呂益民 江志濠 陳振輝 林少高

（廣州市公安局科技通信處，廣東 廣州510030）

引言

目前廣州市視頻專網(wǎng)經(jīng)過近十年的持續(xù)建設(shè)，已建成視頻圖像采集點(diǎn)上百萬個(gè)，視頻專網(wǎng)設(shè)備資產(chǎn)十萬余臺(tái)，規(guī)模龐大，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，設(shè)備類型眾多。在建設(shè)大數(shù)據(jù)視頻系統(tǒng)的同時(shí)，信息安全形勢也變得極為嚴(yán)峻，在大型視頻專網(wǎng)中，一旦視頻系統(tǒng)出現(xiàn)安全隱患，例如遭受黑客攻擊網(wǎng)絡(luò)或視頻敏感圖像信息被泄露，后果將不堪設(shè)想。因此依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》及“網(wǎng)絡(luò)安全等級(jí)保護(hù)”相關(guān)制度，參考《信息安全技術(shù)智慧城市安全體系框架》確定視頻系統(tǒng)的安全體系框架，“廣州市視頻專網(wǎng)全域安全管控平臺(tái)”（以下簡稱“視頻網(wǎng)安管平臺(tái)”）全面推進(jìn)“三高”“七化”“四轉(zhuǎn)變”的工作理念，以全網(wǎng)全域管控的總體設(shè)計(jì)路線建設(shè)了具備實(shí)時(shí)監(jiān)測、動(dòng)態(tài)分析及主動(dòng)防御能力的“視頻網(wǎng)安管平臺(tái)”。“三高”即“視頻網(wǎng)安管平臺(tái)”實(shí)現(xiàn)高實(shí)時(shí)性、高可控性、高聯(lián)動(dòng)性；“七化”即安全管控實(shí)時(shí)化、可視化、規(guī)范化、全程化、常態(tài)化、清晰化、智能化；管理模式“四轉(zhuǎn)變”即實(shí)現(xiàn)由經(jīng)驗(yàn)判斷為主向數(shù)據(jù)分析支撐轉(zhuǎn)變；由單一事件處置向全域感知聯(lián)動(dòng)轉(zhuǎn)變；由被動(dòng)事后翻查向?qū)崟r(shí)事中報(bào)警、主動(dòng)事前預(yù)警轉(zhuǎn)變；由人員被動(dòng)干預(yù)向人機(jī)協(xié)同聯(lián)動(dòng)轉(zhuǎn)變。

1 國內(nèi)外行業(yè)研究現(xiàn)狀

過去的視頻專網(wǎng)安全系統(tǒng)大多建立在封閉且專用的通訊線上，因此多數(shù)廠商在進(jìn)入網(wǎng)路時(shí)，往往忽略信息安全風(fēng)險(xiǎn)的問題，要建立一個(gè)穩(wěn)固的安全體系（Robust Surveillance Eco-System），需要注意內(nèi)容完整性（Content Integrity）及傳輸可用性（Transmission Availability）。視頻專網(wǎng)雖然有專用的隔離設(shè)施，但網(wǎng)絡(luò)有聯(lián)通就會(huì)存在風(fēng)險(xiǎn)，具體體現(xiàn)如下：

1.1 品牌繁多，如何接入

由于以往視頻專網(wǎng)安全系統(tǒng)建設(shè)缺少整體規(guī)劃，難以實(shí)現(xiàn)視頻資源的共享運(yùn)用，導(dǎo)致“信息孤島”的出現(xiàn)。

1.2 數(shù)量龐大，管理不足

視頻系統(tǒng)設(shè)備數(shù)量龐大，網(wǎng)絡(luò)分支較多、接入地理位置十分分散，普遍存在運(yùn)維投入不足，設(shè)備維護(hù)不到位，系統(tǒng)完好率低，可用性差等問題。

1.3 安全性差，難以保障

設(shè)備大區(qū)域的分布在戶外，地理位置偏僻，容易被攻擊者進(jìn)行非法接入，容易導(dǎo)致視頻資源信息外流，信息安全難以有效保證。

1.4 網(wǎng)絡(luò)復(fù)雜，行為多樣

視頻系統(tǒng)標(biāo)準(zhǔn)不統(tǒng)一、聯(lián)網(wǎng)率低、運(yùn)維水平不高，對(duì)大量終端設(shè)備缺少統(tǒng)一管理手段。

2 安全管控實(shí)踐探討

2.1 前期建設(shè)系統(tǒng)獨(dú)立零散，缺乏統(tǒng)一的安全管理平臺(tái)

