铁道通信信号RAILWAY SIGNALLING & COMMUNICATION 2019年10月第55卷第10期October 2019Vol. 55 No. 10
任启军 商秀月 王子渊
摘 要:综合视频监控系统作为铁路安全生产的主要监控措施,近年得到了快速发展.但视频监 控系统自身的安全问题同样值得重视。依据《铁路综合视频监控系统技术规范》的相关要求,本 文将深入研究如何实现对铁路视频监控系统全方位的网络安全防护。 关键词:综合视频监视系统;摄像机;准入;安全防护
Abstract : As one major measure for monitoring the safety of railway transportation, the inte grated video surveillance system has developed rapidly over recent years. However, the security of the video surveillance system itself is also facing great risks. According to the requirements of Technical Specification for Integrated Video Surveillance System for Railway, we make a study on how to realize all-round network security protection for video surveillance system.Key words : Integrated video surveillance system ; Camera ; Access ; Security protection DOI : 10. 13879/j. issnl000-7458. 2019-10. 19256
铁路综合视频监控系统(以下简称视频系统)
具有前端监控点多且分散、使用用户多、网络接入 点多等特点,致使网络中的漏洞多,不法攻击容易 趁虚而入。铁路视频规范中提出了一些安全防护要 求,但由于大部分视频系统的建设时期较早,只是 简单的部署几台安全设备,例如防火墙,缺少具体 的、系统的、完整的防护方案。这些零散部署的安 全设备,能够起到一定的防护作用,但由于没有形 成一体化的安全防护网,导致仍存在很多安全隐 患。一旦有人发起恶意攻击,很容易造成整网的瘫 痪,使铁路视频系统的安全防护压力与日俱增。针 对这一现状,有必要从前端、终端、网络边界以及 视频专网等方面开展综合视频监控系统安全防护平 台的研究。任启军:中国国家铁路集团有限公司工程质量监督管理局高级 工程师 100086北京商秀月:北京鼎兴达信息科技股份有限公司工程师100038 线切北京王子渊:中铁第五勘察设计院集团有限公司高级工程师
102600 北京
收稿日期:2019-05-06
1 安全研究
1. 1前端摄像机
铁路沿线、车站站区、车站内部等区域部署了 大量的模拟摄像机,近年来逐步发展为1P 摄像机。 由于部署分散,且缺乏有效的安全管控手段,有可 能出现电脑终端设备替换前端IP 摄像机并访问视 频网络的安全问题,这些前端设备接入点就成了安 全隐患点。因此,有必要采取有效的前端设备安全 防护措施。
1.2用户终端
视频系统在各路局应急指挥中心、公安部门、 客运部门、电务等维护部门都设置了视频终端。由 于视频终端数量众多、设置分散,且操作人员众
多,对视频终端使用人员的非法操作难以实时监
测,导致视频终端成为安全隐患点。为了避免造成
不必要的数据泄露,防止非法攻击从视频终端入侵
视频系统,需要采取针对视频终端的有效管理 手段。重型工程洗轮机
铁道通信信号2019年第55卷第10期
1.3网络边界
各视频节点间、视频终端和视频节点间的互联互通是通过数据通信网承载的,而它又同时承载了铁路十多种业务,目前对各业务系统的安全隔离仅通过VPN划分来实现,防护等级较低。为避免非法攻击通过数据通信网进入到视频系统,需要在视频系统和数据通信系统的物理连接处进行安全防护。
1.4视频专网
