104
I
nternet Security
互联网+
安全
近年来,随着信息化社会的发展,城市安防体系已经从传统的社会治安防范向视频图像综合性、立体化安防体系发展,视频监控在社会治安、应急处突、日常生活等各种领域的作用日益突出,从公安机关到各级行政主管部门,从政府部门到社会单位,从房产开发商到个体商户,无不将视频监控安全设备作为基础设施建设的一部分。 至今,视频监控已在人民的经济社会生活中得到了广泛应用,而庞大的视频资源也已经成为一种新的重要信息资源。可以预见到,视频资源的共享应用会越来越频繁,但由于各类视频监控系统前期建设时,建设标准、实施方式、运维机制等各不相同,且各系统处于不同的网络之中,因此,在网与网之间,如 何保证视频资源的共享以及如何保障数据信息的安全可靠,都是资源共享时亟待解决的问题。为此,国家出台了GB/T 28181、GB35114等一系列公共视频监控联网共享应用标准,对视频资源的联网共享进行了规范。
网络间资源共享需要考虑的首要问题即是信息安全问题,国家发布的网络安全等级保护相关标准规范中已经规范和定义了各级网络的安全计算环境、安全通信网络、安全区域边界以及定级系统的安全互联。本论文从网络间视频数据共享的需求出发,以网络安全等级保护相关标准规范为基础,结合国家GB/T28181、GB35114等一系列标准,研究设计面向网络间视频数据共享的边界安全平台,以保障视频数据共享免受干扰和破坏,维护双方网络的安全。
一、需求分析
(一)网络间视频数据共享需求
网络视频数据共享一般可分为两种情况:第一种为实时视频流的共享,前端监控点位实时拍摄的图像,经过视频编码压缩技术压缩后传输至后端视频管理平台,其他平台通过资源共享可实现视频流的实时观看;第二类为录像资源共享,视频管理平台将压缩后的监控画面存储为录像,其他平台可调阅录像资源,实现面向网络间视频数据共享的边界安全平台设计与实现
【摘要】 对于由视频监控资源共享引起的网络间边界安全需求进行分析,通过研究网络安全等级保护2.0标准体系和公共安全视频监控联网标准体系,结合实际项目经验,提出网络边界安全平台的总体架构和部署方式,该平台能够在不同安全级别网络的边界处建立可靠的安全措施,确保数据共享过程中的安全可靠,防止视频资源信息被拦截或者破坏,同时还能够防范网络内部数据被非法窃取或恶意破坏。【关键词】 视频监控 数据共享 网络边界 边界安全
资源共享。
对于不同网络间资源共享,网络间传输方式可以分为单向传输和双向传输两种,从其中一个网络的角度来看,单向传输又可以分为单向输入和单向输出。在本文中,以A、B 网络指代两个不同网络,对于A 网络,结合传输方式,存在以下三种视频数据共享的需求:
1. A 网络从B 网络单向获取视频资源,即A 网络视频平台可以从B 网络视频平台获取录像资源,或者可以直接调看B 网络的前端视频图像,而B 网络不能从A 网络获取视频资源。
2. A 网络向B 网络共享视频资源,指A 网络视频平台将经过授权的视频资源单向推送至B 网络视频平台,供B 网络用户访问查看。
3. A 网络与B 网络之间互相调用视频资源,指A 网络视频平台可以从B 网络获取视频资源,B 网络视频平台也可以从A 网络获取视频资源,视频资源可以双向交互。
(二)视频数据共享中的网络边界安全需求
跨网络之间的数据共享必然会带来一些问题和风险,数据在传输过程中,可能会被攻击者通过技术手段进行拦截或者破坏,还可能受到非法访问、恶意代码、DDOS 攻击等恶意行为威胁,网络某些漏洞也可能会被攻击者通过扫描或嗅探等方式获知,网络内部数据有可能被非法窃取或恶意破坏。
因此,网络边界应采取相应的防护措施,边界安全需求主要有:
1.具有入侵检测和防范的能力,对网络边界进行实时监测,对会话状态异常、应用行为异常、动态流量异常等疑似攻击行为进行识别,对恶意代码渗透、非法连接等行为进行防范和阻断,及时采集报警信息并进行操作处理,
2.能够实现网络间访问控制,具有黑白名单功能,对于网络端口,可以基于应用层协议进行命令级控制,能够对网络流量、网络连接数等加以限制。同时采取
