《公共安全视频监控建设联网应用解决方案.docx》由会员分享,可在线阅读,更多相关《公共安全视频监控建设联网应用解决方案.docx(8页珍藏版)》请在第一文库网上搜索。
1、公共安全视频监控建设联网应用整体安全解决方案第1章项目背景“雪亮工程,即公共安全视频监控建设联网应用,是指以“全域覆盖、全网共享、全时可用、全程可控为总目标,推动重点公共区域、重点行业、领域的视频监控系统建设,指导、监督治安保卫重点单位公共安全视频监控系统建设;推动公共安全视频监控系统联网,整合各类视频图像资源;开展视频图像信息在治安防控、城乡社会治理、智能交通、服务民生、生态建设与保护等领域应用。充分发挥人民群众利用视频监控系统在社会治安综合治理和平安建设中的作用。第2章建设依据1 .中华人民共和国国民经济和社会发展第十三个五年规划纲要2 .“十三五国家信息化规划(国发201673号)3 .
2、公共安全视频监控建设联网应用“十三五规划方案4 .中华人民共和国反恐怖主义法5 .国家创新驱动发展战略纲要(中发20164号)6 .关于加强社会治安防控体系建设的意见7 .关于印发国家电子政务总体方案的通知(厅字201刀7号)8 .国务院关于印发政府信息资源共享管理暂行办法的通知(国发201651号)9 .关于加强公共安全视频监控建设联网应用工作的若干意见(发改高技(2015)996号)10 .关于印发加强公共安全视频监控建设联网应用工作方案(2015-2023年)的通知11 .安全防范视频监控联网系统信息传输、交换、控制技术要求国家标准(GB/T28181-2016)12 .社会治安综合治理
3、基础数据规范国家标准(GB/T31000-2015)13 .关于推进社会治安综合治理信息化建设的若干意见(中综办(2014)27号)14 .关于印发公共安全视频监控建设联网应用工程示范和重点支持项目管理办法的通知第3章总体目标至十三五末,基本建成涵盖中央、省(自治区、直辖市)、市(地、州、盟)、县(市、区、旗)、乡镇(街道)、村(社区)的六级公共安全视频监控联网应用体系,实现视频图像信息交换共享平台按需联通、视频资源有效整合。到2023年,基本实现全域覆盖、全网共享、全时可用、全程可控的公共安全视频监控建设联网应用。一一全域覆盖。重点公共区域视频监控覆盖率达到100%,新建、改建高清摄像机比例
4、达到100%;重点行业、领域的重要部位视频监控覆盖率达到100%,逐步增加高清摄像机的新建、改建数量。一一全网共享。重点公共区域视频监控联网率达到100%;重点行业、领域涉及公共区域的视频图像资源联网率达到100%o一一全时可用。重点公共区域安装的视频监控摄像机完好率达到98%,重点行业、领域安装的涉及公共区域的视频监控摄像机完好率达到95%,实现视频图像信息的全天候应用。一一全程可控。公共安全视频监控系统联网应用的分层安全体系基本建成,实现重要视频图像信息不失控,敏感视频图像信息不泄露。第4章视频专网安全现状描述视频摄像头作为视频专网重要组成部分,基数大且分布广泛,品牌多样,目前无技术工具自
5、动统计。另外一般采取分布式管理,由各地级市相关部门负责,权限分散,无集中式管理平台,且无法贯彻落实视频网络建设要求;视频监控设备部署地点大都暴露在道路、街区等公共场所,极易被恶意侵入,进而侵入到整个网络,导致核心业务系统无法正常运行、大量保密信息被窃取。视频摄像头、交换机、路由器、防火墙、视频网业务服务器、运维终端等是视频专网全部组成部分,目前公安机关无技术手段鉴别是否存在非专网终端的接入,无法规避由此引发的安全事件;视频专网对流量稳定性要求极高,但是不排除因为终端问题导致的异常访问流量发生,影响视频专网的稳定运行。另外视频专网数据网络结构复杂且庞大,各地级市互联方式不同,有直连、专线、VPN
