1. 背景和需求分析

伴隨著平安城市、智慧城市的深入建設(shè)，監(jiān)控系統(tǒng)越來越多地應(yīng)用到各行各地。“天網(wǎng)工程”的構(gòu)建使得城市的監(jiān)控點(diǎn)不斷增加，攝像頭的覆蓋率不斷提高，人們的城市生活、工作得到了更牢靠的保障。

“雪亮工程”以縣、鄉(xiāng)、村三級(jí)綜治中心為指揮平臺(tái)進(jìn)行建設(shè)，發(fā)動(dòng)社會(huì)力量和廣大群眾共同監(jiān)看視頻監(jiān)控，幫助打造“平安農(nóng)村”，從而真正實(shí)現(xiàn)治安防控的“全覆蓋、無死角”。

攝像頭對(duì)于治安環(huán)境的改善貢獻(xiàn)顯著，但事情都有兩面性，圍繞攝像頭所引起的安全事件也不在少數(shù)。

號(hào)稱「DDos發(fā)電站」的物聯(lián)網(wǎng)破壞者病毒Mirai，利用暴露在互聯(lián)網(wǎng)上的海量視頻攝像頭實(shí)施DDoS攻擊，曾導(dǎo)致美國東海岸地區(qū)遭受大面積網(wǎng)絡(luò)癱瘓。

2017年12月，某省公安部門邀請(qǐng)安全防范技術(shù)與風(fēng)險(xiǎn)評(píng)估公安部重點(diǎn)實(shí)驗(yàn)室對(duì)該省視頻傳輸網(wǎng)進(jìn)行抽檢。結(jié)果顯示：該省視頻傳感網(wǎng)基本處于"裸奔"狀態(tài)，黑客可直接通過侵入前端設(shè)備，控制整個(gè)系統(tǒng)。

公安視頻監(jiān)控系統(tǒng)本身主要實(shí)現(xiàn)公共視頻的全天候的實(shí)時(shí)監(jiān)控和錄像，達(dá)到實(shí)時(shí)監(jiān)控管理、主動(dòng)預(yù)警、震懾犯罪及為事件后期取證提供依據(jù)等信息的重要系統(tǒng)。但由于視頻監(jiān)控系統(tǒng)的特點(diǎn)，目前存在兩個(gè)弊端，分別是管理難度大和安全系數(shù)低，切實(shí)需網(wǎng)絡(luò)管理者重視和整改。

1.1 管理難度大

基礎(chǔ)的公安視頻專網(wǎng)是視頻監(jiān)控系統(tǒng)的主要承載網(wǎng)絡(luò)，具有網(wǎng)絡(luò)規(guī)模龐大、網(wǎng)絡(luò)分支較多、 視頻攝像頭接入地理位置十分分散、人為監(jiān)管困難等特點(diǎn)。網(wǎng)絡(luò)管理員通過監(jiān)控平臺(tái)無法有效判斷IP攝像機(jī)的鏈路質(zhì)量，并且當(dāng)網(wǎng)絡(luò)中出現(xiàn)異常行為和攻擊時(shí)， 沒有可回溯的機(jī)制，存在安全隱患。

視頻監(jiān)控系統(tǒng)應(yīng)具備鏈路探測(cè)和質(zhì)量統(tǒng)計(jì)機(jī)制，可生成鏈路服務(wù)質(zhì)量數(shù)據(jù)，分析鏈路的延時(shí)和連通性；應(yīng)具備多維度流量統(tǒng)計(jì)機(jī)制，針對(duì)每條鏈路的流量趨勢(shì)支持實(shí)時(shí)監(jiān)控和歷史查看功能；應(yīng)具備應(yīng)用審計(jì)功能，可查看歷史行為日志，做到有據(jù)可查。

