攻擊。工業(yè)園區(qū)主要存在以下安全問題和安全隱患：

1) 視頻監(jiān)控前端設(shè)備部署在園區(qū)的各個(gè)出入口、道路等暴露的公共場所，極易被惡意入侵，進(jìn)而使整個(gè)網(wǎng)絡(luò)遭受侵害，導(dǎo)致核心業(yè)務(wù)系統(tǒng)無法正常運(yùn)行，大量保密數(shù)據(jù)被竊??；

2) 視頻監(jiān)控?cái)z像頭、交換機(jī)、存儲(chǔ)裝置、平臺(tái)服務(wù)器和PC(Personal Computer)終端等都是監(jiān)控系統(tǒng)的組成部分，無有效的技術(shù)手段鑒別是否存在非監(jiān)控設(shè)備接入，無法避免由此引發(fā)的安全事件；

3) 缺乏安全邊界設(shè)備，整個(gè)網(wǎng)絡(luò)互聯(lián)互通，容易遭到破解，安全性較差；

4) 監(jiān)控系統(tǒng)中的PC終端大多采用Windows系統(tǒng)，缺乏有效的防病毒和補(bǔ)丁管理措施。

為此，在綜合考慮工業(yè)園區(qū)原視頻監(jiān)控系統(tǒng)的整體架構(gòu)及其可能遭受侵害的客體和受侵害的程度的基礎(chǔ)上，選擇采用搭建可靠的安全感知平臺(tái)的解決方案。

具體而言，從安全策略、安全管理制度和安全管理單位等方面進(jìn)行安全感知平臺(tái)設(shè)計(jì)，同時(shí)考慮成本和實(shí)施的便利性，采用操作簡單、實(shí)用的方法選擇安全設(shè)備。按照國家有關(guān)法律、法規(guī)的要求和等級(jí)保護(hù)標(biāo)準(zhǔn)，結(jié)合視頻監(jiān)控系統(tǒng)的發(fā)展現(xiàn)狀和需求，以分層縱深防御和立體協(xié)同防御為設(shè)計(jì)思路，為原視頻監(jiān)控系統(tǒng)提供全方位的安全保障。改造之后的視頻監(jiān)控系統(tǒng)拓?fù)鋱D見圖1。

圖1 改造之后的視頻監(jiān)控系統(tǒng)拓?fù)鋱D

將原視頻監(jiān)控系統(tǒng)的架構(gòu)分為3層。

1) 第一層為原視頻監(jiān)控系統(tǒng)前端監(jiān)控設(shè)備的接入層。對原監(jiān)控系統(tǒng)的接入層和應(yīng)用層進(jìn)行安全隔離，通過增加部署網(wǎng)絡(luò)邊界(安全隔離設(shè)備)，進(jìn)行網(wǎng)絡(luò)隔離和安全訪問控制。通過身份認(rèn)證、訪問控制等措施，保障業(yè)務(wù)系統(tǒng)的合法使用。

2) 第二層為應(yīng)用層。通過在原核心交換機(jī)中部署流量探針、堡壘機(jī)、入侵防御萬兆防火墻和防毒墻，嚴(yán)格按安全規(guī)則對視頻監(jiān)控系統(tǒng)的所有視頻、數(shù)據(jù)等進(jìn)行過濾，將不安全或不符合安全規(guī)則的信息隔離，從而避免在原網(wǎng)絡(luò)上“直通”產(chǎn)生各類安全問題。另外，通過部署基于IP(Internet Protocol)和端口訪問控制的防火墻、全流量檢測的流量探針，將有效的數(shù)據(jù)提供給安全感知平臺(tái)，對網(wǎng)絡(luò)中發(fā)生的非法入侵、暴力破解等各種攻擊行為進(jìn)行有效攔截。

3) 第三層為安全運(yùn)維區(qū)。即搭建安全感知平臺(tái)(集檢測、可視和響應(yīng)等功能于一體的監(jiān)控系統(tǒng)安全運(yùn)維大腦)，使原視頻監(jiān)控系統(tǒng)安全可感知，運(yùn)維更方便，更有價(jià)值。

安全感知平臺(tái)可對監(jiān)控系統(tǒng)整體的安全態(tài)勢進(jìn)行實(shí)時(shí)的感知和分析，主要包括以下幾個(gè)方面：

