解决方案

第1章 系统概述

1.1 需求分析

IP视频监控系统的结构简单，基本上由各类前端设备、服务器、存储、客户端设备构成。系统布线成本低，多种信号均可在同一网络上传输。同时，新增监控点或客户端都非常方便，只需把相关设备接入IP网络即可，IP系统的开放性也使用户可在任何地方，使用多种方式查看监控视频资料，这为用户带来的便利是传统模拟监控系统无法比拟的。而伴随IP监控的发展，IP系统的开放性是把双刃剑，在为用户带来极大便利的同时也为监控系统带来了极大的隐患。

图  园典型网络架构

当前园区监控网络常见的安全隐患如下：

1、非法入侵：大量的摄像机暴露在户外，数量众多的摄像机很难被有效监管，不法分子可以利用这些路面摄像机、交换机提供的物理IP接口入侵网络。在部分监控系统中，部分客户端通过公网接入，部分APP也提供公网接口，这些公网接入点可能成为黑客攻击的切入点。）

2、窃取/泄漏数据：利用系统漏洞从内外部非法获取数据。

3、破坏系统/数据：删除系统软件、配置或者破坏数据。

4、伪造数据：纂改数据，并进一步达到其他目的。

5、、病毒感染：导致系统不可用和数据丢失。

6、非法传播：从内外部获取后非法散播。

7、非法控制：利用弱密码、系统漏洞提升权限，进一步控制系统。

为了防护于未然，需要针对视频网络建设一套专用的视频安全准入系统。

1.2 原则

业务保障原则：网络及安全建设的根本目标是能够更好的保障网络上承载的业务，在保证安全的同时，还要保障业务的正常运行和运行效率。

结构简化原则：设计需要简化网络结构，降低整个网络的故障点，更便于设计防护体系和管理。

实用性原则：安全体系建设将始终遵循“面向应用，注重实效”的指导思想。紧密结合现有网络和应用情况，充分保证原有系统和结构的可用性。

完整性原则：网络安全建设必需保证整个防御体系的完整性。在安全体系建设中，我们采取多种安全防御的技术和措施来保障的网络系统安全运行。

整体均衡原则：要对信息系统进行全面均衡的保护，要提高整个信息系统的"安全最低点"的安全性能，保证各个层面防护的均衡。

安全目标与效率之间的平衡原则：要综合考虑安全目标与效率、投入之间的均衡关系，确定合适的平衡点，不能为了追求安全而牺牲效率。

动态发展原则：安全防范体系的建设不是一个一劳永逸的工作，而是一个长期不断完善的过程，所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展。

1.3 

《公安信息通信网边界接入平台安全接入行业标准（视频接入部分）》

《GB/T 28181-2022安全防范视频监控联网系统信息传输、交换、控制技术要求》

 《GAT 1400-2017 公安视频图像信息应用系统》技术要求

《视频传输网络建设指导意见》（征求意见阶段）

《关于加强公共安全视频监控建设联网应用工作的若干意见》

《全国公安机关视频图像息整合与共享工作任务书》

《关于加强公共安全视频监控系统联网应用工作的若干意见》《全国公安机关图像信息联网总体技术方案》

公安部《城市报警与监控系统建设指导性文件》

公安部《公安部报警监控方案设计要素》

《公安信息通信网边界接入平台安全规范（试行）--视频接入部分》

中华人民共和国计算机信息系统安全保护条例

信息安全等级保护管理办法

信息系统安全等级保护基本要求

其他相关标准和要求。

1.4 

针对视频监控网络，建立一套监控系统视频安全准入系统。包含以下功能：

1.前端准入：防止不法分子通过前端接入网络接入监控网络。

2.客户端准入：防止客户端对监控系统核心区域造成威胁。

3.入侵防御：入侵防御系统的作用主要是防范应用层的攻击。

4.病毒防护：防止计算机病毒在专网内部传播。

5.安全审计：记录操作日志和入侵告警记录，方便溯源。

第2章 方案设计

视频安全准入系统由视频管理平台、安全管控节点组成，系统设计目的是保障监控系统核心区域中的核心管理平台和存储的安全。

宇视科技对视频安全准入系统提出了“安全性”和“可靠性”的要求。视频安全准入系统要能够从网络层到业务层，全面保护监控系统核心区域的安全，这是该系统的根本定位。此为，视频安全准入系统自身也要具有良好的稳定性，系统要能够稳定运行，不对用户的正常业务造成干扰。

视频安全准入由以下功能构成：前端准入、客户端准入、入侵防御、病毒防护、安全审计系统。

2.1 安全准入安全性要求

视频监控系统核心区域的安全问题应当得到足够重视，监控管理平台可以管理成百上千路视频资源，其下挂的存储设备中存放有大量的视频、图片、业务数据，平台资源和存储资源一旦被破坏或者窃取，将造成严重后果和恶劣影响，在设计视频监控系统时，需要优先考虑视频监控系统核心区域的安全问题。视频安全准入系统的安全等级应当高于传统的防火墙、IPS等安全方案，从如下几点保证：