1.2 安全系數(shù)低

建設(shè)過程中安全規(guī)劃經(jīng)驗(yàn)不足，使視頻專網(wǎng)安全建設(shè)匱乏，特別是視頻攝像頭接入端常年暴露在公眾視野中，缺少準(zhǔn)入控制機(jī)制，容易成為非法分子的入侵端，攻擊者通過仿冒用戶網(wǎng)絡(luò)視頻監(jiān)控設(shè)備侵入視頻設(shè)備，并以此為跳板入侵視頻監(jiān)控系統(tǒng)，竊取、篡改視頻圖像和數(shù)據(jù)，甚至導(dǎo)致視頻監(jiān)控平臺(tái)癱瘓。

視頻專網(wǎng)中流量組成混雜，包括視頻監(jiān)控流量、業(yè)務(wù)管理流量和其他流量等，每類流量作用不一，粗獷的管理方式缺乏數(shù)據(jù)隔離，難以保障業(yè)務(wù)高效、安全運(yùn)行，極易造成網(wǎng)絡(luò)故障和被攻擊等后果。

公安應(yīng)用是視頻監(jiān)控的重要領(lǐng)域之一。對(duì)公安機(jī)關(guān)來說，一旦視頻監(jiān)控系統(tǒng)被侵入，極有可能導(dǎo)致視頻數(shù)據(jù)泄漏。更為嚴(yán)重的是，如果視頻被人進(jìn)行修飾、篡改、刪除等操作，交通管理、線索追蹤、治安管理、人口管理等各項(xiàng)涉及視頻數(shù)據(jù)的公安業(yè)務(wù)都可能受到影響，公安機(jī)關(guān)的執(zhí)法透明度與公信力也可能遭受非議。

監(jiān)控專網(wǎng)使用的是專用設(shè)備和軟件，攝像機(jī)運(yùn)行在類linux 平臺(tái)上，使用mips 或者arm系統(tǒng)硬件，管理軟件運(yùn)行在windows平臺(tái)上，廠商自行開發(fā)管理軟件，使用開放的視頻通訊協(xié)議，這些系統(tǒng)一經(jīng)部署完成，由于網(wǎng)絡(luò)封閉隔離，廠商不能提供遠(yuǎn)程的在線升級(jí)，一旦基礎(chǔ)平臺(tái)出現(xiàn)漏洞，廠商的通常也不能及時(shí)提供安全更新，使網(wǎng)絡(luò)處于危險(xiǎn)之中。專用的軟硬件系統(tǒng)由于依賴通用的操作系統(tǒng)和基礎(chǔ)庫，在具有通用系統(tǒng)的安全漏洞的同時(shí)，又不具有通用系統(tǒng)的快速補(bǔ)丁更新能力，實(shí)際上比通用系統(tǒng)更不安全。

2. 解決方案

視頻安全接入解決方案由視頻防火墻、集中管理平臺(tái)與物聯(lián)網(wǎng)安全平臺(tái)組成。視頻防火墻按區(qū)域安全域IP段等屬性部署于視頻專網(wǎng)接入層，針對(duì)視頻攝像頭進(jìn)行設(shè)備準(zhǔn)入認(rèn)證，收集視頻攝像頭的流量信息，自動(dòng)識(shí)別IP地址、MAC地址等信息，并建立監(jiān)控列表，實(shí)時(shí)監(jiān)控視頻攝像頭的在線狀態(tài)、上下行流量信息；物聯(lián)網(wǎng)平臺(tái)和集中管理平臺(tái)部署于視頻專網(wǎng)核心層，針對(duì)視頻防火墻進(jìn)行集中監(jiān)控、策略管理和日志報(bào)表統(tǒng)計(jì)等，加強(qiáng)視頻監(jiān)控網(wǎng)絡(luò)的運(yùn)維管理。

2.1 終端管理

視頻防火墻從識(shí)別、準(zhǔn)入、管理三個(gè)維度實(shí)現(xiàn)IPC的精細(xì)化管理，保障IPC接入和數(shù)據(jù)傳輸?shù)陌踩浴?/span>

2.1.1 終端識(shí)別

視頻防火墻基于DPI、DFI、終端指紋識(shí)別技術(shù)，對(duì)全網(wǎng)資產(chǎn)進(jìn)行識(shí)別，可以發(fā)現(xiàn)全網(wǎng)網(wǎng)絡(luò)資產(chǎn)，并識(shí)別終端類型，包括IPC終端、windows、linux、PC終端、移動(dòng)終端等類型。