1) 整體監(jiān)控系統(tǒng)安全感知。感知黑客攻擊威脅、正式攻擊和業(yè)務(wù)資產(chǎn)不規(guī)范等情況，對全網(wǎng)安全態(tài)勢進(jìn)行整體評(píng)價(jià)，以安全管理者的視角進(jìn)行展現(xiàn)，有效掌握監(jiān)控系統(tǒng)的整體安全態(tài)勢，方便進(jìn)行安全決策分析。

2) 系統(tǒng)外連風(fēng)險(xiǎn)感知。顯示監(jiān)控系統(tǒng)中PC機(jī)、服務(wù)器等對外部單位發(fā)起的異常訪問行為，監(jiān)視服務(wù)器是否存在外部未知威脅，從風(fēng)險(xiǎn)的外連行為、觸發(fā)的區(qū)域和訪問的目的地等維度為安全管理員提供直觀的展示。

3) 攻擊攔截。當(dāng)發(fā)生安全攻擊事件時(shí)，通過實(shí)時(shí)可視化的方式展示當(dāng)前遭受到的來自于某個(gè)區(qū)域或IP地址的安全攻擊情況、邊界安全設(shè)備和防毒墻等的攔截情況，實(shí)時(shí)反饋當(dāng)前網(wǎng)絡(luò)遭受攻擊的情況。

4) 內(nèi)部安全性分析。通過安全感知平臺(tái)，以可視化的方式展示內(nèi)網(wǎng)主機(jī)攻擊其他內(nèi)網(wǎng)主機(jī)的情況，監(jiān)測監(jiān)控系統(tǒng)內(nèi)部因中毒而發(fā)生的安全攻擊行為，及時(shí)向安全管理員發(fā)出預(yù)警信息。

5) 監(jiān)控設(shè)備和服務(wù)器漏洞分析。檢測網(wǎng)內(nèi)設(shè)備和服務(wù)器資產(chǎn)情況及包含的漏洞情況，及時(shí)修復(fù)漏洞。

6) 視頻監(jiān)控設(shè)備安全監(jiān)測。收集視頻監(jiān)控設(shè)備遭受的安全攻擊及出現(xiàn)的異常行為和異常離線等事件，對風(fēng)險(xiǎn)視頻設(shè)備地址進(jìn)行歸納，匯總每臺(tái)設(shè)備發(fā)生的所有安全事件，并基于檢測結(jié)果提供詳細(xì)的舉證信息和處置建議等。

2 主要設(shè)備的功能

基于安全防護(hù)全面、技術(shù)先進(jìn)實(shí)用、可擴(kuò)展、可用性和可靠性強(qiáng)、經(jīng)濟(jì)、管理和維護(hù)方便等目的，主要選擇入侵檢測防御系統(tǒng)(Intrusion Prevention System, IPS)、視頻安全準(zhǔn)入控制系統(tǒng)(Video Security Gateway, VSG)、網(wǎng)絡(luò)安全感知平臺(tái)和流安全分析引擎、堡壘機(jī)、漏洞掃描、審計(jì)數(shù)據(jù)中心、數(shù)據(jù)審計(jì)、業(yè)務(wù)審計(jì)引擎、內(nèi)網(wǎng)安全管理和防毒墻等設(shè)備組成安全運(yùn)維平臺(tái)，各設(shè)備的具體功能如下。

2.1 IPS

在網(wǎng)絡(luò)核心區(qū)域，IPS設(shè)備旁路部署，交換機(jī)鏡像流量，對全網(wǎng)進(jìn)行安全檢測，實(shí)現(xiàn)對網(wǎng)絡(luò)病毒、木馬、破解密碼和安全性攻擊等網(wǎng)絡(luò)入侵行為的有效防范。

2.2 VSG

在核心區(qū)域,VSG設(shè)備旁路部署,通過視頻準(zhǔn)入產(chǎn)品，實(shí)現(xiàn)視頻專網(wǎng)資產(chǎn)發(fā)現(xiàn)與識(shí)別、前端攝像頭接入控制、仿冒檢測與處置、前端攝像頭安全基線檢查與狀態(tài)監(jiān)控、視頻專網(wǎng)IP地址管理與監(jiān)測和一體化的視頻專網(wǎng)終端安全防護(hù)與管理等功能。

