杜慶靈

平安城市視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全研究＊

杜慶靈

（河南警察學(xué)院信息安全系，河南 鄭州 450000）

重點(diǎn)研究了平安城市視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題，分析了視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)架構(gòu)、邏輯架構(gòu)，探討了支撐視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)，給出了保障網(wǎng)絡(luò)邊界安全、視頻專(zhuān)網(wǎng)內(nèi)部安全、接入安全的技術(shù)方法，可為平安城市視頻監(jiān)控系統(tǒng)建設(shè)及應(yīng)用提供參考。

視頻監(jiān)控；網(wǎng)絡(luò)安全；視頻圖像信息；微卡口

1 引言

視頻監(jiān)控系統(tǒng)是平安城市的重要組成部分，近年來(lái)發(fā)展迅猛，其內(nèi)容主要包括治安視頻監(jiān)控、道路視頻監(jiān)控、智能卡口（電子警察）、人臉比對(duì)、微卡口、移動(dòng)監(jiān)控等子系統(tǒng)，使用主體主要有公安機(jī)關(guān)、政法部門(mén)、政府相關(guān)部門(mén)等，為使用者提供涉及人、車(chē)、事、物等要素的視頻圖像信息。通常，公安機(jī)關(guān)是視頻圖像信息的主要管理者，視頻監(jiān)控系統(tǒng)已成為社會(huì)治安防控的重要手段。許多學(xué)者從技術(shù)、應(yīng)用等不同的角度進(jìn)行了深入探討，但隨著視頻圖像信息的大規(guī)模應(yīng)用，其安全性也越來(lái)越重要，因其使用的主體較多，跨越互聯(lián)網(wǎng)、公安網(wǎng)邊界等因素，網(wǎng)絡(luò)安全是一個(gè)十分重要的問(wèn)題。本文重點(diǎn)研究視頻監(jiān)控系統(tǒng)的安全問(wèn)題，并給出相應(yīng)的解決方案。

2 視頻監(jiān)控系統(tǒng)總體架構(gòu)

2.1 網(wǎng)絡(luò)架構(gòu)

平安城市視頻監(jiān)控系統(tǒng)主要管理者是公安機(jī)關(guān)，其對(duì)象不但包括政法、公安等部門(mén)自建的系統(tǒng)，還包括通過(guò)聯(lián)網(wǎng)方式整合的社會(huì)建設(shè)系統(tǒng)，比如居民小區(qū)、學(xué)校、醫(yī)院、工廠等。綜上所述，使用視頻圖像信息的用戶較多，視頻監(jiān)控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

視頻專(zhuān)網(wǎng)：用于匯接各類(lèi)政法、公安機(jī)關(guān)自建的視頻監(jiān)控系統(tǒng)，可在此網(wǎng)布署視頻圖像信息共享平臺(tái)，通過(guò)安全邊界向公安網(wǎng)和互聯(lián)網(wǎng)用戶提供信息。

互聯(lián)網(wǎng)：互聯(lián)網(wǎng)包括公共網(wǎng)絡(luò)和各種專(zhuān)網(wǎng)（如電子政務(wù)外網(wǎng)），主要實(shí)現(xiàn)社會(huì)視頻監(jiān)控資源的接入和對(duì)外提供公共服務(wù)等。在此網(wǎng)絡(luò)內(nèi)可布署社會(huì)資源接入平臺(tái)及社會(huì)公共服務(wù)平臺(tái)。

公安網(wǎng)：此網(wǎng)絡(luò)用戶可以通過(guò)安全邊界向視頻專(zhuān)網(wǎng)調(diào)用各種視頻圖像信息，并開(kāi)展各種應(yīng)用。在此網(wǎng)絡(luò)內(nèi)可布署視頻圖像信息綜合平臺(tái)和聯(lián)網(wǎng)平臺(tái)。

2.2 邏輯架構(gòu)

