HiSec视频大数据安全解决方案

1、HiSec视频大数据安全解决方案技术白皮书目录 HYPERLINK l _bookmark0 方案背景1 HYPERLINK l _bookmark1 风险分析1 HYPERLINK l _bookmark2 解决思路2 HYPERLINK l _bookmark3 方案价值2 HYPERLINK l _bookmark4 方案概述3 HYPERLINK l _bookmark5 方案架构3 HYPERLINK l _bookmark6 方案介绍5 HYPERLINK l _bookmark7 前端接入控制5 HYPERLINK l _bookmark8 设备指纹认证5 HYPERLINK l

2、 _bookmark9 安防业务识别及过滤5 HYPERLINK l _bookmark10 IPS 入侵检测及防护6 HYPERLINK l _bookmark11 广目系统6 HYPERLINK l _bookmark12 资产管理7 HYPERLINK l _bookmark13 攻击防范管理7 HYPERLINK l _bookmark14 业务统计7 HYPERLINK l _bookmark15 配置管理8 HYPERLINK l _bookmark16 日志管理8 HYPERLINK l _bookmark17 大屏监控8 HYPERLINK l _bookmark18 视频数据

3、中心安全联动闭环9 HYPERLINK l _bookmark19 安全业务统一管理9 HYPERLINK l _bookmark20 设备管理9 HYPERLINK l _bookmark21 对象管理10 HYPERLINK l _bookmark22 策略管理10 HYPERLINK l _bookmark23 安全联动处置10 HYPERLINK l _bookmark24 典型应用场景/典型组网12 1方案背景 HYPERLINK l _bookmark1 风险分析 HYPERLINK l _bookmark2 解决思路 HYPERLINK l _bookmark3 方案价值风险分析

4、摄像头部署位置的特殊性以及视频全网互联趋势的推动，都给视频网络带来了极大的安全挑战。 以下几类典型的安全风险亟需网络建设者关注：风险 1：非法私接IPC 大量使用，网络末端延伸到户外，传统网络安全边界失效。IPC 存在被仿冒，被劫持，敏感信息泄露等问题。风险 2：劫持摄像头黑客入侵网络后，利用摄像头漏洞劫持网络内大量摄像头，为 DDos 攻击等进一步破坏制造条件。风险 3：劫持视频管理平台黑客入侵网络后，通过暴力破解或者横向扩散，画出内部网络拓扑结构，破坏承载关键数据的主机，可导致视频管理平台异常。风险 4：数据窃取黑客入侵网络后，通过前端接入设备将关键数据外发，完成数据的窃取。应对这些风险，

5、亟需一套适用于视频监控网络的安全解决方案。解决思路华为视频大数据安全解决方案通过端到端的方案设计，集合精准访问控制、场景化 IPS 防御、智能流量分析、集中可视化管理、高效协同联动等能力，建立统一的视频网络安全保障体系，提供更安全可靠的视频监控网络。方案价值HiSec 视频大数据安全解决方案可以带来如下价值：多重接入控制集合了设备、流量、行为多重身份过滤，在视频网络海量前端接入的情况下大大减小攻击面。感知全网安全态势图形化界面帮助客户直观理解全网安全态势，并可以根据区域、关键资产去查看对应的风险，并给出处理建议。运维人员可以快速找到自己负责的区域和资产， 并根据安全状态和处理建议对这些设备进行

6、安全加固工作。快速发现高级威胁基于强大的流量、日志采集和大数据分析检测技术，发现现网中的高级威胁攻击，帮助客户实时快速发现网络中的安全威胁事件。秒级安全联动响应通过和安全设备的快速联动，实现秒级响应，大大提高安全响应速度和效率。并可以进行手动或自动的安全策略联动，对安全威胁进行处置，防止和降低其对网络和业务的影响。 2方案概述 HYPERLINK l _bookmark5 2.1方案架构方案架构为解决视频监控网络的关键风险，方案从前端接入控制、安全态势感知、安全联动处置三部分构建主动防御体系。视频安全解决方案的架构如图所示：方案关键组件：防火墙（视频安全网关）：对入网终端做接入控制，防止非视频