通過IPC資產(chǎn)清點(diǎn)和發(fā)現(xiàn)，關(guān)聯(lián)入侵防御、病毒防護(hù)、非法外聯(lián)、弱密碼、暴力破解、掃描攻擊等安全事件，并結(jié)合威脅情報(bào)和行為模型等識(shí)別手段，實(shí)現(xiàn)IPC脆弱性分析評(píng)估，，幫助安全管理人員掌握內(nèi)網(wǎng)的資產(chǎn)情況，識(shí)別潛在風(fēng)險(xiǎn)。

2.1.2 IPC準(zhǔn)入

管理員可基于IP、MAC、攝像頭廠商等維度互相組合，針對(duì)IPC終端進(jìn)行準(zhǔn)入控制。不符合準(zhǔn)入條件的IPC，將被識(shí)別為非法終端，視頻防火墻將阻斷非法終端的任何流量。

l 收集IPC的廠商、IP、MAC信息

管理員收集在網(wǎng)運(yùn)行的IPC信息，用于IPC多維度綁定，提升IPC準(zhǔn)入的唯一性和安全性。收集信息主要包括IPC廠商、IP、MAC等。如后續(xù)不涉及IPC的精細(xì)化管理，只收集IPC廠商，可忽略收集IP、MAC信息。

l 建立IPC對(duì)象

視頻防火墻預(yù)置6個(gè)IPC廠商的指紋庫，包括?？低?、大華、宇視、蘇州科達(dá)、天地偉業(yè)、英飛拓等，管理員可自定義補(bǔ)充或添加IPC對(duì)象。

l IPC準(zhǔn)入策略

視頻防火墻基于IPC廠商、IP和MAC的對(duì)應(yīng)關(guān)系，授權(quán)PC攝像頭，當(dāng)數(shù)據(jù)流到達(dá)視頻防火墻后，放行符合綁定關(guān)系的IPC，針對(duì)不符合綁定關(guān)系或不在IPC對(duì)象的IPC終端，進(jìn)行流量丟棄并上報(bào)告警信息。

    管理員可根據(jù)實(shí)際業(yè)務(wù)需求，基于IP地址、IP地址段進(jìn)行白名單放行，視頻防火墻針對(duì)白名單終端不阻斷，不審計(jì)

2.1.3 權(quán)限管理

視頻防火墻中默認(rèn)支持SIP ALG、RTSP ALG、FTP ALG、H323 ALG、PPTP ALG、TFTP ALG、IRC ALG功能，默認(rèn)支持常見UDP 5060、5061、5063視頻協(xié)議端口，可自定義ALG端口號(hào)，可兼容GB-28181、 GB35114等最新視頻協(xié)議，針對(duì)特定的視頻協(xié)議可提供針對(duì)性的定制開發(fā)。

根據(jù)業(yè)務(wù)需求，基于IP、MAC、協(xié)議、應(yīng)用特征、端口、時(shí)間、安全域等維度，精細(xì)化管理視頻專網(wǎng)的訪問行為和訪問權(quán)限。

l 終端接入管理

針對(duì)受信終端匹配安全策略訪問規(guī)則，進(jìn)一步的細(xì)化訪問和傳輸權(quán)限；對(duì)于非受信終端默認(rèn)阻斷，防止攻擊行為；

l 業(yè)務(wù)訪問權(quán)限

內(nèi)置視頻協(xié)議、主流網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)應(yīng)用等特征庫。 針對(duì)視頻協(xié)議和視頻端口的業(yè)務(wù)流量默認(rèn)放行，保障業(yè)務(wù)正常傳輸；針對(duì)網(wǎng)絡(luò)應(yīng)用和協(xié)議，結(jié)合業(yè)務(wù)需求進(jìn)行控制管理，精準(zhǔn)管理網(wǎng)絡(luò)流量和管理權(quán)限，保障對(duì)外權(quán)限最小化，減少視頻專網(wǎng)中的“攻擊面”；