6、等,当出现安全事件时,目前采用命令行逐级排查,耗时耗力,缺乏快速定位手段;视频专网边界接入环境复杂,边界接入平台多种多样,边界接入设备缺乏有效的认证与监管;网络中可能存在互联网通路,大大扩展了视频专网的网络边界,且其安全性较差,容易遭到破解,是对网络边界完整性的重大破坏。视频专网中的监控PC终端大都为WindOWS系统,缺乏有效的防病毒和补丁管理措施、USb外设管理措施,病毒和恶意代码可通过USb接口对监控终端进行感染,由于监控终端之间没有隔离措施,病毒会在整个监控专网中肆意传播。通过非法接入的笔记本可对监控平台(WindoWS)进行漏洞扫描,由于缺乏补丁管理和安全加固措施,可利用漏洞(例如:
7、弱密码、溢出)获取服务器权限并进行控制,进而非法获取视频信息。通过远程控制删除录像信息,修改配置,使摄像头无法正常工作,进而在监控区域内进行非法活动。随着WEB技术的发展,应用系统的上线、开发和变更越来越频繁,应用系统的本身安全脆弱性。第5章视频专网安全需求结合视频专网安全现状,规划视频专网、内部网络信息安全保障体系,应涵盖了应用平台计算环境安全、区域边界安全、通信网络安全、安全管理等方面,保障视频专网的安全性、保密性、可用性,具体网络安全需求如下:视频专网网络边界、内部网络中应采取有效的访问控制措施,防止非法访问,黑客攻击的发生,特别在前置摄像头与核心汇聚交换设备之间防护来自前置摄像头的安全
8、威胁,如采用防火墙技术进行安全防护,各安全边界接入必须能够进行细粒度的访问控制能力,严格控制访问者的权限包括: 源、目的IP控制,能够进行源、目的IP的访问控制 服务端口控制。对访问视频管理服务器的端口进行控制,其它视频端口默认关闭,动态开放 访问时间控制。能够控制客户端访问视频资源的时间 访问行为权限管理。能够根据用户名/用户组、IP/IP段进行视频资源的访问控制,包括:摄像头访问范围、云台控制、历史视频录像查询、历史视频录像播放、日志查询、视频数据库修改等进行权限控制 单向访问控制。关闭双向视频通讯。5.2 入侵防范应对视频专网中网络攻击行为进行实时的检测和分析,及时的发现异常行为,降低安
9、全事件的发生率。如采用入侵防御系统进行安全检测和防护。5.3 病毒防护病毒、木马一致是威胁网络安全的头号杀手,在视频专网中存在大量的终端、服务器,一旦感染恶意病毒、木马,将严重影响视频监控资源系统的稳定运行。应对视频专网终端、服务器,采用防病毒安全措施,防止恶意病毒、木马的传播。同时,为了保证公安内网视频监控终端在接收视频数据时不被木马、病毒感染,视频监控浏览软件无论采用浏览器方式还是客户端软件方式,都应具备以下防护手段: 视频监控终端禁止执行来自外部的涉及操作系统、文件系统或运行其它应用进程的指令 视频监控终端对接收到的视频流仅允许进行解码播放,不允许执行视频流内任何指令 视频监控终端应安装
10、必要的防病毒软件 支持网络防病毒,用于WindoWS视频服务器和视频监控终端的统一病毒防护。5.4 补丁管理监控专网中的视频服务器和视频监控终端为WindOWS操作系统,需要定期更新系统补丁,支持补丁统一管理,用于WindOWS视频服务器和视频监控终端的统一补丁管理。5.5 脆弱性检测可实现对设备定期的脆弱性检测,及时发现高危漏洞和弱密码漏洞。5.6 安全审计由于在视频专网中,大量的访问用户从不同时间、地点访问视频监控资源,如不对用户网络访问行为进行有效的安全记录,当发生安全事件时,很难去追溯和定责。因此,应加强高清视频专网安全审计能力,记录用户访问的身份、行为、访问过程等内容信息,为事后分析