7、应用、非授权厂商 IPC接入；通过 IPS 签名拦截摄像头将威胁带入视频网络；接收CIS 下发的联动策略，阻断受感染终端。广目系统：视频安全网关前端接入控制可对接广目系统，通过广目系统做配置下发， 并在广目系统做前端接入控制效果呈现。SecoManager：安全控制器，作为方案的“中枢神经”, 该组件定位于网络安全策略管理、业务编排。在视频网络中主要用于对后端防火墙进行统一安全业务纳管，并接收CIS 下发的处置任务，编排成为安全设备可执行的策略，实现自动威胁响应、安全策略仿真和策略调优，提高运维效率。CIS：采集防火墙及其他安全设备上送的流量及日志做关联分析，呈现网络安全态势， 并联动 Sec

8、oManager 编排并下发安全策略，联动防火墙阻断威胁，实现联动闭环。关键流程步骤：前端接入控制从视频前端安全入手，对于接入视频网络的流量，通过视频安全网关安全策略控制放行的协议、终端设备厂商等，降低终端仿冒、威胁流量入侵监控中心的风 险；通过视频安全网关流量学习，可向广目系统上报资产信息，广目系统可做资产信息处理、下发准入配置给视频安全网关，并呈现视频安全网关的接入控制效果；视频数据中心安全联动闭环SecoManager 实现对视频数据中心防火墙的统一管理。CIS 综合安全设备流量及日志做关联分析、安全态势呈现，并联动 SecoManager编排并下发安全策略，联动防火墙阻断威胁，实现联动

9、闭环。 3方案介绍 HYPERLINK l _bookmark7 前端接入控制 HYPERLINK l _bookmark18 视频数据中心安全联动闭环前端接入控制针对摄像头易被仿冒、易被利用的特点，华为防火墙通过设备指纹认证、流量指纹过滤、协议漏洞检测等手段，层层阻断非法入侵，达到摄像头安全接入的目的。通过与前端设备管理平台配合，提高配置管理易用性，并可直观展现资产安全状态及接入控制效果。设备指纹认证设备指纹是指可以用于区分不同摄像头的固有信息，包括 MAC、IP、厂商、序列号、固件版本号等信息。防火墙可以通过 IP、MAC 信息对设备进行认证过滤：将授权 IP 加入安全策略列表，非授权 I

10、P 流量不允许通过将授权 MAC 加入安全策略列表，非授权 MAC 流量不允许通过对 IP、MAC 进行绑定，IP、MAC 关系绑定错误的流量不允许通过设备指纹的获取方式包括：基于流量的被动应用识别及基于接入设备的主动扫描。设备指纹主动扫描，即采用主动探测方式获得前端摄像头设备准确指纹信息，通过主动探测，获取设备指纹，包括厂商、MAC、型号、IP，多个维度对终端 IPC 进行识别，提升摄像头识别准确率。主动扫描能在设备接入网络之前获取到资产清单，可根据需要添加到安全策略的配置中，与应用识别一起对接入设备做准入控制。与广目系统对接，可将主动扫描到的资产清单上报给广目平台，用户通过广目平台确认需要

11、放行及拦截的资产，达到准入控制效果。安防业务识别及过滤黑客可以通过修改设备的固有信息欺骗防火墙，从而达到绕过防火墙指纹认证的目的，为此防火墙提供了流量指纹过滤功能。防火墙对经过的每条流量进行深度识别，确认流量的协议、厂商信息等，同时和策略中配置的协议/厂商信息进行匹配，只对授权流量进行放行。防火墙可以识别国内主流摄像头厂商（大华、海康、宇视、华为）的各种流量（ONVIF、GB-T28181、私有SDK）。流量识别基于特征库，特征库可以在线更新或本地更新，从而及时响应摄像头流量的特征变更。特征库提供自定义功能，可以在特殊情况下灵活配置达到阻断特性流量的功能。IPS 入侵检测及防护黑客可以控制摄像