视频系统中存在着大量的网络设备和终端设备,其自身的配置是否合规也成为了网络安全风险点和安全管理重点。为了避免非法攻击者从这些设备自身的漏洞和不合理配置入手进行攻击,需要加强对系统内设备的安全检查,从而保障视频系统的安全。
同时视频专网内会出现DDOS、蠕虫等异常流量或网络异常行为,但网络内的隐患不易被察觉,影响视频网络安全,因此有必要从网络层面识别网络中存在的攻击、病毒及异常行为,通过增加网络层面的安全分析,对视频专网进行全方位的安全防护。
工业合成氨2防护方案
视频系统安全防护包括前端准入、终端管理、网络边界以及视频专网等4部分内容。
2.1前端准入
前端准入可以采用硬件准入或软件准入。
硬件准入方案,是在视频各采集节点或各I、II类节点串联硬件设备,采用多维度的数据,建立摄像机的画像,以分析摄像机的合法性,允许合法的摄像机入网,禁止不合法、仿冒的设备进入到视频网内。
软件准入方案,是基于流量分析技术,形成对视频业务的数据模型,根据该数据模型审计视频业务的合法性、合规性,以及对既有视频系统交换机的管控,在不增加其他硬件设备的情况下,实现对前端摄像机的准入控制管理,同时形成视频网IP 状态台账,便于管理人员了解视频网每个IP的使用情况。用户可以通过准入管理中的激活与锁定功能,达到允许接入网络和禁止接入网络的控制;可以通过绑定和解绑功能,将某设备的IP地址和MAC地址进行绑定,使一个IP只对应一个设备,从而能防止IP乱用、IP冲突等问题。
本文推荐软件准入的方案。
2.2终端管理
终端管理通过在视频终端安装代理软件,实现对终端的管控和防病毒管理。
终端管控包括管理端和客户端。在管理端配置管控策略,下发到已安装终端管控客户端软件的视频终端上,由终端管控软件执行对用户终端上的端口使用、用户行为、软件进程等监控,达到监测终端行
为、保护视频终端安全的目的。管控策略包括:软件的增减、进程的启动、USB端口的使用监测及禁止,文件从内而外、从外而内的行为监控,连外网监控,外连设备监控等。通过这些策略管控,有效规范使用终端的行为及软件的使用,减少因这些行为导致的终端风险。
防病毒系统包括管理端和客户端。管理端进行统一病毒库升级和策略管理,在用户终端上安装防病毒客户端,实时监测终端上是否有病毒或外来攻击,并在发现后及时处理。客户端程序主要针对杀、防、管控等几方面进行设计。病毒防护基于目前PC用户的真实应用环境和安全威胁而设计,综合考虑系统所面临的各种威胁和困境,有效地解决病毒、木马、黑客侵害等安全问题。客户端发现病毒信息后,除了在客户端能够查看外.也会通过实时日志的方式将病毒相关信息发送到视频安全防护平台,用于告警和事件追踪分析。
2.3网络边界
随着网络技术的发展,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击;攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层、传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的体攻击行为上,其攻击行为有明显的政治或经济诉求目的,对网络信息业务系统安全造成极大隐患。所以,网络安全防范需要多种手段相结合,从更高级别的网络应用层面
RAILWAY SIGNALLING&COMMUNICATION Vol.55No.102019
进行分析,提早发现网络攻击/渗透行为,控制攻击范围。
由于铁路视频系统的视频就近存储在各节点服务器上,区域节点或I类节点可通过数据网向下调用视频,尤其在一些紧急情况下,要求获取实时、流畅的视频,所以安全防护不能影响视频业务。
根据铁路视频系统业务需求及安全防范的需求,视频监控网网络安全的边界防护应做到包括应用层在内的7层防护。而在串联链路中做7层的解包分析,可能会产生延时。为了不影响业务传输速率,建议串联部署防火墙,做4层以下的网络层控制;在节点交换机上旁路部署IDS,通过交换机的镜像流量做应用层的解包分析,在安全防护的同时,保证业务的传输速率。同时通过视频安全防护平台统一运维管控安全设备,当出现告警时,平台将利用流量数据追踪,分析事件过程,感知视频网安全态势。
表贴式永磁同步电机
