◆楊 健 顧 濤

?

公安視頻專網安全管理系統(tǒng)的設計與研究

◆楊 健1顧 濤2

（1.嘉興市公安局 浙江 314000；2.嘉興市秀洲區(qū)公安分局 浙江 314000）

近年來，隨著科技的發(fā)展和網絡的進步，視頻監(jiān)控系統(tǒng)已在各種公共場所被廣泛地安裝使用。為了適應越來越復雜的治安形勢要求，全面提升應對突發(fā)案件、群體性事件和重大保衛(wèi)活動的響應能力和監(jiān)控力度，設計和實現公安視頻專網管理系統(tǒng)對于國家近年來打擊犯罪尤為重要。本文根據對公安視頻專網的網絡結構、業(yè)務特征進行分析，對公安視頻專網安全管理系統(tǒng)進行設計、分析，力爭為公安機關打擊防范違法犯罪、社會治安管控、交通管理發(fā)揮作用。

視頻；監(jiān)控系統(tǒng)；專網；社會安全

0 引言

近年來，隨著我國綜合國力的增強、社會的快速進步和國民經濟的不斷增長，視頻監(jiān)控系統(tǒng)的重要性在社會治安管理、交通運輸管理、電力、銀行、安檢及軍事等領域日益凸顯，設計和研究符合網絡時代的公安視頻專網安全管理系統(tǒng)已經成為社會安定發(fā)展的重中之重。

1 公安視頻專網安全現狀

在前期各地的公安視頻專網建設中，普遍存在“重應用，輕安全”的情況。公安視頻專網的應用非常豐富，承載了治安監(jiān)控、道路監(jiān)控、指揮調度、打擊犯罪、社會管理、服務群眾等大量的業(yè)務功能，而公安視頻專網的安全建設基本處于空白狀態(tài)，視頻監(jiān)控系統(tǒng)大量應用背后暗藏信息安全危機。國內建設了許多視頻網絡、攝像頭等公共設施，但卻考慮較少視頻監(jiān)控網絡的安全管理。用戶單位對信息安全的重視程度也明顯不夠，許多監(jiān)控系統(tǒng)的缺省密碼都未修改，留下極大的安全隱患。

2 公安視頻專網安全風險分析

根據對公安視頻專網的網絡結構、業(yè)務特征進行分析，目前公安視頻專網中主要存在以下幾個方面的風險：

網絡非法互聯(lián)風險。公安視頻專網設計上與互聯(lián)網及其他網絡物理隔離，只能通過防火墻、邊界接入平臺等嚴格的安全設施與公安信息網、政府部門視頻監(jiān)控網等不同網絡之間進行信息交換與共享。實際工作中，公安視頻專網中通過多網卡、網絡出口、網絡代理、無線AP、NAT邊界等形式繞過安全設施監(jiān)管，與外部網絡的聯(lián)通情況屢見不鮮，嚴重破壞視頻專網的物理隔離性，極易造成信息的泄露與病毒木馬的傳播，甚至成為外部攻擊入口。因此，發(fā)現并嚴格管理公安視頻專網與其它網絡的連接邊界，是視頻專網網絡互聯(lián)安全管理的一大重點。

設備接入安全風險。由于攝像頭等前端設備部署分布極為廣泛，處于無人看守區(qū)，且當前視頻監(jiān)控系統(tǒng)已經進入了IPC時代，非授權人員只要簡單地用計算機替換前端攝像頭就可以輕松地實現網絡的入侵和非法數據的訪問。

計算機基礎安全風險。視頻專網的終端計算機（服務器）主要用于工作人員對視頻專網的日常管理與使用，以及承載視頻專網的各類應用系統(tǒng)。視頻專網的終端（服務器）主要安全風險包括：弱口令、操作系統(tǒng)漏洞、病毒威脅、木馬軟件、USB存儲設備濫用、非法外聯(lián)等情況。一旦終端（服務器）被入侵、攻擊、控制，也就意味著整個視頻專網被入侵者控制，獲取密碼、非法控制、盜取數據等情況都可能發(fā)生。

數據安全風險。視頻專網保存有大量的敏感視頻數據，一旦泄露，會嚴重危害到國家、社會安全和個人隱私。目前主要對通過視頻共享平臺訪問的視頻數據有審計記錄，但缺乏完整的對專網內所有視頻數據的查看、下載、復制、外發(fā)進行有效審計與管控。

視頻系統(tǒng)成效保障風險。一般視頻共享平臺會對接入的視頻源與存儲等設備進行基本的狀態(tài)檢測，但對于許多關系到視頻系統(tǒng)建設成效的更細致的異常，比如畫面模糊、圖像參數失真、偏色、物體遮擋、線路衰減、設備時鐘失步、磁盤陣列異常、錄像重復存儲、像素偏低、錄像保存時間不足、硬盤狀態(tài)異常等卻缺乏有效檢測手段，從而影響到視頻系統(tǒng)的整體建設運行效果。