11、取证提供数据支撑。5.7 边界接入安全视频专网安全接入平台的设计需要实现公安信息通信网对外部图像资源的安全浏览,并与公安信息通信网之间的数据需要通过视频交换平台进行数据的共享和传输。视频专网与公安信息网应严格按照公安部公安信息网边界接入平台建设的技术规范实现边界安全防护。因此采用必要的安全隔离设备,对视频专网进入公安通信网的数据进行隔离。5.8 终端安全管理在视频专网中,视频终端的安全性尤为重要,视频专网中的前置摄像头和网络设备存在大量弱口令、溢出等安全漏洞隐患。针对前端摄像机接入形成的网络边界,制定技术可靠、安全防护性高的、基于终端准入认证的前端摄像机访问控制技术措施。防止的安全,防止前端摄
12、像机被非法替换、终端非法接入、网络非法访问等安全问题的发生。还需对摄像头运行状态实时监测,对异常状态及时统一分级报警,实现各类状态的数据汇总和集中展示。另外,视频专网中的存在部分PC终端,而这些终端都为WindoWS操作系统,需要对这些终端进行户口式注册管理,达到与其他设备统一管理,如果存在安全漏洞或者配置不完善,则容易遭受蠕虫病毒攻击、黑客攻击或泄漏重要信息,给内部网络带来安全隐患。要求对该设备进行行为审计、“一机两用行为监测、外设端口控制等做有效管理。要保证内网的安全性,就必须对终端计算机上的漏洞情况进行分析,打上所需要的补丁,以及时修补计算机上存在的漏洞,从而提高计算机自身的系统安全性5
13、.9 全网安全风险感知应具备对全网安全风险可视,具备对内部横向攻击、违规操作、异常流量、异常行为等进行感知分析,风险预警。能帮助用户发现、识别、提取视频专网内部署的应用系统,如人脸识别、车牌自动识别等。能及时发现未经授权上线的应用、发生异常的应用等,帮助用户有效管理应用。支持异常行为分析,异常行为可以通过报警由用户查看,探测同时连接视频网的高危行为。应能对视频专网网络中的设备、系统、应用进行定期的安全检测,尽早地发现存在的安全漏洞,并进行修补,从而降低漏洞被利用的风险,降低安全隐患。支持对非法通讯行为就被暴露在用户监视之下,在网络内部的攻击、扫描、探测等行为能够被用户有效管控。第6章整体安全解
14、决方案6.1 安全体系架构公共安全视频监控建设联网项目安全设计思想是:依照国家等级保护的相关要求,利用密码、代码验证、可信接入控制等核心技术,在一个中心三重防御的框架下实现对信息系统的全面防护。f1c2利乐鼓安全r算环境安全区域边界2工安仝管理中心*心*Ma管尸安全管理皆先管看子系缓信息安全保障体系架构6.2 参考标准GBA21052-2007信息安全等级保护信息系统物理安全技术要求GB/T22239-2008信息系统安全等级保护基本要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20984-2007信息安
15、全技术信息安全风险评估规范GB/T20269-2006信息安全技术信息系统安全管理要求GB/T20281-2006信息安全技术防火墙技术要求与测试评价方法GB/T20275-2006信息安全技术入侵检测系统技术要求和测试评价方法GB/T20278-2006信息安全技术网络脆弱性扫描产品技术要求GB/T20279-2006信息安全技术网络端设备隔离部件技术要求信息安全技术信息安全等级保护实施指南公安部公安信息通信网边界接入平台安全规范(试行)一一视频接入安全部分6.3 设计原则6.3.1 合规性设计原则本项目在满足公共安全视频监控建设联网平台的实际安全需求基础上,结合国家关键基础设施信息安全建设规范要求进行系统化的安全设计,采取技术和管理相结合的安全防护措施,将安全技术与运行管理机制、人员思想教育与技术培训I、安全规章制度建设相结合。(一)构建分域控制体系在总体架构上将按照分层、分区、分域保护思路进行,从结构上划分为不同的安全区域,各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施;并通过统一的基础支撑平台来实现