魏 斌 王景蘭

中國電信股份有限公司鎮(zhèn)江分公司

0 引言

某運營商目前的安保視頻監(jiān)控大部分采用的是全球眼業(yè)務(wù)產(chǎn)品，此業(yè)務(wù)產(chǎn)品是面向公眾的業(yè)務(wù)，架構(gòu)在Internet公網(wǎng)之上，存在較大的安全風(fēng)險。業(yè)界安全形勢嚴(yán)峻，弱口令、信息漏洞問題大量存在，且缺乏有效的管理。安保監(jiān)控作為重要的電信安全設(shè)施，雖然全球眼平臺和前端PU持續(xù)進行漏洞修補、安全升級等工作，但自有的全球眼設(shè)備使用互聯(lián)網(wǎng)IP資產(chǎn)數(shù)量多且增長快，防護手段少、軟件更新困難、漏洞被發(fā)現(xiàn)通報等問題仍然存在。歷年的安全工作實踐證明，提高網(wǎng)絡(luò)安全防護水平，提升自有系統(tǒng)和平臺的安全性，降低IP資產(chǎn)在互聯(lián)網(wǎng)的暴露面數(shù)量是關(guān)鍵。

如何實現(xiàn)安保監(jiān)控暴露面的驟縮并達到最終消除的目的，如何充分利舊現(xiàn)有的平臺和網(wǎng)絡(luò)設(shè)備資源保護投資，如何實現(xiàn)安保監(jiān)控既要滿足安全監(jiān)控主要職能，又要提供手機端查詢業(yè)務(wù)的能力，本研究提出采用網(wǎng)絡(luò)改造、專有平臺與監(jiān)控平臺雙活方案，隔斷視頻監(jiān)控前端遭受來自互聯(lián)網(wǎng)攻擊的路徑，消除網(wǎng)絡(luò)安全風(fēng)險，可被各行業(yè)監(jiān)控平臺復(fù)制推廣。

1 問題分析

安保監(jiān)控需要降低暴露面，解決問題痛點，關(guān)鍵是要隔斷視頻監(jiān)控前端遭受來自互聯(lián)網(wǎng)攻擊的路徑。

1.1 安保監(jiān)控前端組網(wǎng)的兩種形式

（1）安保監(jiān)控前端NVR通過公網(wǎng)接入平臺POP點。

（2）NVR一般具備兩張網(wǎng)卡與PU視頻頭進行通信，一是通過公網(wǎng)遠拉方式，另一種是就近局域內(nèi)網(wǎng)連接，其中就近接入方式是常用方式。

圖1 NVR與PU的連接方式

NVR和遠拉PU都是需要進行暴露面壓縮改造的設(shè)備設(shè)施。

1.2 監(jiān)控平臺設(shè)備及視頻前端布署在公網(wǎng)

大屏監(jiān)控，為安保監(jiān)控的主要設(shè)施，解碼器通過公網(wǎng)直接調(diào)取NVR視頻流。

全球眼終端查詢，通過公網(wǎng)由全球眼管理平臺調(diào)取視頻流，存儲能力1個月。

為解決全球眼存儲時間短的問題，NVR配置了本地存儲，滿足半年至一年的存儲需求。

圖2 安保監(jiān)控方式

監(jiān)控平臺設(shè)備存在安全隱患，在廠商維保過期后，安全問題將尤為突出，需進行暴露面壓縮改造。

1.3 在暴露面改造前請求統(tǒng)一的解決方案

（1）方案一：全球眼本地節(jié)點的所有服務(wù)器需要新增2塊網(wǎng)卡用于VPN地址的配置；或者新建一個節(jié)點，專門用于局內(nèi)業(yè)務(wù)。

（2）方案二 ：在城域網(wǎng)配置ACL，對NVR進行安全防護。

統(tǒng)一方案優(yōu)缺點對比見表1所示。比較認(rèn)為采用虛擬專網(wǎng)的方式，在維護延續(xù)性、數(shù)據(jù)操作方便性、網(wǎng)絡(luò)安全性、暴露面壓縮上都能得到保證。

表1 統(tǒng)一方案對比

1.4 采用成熟MPLS VPN技術(shù)建立安全專用虛擬網(wǎng)絡(luò)