105
I
nternet Security
互联网+安全
桥壳身份认证手段,确保用户是合法的。
3.对视频数据进行完整性检测,保证数据传输过程中不被非法篡改,同时采用加密手段,保证数据不被窃取。对于视频数据,为防止被篡改和伪造,应预先设定视频数据格式并注册,传输过程中对视频数据进行实时分析、过滤,及时阻断不正常视频数据和报警。
4.能够对边界进行动态实时监测,记录设备运行状况、网络流量、用户行为等,进行安全审计和关联分析,能够对网络行为进行为溯源。
污水处理方法
二、关键技术
(一)等保2.0标准体系
网络安全等级保护2.0标准体系对网络安全等级进行了定义,第一级到第四级网络安全等级在边界防护方面的要求不完全一致,如表1所示:
表
1 不同网络安全等级的边界安全要求
边界安全要求
安全子类
等保级别
一级二级三级四级边界防护接入端口安全可控
应应应应限制非授权联网
------应应阻断非授权联网---------应访问控制设置访问控制规则应应应应根据会话状态信息允许
/拒绝数据流进出
---应应应基于应用协议和内容控
制数据流进出---------应入侵防范外部入侵防范
---应应应分析、记录、报警等网
络攻击行为
-
-----应应恶意代码防范恶意代码防范---应应应垃圾邮件防范垃圾邮件防范------应应安全审计安全审计
---应应应可信验证可信验证、报警
可可可可动态验证
------可可动态关联感知
---------可
在数据共享过程中,应在满足各定级系统之间互联的安全目标的基础上,采用相应策略对共享信息流进行安全控制,确保网络安全和数据安全。
(二)公共安全视频监控联网标准体系
图1 视频平台互联结构示意图
《公共安全视频监控联网信息安全技术要求》(GB35114-2017)和《公共安全视频监控联网系统信息传输、交换、控制技术要求》(GBT28181-2016)等相关标准保证了视频传输过程中的媒体信息以及控制信令信息的安全性。
如图1所示,在视频信息传输过程中,视频媒体流宜通过具有安全功能的媒体服务器传送,信令控制流与视频媒体流分开,通过信令安全路由网关进行传送,同时视频密钥系统实现证书信息的查询和交换。
投票机三、边界安全平台设计与实现
为了满足网络间视频资源共享的需求,同时保证数据信息的安全性以及各网络的自身安全,应在两个网络间建设边界安全平台,边界安全平台的总体架构如图2所示:
图2 边界安全平台系统架构图
由于边界安全平台处于两个网络之间的位置,在进行建设时,应按照“谁需求谁建设”的原则,以满足实际需求为基本目标,由需求方所在网络进行建设和运行维护。
边界安全平台具备访问控制、入侵检测、安全审计等安全功能,根据数据共享的不同需求,针对性部署视频安全接入系统(单向)、视频安全交换系统(双向)或视频单向通信设备,以保证视频数据信息的完整性和机密性。各部分实现方式及部署效果分别如下:
(一)访问控制功能
实现方式:部署防火墙设备。
水平多关节机器人
部署效果:通过防火墙的包过滤规则制定黑名单对所有访问市局视频信息网的访问行为进行过滤和控制,并利用防火墙的状态检测对非法攻击行为进行连接,保证本地网络的安全、稳定。
(二)入侵检测功能
实现方式:部署入侵检测系统。
部署效果:提供深度防护和合规性支持,屏蔽已知漏洞以防止其被无限制利用,全面防止拒绝服务攻
I nternet Security
互联网+安全
击(DoS)及端口扫描以减少攻击层面。提供最新的漏洞探测及防护规则,防止恶意软件感染、漏洞利用和SQL注入、命令注入、Webshell攻击、XSS攻击、CSRF攻击、阻止应用层攻击和非法获取权限,进而保护市局视频信息网络,防止已知攻击和零日攻击的入侵。
(三)安全审计功能
实现方式:部署集中审计系统,
部署效果:实现对链路中网络流量信息、设备日志信息以及业务应用信息的全面审计。
基因测序仪(四)视频安全接入系统(单向)