12、头，利用摄像头漏洞进行网络入侵。由于恶意流量是通过正常的视频流量进行承载，因此无法通过指纹认证或流量过滤进行拦截。为此防火墙提供了基于漏洞的入侵检测功能。防火墙对经过的每条流量进行深度协议解析和特征匹配，确认是否为恶意流量，同时根据策略配置对流量进行阻断或告警。防火墙可以检测国内主流摄像头厂商（大华、海康、宇视、华为）的漏洞。入侵检测基于特征库，特征库可以在线更新或本地更新，从而及时响应摄像头漏洞。同时特征库提供自定义功能，可以在紧急情况下通过自定义特征配置达到快速阻断特定流量的目的。广目系统广目系统是与华为视频安全网关相结合的软件产品，具备前端资产发现及识别、准入控制、态势感知、风险监控、级

13、联监管、安全态势展示等功能； 系统可以对接入资产的运行状况进行动态分析和展示，让用户从全局的角度去了解和掌控资产状况，直观展现每个资产运行轨迹及完整的资产生命周期； 系统强化资产发现、准入、安全保障，做到“资产可知、入网可信、边界可控、行为可查”。系统主要由资产管理、攻击防范管理、业务统计、配置管理、日志管理及大屏监控组成。广目系统与视频安全网关功能对接如图所示：资产管理系统通过组织区域管理及 IP 划分、网关注册、资产学习、资产准入、态势感知及资产退出的管理，可以对接入资产的运行状况进行动态分析和展示，让用户从全局的角度去了解和掌控资产状况，直观展现每个资产运行轨迹及完整的资产生命周期。可通

14、过由视频安全网关学习经过当前网络设备中的视频流量，将资产信息上报给广目系统，或由网络管理员按照当前的资产信息格式将资产信息录入或导入到广目系统。在广目系统形成一个初步的资产信息库，前端设备管理人员在明确合法资产后，选择相关资产下发准入命令将该资产定义为合法资产并同步到视频安全网关侧。视频安全网关侧将此资产列表作为合法设备的基线列表。攻击防范管理针对视频流量，视频安全网关将探测的资产信息与后台合法资产数据进行综合验证及指纹识别，及时发现非法私接；且视频安全网关提取了摄像头资产相关的攻击防御签名库，对于网络中的攻击行为进行细分并上报相应告警日志。在广目平台上对攻击行为进行告警展示。攻击防范告警包括

15、：针对非合法资产产生非法私接告警；针对合法资产的非法应用流量产生告警；针对资产受到攻击或主动发起攻击进行告警，如入侵检测、蠕虫检测、僵尸网络、木马检测等；可配置资产离线进行告警。业务统计系统从不同的业务视角、通过丰富的统计图表方便业务人员对全网资产全面掌控。 包括：使用情况统计：从资产状态、厂商、区域、在线率、时间等多维度统计资产情况；攻击威胁统计：从总体趋势、区域、攻击威胁类型、厂商等角度展现；告警情况统计：从区域、厂商、趋势角度展现整体告警情况；非法四姐统计：从总体趋势、区域等角度展现。配置管理在同一网络中的视频安全网关配置，有一定的相似性。网络管理人员可以针对视频安全网关配置统一的安全配

16、置模板。系统可对注册的全网网关进行统一安全策略配置及下发，主要包括：日志配置、安全接入配置、应用配置、非法流量处理、内容安全检测及免认证白名单。同时，提供告警配置、分级服务器配置等。日志管理详尽记录资产变化、用户操作行为、网关配置管理等内容，主要包括资产接入日志、网关操作日志、资产行为日志、用户行为日志、资产变更日志等。大屏监控通过可视化方式展示健康指数、资产数量、资产运行状态、资产厂家统计、资产区域统计、非法私接、异常流量以及告警信息等，方便网络管理人员第一时间掌握和评估当前 IPC 及网络安全情况。视频数据中心安全联动闭环安全业务统一管理大企业客户网络中部署大量防火墙设备（例如某集团仅华北

