700755SYS SECURITY 系统安全
摘要:传统的安全防护都是以在边界,通过匹配特征黑名单的方式进行防御,防护手段是被动的,网络状态是不可视的;随着物联网的发展,传统的安全防护思路已经逐渐落后,论文就视频监控网作为物联网的一种,对其特点和安全隐患进行了分析,同时结合业务属性,进行白名单信息防护设计,为视频监控网这个特点场景下提供了安全体系设计的核心思路。 关键词:物联网;视频监控网;白名单;行为基线;安全体系
学习卡
一、前言
随着物联网的迅速发展及基础设施通信系统的IP化,海量的视频监控设备通过网络互联将成为趋势,在公安、交警、轨道、商场、酒店等各行各业中,大量IP摄像机、抓拍器、RFID等前端设备已经大规模部署在我们身边的各个角落,当今社会已经逐渐进入物联网时代。和传统的互联网相比,具备物联网特性的前端视频监控设备数量巨大、物理部署范围更广,除了人机互联以外还包含大量的设备互联,如何保证视频监控网的全程可控和全时可用,是业界面临的全新问题。物联网前端视频监控设备大量分散在无人值守的环境下,人为监管困难,极易被黑客利用,进而渗透到整个网络,导致核心业务系统无法正常运行、大量保密信息被窃取。因此,建立完善的接入资产管控机制和设备应用管控机制是物联网安全体系建设的重要内容。
二、视频监控网面临的安全问题分析
信息系统已经成为社会各行各业不可或缺的一部分,很多信息系统上均承载着非常重要的信息,一旦信息遭到泄露或系统受到攻击,给企业乃至国家都将造成巨大的损失[1],承载着监控数据的信息系统安全问题在近几年也进一步凸显,主要体现为:矿石运输车
(一)前端摄像机私接问题
视频监控网的前端摄像机均采用IP互联方式与后台存储服务器进行实时交互,其中间往往不存在任何准入和管控机制,非授权的终端通过私接监控点位的交换机或者把摄像机进行替换,可轻松仿冒接入视频网进行非法获取数据资源; (二)前端摄像机自身漏洞被远程控制
视频监控网使用周期较长,摄像机的版本随着时间积累,容易引起漏洞利用问题,发生在2016年10月的美国最主要的 DNS 服务商 Dyn 遭遇大规模DDoS 攻击事件就是利用摄像机漏洞发起的,如果进行定期升级加固,势必会造成人力物力的大量投入,但所面临的问题仍旧是不可忽视的。
(三)视频监控网内病毒传播问题
视频监控网往往存在视频运维终端,这些终端往往需要进行视频应用系统的日常维护、视频调阅回访等指令的下发和维护,视频监控终端如果不做好安全防范的话,常常危害到视频数据系统安全,相关终端的权限管控也是不造成数据泄露的关键要素。
由于视频监控网传输的特殊性、视频监控前端安装环境的复杂性、各行各业视频监控网建设扩展的紧迫性,使得视频监控网在建设和应用过程中还存在着很多安全问题;因此,视频监控的安全防护技术手段,需要针对视频监控的特点进行设计与实现。
三、视频监控网的特点分析
视频监控网严格意义实际就是物联网,物联网的底层是用来进行信息采集的感知层,中间层是用来数据传输的网络层,顶层则是应用/中间件层[2];视频监控网的中间传输层一般有专线、园区网、城域网构成,最终汇聚到核心层进行顶层应用或中间件层的交互;视频监控网不同于互联网,具有如下的特点:
(一)物理部署位置相对固定;
(二)传输的流量相对恒定,一般为2Mbps-8Mbps之间;
(三)传输流量协议固定,基本为国标或者主流安防厂商协议;
(四)终端IP、MAC、终端类型相对比较固定。
基于以上的这些特点出发,可采用业务白名单的防护技术在视频监控网中对传输层进行网络管道白名单管控。
四、基于业务白名单防护技术的设计与实现
轨道交通系统
(一)视频网白名单防护技术设计
机器人吸盘随着网络攻击技术不断发展,攻击手段愈趋复杂、攻击规模愈趋扩大,而现有安全防护体系强调外防,传统的基于规则、攻击特征的入侵检测、防火墙等单点安全保障措施在检测未知威胁和监测内部人员违规行为方面的效果很不理想[3];通常互联网的安全防护技术都是基于黑名单进行的,例如在电脑终端安装杀毒软件,定期匹配病毒库进行比对,因互联网的应用、协议、行为复杂性,很容易产
基于业务白名单技术在视频监控网的设计与实现
付宏涛 刘爱军
◆