2.3 網(wǎng)絡(luò)安全感知平臺(tái)和流安全分析引擎

流安全引擎采用高性能計(jì)算服務(wù)器，采用并行操作系統(tǒng)，使轉(zhuǎn)發(fā)平面與安全平面并行運(yùn)行在安全運(yùn)維平臺(tái)上，采用并發(fā)方式處理，緊密協(xié)作，極大地提升網(wǎng)絡(luò)數(shù)據(jù)包的安全處理性能。安全感知系統(tǒng)利用大數(shù)據(jù)并行計(jì)算框架支撐關(guān)聯(lián)分析、流量檢測和機(jī)器學(xué)習(xí)等計(jì)算檢測模塊，實(shí)現(xiàn)數(shù)據(jù)分析協(xié)同的全方位檢測服務(wù)。

2.4 堡壘機(jī)

在運(yùn)維區(qū)域，堡壘機(jī)旁路部署，通過部署運(yùn)維堡壘主機(jī)，實(shí)現(xiàn)對內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備和邊界的訪問控制的統(tǒng)一管理。實(shí)現(xiàn)對運(yùn)維人員管理設(shè)備、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的運(yùn)維操作的審計(jì)，同時(shí)實(shí)現(xiàn)對運(yùn)維人員登錄網(wǎng)絡(luò)設(shè)備和服務(wù)設(shè)備的雙因素認(rèn)證。

2.5 漏洞掃描

在安全運(yùn)維區(qū)域，漏洞掃描設(shè)備旁路部署，定期對網(wǎng)絡(luò)中的運(yùn)行設(shè)備、各類系統(tǒng)和各種服務(wù)等IT(Internet Technology)資源進(jìn)行漏洞掃描，及時(shí)發(fā)現(xiàn)存在的漏洞，降低漏洞被利用的風(fēng)險(xiǎn)。

2.6 審計(jì)數(shù)據(jù)中心

在安全運(yùn)維區(qū)域，審計(jì)數(shù)據(jù)中心設(shè)備旁路部署，對監(jiān)控系統(tǒng)中產(chǎn)生的大量日志數(shù)據(jù)、運(yùn)行狀態(tài)數(shù)據(jù)進(jìn)行收集和關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)安全威脅。

2.7 數(shù)據(jù)審計(jì)

數(shù)據(jù)審計(jì)設(shè)備旁路部署，核心交換機(jī)流量鏡像給設(shè)備，配置單獨(dú)的帶外管理系統(tǒng)，實(shí)現(xiàn)對數(shù)據(jù)非法操作的告警和審計(jì)。通過對業(yè)務(wù)人員訪問系統(tǒng)的行為進(jìn)行記錄等，幫助用戶進(jìn)行事前規(guī)劃預(yù)防、實(shí)時(shí)監(jiān)視及違規(guī)行為響應(yīng)、合規(guī)報(bào)告和事故追蹤溯源，促進(jìn)核心資產(chǎn)的正常運(yùn)營。實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)服務(wù)設(shè)備的流量，解析各種操作結(jié)果，提供日志報(bào)表系統(tǒng)分析功能，為事后分析和取證提供證據(jù)。

2.8 業(yè)務(wù)審計(jì)引擎

業(yè)務(wù)審計(jì)引擎設(shè)備旁路部署，對用戶訪問網(wǎng)絡(luò)內(nèi)的核心IT資產(chǎn)和服務(wù)設(shè)備進(jìn)行全面的合規(guī)審計(jì)。使用戶網(wǎng)絡(luò)滿足國家相關(guān)標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全法律的要求；使安全管理人員掌握網(wǎng)絡(luò)安全態(tài)勢和各類關(guān)鍵業(yè)務(wù)系統(tǒng)的訪問情況，及時(shí)有效地發(fā)現(xiàn)安全風(fēng)險(xiǎn)，降低各類網(wǎng)絡(luò)信息資產(chǎn)遭到損壞和竊取的風(fēng)險(xiǎn)。

有效還原安全事故的發(fā)生過程，當(dāng)安全事故發(fā)生時(shí)，可及時(shí)定位到責(zé)任人。

2.9 內(nèi)網(wǎng)安全管理

終端安全管理系統(tǒng)通過管理中心(部署于虛擬機(jī)中)和PC終端部署EDR(Endpoint Detection and Response)終端安全管控組件，安全策略統(tǒng)一下發(fā)，實(shí)現(xiàn)桌面運(yùn)維、安全防護(hù)、終端審計(jì)、移動(dòng)存儲(chǔ)管理、準(zhǔn)入控制和補(bǔ)丁分發(fā)等功能。