17、区就部署几百台防火墙），目前对于这些防火墙的运维管理，主要有以下痛点：防火墙的管理手段分散，无有效集中管理工具；管理员重复需要充分了解防火墙与网络拓扑的关系，需要管理大量维护 IP 地址， 对管理员要求高；管理员无法统一查看安全策略情况，存在策略配置错误、策略冗余情况。针对上述痛点和问题，提出了安全业务集中管理方案（如下图所示），通过 SecoManager，可以自动发现设备，进行配置一致性检查，配置差异结果可视，安全策略自动实施和部署。关键组件说明：SecoManager 配置界面，面向用户提供安全策略配置 portal；统一收集防火墙告警日志，提供统一运维；防火墙开放北向API，SecoM

18、anager 将安全策略通过NETCONF 通道下发到防火墙。设备管理设备管理包含防火墙设备的基本管理能力：设备自动发现、设备的增删改查、双机热备组的增删改查、设备配置的一致性对比功能、设备单点登录等。在 SecoManager 中，为了方便用户管理，会将双机热备的两台设备自动识别为一台逻辑设备来进行统一的管理，同时做双机热备日常管理。设备配置一致性对比：将SecoManager 最后一次部署配置和设备当前的配置进行对比。如果配置不一致，可以查看相应的对比结果。可以将配置同步到控制器上，也可以选择放弃设备的变更。双机热备自动识别：SecoManager 在设备发现之后，会自动尝试识别设备的双机

19、热备配置，将具体双机热备关系的两台物理设备识别为一台逻辑设备来进行管理。这样在策 略配置的过程中，就可以只关注这一台设备。双机热备自动识别需要一个过程（几分钟），如果双机热备识别失败，用户也可以选择手工识别。双机热备日常管理：可以针对双机热备的两台设备进行配置一致性检查、主备一致性检查、版本一致性检查，如果发现配置不一致的情况下，支持手工调整修复。同时也可以进行手工主动切换。对象管理支持安全域、地址集、服务等对象的集中规划管理。支持反病毒、入侵防御安全配置文件。安全配置文件是一种专门用于安全策略的特殊对象，它是一组内容安全检测与防护规则的集合。通过安全配置文件可以定义在内容安全功能中，需要识别

20、的威胁以及对其采取的措施。策略管理安全策略管理功能主要用于访问控制以及内容安全检查。用户通过设置对应的匹配条件包括源/目的安全区域、源/目的地址、服务、时间段来进行控制，在执行动作上可以设置允许或禁止。同时也可以配置上对应的安全配置文件做内容安全防护。策略组视图和设备视图进行策略快速管理：可以查看单一策略组或单一设备，可以快速过滤策略组和设备相关的策略。选择了某一个策略组或设备后，再新增策略时，默认也会选中该策略组或设备；可以查看策略变更统计、配置一致性统计、部署状态统计。策略变更统计：当 SecoManager 的配置进行变更之后，将识别这个策略为变更状态。变更的策略需要考虑部署到对应的设备

21、上。变更统计状态包含：已变更、未变更。用户可以通过点击变更统计状态的内容进行快速筛选该状态下的策略。配置一致性统计：以策略的视角来检查该策略与关联的设备上的策略是否都一致。如果有任意一台设备是不一致的，则提示不一致。该功能只会检查最后一次部署的配置与设备是否一致。配置一致性状态：一致、不一致、未知（未检查）。用户可以通过点击配置一致性状态的内容进行快速筛选该状态下的策略。部署状态统计：以策略的视角来统计该策略的部署状态：未部署、已部署、部署中、部分部署、部署失败。这样可以比较直观的看到策略部署的进展。用户可以通过点击部署状态的内容进行快速筛选该状态下的策略。安全联动处置CIS 系统提供丰富的威胁检测模型，管理员可以结合现网威胁类型，针对各类威胁类型进行联动规则配置，规则配置生效后，一旦检测到的威胁事件命中联动规则后，CIS 按照联动规则中的阻断配置下发联动策略。整个交互流程如下：管理员配置交换机,将待检测的流量通过交换机端口镜像给 CIS 流探针；管理员根据当前网络中的威胁情况，在CIS