信息系统工程 │ 2019.4.20
74
SYS SECURITY 系统安全
生新型病毒从而造成电脑终端被病毒感染;视频监控网不同与互联网,尤其是前端摄像机与核心层之间的业务传输层,传输的业务流量模型相对固定,针对前端私接仿冒的问题,可对前端接入设备进行准入、认证、白名单流量技术进行多层次的过滤防护,如图1所示:
图1 前端摄像机白名单防护设计
视频监控网因其特性,除了前端摄像机与数据存储系统以外,还存在视频业务管理和运维终端,在不同的行业中还会存在多级的业务系统权限划分,针对视频监控网的PC终端和IPC摄像机终端,最核心的安全管理理念就是人物分离,针对IPC摄像机进行应用白名单,针对视频PC进行业务行为白名单。
(二)视频网白名单防护维度
在业务系统中,业务访问流程的网络行为轨迹是可以做到精确可寻的[4],可通过基线学习、数据采集等方式,对行为进行分析归类,进行行为白名单管控。视频监控网的白名单防护技术的实现基于业务应用的角度出发,将前端IPC视频摄像机划分白名单信息属性,针对视频监控网的终端,其主要的作用是进行日常信息系统的运维,视频数据的维护、调阅,不同的视频监控网终端的权限是不同,通过
安装杀毒软件等方式解决终端自身安全管控的同时,也应基于终端的行为和权限进行白名单信息管控,结合视频监控终端的业务属性,进行总结归纳,针对具体涉及到的属性进行白名单防护,涉及资产白名单、行为白名单,不同的业务系统中,需要集合不同的行为基线形成管控的基线状态,一旦违规或者异常则可快速定位;通过对这些进行进行过滤和管控,使终端的任何行为都在可预测的范围内,针对发生的异常问题也能够实时记录,有利于对视频监控的安全体系进一步完善。
(三)视频网白名单防护实现方式
在接入层、汇聚层、核心层部署白名单控制点,控制点主要功能一是是收集业务系统及应用层的业务访问流量模型,二是对异常违规行为进行阻断和告警、检测;具体的部署方式,控制点的位置可通过针对不同节点传统设备的改造和升级来实现。优糖米
通过在视频网终端与服务之间,进行严格的管道白名单管控,能够做到人、物管理策略分离,基于业务系统的不同,则需要一定时间进行行为基线的学习,经过大量数据的积累,形成特定业务系统的一套白名单管控策略,将安全由被动转化为主动,将传统的黑名单管控思路,转化为白名单,使网络变得可视、可知、可控。
从防御策略本质上分析,在不同传输位置的控制点方式的落地,实际上将传统的网络与安全进行充分的融合,传统的安全往往都不是在边界、出口等位置,网络和安全是“两张皮”的状态,整个内部运行
的状态完全是不可知的“黑盒子”状态,网络与安全融合一直是目前IT厂商业内发展的方向,这就需要结合重新定义硬件架构、操作系统、特征库三个维度去深入研究,再最终落地到具体的产品上,随着技术和理论的不断发展,网络与安全融合的趋势已经趋于明显,白名单的防护手段也将成为安全体系设计的主流。
五、结语
本文结合视频网的终端特点、安全问题进行了深入分析,针对白名单的核心防护思路进行了阐述;针对终端的行为模型进行分析、检测,形成白名单管控策略,这也是物联网与互联网这两个环境下的不同防护策略,白名单的技术更适合针对物联网的安全体系设计,随着物联网和科技的不断发展,基于白名单的安全体系会逐步在行业中得到应用。H 参考文献
[1] 郝文江,马晓明.美国信息安全发展对中国发展战略的启示[J]. 信 息安全与技术,2011,(1):3-7.
[2] 沈苏彬,范曲立,宗平, 等. 物联网的体系结构与相关技术研究[J]. 南京邮电大学学报 ( 自然科学版),2009,29(6):1-11.
[3] 章翔凌,王欢.基于白名单技术构建主动防御体系[C]// 第28 次 全 国计算机安全学术交流会. 贵阳,2013:188—190.
[4] 杨风雷,阎保平. Web 用户行为模式挖掘研究[J]. 微电子学与计算机,2008,11(25):146—149.
(作者单位:付宏涛,安阳市公安局视频监控处;刘爱
军,汤阴县公安局视频监控中心)
信息系统工程 │ 2019.4.2075
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议