視頻監(jiān)控系統(tǒng)邏輯架構(gòu)如圖2所示。

圖2 視頻監(jiān)控系統(tǒng)邏輯架構(gòu)圖

前端感知信息采集層：負(fù)責(zé)各場(chǎng)景音視頻信號(hào)的采集，包括智能卡口、監(jiān)控?cái)z像機(jī)、電子警察等。

網(wǎng)絡(luò)傳輸層：主要指公安網(wǎng)、視頻專(zhuān)網(wǎng)、互聯(lián)網(wǎng)等。

基礎(chǔ)設(shè)施層：指各種存儲(chǔ)、計(jì)算資源等。

服務(wù)支撐層：指各種中間件、算法、模型等。

應(yīng)用展示層：指面向各類(lèi)用戶提供各種服務(wù)。

標(biāo)準(zhǔn)體系：統(tǒng)一的編碼標(biāo)準(zhǔn)、聯(lián)網(wǎng)標(biāo)準(zhǔn)和接口標(biāo)準(zhǔn)等。

安全與運(yùn)維體系：安全包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全等，運(yùn)維指日常的運(yùn)維服務(wù)，如信號(hào)質(zhì)量診斷、掉線等。

3 視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)

如前述，視頻監(jiān)控系統(tǒng)的安全體系包含數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)安全等，本節(jié)重點(diǎn)探討網(wǎng)絡(luò)安全的問(wèn)題，為視頻監(jiān)控系統(tǒng)達(dá)到等保三級(jí)提供技術(shù)支撐。

3.1 網(wǎng)絡(luò)邊界安全

以市級(jí)公安機(jī)關(guān)的視頻專(zhuān)網(wǎng)為討論對(duì)象，其網(wǎng)絡(luò)邊界可劃分為縱向和橫向邊界，縱向邊界主要指上至公安廳，下至所轄縣公安局的視頻專(zhuān)網(wǎng)邊界，橫向邊界主要指與同級(jí)公安網(wǎng)、電子政務(wù)外網(wǎng)、互聯(lián)網(wǎng)的邊界。對(duì)于縱向邊界，因同屬視頻專(zhuān)網(wǎng)，其邊界防護(hù)可采用防火墻、防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)等技術(shù)手段，制訂相應(yīng)的安全策略。對(duì)于橫向邊界，因涉及公安網(wǎng)、電子政務(wù)外網(wǎng)、互聯(lián)網(wǎng)等，在公安網(wǎng)邊界采用以公安網(wǎng)為主的防護(hù)措施及視頻邊界，現(xiàn)省轄市級(jí)公安機(jī)關(guān)均已實(shí)現(xiàn)。存在的問(wèn)題是視頻信息在兩網(wǎng)之間的交互可能有延時(shí)。因電子政務(wù)外網(wǎng)的使用對(duì)象為黨政機(jī)關(guān)，且電子政務(wù)外網(wǎng)也屬于專(zhuān)網(wǎng)，因此，其邊界防護(hù)可采用防火墻，通過(guò)制訂訪問(wèn)控制策略，防止非授權(quán)用戶的非法訪問(wèn)。與互聯(lián)網(wǎng)邊界，因涉及社會(huì)資源的接入及為外提供服務(wù)，加之社會(huì)資源接入的復(fù)雜性，在邊界處應(yīng)布署防火墻，入侵檢測(cè)系統(tǒng)等安全設(shè)備，對(duì)社會(huì)資源進(jìn)入視頻專(zhuān)網(wǎng)的數(shù)據(jù)進(jìn)行未知威脅檢測(cè)，防止防火墻未檢測(cè)出的威脅進(jìn)入視頻專(zhuān)網(wǎng)。當(dāng)檢測(cè)到威脅存在時(shí)，與防火墻等安全系統(tǒng)一起將特征代碼刪除或隔離。防火墻可安全策略分為以下幾方面：①可對(duì)防火墻進(jìn)行虛擬化設(shè)計(jì)，在防火墻上為每個(gè)租戶劃分虛擬防火墻，可按照VLAN方式，根據(jù)流量與VLAN標(biāo)簽一起到防火墻后，根據(jù)VLAN對(duì)應(yīng)進(jìn)入到每個(gè)虛擬防火墻進(jìn)行安全檢查，實(shí)現(xiàn)對(duì)各租戶業(yè)務(wù)的安全隔離；②所有流向的數(shù)據(jù)均經(jīng)防火墻進(jìn)行安全檢查；③對(duì)防火墻進(jìn)行安全設(shè)計(jì)，除具備基本的安全隔離功能外，還可開(kāi)啟畸形包檢查過(guò)濾，以及嚴(yán)格的訪問(wèn)控制權(quán)限，對(duì)掃描類(lèi)的攻擊行為進(jìn)行過(guò)濾，對(duì)訪問(wèn)網(wǎng)絡(luò)設(shè)備的掃描報(bào)文進(jìn)行檢查，確定其IP的來(lái)源，是管理員IP即為合法，非管理員IP認(rèn)定為攻擊。