安全与业务融合。视频安全准入系统中，视频管理平台、安全管控节点的信息实时同步，能够做到安全管控与业务感知相融合，从业务层面实时定制当前安全规则，提高安全等级。

支持多路径防护功能。监控系统的规模一般较大，存在多路径入侵的可能性。首先，系统中存在大量的前端采集设备，如大量的IPC分别在园区各个角落，需要防止来自于前端的入侵；其次，一个监控系统中往往存在多级平台，当下级平台被入侵时，也要对来自于下级平台的跳转攻击做防备；部分平台配备有本地甚至互联网接入的客户端，这些客户端一般采用Windows系统，很有可能带来病毒威胁，因此视频安全准入系统需要提前防御病毒威胁。

采用动态白名单系统。报警并阻断未知的设备接入和报文流量，仅放行经过认证的设备和流量，防止未知威胁。

支持全局MAC、IP白名单准入机制。

支持病毒、IPS入侵防御。系统需要支持病毒、IPS入侵特征库，并且定期更新，减少由于PC系统接入带来的风险。

在线设备活跃收集：任何设备接入到网络中后，系统会自动收集该设备的信息并实时刷新设备信息呈现界面。

实时告警、拦截功能。系统发现非法设备入侵后，除了阻断外，应当通知管理人员快速处理或者求助警察，防止恶意入侵人员频繁对视频监控系统发起攻击。

2.2 准入可靠性要求

视频安全准入系统的安全管控策略越精细，监控系统的安全系数就越高。但是视频安全准入系统本身不能对监控系统中正常、合法的业务带来干扰。视频安全准入系统需要支持以下功能，以避免对用户的正常业务造成干扰或者误杀。

支持断电逃生功能和旁挂模式。采用串接组网模式时，可以选择开启断电逃生功能，功能打开后，安全设备断电也不会造成业务中断。采用旁挂模式时，不会对原网业务造成任何干扰。若需要确保原网业务不中断，可以选择开启以上功能。

在协议识别上，兼容国标的GB/T28181-2016、ONVIF、GAT1400协议，并且可以按照需求适配新的协议。新的业务需求往往对应的新的协议，这些新的协议需要予以及时匹配，才能保证不错杀监控系统中的合法业务。

视频安全准入系统的接入路数要能够匹配监控系统的规模。安全系统不应当成为监控系统的性能瓶颈。

低延时的硬件架构。IP网络中端到端的总时延应当小于50ms，安全系统是IP网络中的一个环节，不能给业务带来较大的时延，一般要求安全系统的时延应当小于20us。

2.3 

视频安全准入由以下子模块系统构成：前端准入、客户端准入、入侵防御、病毒防护、安全审计系统。

前端准入部署于前端采集设备和核心平台、存储之间，防止不法分子将IPC等前端设备拔下后，直接通过前端链路入侵后端核心区域。

客户端准入部署在客户端与核心平台、存储之间，防止从客户端向数据中心区域发起的入侵。

入侵防御和病毒防护一般部署于平台外联公网时作为防火墙使用。入侵防御、病毒防护系统可以和客户端准入系统一同开启。

安全审计能够对非法入侵产生记录，便于事后溯源，在所有安全准入节点上均需要开启。

2.4 组网架构

图  安全准入组网部署

安全准入设备部署在设备接入层，可以实现前端准入、客户端准入等功能，同时IAC准入设备自带多端口支持路由交换，可作为核心交换机使用，安全设备部署在设备网络哦出口，可以实现防火墙，病毒防护等功能。具体如下

①  设备接入侧：

准入：IAC对接入设备进行安全阻断，防范仿冒等未知风险

联动：VMS界面可联动接收IAC设备产生的安全告警

网络：IAC自带多端口支持路由交换，可作核心交换机使用

② 设备出口侧：

防火墙：IAC部署在出接口，开启防火墙保护内网设备

IPS：IAC还支持IPS多种入侵防御功能，3000+条防护规则

防病毒：支持300万余种病毒的查杀，病毒库定期与及时更新

VPN：支持IPSEC VPN、SSL VPN及NAT等功能、

第3章 方案功能

3.1 准入

 图  前端接入防护

在接入、汇聚层、核心层部署视频安全准入系统，实现L2-7层准入控制，只有认证通过的终端发送的流量再经过L4-7层协议解析通过后才能通过该设备，其他流量全部阻断。若下联接入交换机被入侵，入侵者无法通过该汇聚设备入侵核心、汇聚级服务器及其他汇聚节点。

