公安信息网视频监控安全接入解决方案

PAGEPAGE9公安信息网视频监控安全接入解决方案20113目录一、概述 4二、视频监控业务及安全防御难点分析 5视频监控业务分析 5公安网视频监控应用的安全防御难点分析 6三、建设标准与目标 7建设标准 7建设目标 8四、视频安全接入解决方案 9总体架构设计 9接入对象 接入链路 12边界接入平台视频接入链路 13公安信息通讯网 15平台安全防御体系设计 15视频接入认证服务 16网络隔离与访问控制功能 19反弹木马阻断功能 21视频数据实时病毒检测与阻断 22视频用户认证与授权功能 24集中安全管理与日志审计 25高性能设计 27高可靠性设计 28五、主要技术性能 29安全功能 29技术性能 31设备规格 32一、概述公安信息网（公安网）网络为接入网。公安网络系统的主要功能是为各级公安业务部门提供语音、数字、图表、动、静态图像等数据的传输和交换。例如来自外网的各种攻击、入侵、植入木马、探头（信息搜索代理Agent）和病毒等威胁；各类设备上的后门有可能受控启用，造成信（视频监控点二、视频监控业务及安全防御难点分析视频监控业务分析准确打击罪犯。社会治安视频监控系统不仅仅是由公安机关建设和管理的专用包含三类视频监控点资源：一类为主要干道、出入口、要害部位、人流密集地段和案件高发部位。二类为治安复杂地段、人员聚集点、娱乐场所、商业街区、大中型居民住宅区、重要企事业单位以及金融珠宝网点等。儿园、医院及新建商场、办公大楼外围。公安网视频监控应用的安全防御难点分析公安网视频监控应用的主要安全防御难点表现在：传输内容安全过滤困难。视频应用区别于WEB、数据库等其他问题。应用协议控制困难。由于行业特殊原因，视频监控协议始终没控制难度大。三、建设标准与目标建设标准本方案严格按照公安部相关视频接入安全标准及体系架构设计，满足各类公安网视频安全接入环境的要求，主要依据标准包括：未定编号公安信息通信网边界接入平台安全规范未定编号公安信息通讯网边界接入平台安全规范（试行）视频专网GA/T367-2001视频安全监控系统技术要求GB/T20279-2006网络和终端设备隔离部件安全技术要求GB17859-1999计算机信息系统安全保护等级划分准则GA/T669-2006城市监控报警联网系统通用技术要求建设目标依据公安部相关规定和公安信息通信网现有安全基础设施高性能、高可靠性的社会监控视频接入平台，实现公安内网安全、视频接入区域边界安全、通讯内容安全、访问权限安全等。包括：道泄露公安机密信息；完整性：确保视频数据在传输中不被恶意篡改；发生违规或异常情况时，能够及时发现、报警并处理；控，具有规范合理的接入业务流程，纳入日常维护管理；余容错能力。网隔离接入平台管理体系中。四、视频安全接入解决方案总体架构设计视频接入公安网应用属于公安信息通信网边界接入平台的一种路接入区和公安信息通信网（公安内网）。PAGEPAGE12接入对象接入对象主要指各类视频监控系统，视频监控系统主要由前端公安自建视频监控系统各党政机关视频监控系统这类视频监控系统主要包括交通、环卫等单位建立的监控系统，这类系统一般可以通过政务专网接入公安网。社会视频监控资源这三类接入对象由于所采用组网方式的安全性不同，因此，必须通过相互物理隔离的接入链路接入公安边界接入平台视频接入链路。接入链路接入链路是指由视频监控系统接入公安边界接入平台的链路方路由器或防火墙相连。根据4.1.1线路接入防火墙，如下图所示：边界接入平台视频接入链路建立了边界接入平台的各级公安机关可以依托现有的边界接入平台及其设备（IDS），再根据视频接入规范增添视频专用隔离设备（视频专用隔离网闸）服务器、视频用户认证服务器即可。13对于没有建立公安边界安全接入平台的公安机关，按照公安部的接入规范要求，则需要完整的建设包括边界接入管理平台、防火墙、IDS入侵检测系统、视频专用隔离设备、视频接入认证服务器、视频用户认证服务器等在内的整套边界接入平台。D11.2-2Mbps14PAGEPAGE16边界接入平台视频接入链路具有针对视频应用的专用安全功能，公安信息通讯网公安信息通信网边界接入平台与公安信息通讯网核心交换机相连，实现公安信息通信网内各视频终端对视频监控系统（视频专网的实时访问。平台安全防御体系设计伟思视频专用安全隔离与信息交换系统由三大安全功能单元构元和视频用户认证服务器安全功能单元。视频接入认证服务伟思视频专用安全隔离与信息交换系统的视频接入认证服务器安信息通信网提供视频信息服务的硬件设备进行身份确认禁止未经过认证的设备接入公安信息通讯网。视频接入认证服务器安全功能单元采用设备指纹+IP&MAC绑定HASH值以及设备IP、MAC地址等信息形成该设备独有的指纹，就像每个人不同的指纹一样，没有在接入认证服务单元上注册的设备将被阻止接入公安/认证的视频设备包括：DVR视频管理服务器视频转发服务器视频编解码服务器流媒体服务器视频模拟/数字矩阵存储设备视频接入认证安全功能单元还具备视频信令协议分析和内容过析和内容过滤。