魏 斌 王景蘭
中國電信股份有限公司鎮(zhèn)江分公司
某運營商目前的安保視頻監(jiān)控大部分采用的是全球眼業(yè)務(wù)產(chǎn)品,此業(yè)務(wù)產(chǎn)品是面向公眾的業(yè)務(wù),架構(gòu)在Internet公網(wǎng)之上,存在較大的安全風(fēng)險。業(yè)界安全形勢嚴(yán)峻,弱口令、信息漏洞問題大量存在,且缺乏有效的管理。安保監(jiān)控作為重要的電信安全設(shè)施,雖然全球眼平臺和前端PU持續(xù)進行漏洞修補、安全升級等工作,但自有的全球眼設(shè)備使用互聯(lián)網(wǎng)IP資產(chǎn)數(shù)量多且增長快,防護手段少、軟件更新困難、漏洞被發(fā)現(xiàn)通報等問題仍然存在。歷年的安全工作實踐證明,提高網(wǎng)絡(luò)安全防護水平,提升自有系統(tǒng)和平臺的安全性,降低IP資產(chǎn)在互聯(lián)網(wǎng)的暴露面數(shù)量是關(guān)鍵。
如何實現(xiàn)安保監(jiān)控暴露面的驟縮并達到最終消除的目的,如何充分利舊現(xiàn)有的平臺和網(wǎng)絡(luò)設(shè)備資源保護投資,如何實現(xiàn)安保監(jiān)控既要滿足安全監(jiān)控主要職能,又要提供手機端查詢業(yè)務(wù)的能力,本研究提出采用網(wǎng)絡(luò)改造、專有平臺與監(jiān)控平臺雙活方案,隔斷視頻監(jiān)控前端遭受來自互聯(lián)網(wǎng)攻擊的路徑,消除網(wǎng)絡(luò)安全風(fēng)險,可被各行業(yè)監(jiān)控平臺復(fù)制推廣。
安保監(jiān)控需要降低暴露面,解決問題痛點,關(guān)鍵是要隔斷視頻監(jiān)控前端遭受來自互聯(lián)網(wǎng)攻擊的路徑。
(1)安保監(jiān)控前端NVR通過公網(wǎng)接入平臺POP點。
(2)NVR一般具備兩張網(wǎng)卡與PU視頻頭進行通信,一是通過公網(wǎng)遠拉方式,另一種是就近局域內(nèi)網(wǎng)連接,其中就近接入方式是常用方式。
圖1 NVR與PU的連接方式
NVR和遠拉PU都是需要進行暴露面壓縮改造的設(shè)備設(shè)施。
大屏監(jiān)控,為安保監(jiān)控的主要設(shè)施,解碼器通過公網(wǎng)直接調(diào)取NVR視頻流。
全球眼終端查詢,通過公網(wǎng)由全球眼管理平臺調(diào)取視頻流,存儲能力1個月。
為解決全球眼存儲時間短的問題,NVR配置了本地存儲,滿足半年至一年的存儲需求。
圖2 安保監(jiān)控方式
監(jiān)控平臺設(shè)備存在安全隱患,在廠商維保過期后,安全問題將尤為突出,需進行暴露面壓縮改造。
(1)方案一:全球眼本地節(jié)點的所有服務(wù)器需要新增2塊網(wǎng)卡用于VPN地址的配置;或者新建一個節(jié)點,專門用于局內(nèi)業(yè)務(wù)。
(2)方案二 :在城域網(wǎng)配置ACL,對NVR進行安全防護。
統(tǒng)一方案優(yōu)缺點對比見表1所示。比較認(rèn)為采用虛擬專網(wǎng)的方式,在維護延續(xù)性、數(shù)據(jù)操作方便性、網(wǎng)絡(luò)安全性、暴露面壓縮上都能得到保證。
表1 統(tǒng)一方案對比