实现方式:部署视频接入服务器(前端)、单向光闸、视频接入服务器(后端)。
部署效果:实现视频数据检查、用户身份认证、权限管理、警告管理和审计管理等功能。
1.视频数据安全检查
数据源检查,检查数据的来源,阻止非法设备发送的数据接入,也阻止非法用户发送的数据送出;
数据格式检查,检查数据是否符合规定格式,包括是否符合IP包和TCP/UDP包的格式;
协议包检查。包括格式检查和内容检查,理解协议内容,判断内容是否合法;
敏感信息检查,对内向外传输的信息执行敏感信息检查,防止敏感信息外泄。
2.用户身份认证
支持与数据证书体系对接,支持证书链认证,支持证书撤销列表(CRL)下载、验证,保证接入用户身份的合法性;
3.权限管理
可以根据视频接入平台的需要,设置角,指定相应的资源访问权限,防止非授权访问和越权访问;
4.告警管理
系统提供对各类设备的告警设置、告警上报收集、日志记录以及告警故障分析,提供告警通知。
5.审计管理
对平台中每条链路进行实时监控分析、以报表的形式显示告警统计信息、以报表形式显示日志统计情况等。
(五)视频单向通信设备
实现方式:部署单向导入前置机、单向光闸、单向导入服务器。
部署效果:采用物理方式构造信息单向传输的唯一通道,实现信息单向传输,即信息只能由一个安全域向另一个安全域传输,并保证反方向无任何信息传输或反馈,实现数据单向传输。
1.导入前置机:通过安全的协议,对共享数据进行格式和内容安全检查,最后统一通过单向光闸设备
导向到位于另一端的导入服务器,并进行传输过程的审计。
2.单向光闸:利用光的单向性的物理特性,保证数据仅能单向传输。
3.导入服务器:接收并检验数据完整性,实现对接收的数据进行完整性检查,对异常数据进行阻断并告警;提供业务数据日志审计功能。
(六)视频安全交换系统(双向)
实现方式:部署视频交换服务器(前端)、网闸、视频交换服务器(后端)。
部署效果:实现视频数据检查、用户身份认证、权限管理、警告管理和审计管理等。
(七)安全监测与管理功能
实现方式:部署安全监测与管理系统
部署效果:所有边界保护平台内的关键设备都必须开启审计功能,通过接口将每个设备的日志抄送给安全监测与管理系统。审计内容包括这些设备的登录事件、配置更改事件、报警事件、故障信息等等。
四、结束语
本文研究设计的网络边界安全平台,适用于视频数据共享中的网络边界安全需求,能够满足网络安全等级保护标准体系中在网络边界防护方面的要求,能够对数据传输过程进行实时监测,防范、预警和阻断非法网络攻击行为,防止数据共享时被篡改和伪造,具有一定的实用性。但任何安全措施都不是绝对安全可靠的,边界安全是网络安全防御的重要部分,在实际运维过程中,应有相应的安全管理制度相配套,技术与管理相结合,以达到立体化安全防御的目的。未来随着云计算、边缘计算、人工智能等新技术的普及,网络安全模型将由传统架构向零信任安全架构方向发展,如何构建零信任安全边界,保证数据更加快速、更加安全的共享,将成为下一步研究的重点。
作者单位:赵宏伟 黄岗 李雪雷 河南省信息咨询stimulsoft
设计研究有限公司
参 考 文 献
[1]周平青.公共视频安全中联网和共享平台的技术要点[J]. 中国市政工程, 2019, 203(02):46-49.
[2]任莉,赵建伟,张锦,等.省级公共安全视频监控建设联网应用平台总体技术架构和联网资源整
合研究[J]. 大众标准化, 2016,(12):36-41.
[3]韩秀德, 陈昌前. 移动警务信息资源跨网络边界安全共享策略研究[J]. 警察技术, 2018,(5):45-46.
[4] GBT 25070-2019,信息安全技术 网络安全等级保护安全设计技术要求[S].
[5] GBT 28181-2016,公共安全视频监控联网系统信息传输、交换、控制技术要求[S].
[6] GB 35114-2017,公共安全视频监控联网信息安全技术要求[S].
106
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议