管理安全風險。專網安全缺乏整體管理手段，相關管理員無法從全局上把握當前專網運行安全態(tài)勢，出現安全事件或者設備故障時也沒有一套機制化的整合管理員、運營商與工程商運維人員等相關各方協(xié)同參與的工作流程來保障快速響應。

3 目的與意義

實現公安視頻專網安全監(jiān)管系統(tǒng)貫徹國家、政府對平安城市信息安全保障工作的要求，我們應該為視頻專網提供一體化的網絡互聯(lián)管控、終端準入控制、應用安全監(jiān)管和安全管理監(jiān)控能力，保障視頻專網安全、高效、可靠地發(fā)揮作用。

（1）提高網絡互聯(lián)管控能力。具有邊界實時監(jiān)測與注冊管理能力，針對邊界安全監(jiān)管需求，基于網絡特征與應用特性的綜合分析、跟蹤技術建立了異構網絡的安全指標體系，實現復雜網絡環(huán)境下的線路邊界定位，做到邊界清晰可控。

（2）加強終端準入控制能力。建立視頻專網統(tǒng)一的終端準入控制機制，能夠在線監(jiān)控全網計算機終端/服務器、視頻監(jiān)控設備的入網狀態(tài)；系統(tǒng)可以通過點對點掃描技術、設備分析技術智能地識別視頻專網內的設備類型；提供計算機終端/服務器安全基線核查、用戶操作行為監(jiān)控等功能，能夠有效防范非法終端和用戶違規(guī)外聯(lián)行為。

（3）提高應用安全監(jiān)管能力。能夠自動檢測使用游戲、聊天、P2P、黑客工具等違規(guī)應用軟件行為，及時處置并報警；對維護操作行為進行權限控制，實現統(tǒng)一登錄與審計。

（4）嚴格安全管理監(jiān)控能力。應建立全網安全管理與監(jiān)察管控機制，形成視頻專網全網統(tǒng)一的安全管理體系；創(chuàng)建了高擴展、高穩(wěn)定性的網狀結構級聯(lián)服務和多通道消息服務，支持多級別、跨區(qū)域等多級級聯(lián)管控的工作模式，實現安全工作的信息化；實施全網資產細粒度管理，實時掃描檢查網絡安全狀況，具有設備自動發(fā)現識別、安全工作流程監(jiān)察、安全事件監(jiān)測審計等能力，具備及時發(fā)現網絡入侵、信息竊密、病毒擴散，以及實時監(jiān)測在網安全設備狀態(tài)等功能。

4 系統(tǒng)的設計與實現

通過以上安全風險分析，針對視頻專網安全狀況，充分考慮未來安全建設需求，公安視頻專網安全管理系統(tǒng)可從下而上分為“對象層”、“接入層”、“數據分析層”、“業(yè)務處理層”和“數據可視化層”進行整體設計，具體結構圖如圖1。

圖1安全管理系統(tǒng)架構圖

按照以上架構設計公安視頻專網安全管理系統(tǒng)具有安全態(tài)勢集中展現、全網資產實時統(tǒng)計、安全風險自動發(fā)現、入網設備統(tǒng)一管控、文件輸出嚴格監(jiān)管和視頻系統(tǒng)綜合運維六大主要功能。

（1）安全態(tài)勢集中展示

能夠以地圖、圖表、報表等展現形式集中展示各類安全監(jiān)管類、資產統(tǒng)計類、風險展示類和視頻運維類等信息。

（2）全網資產實時統(tǒng)計

能夠統(tǒng)計視頻專網硬件、軟件、終端設備、視頻專用設備等全網部署情況，能夠實時自動發(fā)現終端計算機、服務器、視頻圖像監(jiān)控設備、網絡設備等設備，對終端軟件安裝及變更、硬件信息及變更、IP地址使用情況進行統(tǒng)計監(jiān)管；支持對各類資產的數量、類型等進行分類統(tǒng)計和管理。

（3）安全風險自動發(fā)現

支持自動發(fā)現終端環(huán)境風險、終端運行風險和違規(guī)外聯(lián)情況等；能夠根據用戶考核要求，結合安全風險情況，對被考核對象進行安全考評，包含注冊率、邊界備案率、防毒軟件覆蓋率、補丁打全率等。

（4）入網設備統(tǒng)一管控

系統(tǒng)具有邊界發(fā)現與備案功能，可以對各類設備接入進行隔離、安全檢查，并對終端進行控制管理。

（5）文件輸出嚴格監(jiān)管

具有敏感信息識別、文件輸出審計和移動介質管理等功能，能夠對文件輸出行為進行審計、記錄，嚴格管控。

（6）視頻系統(tǒng)綜合運維

具有故障統(tǒng)計、故障檢測、故障申報流轉、監(jiān)控名稱回寫等功能，支持視頻采集設備與服務端信息的同步。

[1]王薇.內部網絡安全管理系統(tǒng)分析[J].計算機光盤軟件與應用，2011.

[2]馬立新，金月光.基于策略的網絡安全管理系統(tǒng)設計與實現[J].軟件，2013.