安保監(jiān)控NVR等搭載在城域網(wǎng)上,在本地網(wǎng)專線產(chǎn)品中,一類是互聯(lián)網(wǎng)專線產(chǎn)品,另一類是VPN組網(wǎng)專線類產(chǎn)品,前者即是安保監(jiān)控采用的接入方式,隨著VPN虛擬產(chǎn)品的開發(fā)成功,從互聯(lián)網(wǎng)專線產(chǎn)品轉(zhuǎn)入VPN組網(wǎng)專線產(chǎn)品的遷移方案已成熟,壓縮暴露面在業(yè)務(wù)層面較容易實施。
安保監(jiān)控網(wǎng)絡(luò)在結(jié)構(gòu)上利用城域網(wǎng)進行VPN改造、本地網(wǎng)自有平臺利舊結(jié)合全球眼虛擬專網(wǎng)改造,實現(xiàn)平臺雙活業(yè)務(wù)平滑遷移,先驟縮后復(fù)活多樣化監(jiān)控需求,可迅速進行安保監(jiān)控全球眼暴露面消除工作的開展和部署。
安保監(jiān)控暴露面整治將采用網(wǎng)絡(luò)改造、專有平臺與全球眼平臺雙活方案。具體實施步驟主要經(jīng)歷三個階段:
(1)遷改準(zhǔn)備,區(qū)縣電路梳理、地址規(guī)劃、VPN組網(wǎng)、確定調(diào)整方案及計劃;
(2)暴露面驟縮,一次性暴露面遷改,業(yè)務(wù)平滑遷移,維持基本監(jiān)控功能;
(3)平臺雙活,在自有海康運營平臺加載穩(wěn)定后,全球眼VPN化并復(fù)活啟用。
安保監(jiān)控攝像頭分屬兩個廠家的產(chǎn)品,分別為海康與大華,NVR使用互聯(lián)網(wǎng)專線電路161條,配置的IPv4合法地址完全暴露在公網(wǎng)之上。
(1)全球眼平臺為市區(qū)和三縣提供1個月左右的回放能力,可以通過在公網(wǎng)的PC使用全球眼帳號對視頻進行監(jiān)控管理。
(2)大屏電視墻為主要營業(yè)廳、大樓提供多畫面實時監(jiān)控。
(3)NVR配置了大容量本地存儲,滿足半年乃至一年的監(jiān)控錄像調(diào)取還原需求。
(4)??颠\營平臺啟用門禁道閘識別功能,具備自有視頻監(jiān)控運營能力。
遷改順序:
(1)通過BSS系統(tǒng)受理新安保監(jiān)控VPN組網(wǎng)虛擬銷售品。
(2)為161條互聯(lián)網(wǎng)專線規(guī)劃VPN私有IP地址,NVR按/29掩碼分配地址,結(jié)合平臺使用及其它特殊需求,一共配備了6個C的地址段。
(3)在城域網(wǎng)配置VPN域,預(yù)備VPN私有IP地址新數(shù)據(jù)腳本。
(4)在BSS系統(tǒng)中對相關(guān)NVR及監(jiān)控終端互聯(lián)網(wǎng)專線進行變更,加入VPN組網(wǎng)產(chǎn)品。
(5)在遷改時,由于NVR配置了本地存儲,因此視頻流的存儲一直存在,NVR遷改到VPN不會丟失數(shù)據(jù)。大屏電視墻在遷改過程中會影響實時監(jiān)控,應(yīng)控制在最短時間遷改到位,因此大屏應(yīng)該與市區(qū)NVR同一批次遷入VPN,此時IP地址并未變。
(6)啟用??颠\營平臺,通過遠程修改NVR新規(guī)劃地址(IP地址改變),對NVR(VPN)進行管理,此時達到全球眼平臺管理NVR(公網(wǎng))、??颠\營平臺管理NVR(VPN)分治狀態(tài)。
(7)待遷入VPN完成后,全球眼平臺增加網(wǎng)卡,配置VPN專網(wǎng)通道,逐個遠程對NVR刷新平臺IP地址,復(fù)活全球眼平臺對全區(qū)NVR(VPN)的通信。