2.10 防毒墻

防毒墻支持對可執(zhí)行、庫、郵件、腳本、DOS可執(zhí)行和圖片格式病毒的查殺，對各種蠕蟲病毒攻擊的防御，對未知病毒的識(shí)別和阻斷，對詳細(xì)病毒日志的查詢和統(tǒng)計(jì)，以及日、周、月的日志報(bào)表功能，發(fā)送日志信息給管理員等。

3 安全防護(hù)效果驗(yàn)證

采用上述方案在某工業(yè)園區(qū)部署該安全感知平臺(tái)，其監(jiān)控中心界面見圖2。該平臺(tái)部署完成之后，實(shí)際應(yīng)用發(fā)現(xiàn)，其能直接、簡潔地對園區(qū)內(nèi)的安全態(tài)勢進(jìn)行實(shí)時(shí)展示，輔助管理人員實(shí)時(shí)了解監(jiān)控系統(tǒng)的“健康狀況”，從而更好地對園區(qū)進(jìn)行安全管理。

圖2 安全感知平臺(tái)監(jiān)控中心界面

1) 該平臺(tái)具有圖形化展示模塊，可顯示全網(wǎng)業(yè)務(wù)對象的訪問關(guān)系與被入侵業(yè)務(wù)情況、流量分析、監(jiān)控系統(tǒng)存在的漏洞和安全日志(展示支持所有安全設(shè)備的安全日志匯總)等內(nèi)容。

2) 該平臺(tái)能將原監(jiān)控系統(tǒng)的單點(diǎn)單設(shè)備安全提升為系統(tǒng)整體安全，將單臺(tái)設(shè)備預(yù)警提升為整體預(yù)警，將片面管理提升為集中化管理，從而強(qiáng)化安全防護(hù)效果。

3) 該平臺(tái)部署完成之后，可通過對全網(wǎng)視頻監(jiān)控設(shè)備進(jìn)行安全風(fēng)險(xiǎn)掃描，形成風(fēng)險(xiǎn)評(píng)估報(bào)告(見圖3)，包括財(cái)產(chǎn)風(fēng)險(xiǎn)、服務(wù)器設(shè)備風(fēng)險(xiǎn)和辦公效率風(fēng)險(xiǎn)等，以便及時(shí)發(fā)現(xiàn)被保護(hù)對象存在的各類風(fēng)險(xiǎn)。管理者可根據(jù)具體的風(fēng)險(xiǎn)情況和詳細(xì)介紹進(jìn)行風(fēng)險(xiǎn)處理。

圖3 整體風(fēng)險(xiǎn)評(píng)估報(bào)告

4) 當(dāng)出現(xiàn)黑客攻擊的情況時(shí)，通過該平臺(tái)的攻擊防御功能(見圖4)，能及時(shí)阻止黑客通過某監(jiān)控設(shè)備弱口令薄弱環(huán)節(jié)發(fā)起的暴力破解行為，對其進(jìn)行有效攔截，提供全面的攻擊防護(hù)。

圖4 攻擊防御界面

5) 通過該平臺(tái)的漏洞掃描功能(見圖5)，可實(shí)現(xiàn)對園區(qū)監(jiān)控系統(tǒng)中所有的前端監(jiān)控設(shè)備、PC終端和服務(wù)器等設(shè)施的漏洞情況的主動(dòng)掃描識(shí)別，盡可能地確保提前發(fā)現(xiàn)、提前修復(fù)，從而有效保障設(shè)備的安全，防止因系統(tǒng)或設(shè)備存在漏洞而導(dǎo)致黑客入侵。

圖5 漏洞掃描

4 結(jié) 語

本文提出了一種基于安全感知平臺(tái)的視頻監(jiān)控系統(tǒng)安全解決方案，實(shí)現(xiàn)對視頻監(jiān)控系統(tǒng)的全面安全防護(hù)。實(shí)際應(yīng)用結(jié)果表明，該平臺(tái)具有方便、靈活的特性，既能對已建成的視頻監(jiān)控系統(tǒng)進(jìn)行安全加固，又能及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的風(fēng)險(xiǎn)漏洞，并對其進(jìn)行處理，提升系統(tǒng)整體的安全防護(hù)能力。依據(jù)該方案，可根據(jù)工業(yè)園區(qū)的視頻監(jiān)控業(yè)務(wù)特點(diǎn)及其存在的安全隱患，選擇合適的安全設(shè)備搭建安全感知平臺(tái)。該方案不需要改變原監(jiān)控系統(tǒng)的部署架構(gòu)，具有較好的普適性，可推廣應(yīng)用于其他行業(yè)的監(jiān)控系統(tǒng)中。