安保監(jiān)控NVR等搭載在城域網(wǎng)上，在本地網(wǎng)專線產(chǎn)品中，一類是互聯(lián)網(wǎng)專線產(chǎn)品，另一類是VPN組網(wǎng)專線類產(chǎn)品，前者即是安保監(jiān)控采用的接入方式，隨著VPN虛擬產(chǎn)品的開發(fā)成功，從互聯(lián)網(wǎng)專線產(chǎn)品轉(zhuǎn)入VPN組網(wǎng)專線產(chǎn)品的遷移方案已成熟，壓縮暴露面在業(yè)務(wù)層面較容易實施。

安保監(jiān)控網(wǎng)絡(luò)在結(jié)構(gòu)上利用城域網(wǎng)進行VPN改造、本地網(wǎng)自有平臺利舊結(jié)合全球眼虛擬專網(wǎng)改造，實現(xiàn)平臺雙活業(yè)務(wù)平滑遷移，先驟縮后復(fù)活多樣化監(jiān)控需求，可迅速進行安保監(jiān)控全球眼暴露面消除工作的開展和部署。

2 解決措施

安保監(jiān)控暴露面整治將采用網(wǎng)絡(luò)改造、專有平臺與全球眼平臺雙活方案。具體實施步驟主要經(jīng)歷三個階段：

（1）遷改準(zhǔn)備，區(qū)縣電路梳理、地址規(guī)劃、VPN組網(wǎng)、確定調(diào)整方案及計劃；

（2）暴露面驟縮，一次性暴露面遷改，業(yè)務(wù)平滑遷移，維持基本監(jiān)控功能；

（3）平臺雙活，在自有海康運營平臺加載穩(wěn)定后，全球眼VPN化并復(fù)活啟用。

2.1 遷改準(zhǔn)備階段

安保監(jiān)控攝像頭分屬兩個廠家的產(chǎn)品，分別為海康與大華，NVR使用互聯(lián)網(wǎng)專線電路161條，配置的IPv4合法地址完全暴露在公網(wǎng)之上。

（1）全球眼平臺為市區(qū)和三縣提供1個月左右的回放能力，可以通過在公網(wǎng)的PC使用全球眼帳號對視頻進行監(jiān)控管理。

（2）大屏電視墻為主要營業(yè)廳、大樓提供多畫面實時監(jiān)控。

（3）NVR配置了大容量本地存儲，滿足半年乃至一年的監(jiān)控錄像調(diào)取還原需求。

（4）?？颠\營平臺啟用門禁道閘識別功能，具備自有視頻監(jiān)控運營能力。

遷改順序：

（1）通過BSS系統(tǒng)受理新安保監(jiān)控VPN組網(wǎng)虛擬銷售品。

（2）為161條互聯(lián)網(wǎng)專線規(guī)劃VPN私有IP地址，NVR按/29掩碼分配地址，結(jié)合平臺使用及其它特殊需求，一共配備了6個C的地址段。

（3）在城域網(wǎng)配置VPN域，預(yù)備VPN私有IP地址新數(shù)據(jù)腳本。

（4）在BSS系統(tǒng)中對相關(guān)NVR及監(jiān)控終端互聯(lián)網(wǎng)專線進行變更，加入VPN組網(wǎng)產(chǎn)品。

（5）在遷改時，由于NVR配置了本地存儲，因此視頻流的存儲一直存在，NVR遷改到VPN不會丟失數(shù)據(jù)。大屏電視墻在遷改過程中會影響實時監(jiān)控，應(yīng)控制在最短時間遷改到位，因此大屏應(yīng)該與市區(qū)NVR同一批次遷入VPN，此時IP地址并未變。

（6）啟用?？颠\營平臺，通過遠程修改NVR新規(guī)劃地址（IP地址改變），對NVR（VPN）進行管理，此時達到全球眼平臺管理NVR（公網(wǎng)）、?？颠\營平臺管理NVR（VPN）分治狀態(tài)。

（7）待遷入VPN完成后，全球眼平臺增加網(wǎng)卡，配置VPN專網(wǎng)通道，逐個遠程對NVR刷新平臺IP地址，復(fù)活全球眼平臺對全區(qū)NVR（VPN）的通信。