伟思视频接入认证安全功能单元能够分析视频信令的格式和内ASCII或GB2312等中文编码的内容关键字过滤算法无法实现对这些视频监控系统信令的协议SIPH.323伟思视频接入认证安全功能单元除了能够实现信令请求的协议17检查和内容过滤功能以外，还具备对请求返回结果的内容过滤功能。伟思视频接入认证安全功能单元还在国内独创性地提供了访问伟思视频接入认证安全功能单元的信令分析与检查功能包括：18CRC校验信令报文头检查信令格式检查信令集内容检查信令参数内容检查信令返回信息校验信令行为逻辑检查功能伟思视频接入认证安全功能单元能够终止视频设备对公安网的访问。DB33T639跨区域视SIPH.323协议规范的视频监控系统的支持。网络隔离与访问控制功能伟思视频专用安全隔离与信息交换系统采用基于ASIC设计的硬19对视频数据和信令进行分离，分别独立处理和传输。伟思视频专用安全隔离与信息交换系统采用动态端口控制功能，能够利用ip_conntrack并在视频画面关闭后自动关闭视频传输通道。如下图所示：伟思视频专用安全隔离与信息交换系统具备强大的ACL控制功IPPORT20间在内的访问控制策略。反弹木马阻断功能端口，因此，在视频数据流通道上检测木马是国际难题。本方案提出的解决思路是通过应用隔离技术将木马与视频应用途径。如下图所示：21视频数据实时病毒检测与阻断法的视频客户端程序溢出并利用其传播病毒。22发生溢出攻击的主要原因是视频客户端执行了超长的命令参数视频浏览功能尽可能简化、对所有输入参数和返回值严格控制在3223PAGEPAGE25视频用户认证与授权功能伟思视频接入认证安全功能单元具备基于公安PKI/PMI数字证书用户认证与授权的功能。采用单点登录方式，所有公安内网用户只需要数字证书KEY，就视频资源访问权限，实现对用户视频访问的认证与授权。要权限配置功能包括：对能够访问视频设备的客户端IP对能够访问视频设备的客户端访问时间进行策略控制对能够访问视频设备的客户端程序进行策略控制对客户端能够访问的视频管理服务器IP对客户端能够访问的视频管理服务器端口进行策略控制对所有访问视频设备的用户进行身份认证按用户/用户组对客户端能够进行的视频监控行为进行授权根据客户端IP/用户组设置能够访问摄像头的范围根据客户端IP/用户组设置是否能够检索历史录像根据客户端IP/用户组设置是否能够控制云台根据客户端IP/用户组设置是否能够查看历史录像根据客户端IP/用户组设置是否能够浏览GIS根据客户端IP/用户组设置是否能够修改视频管理数据库根据客户端IP/用户组设置是否能够进行远程对讲根据客户端IP/用户组设置是否能够操作报警I/O根据客户端IP/用户组设置是否能够配置视频设备参数集中安全管理与日志审计伟思视频专用安全隔离与信息交换系统作为边界接入平台视频接入链路的核心设备，能够与公安部批准的5家平台厂商的边界接入管理平台进行集成，满足边界接入平台视频链路的安全要求。伟思视频专用安全隔离与信息交换系统提供标准的SNMPv1/v3设SYSLOG行等在内的管理平台均遵循公安部对边界接入管理平台产品的要求提供SNMP和SYSLOG安全管理区的主要功能是通过集中监控与审计系统对视频安全监测、统计分析、安全审计，并以友好及人性化界面进行展示。上报接入平台；流量排名、异常情况汇总等统计信息上报接入平台；26管理与审计系统具有一套完善的安全管理结构，包括以下内容：管理方式：采用B/S架构，通过Web连接安全性：管理机与设备间采用SSL分级分权限管理：设备管理包括用户管理员、安全策略员和/设备配置；安全策略员能够配置访问控制规则，但不能配置设备属性、查看日志；仅允许日志审计管理员查看、管理日志。设备配置备份与恢复：具备配置保存与恢复功能。数量、流量等各种运行信息。高性能设计27伟思视频专用安全隔离与信息交换系统采用MIPS多核平台+ASIC硬件芯片实现了对视频访问的高性能设计，单台设备能够满足最大2000路D1质量画质的视频并发访问，1080p高清摄像头的带宽占用则达到了每路4-8Mbps的要求，伟思视频专用安全隔离与信息交换系统高达5Gbps的吞吐性能有效保障了公安网今后对高清晰、大并发视频监控应用的性能需求。高可靠性设计28PAGEPAGE32HATCPUDP持，即设备故障切换中，视频浏览不会中断。五、主要技术性能安全功能伟思ViGap2+1开发接口，能够与隔离平台集成，符合公安网边界安全接入规范视频专用技术要求。通过建立基于ASIC8DPI5Gbps0.5ms2500D1访问。入设备的合法性，防止非法设备接入。据通道的单向传输。道传输非视频数据，有效控制视频通道的安全使用。端用户进行认证和授权。备终止在接入认证服务单元，不允许直接连接公安内网。阻断夹杂恶意代码的视频数据。系统具备强大的流量管理功能，支持WREDGTSWFQ/CBQ关键应用或用户保留足