l 防火墻管理權(quán)限

視頻防火墻支持通過外部認(rèn)證服務(wù)器完成管理員認(rèn)證；具備雙因子用戶認(rèn)證特性，雙重登錄保障；可自定義管理端口號(hào)，有效避免不法人員通過默認(rèn)端口進(jìn)行撞庫攻擊，保障防火墻管理可靠性；提供三權(quán)分立特性，管理者可根據(jù)賬號(hào)管理屬性，自定義分配模塊管理權(quán)限，遵循管理“最小化”原則；支持自定義登錄IP、登錄失敗阻斷間隔、最大登錄嘗試次數(shù)、頁面超時(shí)時(shí)間等規(guī)則，提升管理安全性。

2.2 安全防護(hù)

視頻防火墻和物聯(lián)網(wǎng)平臺(tái)關(guān)注物聯(lián)網(wǎng)終端資產(chǎn)狀態(tài)、弱口令、系統(tǒng)漏洞等威脅信息，結(jié)合多角度、多維度分析物聯(lián)網(wǎng)終端的安全事件，為客戶對(duì)物聯(lián)網(wǎng)終端安全管控構(gòu)建管理平臺(tái)。

2.2.1 漏洞防護(hù)

視頻防火墻預(yù)置8000+IPS防護(hù)規(guī)則，防護(hù)規(guī)則中涵蓋CVE、CNVD、CNVVD編號(hào)的物聯(lián)網(wǎng)的漏洞，涵蓋廠商零日漏洞庫。防護(hù)規(guī)則每兩周更新，關(guān)注業(yè)界最新發(fā)現(xiàn)的安全漏洞和接收全球用戶反饋的攻擊特征，并在第一時(shí)間做出響應(yīng)和提供更新，實(shí)時(shí)完善攻擊特征庫，提供最及時(shí)、最全面的入侵防御。針對(duì)能對(duì)各種物聯(lián)網(wǎng)設(shè)備、智能硬件系統(tǒng)的各種漏洞進(jìn)行監(jiān)測(cè)。

視頻防火墻提供虛擬補(bǔ)丁管理，管理員無需在IPC和其他終端中安裝升級(jí)組件補(bǔ)丁，于視頻防火墻中部署配置安全防護(hù)規(guī)則即可規(guī)避漏洞風(fēng)險(xiǎn)

2.2.2 威脅情報(bào)

隨著攻擊的復(fù)雜性、多元化不斷提升，傳統(tǒng)安全設(shè)備不斷受到挑戰(zhàn)；新一代的攻擊者常常向企業(yè)和組織發(fā)起針對(duì)性的網(wǎng)絡(luò)攻擊，也就是高級(jí)持續(xù)攻擊（APT）。攻擊者不斷改變現(xiàn)有的攻擊方式，開發(fā)新的方法。傳統(tǒng)的規(guī)則匹配已經(jīng)無法防御這樣的攻擊。視頻防火墻通過自研威脅情報(bào)云平臺(tái)，整合對(duì)接60余家商業(yè)、開源威脅情報(bào)，包括微步在線、IBM安全、VirusTotal、天際友盟、PluseDive等等。提供全網(wǎng)威脅情報(bào)查詢功能，支持對(duì)可疑IP、域名、文件Hash進(jìn)行搜索，并查看關(guān)聯(lián)分析。

支持展示全球熱門和新型的威脅事件，支持?jǐn)?shù)據(jù)下鉆查看該威脅事件的時(shí)間、威脅級(jí)別、描述、類型、應(yīng)用措施和指示器等信息。支持針對(duì)威脅事件提供安全防護(hù)的配置向?qū)?，通過引導(dǎo)方式幫助用戶完成安全加固，規(guī)避威脅風(fēng)險(xiǎn)；支持通過一鍵添加的方式，新增防護(hù)措施，減輕管理員的運(yùn)維工作量。