视频监控准入系统的基本功能是通过IPC、视频安全准入节点、视频管理服务器的联动实现的。其监控流程如下：

1、前端设备接入网络时，首先和视频管理服务器进行监控业务注册的相关交互，安全准入设备能准确发现并识别该消息，予以检查，确认报文符合协议则放行。

2、后续前端设备会进行媒体流的发送，该过程中，安全准入也能及时识别该媒体流，并通过自身协议库的准入规则进行判断，将合法的数据进行放行

3、同时还可以在安全准入设备上设置白名单等信息，更精确的匹配合法的终端、服务器、业务流、端口等信息。白名单之外的数据进行拦截。

4、安全准入设备会将安全事件、告警信息、日志等上报到视频管理服务器，管理员可以第一时间关注到监控信息和安全风险，及时进行风险处置。

3.2 准入

图  前端接入防护

该安全策略部署在客户端接入区域与数据中心区域之间。

在核心层部署视频安全准入系统，对接入客户端进行2~7层的准入控制，防止客户端被非法替换或者被入侵后作为攻击跳板。

视频监控准入系统的基本功能是通过客户端、视频安全准入节点、视频管理服务器的联动实现的。其流程如下：

 1、客户端试图访问视频管理服务器时，首先需要在视频安全准入节点上做准入身份认、证，认证通过后可以访问视频管理服务器，否则无法访问任何中心网络设备。

2、客户端认证成功后，视频安全准入节点根据认证用户身份，分配相应的访问权限。

3、 视频安全准入节点开启防病毒、IPS入侵检测功能，并定期更新特征库，防止来自于客户端操作系统的入侵威胁。

4、合法注册的客户端在获取媒体流前，视频安全准入节点会对媒体流协商报文进行检查，仅当报文本身合法且与业务信息匹配时，才允许客户端获取媒体流。

5、对于客户端准入功能，宇视科技视频安全准入系统可针对客户端的接入发起强制portal认证，对于对于未识别出用户的流量，策略将其web访问的流量重定向到指定的portal页面，用户认证成功后，记录该用户信息。用户认证成功后的访问流量， 可识别并定期刷新。客户端认证通过后，可对认证用户进行细粒度业务控制。

3.3 入侵防御和病毒防护

当IAC部署在VMS等服务器网络边界时，充当着安全守卫闸门的角色，自身具备多IPS、 AV、WAF等各类安全功能，全方位的检测通过网络边界入侵的行为或者病毒，并能及时拦截：

保障网络层安全：核心区部署最高端防火墙，保证数据中心系统、业务系统、调度系统及终端免受网络攻击。

保障应用层安全： 重要核心区域在和其他网络进行连接时，必须要对服务器区进行安全保护，对于传统的木马、蠕虫、后门，要有专门的防病毒协议库来支持防火墙防病毒功能，拦截SQL注入、网页挂马、DDOS等攻击；划定安全区域，进行业务定义和隔离。

3.4 流量控制

另外，此时园区用户在上网过程中，往往会产生多种类型的流量，比如：Web浏览、邮件外发、流媒体视频、P2P下载等，在上班时间内，如果有大量的流媒体视频或者P2P下载流量，将会导致用户的正常上网很卡顿、缓慢甚至不可用，因此，我们必须使用流量控制保障用户的正常上网流量，而对一些非关键流量进行一些限制。IAC具备这样的流量识别控制功能，可将IAC部署在互联网出接口处，负责数据互联互通并设置好安全策略，IAC就可以监测不同用户的上网流量，并对一些不合法的访问请求进行跟踪、告警甚至拦截。

第4章 

4.1 监控网络安全策略

监控网络等能够覆盖园区多个区域，规模较大。传统的防火墙、网闸等设备部署在网络边界（横向防护 ），监控网络内部缺少纵向防护，这种安全策略无异于“皇帝的新衣”。大量的IPC部署在户外，存在被入侵的可能性，一旦不法分子入侵到监控系统中，可以轻易获取监控中心的权限，容易引起恶劣后果。

宇视科技针对上述场景，推出了业界首款监控系统纵向防护的视频安全准入方案，弥补了传统安全方案的盲区，让监控网络不再“裸奔”。

宇视科技视频安全准入方案在准入规则制定上，不拘泥与传统防火墙、IPS等设备的思路，在满足上述产品功能的基础上，独创“业务联动”与“动态白名单”的安全准入机制，安全策略随着当前组网状态和业务状态实时刷新，对未知威胁采取严格的限制策略。

部署宇视科技视频安全准入方案后，能够有效地保护监控系统核心区域，管理平台与存储的安全性得到高度保障。

4.2 

宇视科技IAC设备网络处理时延小于20us，远远优于系统要求50ms，设备部署之后对现网实时监控业务“零影响”。 

4.3 部署操作简单

IAC设备支持在线部署与旁挂部署两种方式，实现对网络中的视频、图片流量和控制信令的实时控制或镜像检测。

4.4 深度联动

宇视科技视频安全准入方案能够做到业务与安全策略实时联动，安全系数高于第三方独立安全设备。并且在协议识别上，IAC兼容国标的GB/T28181-2016、ONVIF协议，并且可以按照需求适配新的协议。

4.5 实时分析精确告警

宇视科技视频监控实时信息分析及控制平台可以实时监测视频监控网络的接入终端、传输数据等，帮助用户简化整网的运维管理；对于非法私接及非法流量等入侵行为，可以实时识别、阻断并告警，并精确的定位入侵源。