2.1.1 問題描述

視頻專網(wǎng)建設(shè)過程中，由于前期建設(shè)項(xiàng)目相對(duì)分散，時(shí)間跨度大，設(shè)備類型較多，部署較分散，導(dǎo)致沒有一套跨業(yè)務(wù)網(wǎng)、視頻專網(wǎng)，并統(tǒng)籌視頻相關(guān)安全系統(tǒng)的統(tǒng)一安全管理平臺(tái)，對(duì)視頻專網(wǎng)的安全管理及協(xié)調(diào)配合帶來極大的阻礙，系統(tǒng)運(yùn)行過程中需要多個(gè)組件進(jìn)行協(xié)調(diào)配合，存在較大的人力資源消耗。

2.1.2 解決問題措施

一是對(duì)視頻專網(wǎng)建立統(tǒng)一的安全管理平臺(tái)，將已建安全管理設(shè)備及安全系統(tǒng)進(jìn)行整合，同時(shí)與治安云、運(yùn)維平臺(tái)數(shù)據(jù)對(duì)接，實(shí)現(xiàn)視頻系統(tǒng)的統(tǒng)一運(yùn)維管理、感知分析及運(yùn)營展示；針對(duì)視頻專網(wǎng)各類終端全面接入管理，根據(jù)設(shè)備類別分別采用CA認(rèn)證、終端準(zhǔn)入及安全管控措施；通過與“一機(jī)一檔”系統(tǒng)的聯(lián)動(dòng)，采取資產(chǎn)數(shù)據(jù)掃描、審核及歸并措施，并對(duì)系統(tǒng)關(guān)鍵數(shù)據(jù)持續(xù)校驗(yàn)及風(fēng)險(xiǎn)預(yù)警、處置，實(shí)現(xiàn)視頻專網(wǎng)的資產(chǎn)管理“可視化”。

二是以視頻專網(wǎng)為核心，提供社會(huì)治安、資源整合及城市管理等多種業(yè)務(wù)的“一核三軸”復(fù)雜系統(tǒng)。通過多個(gè)系統(tǒng)間共享資源和能力，為系統(tǒng)安全管理提供信息與服務(wù)基礎(chǔ)。

三是安全管理平臺(tái)基于設(shè)備資產(chǎn)數(shù)據(jù)、終端管控、防病毒軟件等安全措施，弱口令、漏洞等安全風(fēng)險(xiǎn)，安全事件系數(shù)等進(jìn)行大數(shù)據(jù)分析，整合安全和網(wǎng)絡(luò)系統(tǒng)，實(shí)現(xiàn)判定危險(xiǎn)源行為的危害級(jí)別及對(duì)各類風(fēng)險(xiǎn)事件分析告警，并對(duì)各單位整體安全態(tài)勢進(jìn)行綜合評(píng)估，全維塑造安全畫像體系。實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估智能化，提高整體安全管控水平。

2.2 防止IPC 被劫持并用作DDOS 攻擊等黑客行為

2.2.1 問題描述

隨著視頻系統(tǒng)日益擴(kuò)大，面臨著視頻前端接入及仿冒接入引起的視頻數(shù)據(jù)泄露、病毒傳播、木馬植入等安全風(fēng)險(xiǎn)［1］，需要自動(dòng)發(fā)現(xiàn)視頻系統(tǒng)聯(lián)網(wǎng)設(shè)備、智能識(shí)別設(shè)備類型并歸類。對(duì)發(fā)現(xiàn)的聯(lián)網(wǎng)設(shè)備進(jìn)行健康狀態(tài)評(píng)估，仿冒鑒別，對(duì)違規(guī)接入/仿冒接入設(shè)備進(jìn)行隔離阻斷，從而提升視頻系統(tǒng)整體網(wǎng)絡(luò)安全。

2.2.2 解決問題措施

一是前端接入控制，以IPC 準(zhǔn)入控制、設(shè)備資產(chǎn)識(shí)別、主動(dòng)風(fēng)險(xiǎn)探知為主；橫向邊界根據(jù)連接目標(biāo)的不同，建立不同的安全邊界。嚴(yán)格控制進(jìn)出網(wǎng)絡(luò)各個(gè)安全區(qū)域的訪問，明確訪問的來源、訪問的對(duì)象及類型，確保合法訪問的正常進(jìn)行，杜絕非法及越權(quán)訪問，通過對(duì)全網(wǎng)的網(wǎng)絡(luò)終端進(jìn)行實(shí)時(shí)整體管控。實(shí)現(xiàn)終端準(zhǔn)入“實(shí)時(shí)化”。