3.2 視頻專(zhuān)網(wǎng)內(nèi)部安全

對(duì)視頻專(zhuān)網(wǎng)內(nèi)部安全可采用訪問(wèn)控制技術(shù)、入侵防御技術(shù)等進(jìn)行安全保護(hù)。訪問(wèn)控制可采用PKI/PMI技術(shù)實(shí)現(xiàn)，因視頻專(zhuān)網(wǎng)信息的使用者是民警或輔警，民警在公安專(zhuān)網(wǎng)內(nèi)信息訪問(wèn)已使用PKI/PMI方式進(jìn)行控制，而且PKI/PMI已拓展到外網(wǎng)，實(shí)現(xiàn)了外網(wǎng)數(shù)字身份證書(shū)機(jī)制，將這種機(jī)制移植到視頻專(zhuān)網(wǎng)即可，對(duì)輔警，通過(guò)PKI/PMI系統(tǒng)的擴(kuò)展，可對(duì)輔警頒發(fā)類(lèi)似民警外網(wǎng)的數(shù)字身份證書(shū)的訪問(wèn)控制設(shè)備，實(shí)現(xiàn)有效的訪問(wèn)控制。

在視頻專(zhuān)網(wǎng)的服務(wù)器區(qū)布署入侵防御系統(tǒng)，檢測(cè)針對(duì)HTTP、FTP、DNS等服務(wù)器的各種攻擊，比如緩沖區(qū)溢出、服務(wù)漏洞、注入攻擊、跨站腳本、目錄穿越等攻擊；檢測(cè)蠕蟲(chóng)、木馬、間諜軟件、廣告軟件、僵尸網(wǎng)絡(luò)等惡意軟件等。

入侵防御系統(tǒng)是基于多種先進(jìn)安全技術(shù)的檢測(cè)技術(shù)，可有效地檢測(cè)各種已知或者未知的威脅。其設(shè)計(jì)基于全面檢測(cè)、準(zhǔn)確分析、多面展現(xiàn)的理念，采用協(xié)議智能識(shí)別技術(shù)，自動(dòng)區(qū)分不同應(yīng)用和協(xié)議，無(wú)需人工設(shè)定協(xié)議端口，基于漏洞的檢測(cè)技術(shù)以及基于攻擊特征的檢測(cè)技術(shù)，可發(fā)現(xiàn)各種已知的攻擊，如漏洞、蠕蟲(chóng)、木馬等。

