魏 斌 王景蘭

中國電信股份有限公司鎮(zhèn)江分公司

0 引言

某運營商目前的安保視頻監(jiān)控大部分采用的是全球眼業(yè)務產品，此業(yè)務產品是面向公眾的業(yè)務，架構在Internet公網之上，存在較大的安全風險。業(yè)界安全形勢嚴峻，弱口令、信息漏洞問題大量存在，且缺乏有效的管理。安保監(jiān)控作為重要的電信安全設施，雖然全球眼平臺和前端PU持續(xù)進行漏洞修補、安全升級等工作，但自有的全球眼設備使用互聯(lián)網IP資產數(shù)量多且增長快，防護手段少、軟件更新困難、漏洞被發(fā)現(xiàn)通報等問題仍然存在。歷年的安全工作實踐證明，提高網絡安全防護水平，提升自有系統(tǒng)和平臺的安全性，降低IP資產在互聯(lián)網的暴露面數(shù)量是關鍵。

如何實現(xiàn)安保監(jiān)控暴露面的驟縮并達到最終消除的目的，如何充分利舊現(xiàn)有的平臺和網絡設備資源保護投資，如何實現(xiàn)安保監(jiān)控既要滿足安全監(jiān)控主要職能，又要提供手機端查詢業(yè)務的能力，本研究提出采用網絡改造、專有平臺與監(jiān)控平臺雙活方案，隔斷視頻監(jiān)控前端遭受來自互聯(lián)網攻擊的路徑，消除網絡安全風險，可被各行業(yè)監(jiān)控平臺復制推廣。

1 問題分析

安保監(jiān)控需要降低暴露面，解決問題痛點，關鍵是要隔斷視頻監(jiān)控前端遭受來自互聯(lián)網攻擊的路徑。

1.1 安保監(jiān)控前端組網的兩種形式

（1）安保監(jiān)控前端NVR通過公網接入平臺POP點。

（2）NVR一般具備兩張網卡與PU視頻頭進行通信，一是通過公網遠拉方式，另一種是就近局域內網連接，其中就近接入方式是常用方式。

圖1 NVR與PU的連接方式

NVR和遠拉PU都是需要進行暴露面壓縮改造的設備設施。

1.2 監(jiān)控平臺設備及視頻前端布署在公網

大屏監(jiān)控，為安保監(jiān)控的主要設施，解碼器通過公網直接調取NVR視頻流。

全球眼終端查詢，通過公網由全球眼管理平臺調取視頻流，存儲能力1個月。

為解決全球眼存儲時間短的問題，NVR配置了本地存儲，滿足半年至一年的存儲需求。

圖2 安保監(jiān)控方式

監(jiān)控平臺設備存在安全隱患，在廠商維保過期后，安全問題將尤為突出，需進行暴露面壓縮改造。

1.3 在暴露面改造前請求統(tǒng)一的解決方案

（1）方案一：全球眼本地節(jié)點的所有服務器需要新增2塊網卡用于VPN地址的配置；或者新建一個節(jié)點，專門用于局內業(yè)務。

（2）方案二 ：在城域網配置ACL，對NVR進行安全防護。

統(tǒng)一方案優(yōu)缺點對比見表1所示。比較認為采用虛擬專網的方式，在維護延續(xù)性、數(shù)據操作方便性、網絡安全性、暴露面壓縮上都能得到保證。

表1 統(tǒng)一方案對比

1.4 采用成熟MPLS VPN技術建立安全專用虛擬網絡

安保監(jiān)控NVR等搭載在城域網上，在本地網專線產品中，一類是互聯(lián)網專線產品，另一類是VPN組網專線類產品，前者即是安保監(jiān)控采用的接入方式，隨著VPN虛擬產品的開發(fā)成功，從互聯(lián)網專線產品轉入VPN組網專線產品的遷移方案已成熟，壓縮暴露面在業(yè)務層面較容易實施。

安保監(jiān)控網絡在結構上利用城域網進行VPN改造、本地網自有平臺利舊結合全球眼虛擬專網改造，實現(xiàn)平臺雙活業(yè)務平滑遷移，先驟縮后復活多樣化監(jiān)控需求，可迅速進行安保監(jiān)控全球眼暴露面消除工作的開展和部署。