二是入侵偵測和防御，入侵防御設(shè)運(yùn)行于邊界保護(hù)區(qū)內(nèi)，通過實(shí)時(shí)自動(dòng)識(shí)別和響應(yīng)網(wǎng)絡(luò)違規(guī)行為。以全面深入的協(xié)議分析為基礎(chǔ)，融合智能協(xié)議識(shí)別、協(xié)議異常檢測、流量異常檢測、會(huì)話關(guān)聯(lián)分析等多種技術(shù)，提供從網(wǎng)絡(luò)層、應(yīng)用層到內(nèi)容層的深度安全檢測。

三深度封包檢查，檢查所有未遵照協(xié)議進(jìn)出的通信，內(nèi)含可能的攻擊及政策違反在偵測或預(yù)防模式下運(yùn)作，以保護(hù)操作系統(tǒng)和應(yīng)用程序漏洞；能夠防御應(yīng)用層攻擊、SQL Injection及Cross-site 跨站腳本攻擊；提供包含攻擊來源、時(shí)間及試圖利用什么方式進(jìn)行攻擊等有價(jià)值信息，當(dāng)事件發(fā)生時(shí)，會(huì)立即自動(dòng)通知管理員。

2.3 重大事件發(fā)生時(shí)終端攝像機(jī)直連泛濫、網(wǎng)絡(luò)擁塞等問題

2.3.1 問題描述

由于目前的安全防范技術(shù)存在局限性，在視頻系統(tǒng)終端IPC 數(shù)量過多、網(wǎng)絡(luò)帶寬的限制下，重大事件發(fā)生時(shí)容易造成終端攝像機(jī)直連泛濫、網(wǎng)絡(luò)擁塞等問題，無法滿足更高的視頻系統(tǒng)網(wǎng)絡(luò)信息管控功能要求。

2.3.2 解決問題措施

一是安全事件分析。在龐大的日志中，將采集的防火墻、主機(jī)、數(shù)據(jù)庫服務(wù)器等設(shè)備的原始日志匯集分析及歸一化處理，形成統(tǒng)一的安全事件格式，消除冗余事件，將事件轉(zhuǎn)至SIEM 系統(tǒng)或集中日志服務(wù)器，作關(guān)聯(lián)性分析、報(bào)告和存盤，對(duì)成千上萬的事件進(jìn)行聚類。

二是威脅分析。大量標(biāo)準(zhǔn)化處理的事件，經(jīng)歷事件分類處理、聚合、交叉關(guān)聯(lián)等多種關(guān)聯(lián)方法，依照一定的策略對(duì)數(shù)據(jù)庫中安全事件進(jìn)行統(tǒng)計(jì)分類，找出經(jīng)常導(dǎo)致安全事件的起因和被攻擊的原因，統(tǒng)計(jì)相同數(shù)據(jù)源及目標(biāo)端口的安全事件的數(shù)量，客觀地反映網(wǎng)絡(luò)異常的情況。

三是在各種應(yīng)急響應(yīng)工作中需開通應(yīng)急無線網(wǎng)絡(luò)，為周邊視頻應(yīng)用提供無線接入服務(wù)情況。為確保接入的安全防護(hù)質(zhì)量，需針對(duì)性建設(shè)集中接入認(rèn)證和管控設(shè)備。應(yīng)采用統(tǒng)一的安全管控機(jī)制，對(duì)所有接入終端采用集中的身份管理；應(yīng)急環(huán)境下的無線安全設(shè)備應(yīng)具備主動(dòng)防御功能。

3 精細(xì)化安全管控實(shí)踐價(jià)值

3.1 安全增強(qiáng)模塊測試

為了能夠?qū)崟r(shí)發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行過程中的已知病毒和未知威脅，在核心交換機(jī)或重要的網(wǎng)絡(luò)接入?yún)^(qū)旁路部署未知威脅發(fā)現(xiàn)系統(tǒng)，檢測發(fā)現(xiàn)網(wǎng)絡(luò)流量中病毒、木馬、僵尸、APT 攻擊等惡意流量，定位不安全計(jì)算機(jī)。由未知威脅發(fā)現(xiàn)系統(tǒng)進(jìn)行數(shù)據(jù)深度分析，發(fā)現(xiàn)整個(gè)互聯(lián)網(wǎng)專網(wǎng)的安全威脅，特別是能夠有效識(shí)別未知威脅等安全威脅起到安全預(yù)警的作用。