3.3 接入安全

視頻專(zhuān)網(wǎng)內(nèi)存在接入地點(diǎn)廣泛、網(wǎng)絡(luò)基礎(chǔ)設(shè)備較復(fù)雜等情況，有必要對(duì)入網(wǎng)設(shè)備進(jìn)行認(rèn)證，可啟用802.1x認(rèn)證協(xié)議對(duì)所有接入視頻專(zhuān)網(wǎng)的設(shè)備進(jìn)行MAC認(rèn)證。只有通過(guò)認(rèn)證的網(wǎng)絡(luò)設(shè)備才能接入視頻專(zhuān)網(wǎng)，為了防止非法接入，可啟用網(wǎng)絡(luò)設(shè)備識(shí)別功能，實(shí)時(shí)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描，識(shí)別出真實(shí)的設(shè)備類(lèi)型，發(fā)現(xiàn)非法入侵進(jìn)行告警。可對(duì)視頻專(zhuān)網(wǎng)的攝像頭、網(wǎng)絡(luò)設(shè)備、終端等設(shè)備進(jìn)行注冊(cè)、登記（包括 MAC 地址、物理位置、IP地址、型號(hào)、廠商等），確保公安視頻專(zhuān)網(wǎng)所有IP設(shè)備的規(guī)范化管理，統(tǒng)一注冊(cè)、統(tǒng)一審批。

4 結(jié)束語(yǔ)

平安城市視頻監(jiān)控系統(tǒng)的承載網(wǎng)絡(luò)安全級(jí)別較高、規(guī)模龐大、網(wǎng)絡(luò)分支較多、網(wǎng)絡(luò)攝像頭接入地理位置十分分散、人為監(jiān)管困難、信息量大且較為敏感等特點(diǎn)，導(dǎo)致網(wǎng)絡(luò)終端設(shè)備、網(wǎng)絡(luò)攝像頭等設(shè)備以及網(wǎng)內(nèi)信息存在較大的安全風(fēng)險(xiǎn)。因此，有必要對(duì)視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行深入研究，采用網(wǎng)絡(luò)安全技術(shù)、制訂安全策略，實(shí)施安全管理，從視頻終端、視頻設(shè)備、計(jì)算機(jī)終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備，視頻終端弱口令，數(shù)據(jù)和行為安全等方面進(jìn)行全方位的管控。防止出現(xiàn)視頻專(zhuān)網(wǎng)網(wǎng)絡(luò)攝像頭等設(shè)備的私接和仿冒、專(zhuān)網(wǎng)內(nèi)異常訪問(wèn)和流量影響視頻、視頻專(zhuān)網(wǎng)數(shù)據(jù)泄露等問(wèn)題。建立一套完整的設(shè)備入網(wǎng)管理流程，對(duì)設(shè)備的入網(wǎng)進(jìn)行規(guī)范化管理，從而保障視頻專(zhuān)網(wǎng)的安全性。本文主要從安全技術(shù)方面對(duì)視頻監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全進(jìn)行了探討，給出了解決視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的技術(shù)方法，本文的研究有一定應(yīng)用價(jià)值。

［1］孟輝，李穎，李帥，等.公安視頻監(jiān)控專(zhuān)網(wǎng)應(yīng)對(duì)網(wǎng)絡(luò)攻擊的安防策略［J］.遼寧警察學(xué)院學(xué)報(bào)，2019（3）：7-10.

［2］單曉輝，單洪偉，劉祥.公安視頻數(shù)據(jù)安全面臨的機(jī)遇與挑戰(zhàn)［J］.中國(guó)公共安全，2019（5）：117-121.

［3］周亞.基于云時(shí)代的網(wǎng)絡(luò)視頻信息傳輸安全保障性探討［J］.中國(guó)安防，2019（4）：100-102.

2095－6835（2019）22－0059－02

TN948.6

A

10.15913/j.cnki.kjycx.2019.22.018

杜慶靈，男，河南鹿邑人，博士后，教授，主要研究方向?yàn)楣残畔⒒⑿畔⑴c網(wǎng)絡(luò)安全。

安全防范技術(shù)與風(fēng)險(xiǎn)評(píng)估公安部重點(diǎn)實(shí)驗(yàn)室科研項(xiàng)目（編號(hào)：18AFKF242）；河南省教育廳重點(diǎn)科研項(xiàng)目（編號(hào)：20B52007）；河南警察學(xué)院校立項(xiàng)目（編號(hào)：HNJY-2018-17）

〔編輯：張思楠〕