防火墙部署在视频系统接入节点交换机和数据网路由器之间;入侵防范设备旁路部署在节点三层交换机上,镜像交换机的双向流量数据,在不影响网络性能的情况下能对网络进行监测。
2.4视频专网
视频专网需要在区域节点部署视频安全防护平台,实现对区域节点和各I、n类节点的安全管控。视频安全防护平台实现统一安全运维,实时监测防火墙、入侵防范等各类安全设备的告警信息,及时发现
并告警网络攻击事件。即当某一防火墙、入侵检测设备告警网络攻击时,可启动视频安全防护平台定位攻击源、目的ip;追踪攻击路径等,控制事件影响范围;通过在安全防护平台上通过鼠标点选等方式快速下发配置;在安全策略变更时,支持多节点并行下发,加快防范速度,提高运维效率。
视频安全防护平台通过收集节点交换机上的FLOW视频流量信息,分析异常流量并进行告警,如DDoS,蠕虫等;根据铁路综合视频系统业务特征,及时发现异常流量、流向,提前感知网络异常.预防网络攻击事件发生。通过与安全设备联动,当发生安全事件告警.可定位源、目的地址和协议端口,通过协议、流量、流向分析,定位受感染设备。
根据铁路视频规范要求,视频系统要记录日志。在千兆三层交换机上部署日志审计系统,统一收集视频系统中服务器、终端、网络设备、安全设备的告警日志,进行集中存储及审计。
配置漏洞扫描定时任务,定时扫描检测目标,将发现的漏洞及其安全级别、解决方法等内容返回。扫描后及时发现设备上存在的漏洞,通过处理漏洞,减少因漏洞带来的风险。例如,对视频网络中的终端、服务器、交换机等设备定时进行漏洞扫描,配置核查,出存在的漏洞及配置中不合规的内容。维护人员可根据检查结果及改进建议进行处理,提高设备的健康系数.减少由此可能带来的风险或问题。漏洞扫描采用渐进式扫描分析方法,可融合最新的操作系统指纹识别、智能端口服务识别等技术,能够准确识别被扫描对象的各种信息,发现其弱点和漏洞,并提出安全解决建议。
配置核查定时任务,采用高效、准确的识别技术,定时检测目标设备,实现对各类设备安全配置的自动化检查、分析等功能,并提供专业的核查报表与相关安全配置的建议,帮助维护人员及时发现安全配置的脆弱性,满足视频系统上线检查、第三方入网安全检查、合规性安全检查、日常安全检查等多个维度的需要。不仅可以内置大量符合防护等级规范要求的安全配置检查模板,还能结合自定义安全配置检查功能。系统通过自动化的安全配置检查,大大节省安全配置检查时间的同时,还可以避免人工检查方式带来的错误风险,从而帮助运维人员提高安全配置检查结果的准确性及合规性。
3平台建设
3.1软件架构
软件架构分为数据采集、数据处理、数据交互和数据展现4个功能部分。软件架构逻辑框图如图1所示。
1)数据采集,包括采集FLOW数据,用于分析网络安全;采集交换机配置信息,形成业务IP 台账,用于准入控制;通过终端管控和病毒防护客户端,采集视频终端事件数据及病毒分析日志。
2)数据处理,通过交换机配置信息解析,形
铁道通信信号2019年第55卷第10期
\
(~综合概览~)I )( 终端管控 )I L_基线运算数据抽取分布式存储c>关联统计
分析处理图1软件架构逻辑框图 3. 2硬件配置
安全设备须统一管理.威 胁数据需关联分析,否则分散
的管理应用不但给管理人员带
来管理负担,而且造成监控管
理效率低下,不能联合发挥安
扑克牌纸全保障作用。所以视频安全防
护应建设统一的平台,做数据
的关联分析,使安全设备统一
运维,感知视频监控网安全态
势,以保障铁路视频系统网络
安全。
视频系统安全防护包括区
域平台和接入站点2部分。根 据安全防护思路及铁路建设、
成业务IP 并更新;通过FLOW 数据与病毒或攻击 特征库匹配,出网络安全告警信息;对视频终端 事件、病毒日志及逆行统计分析。3) 数据交互,防护平台与视频交换机通过命 令交互的方式进行准入控制管理。4) 数据展现,主要包括综合概览、准入管理、
安全分析、终端管理、健康检查、配置管理等。运营特点,本着节约投资、方 便运维的原则,可将能够统一管理的系统部署在区 域节点,根据各线路建设进行软件扩容;随着线
路、站点建设,增设网络边界防护设备,并纳入区 域平台管控。可将防火墙和入侵防范设备设在接入
节点。安全防护平台的组网架构如图2所示。重点 部件及功能说明如下。