2 解決措施

安保監(jiān)控暴露面整治將采用網絡改造、專有平臺與全球眼平臺雙活方案。具體實施步驟主要經歷三個階段：

（1）遷改準備，區(qū)縣電路梳理、地址規(guī)劃、VPN組網、確定調整方案及計劃；

（2）暴露面驟縮，一次性暴露面遷改，業(yè)務平滑遷移，維持基本監(jiān)控功能；

（3）平臺雙活，在自有?？颠\營平臺加載穩(wěn)定后，全球眼VPN化并復活啟用。

2.1 遷改準備階段

安保監(jiān)控攝像頭分屬兩個廠家的產品，分別為?？蹬c大華，NVR使用互聯(lián)網專線電路161條，配置的IPv4合法地址完全暴露在公網之上。

（1）全球眼平臺為市區(qū)和三縣提供1個月左右的回放能力，可以通過在公網的PC使用全球眼帳號對視頻進行監(jiān)控管理。

（2）大屏電視墻為主要營業(yè)廳、大樓提供多畫面實時監(jiān)控。

（3）NVR配置了大容量本地存儲，滿足半年乃至一年的監(jiān)控錄像調取還原需求。

（4）?？颠\營平臺啟用門禁道閘識別功能，具備自有視頻監(jiān)控運營能力。

遷改順序：

（1）通過BSS系統(tǒng)受理新安保監(jiān)控VPN組網虛擬銷售品。

（2）為161條互聯(lián)網專線規(guī)劃VPN私有IP地址，NVR按/29掩碼分配地址，結合平臺使用及其它特殊需求，一共配備了6個C的地址段。

（3）在城域網配置VPN域，預備VPN私有IP地址新數(shù)據腳本。

（4）在BSS系統(tǒng)中對相關NVR及監(jiān)控終端互聯(lián)網專線進行變更，加入VPN組網產品。

（5）在遷改時，由于NVR配置了本地存儲，因此視頻流的存儲一直存在，NVR遷改到VPN不會丟失數(shù)據。大屏電視墻在遷改過程中會影響實時監(jiān)控，應控制在最短時間遷改到位，因此大屏應該與市區(qū)NVR同一批次遷入VPN，此時IP地址并未變。

（6）啟用海康運營平臺，通過遠程修改NVR新規(guī)劃地址（IP地址改變），對NVR（VPN）進行管理，此時達到全球眼平臺管理NVR（公網）、?？颠\營平臺管理NVR（VPN）分治狀態(tài)。

（7）待遷入VPN完成后，全球眼平臺增加網卡，配置VPN專網通道，逐個遠程對NVR刷新平臺IP地址，復活全球眼平臺對全區(qū)NVR（VPN）的通信。

（8）最后在OSS系統(tǒng)中進行常規(guī)維護，將IP地址資源按規(guī)劃VPN私網地址修改到位，同時將原電路使用的公網IP地址備案信息釋放。

2.2 暴露面驟縮階段

（1）暴露面快速清除

根據安保監(jiān)控特點，電路割接分市區(qū)和三縣兩個批次執(zhí)行。割接前提前進行地址規(guī)劃，預制配置腳本，在割接當日一次性將對象NVR公網數(shù)據整體遷入VPN中，1小時內當批次NVR暴露面消失。市縣所有NVR暴露面在2小時內清除，前后2批次相隔1日。

（2）業(yè)務平滑遷移

在遷移時確保監(jiān)控業(yè)務仍然可以正常運行。為配合暴露面驟縮，采用NVR IP公網地址不變進入VPN實例的方式，遷入后從Internet上無法再與這些NVR通信，但加入VPN的平臺仍然可以用原有參數(shù)與遷入NVR通信。

在市區(qū)，主要實時監(jiān)控使用的是大屏電視墻，首先將大屏使用的專線電路遷入VPN，大屏可以直接使用新VPN私網IP地址，大屏遷入VPN后由于NVR還未遷入，大屏將出現(xiàn)黑屏，此時可以啟用全球眼終端PC進行監(jiān)視接管。其次，隨著NVR公網數(shù)據的整體遷入VPN，在1小時內大屏陸續(xù)恢復影像。

（3）維持基本監(jiān)控功能

在遷移期間，由于NVR配置了本地存儲，因此視頻流的存儲一直存在，NVR遷改到VPN不會丟失數(shù)據，三個監(jiān)控平臺在各公網和VPN網兩個虛擬空間，只維持一個監(jiān)控方式，如公網已無大屏實時監(jiān)視，VPN中的NVR也在手機終端App中離線。

2.3 平臺雙活階段

（1）NVR一旦遷入VPN后，全球眼平臺將處于“假死”狀態(tài)，暫時失去對NVR的監(jiān)控能力，對NVR（VPN）手機終端查詢視頻的功能也一并暫停，但全球眼平臺對未遷入VPN的NVR仍具有通信體征。

（2）由于全球眼平臺處于假死狀態(tài)不能管理NVR（VPN），此時可以啟用?？颠\營平臺，通過遠程修改NVR新規(guī)劃地址（IP地址改變），對NVR（VPN）進行管理，此時達到全球眼平臺管理NVR（公網）、海康運營平臺管理NVR（VPN）的分治狀態(tài)。

（3）待市、縣公司全部加入VPN，并納入?？颠\營平臺管理，成為獨治狀態(tài)后，此時全球眼平臺對于全區(qū)NVR（VPN）屬于脫管“真死”。

（4）全球眼平臺相對于安保監(jiān)控“真死”后，可以對全球眼服務器增加網卡，開啟VPN專網通道，遠程逐個對NVR刷新平臺IP地址，復活全球眼平臺對全區(qū)NVR（VPN）的通信，此時全球眼平臺與?？颠\營平臺實現(xiàn)對所有NVR的雙活共治狀態(tài)，安保監(jiān)控成為既滿足安全監(jiān)控主要職能，又能提供手機端查詢業(yè)務能力，還能提供個性化運營的開發(fā)應用。

3 結束語

采用平臺雙活加VPN網絡隔離的方式，在充分盤活原有資源的基礎上，為多年懸而未決的暴露面威脅提供了快速有效的遷改方式，其中的網絡改造方式與步驟、自有平臺與全球眼平臺雙活法、暴露面的驟縮方案對如何隔斷視頻監(jiān)控前端遭受互聯(lián)網攻擊的路徑、消除網絡信息及安全風險具備較強的參考價值。