2.3 數(shù)據(jù)運(yùn)維

2.3.1 業(yè)務(wù)質(zhì)量分析

視頻防火墻基于視頻攝像頭統(tǒng)計(jì)業(yè)務(wù)流量，以趨勢(shì)圖、柱狀圖展示流量趨勢(shì)，幫助管理者了解各視頻攝像頭的業(yè)務(wù)情況，正常的視頻流量整體趨勢(shì)較為穩(wěn)定和平緩，如管理者發(fā)現(xiàn)某個(gè)視頻攝像頭的流量出現(xiàn)突增突降的情況，初步可確定該視頻攝像頭有故障。

針對(duì)故障視頻頭，管理者可進(jìn)一步分析該視頻攝像頭的流量組成，包括協(xié)議、應(yīng)用和流量額等信息，幫助管理者深入分析故障原因。如分析某視頻攝像頭突增UDP協(xié)議流量，來源于可確定該視頻攝像頭存在被攻擊情況。

下代防火墻配備鏈路級(jí)質(zhì)量探測(cè)機(jī)制，通過PING、DNS、TCP等探測(cè)協(xié)議，基于線路、目標(biāo)域名、目標(biāo)IP進(jìn)行分析探測(cè)成功率、延時(shí)等數(shù)據(jù)，幫助網(wǎng)絡(luò)管理員及時(shí)發(fā)現(xiàn)各區(qū)域服務(wù)質(zhì)量較差的線路和視頻攝像頭，為管理員快速定位故障線路和視頻攝像頭提供有效工具，為優(yōu)化整體網(wǎng)絡(luò)，提升關(guān)鍵業(yè)務(wù)服務(wù)質(zhì)量提供數(shù)據(jù)支撐。

2.3.2 數(shù)據(jù)聯(lián)動(dòng)

下代防火墻全面審計(jì)管理員操作行為、系統(tǒng)狀態(tài)、審計(jì)內(nèi)容和安全防護(hù)內(nèi)容，審計(jì)數(shù)據(jù)支持本地留存，同時(shí)支持將審計(jì)數(shù)據(jù)發(fā)送至第三方syslog格式的數(shù)據(jù)平臺(tái)，用于管理者進(jìn)行大數(shù)據(jù)分析，實(shí)現(xiàn)數(shù)據(jù)再利用。

下代防火墻配套集中管理平臺(tái)，接入層防護(hù)的下代防火墻將防護(hù)數(shù)據(jù)統(tǒng)一發(fā)送至監(jiān)控中心服務(wù)器區(qū)的集中管理平臺(tái)，由管理平臺(tái)進(jìn)行數(shù)據(jù)整合，針對(duì)全網(wǎng)進(jìn)行數(shù)據(jù)分析，以可視化的圖表進(jìn)行宏觀呈現(xiàn)，以簡單明了的日志進(jìn)行微觀記錄，以數(shù)據(jù)報(bào)表的形式幫助管理者完成運(yùn)維匯報(bào)工作。

結(jié)束語

在視頻專網(wǎng)部署視頻防火墻，在接入方面，對(duì)所有入網(wǎng)的IPC終端、協(xié)議流量、合法用戶進(jìn)行準(zhǔn)入控制，防止IPC終端的私接問題并進(jìn)行合法IPC和合法用戶入網(wǎng)進(jìn)行規(guī)范化管理；在權(quán)限方面，針對(duì)視頻協(xié)議和網(wǎng)絡(luò)協(xié)議進(jìn)行精細(xì)化管理，有效防止越權(quán)行為；在防護(hù)方面，具備IPS、AV和威脅情報(bào)等防護(hù)手段，全面過濾網(wǎng)絡(luò)威脅；在運(yùn)維方面，助力質(zhì)量分析、數(shù)據(jù)分析和數(shù)據(jù)聯(lián)動(dòng)。

視頻防火墻幫助管理者有效解決了視頻專網(wǎng)中長期存在的權(quán)限、安全和運(yùn)維等問題，從根本上保障視頻專網(wǎng)的安全性，它是視頻專網(wǎng)中必不可少的安全產(chǎn)品。