r
I
:专网全基线核査发全防护平台
日志审计终端管控闸
区
区
务备 区
服设 储用端 存应终撲执摄像机机*摄像机 模规摄像机
防病毒网图2组网架构
RAILWAY SIGNALLING&COMMUNICATION Vol.55No.102019
1)专网安全服务器上部署安全防护系统,系统采用大数据运算技术,能够深度挖掘网内成员的角信息,监测其网络行为,通过多维度的关联分析,实现安全设备运维和视频专网安全分析功能。系统采用多节点运算,如采集运算与数据库运算分布在不同的运算节点上,一方面保证数据安全,一方面保证运算效率。
打包交易
2)漏洞扫描采用软硬一体的设备.可即时扫描操作系统的漏洞情况,也可做定时任务,因深度扫描需要时间,每次任务建议不超过20个IP。
3)基线核查采用软硬一体的设备・可根据视频系统的业务、网络情况,定制核查基线,可对网络设备、安全设备、终端和主机设备做定时任务或及时检查,发现超出配置基线等不合规现象。
4)日志审计是软件系统,可部署在标准的服务器设备上,收集视频系统中的日志信息进行集中存储及审计,存储时间不低于6个月。
5)前端准入的管理系统部署在标准服务器上,通过对交换机的管控实现对前端摄像机的认证及准入控制。该系统通过与安全防护系统结合,能够对单台摄像机的行为进行监测,并阻断进行非法行为的摄像机。
6)终端管控系统可在服务器端集中管控终端策略,通过在终端上部署的管理端执行诸如关闭蓝牙、U口、禁止连接打印机、禁止连接外网等策略,同时可监测终端设备上部署的软件信息。
7)防病毒系统可在服务器端进行统一病毒库升级,通过在终端上部署的管理端执行相应的防病毒策略.防病毒系统要定期更新病毒库,保证病毒防御的有效性。网闸可在网络隔离的情况下实现病毒库的自动升级;也可手动升级,不设置网闸。
8)在视频节点与数据网的链路上串联部署防火墙设备,并根据视频系统特点部署访问控制策略,建议只开启视频业务内的IP、端口、协议等。告警信息上报安全防护系统,执行关联分析,控制事件范围。
9)在视频节点的三层交换机上镜像双向流量,旁路部署入侵检测设备,通过拆解包分析,实现网络行为的监测。当检测异常,相关的告警信息上报安全防护系统,执行关联、追踪溯源分析,控制事件范围。
4结束语
视频安全防护平台以管理、防护、分析、检查等手段相结合的方式,对视频系统的安全进行多角度防护。从前端准入、终端管控、网络边界和视频专网安全等方面入手,构建全方位一体化的安全防护体系,实现视频网络内安全防护设备的联动,将传统的点状安全防御手段,整合为立体的全面安全防护策略网,从而实现对铁路综合视频监控系统网络安全的全面防护。
综合视频监控系统作为铁路主要的安全生产监控手段,无论在新线建设还是既有线改造中都得到了重点关注和补强。然而随着网络安全环境的变化,对于庞大的视频监控业务和网络而言,视频系统的安全已逐渐成为各方关注的焦点,网络入侵、视频外泄、非法操控摄像机等行为,都将对铁路的安全运输造成不可估量的损失。对于现有的铁路视频监控系统而言,目前还没有全面的防御手段,大多数视频节点甚至处于零防御状态。针对这一安全问题,本文依据Q/CR575-2017《铁路综合视频监控系统技术要求》(以下简称铁路视频规范),并结合日常运维需求,从视频监控的前端摄像机准入、视频终端管控、网络边界安全和视频专网安全四方面进行了研究,提出了一套有效的安全防护方案,实现对视频监控系统的全方位防护,保障视频监控系统的安全稳定运行。
参考文献
[1]中国铁路总公司.Q/CR575-2017.铁路综合视频监控系统技术规范[SJ.2017.
[2]中国铁路总公司.铁总运[2016]80号.铁路视频监控系统管理办法[S12013.
[3]国家铁路局.TB10006-2016.铁路通信设计规范[S].
2016.
[4]中华人民共和国铁道部.TB10085-2009.铁路图象通信设计规范[S].2009.
[5]中国铁路上海局集团有限公司.上铁电[2016J397号.
上海铁路局综合视频监控系统运用及维护管理办法
[S].2016・
(责任编辑:诸红)
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议