(8)最后在OSS系統(tǒng)中進行常規(guī)維護,將IP地址資源按規(guī)劃VPN私網(wǎng)地址修改到位,同時將原電路使用的公網(wǎng)IP地址備案信息釋放。
(1)暴露面快速清除
根據(jù)安保監(jiān)控特點,電路割接分市區(qū)和三縣兩個批次執(zhí)行。割接前提前進行地址規(guī)劃,預(yù)制配置腳本,在割接當(dāng)日一次性將對象NVR公網(wǎng)數(shù)據(jù)整體遷入VPN中,1小時內(nèi)當(dāng)批次NVR暴露面消失。市縣所有NVR暴露面在2小時內(nèi)清除,前后2批次相隔1日。
(2)業(yè)務(wù)平滑遷移
在遷移時確保監(jiān)控業(yè)務(wù)仍然可以正常運行。為配合暴露面驟縮,采用NVR IP公網(wǎng)地址不變進入VPN實例的方式,遷入后從Internet上無法再與這些NVR通信,但加入VPN的平臺仍然可以用原有參數(shù)與遷入NVR通信。
在市區(qū),主要實時監(jiān)控使用的是大屏電視墻,首先將大屏使用的專線電路遷入VPN,大屏可以直接使用新VPN私網(wǎng)IP地址,大屏遷入VPN后由于NVR還未遷入,大屏將出現(xiàn)黑屏,此時可以啟用全球眼終端PC進行監(jiān)視接管。其次,隨著NVR公網(wǎng)數(shù)據(jù)的整體遷入VPN,在1小時內(nèi)大屏陸續(xù)恢復(fù)影像。
(3)維持基本監(jiān)控功能
在遷移期間,由于NVR配置了本地存儲,因此視頻流的存儲一直存在,NVR遷改到VPN不會丟失數(shù)據(jù),三個監(jiān)控平臺在各公網(wǎng)和VPN網(wǎng)兩個虛擬空間,只維持一個監(jiān)控方式,如公網(wǎng)已無大屏實時監(jiān)視,VPN中的NVR也在手機終端App中離線。
(1)NVR一旦遷入VPN后,全球眼平臺將處于“假死”狀態(tài),暫時失去對NVR的監(jiān)控能力,對NVR(VPN)手機終端查詢視頻的功能也一并暫停,但全球眼平臺對未遷入VPN的NVR仍具有通信體征。
(2)由于全球眼平臺處于假死狀態(tài)不能管理NVR(VPN),此時可以啟用??颠\營平臺,通過遠程修改NVR新規(guī)劃地址(IP地址改變),對NVR(VPN)進行管理,此時達到全球眼平臺管理NVR(公網(wǎng))、??颠\營平臺管理NVR(VPN)的分治狀態(tài)。
(3)待市、縣公司全部加入VPN,并納入??颠\營平臺管理,成為獨治狀態(tài)后,此時全球眼平臺對于全區(qū)NVR(VPN)屬于脫管“真死”。
(4)全球眼平臺相對于安保監(jiān)控“真死”后,可以對全球眼服務(wù)器增加網(wǎng)卡,開啟VPN專網(wǎng)通道,遠程逐個對NVR刷新平臺IP地址,復(fù)活全球眼平臺對全區(qū)NVR(VPN)的通信,此時全球眼平臺與??颠\營平臺實現(xiàn)對所有NVR的雙活共治狀態(tài),安保監(jiān)控成為既滿足安全監(jiān)控主要職能,又能提供手機端查詢業(yè)務(wù)能力,還能提供個性化運營的開發(fā)應(yīng)用。
采用平臺雙活加VPN網(wǎng)絡(luò)隔離的方式,在充分盤活原有資源的基礎(chǔ)上,為多年懸而未決的暴露面威脅提供了快速有效的遷改方式,其中的網(wǎng)絡(luò)改造方式與步驟、自有平臺與全球眼平臺雙活法、暴露面的驟縮方案對如何隔斷視頻監(jiān)控前端遭受互聯(lián)網(wǎng)攻擊的路徑、消除網(wǎng)絡(luò)信息及安全風(fēng)險具備較強的參考價值。