部署未知威脅發(fā)現(xiàn)系統(tǒng)之后，網(wǎng)絡(luò)安全管理變得清晰可控，可實(shí)現(xiàn)三大功能：

（1）可見性：未知威脅發(fā)現(xiàn)系統(tǒng)可部署在各個(gè)網(wǎng)絡(luò)層次交換機(jī)上執(zhí)行綜合的全面覆蓋，通過系統(tǒng)使管理員將網(wǎng)絡(luò)中的可疑活動(dòng)都看得一清二楚，從網(wǎng)絡(luò)層到應(yīng)用層的多種協(xié)議流量情況盡在眼中，像“放大鏡”一樣幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)中的已知、未知威脅和安全問題。

（2）定位準(zhǔn)：利用未知威脅發(fā)現(xiàn)系統(tǒng)通過協(xié)議和應(yīng)用的關(guān)聯(lián)分析，快速定位高危節(jié)點(diǎn)計(jì)算機(jī)和明確威脅攻擊型態(tài)，通過實(shí)時(shí)數(shù)據(jù)報(bào)表、日/周/月報(bào)表反映互聯(lián)網(wǎng)專網(wǎng)安全形勢總體視圖。

（3）可處理：未知威脅發(fā)現(xiàn)系統(tǒng)對(duì)于威脅的處理分為兩個(gè)方面。一是系統(tǒng)在未知威脅發(fā)現(xiàn)和定位后，將安全威脅轉(zhuǎn)化為詳細(xì)的處理措施并落實(shí)。二是由廠家的專業(yè)服務(wù)工程師對(duì)疑難或新威脅情況進(jìn)行進(jìn)一步處理，包括提取病毒樣本分析和現(xiàn)場處理等。

3.2 終端控制模塊測試

系統(tǒng)在終端識(shí)別的基礎(chǔ)上，對(duì)不符合基線的終端（新加入、變更）進(jìn)行隔離或阻斷的控制，以防止非法終端接入后給網(wǎng)絡(luò)帶來信息安全隱患。系統(tǒng)對(duì)終端的控制管理一般有三種方式：

（1）通過與準(zhǔn)入系統(tǒng)聯(lián)動(dòng)的方式實(shí)現(xiàn)。此種方式優(yōu)勢明顯，不僅功能全面、穩(wěn)定性強(qiáng)，而且后期擴(kuò)展便捷，便于維護(hù)。

（2）對(duì)于沒有準(zhǔn)入系統(tǒng)聯(lián)動(dòng)條件的場景還可以通過在核心層設(shè)備或分支出口設(shè)備上旁掛控制網(wǎng)關(guān)的方式，系統(tǒng)通過給網(wǎng)關(guān)下發(fā)指令的方式對(duì)非法終端進(jìn)行隔離或阻斷。

（3）如果以上條件都不能滿足，系統(tǒng)還可以通過告警、短信、郵件等方式通知管理員手工處理終端的變更信息。

4 結(jié)論

通過實(shí)踐驗(yàn)證，本文提出的關(guān)于視頻系統(tǒng)的精細(xì)化安全管控舉措有效解決了前期建設(shè)系統(tǒng)獨(dú)立零散，缺乏統(tǒng)一的安全管理平臺(tái)、IPC被劫持并用作DDOS 攻擊等黑客行為、重大事件發(fā)生時(shí)終端攝像機(jī)直連泛濫、網(wǎng)絡(luò)擁塞等問題。為信息化運(yùn)維工作提供了便捷、準(zhǔn)確的數(shù)據(jù)和技術(shù)支持的同時(shí)，促進(jìn)了信息系統(tǒng)運(yùn)行維護(hù)工作的自動(dòng)化、規(guī)范化和標(biāo)準(zhǔn)化。為視頻專網(wǎng)的精細(xì)化安全管控提供了一種新的方法。通過對(duì)系統(tǒng)設(shè)備接入的控制、登記、審批、入網(wǎng)等流程的建立，規(guī)避了非法設(shè)備未授權(quán)接入及由此引發(fā)的數(shù)據(jù)泄露、惡意攻擊等安全事件；可做到實(shí)時(shí)排查資產(chǎn)，掌握各種設(shè)備運(yùn)行狀態(tài)，通過視頻中心的實(shí)時(shí)畫面，相關(guān)部門可以全面、實(shí)時(shí)地掌握視頻專網(wǎng)的現(xiàn)狀，隨時(shí)了解各重要現(xiàn)場是否有異常情況，全面掌握區(qū)域的現(xiàn)場動(dòng)態(tài)。充分優(yōu)化人力資源配置，提高管理效益，降低管理成本。