（8）最后在OSS系統(tǒng)中進行常規(guī)維護，將IP地址資源按規(guī)劃VPN私網(wǎng)地址修改到位，同時將原電路使用的公網(wǎng)IP地址備案信息釋放。

2.2 暴露面驟縮階段

（1）暴露面快速清除

根據(jù)安保監(jiān)控特點，電路割接分市區(qū)和三縣兩個批次執(zhí)行。割接前提前進行地址規(guī)劃，預(yù)制配置腳本，在割接當(dāng)日一次性將對象NVR公網(wǎng)數(shù)據(jù)整體遷入VPN中，1小時內(nèi)當(dāng)批次NVR暴露面消失。市縣所有NVR暴露面在2小時內(nèi)清除，前后2批次相隔1日。

（2）業(yè)務(wù)平滑遷移

在遷移時確保監(jiān)控業(yè)務(wù)仍然可以正常運行。為配合暴露面驟縮，采用NVR IP公網(wǎng)地址不變進入VPN實例的方式，遷入后從Internet上無法再與這些NVR通信，但加入VPN的平臺仍然可以用原有參數(shù)與遷入NVR通信。

在市區(qū)，主要實時監(jiān)控使用的是大屏電視墻，首先將大屏使用的專線電路遷入VPN，大屏可以直接使用新VPN私網(wǎng)IP地址，大屏遷入VPN后由于NVR還未遷入，大屏將出現(xiàn)黑屏，此時可以啟用全球眼終端PC進行監(jiān)視接管。其次，隨著NVR公網(wǎng)數(shù)據(jù)的整體遷入VPN，在1小時內(nèi)大屏陸續(xù)恢復(fù)影像。

（3）維持基本監(jiān)控功能

在遷移期間，由于NVR配置了本地存儲，因此視頻流的存儲一直存在，NVR遷改到VPN不會丟失數(shù)據(jù)，三個監(jiān)控平臺在各公網(wǎng)和VPN網(wǎng)兩個虛擬空間，只維持一個監(jiān)控方式，如公網(wǎng)已無大屏實時監(jiān)視，VPN中的NVR也在手機終端App中離線。

2.3 平臺雙活階段

（1）NVR一旦遷入VPN后，全球眼平臺將處于“假死”狀態(tài)，暫時失去對NVR的監(jiān)控能力，對NVR（VPN）手機終端查詢視頻的功能也一并暫停，但全球眼平臺對未遷入VPN的NVR仍具有通信體征。

（2）由于全球眼平臺處于假死狀態(tài)不能管理NVR（VPN），此時可以啟用?？颠\營平臺，通過遠程修改NVR新規(guī)劃地址（IP地址改變），對NVR（VPN）進行管理，此時達到全球眼平臺管理NVR（公網(wǎng)）、?？颠\營平臺管理NVR（VPN）的分治狀態(tài)。

（3）待市、縣公司全部加入VPN，并納入?？颠\營平臺管理，成為獨治狀態(tài)后，此時全球眼平臺對于全區(qū)NVR（VPN）屬于脫管“真死”。

（4）全球眼平臺相對于安保監(jiān)控“真死”后，可以對全球眼服務(wù)器增加網(wǎng)卡，開啟VPN專網(wǎng)通道，遠程逐個對NVR刷新平臺IP地址，復(fù)活全球眼平臺對全區(qū)NVR（VPN）的通信，此時全球眼平臺與?？颠\營平臺實現(xiàn)對所有NVR的雙活共治狀態(tài)，安保監(jiān)控成為既滿足安全監(jiān)控主要職能，又能提供手機端查詢業(yè)務(wù)能力，還能提供個性化運營的開發(fā)應(yīng)用。

3 結(jié)束語

采用平臺雙活加VPN網(wǎng)絡(luò)隔離的方式，在充分盤活原有資源的基礎(chǔ)上，為多年懸而未決的暴露面威脅提供了快速有效的遷改方式，其中的網(wǎng)絡(luò)改造方式與步驟、自有平臺與全球眼平臺雙活法、暴露面的驟縮方案對如何隔斷視頻監(jiān)控前端遭受互聯(lián)網(wǎng)攻擊的路徑、消除網(wǎng)絡(luò)信息及安全風(fēng)險具備較強的參考價值。