关于视频专网全域安全管控的建设与研究
吕益民 江志濠 陈振辉 林少高
(广州市公安局科技通信处,广东 广州510030)
目前广州市视频专网经过近十年的持续建设,已建成视频图像采集点上百万个,视频专网设备资产十万余台,规模庞大,网络结构复杂,设备类型众多。在建设大数据视频系统的同时,信息安全形势也变得极为严峻,在大型视频专网中,一旦视频系统出现安全隐患,例如遭受黑客攻击网络或视频敏感图像信息被泄露,后果将不堪设想。因此依据《中华人民共和国网络安全法》及“网络安全等级保护”相关制度,参考《信息安全技术智慧城市安全体系框架》确定视频系统的安全体系框架,“广州市视频专网全域安全管控平台”(以下简称“视频网安管平台”)全面推进“三高”“七化”“四转变”的工作理念,以全网全域管控的总体设计路线建设了具备实时监测、动态分析及主动防御能力的“视频网安管平台”。“三高”即“视频网安管平台”实现高实时性、高可控性、高联动性;
“七化”即安全管控实时化、可视化、规范化、全程化、常态化、清晰化、智能化;
管理模式“四转变”即实现由经验判断为主向数据分析支撑转变;
由单一事件处置向全域感知联动转变;
由被动事后翻查向实时事中报警、主动事前预警转变;
由人员被动干预向人机协同联动转变。
过去的视频专网安全系统大多建立在封闭且专用的通讯线上,因此多数厂商在进入网路时,往往忽略信息安全风险的问题,要建立一个稳固的安全体系(Robust Surveillance Eco-System),需要注意内容完整性(Content Integrity)及传输可用性(Transmission Availability)。视频专网虽然有专用的隔离设施,但网络有联通就会存在风险,具体体现如下:
1.1 品牌繁多,如何接入
由于以往视频专网安全系统建设缺少整体规划,难以实现视频资源的共享运用,导致“信息孤岛”的出现。
1.2 数量庞大,管理不足
视频系统设备数量庞大,网络分支较多、接入地理位置十分分散,普遍存在运维投入不足,设备维护不到位,系统完好率低,可用性差等问题。
1.3 安全性差,难以保障
设备大区域的分布在户外,地理位置偏僻,容易被攻击者进行非法接入,容易导致视频资源信息外流,信息安全难以有效保证。
1.4 网络复杂,行为多样
视频系统标准不统一、联网率低、运维水平不高,对大量终端设备缺少统一管理手段。
2.1 前期建设系统独立零散,缺乏统一的安全管理平台
2.1.1 问题描述
视频专网建设过程中,由于前期建设项目相对分散,时间跨度大,设备类型较多,部署较分散,导致没有一套跨业务网、视频专网,并统筹视频相关安全系统的统一安全管理平台,对视频专网的安全管理及协调配合带来极大的阻碍,系统运行过程中需要多个组件进行协调配合,存在较大的人力资源消耗。
2.1.2 解决问题措施
一是对视频专网建立统一的安全管理平台,将已建安全管理设备及安全系统进行整合,同时与治安云、运维平台数据对接,实现视频系统的统一运维管理、感知分析及运营展示;
针对视频专网各类终端全面接入管理,根据设备类别分别采用CA认证、终端准入及安全管控措施;
通过与“一机一档”系统的联动,采取资产数据扫描、审核及归并措施,并对系统关键数据持续校验及风险预警、处置,实现视频专网的资产管理“可视化”。
二是以视频专网为核心,提供社会治安、资源整合及城市管理等多种业务的“一核三轴”复杂系统。通过多个系统间共享资源和能力,为系统安全管理提供信息与服务基础。
三是安全管理平台基于设备资产数据、终端管控、防病毒软件等安全措施,弱口令、漏洞等安全风险,安全事件系数等进行大数据分析,整合安全和网络系统,实现判定危险源行为的危害级别及对各类风险事件分析告警,并对各单位整体安全态势进行综合评估,全维塑造安全画像体系。实现风险评估智能化,提高整体安全管控水平。
2.2 防止IPC 被劫持并用作DDOS 攻击等黑客行为
2.2.1 问题描述
随着视频系统日益扩大,面临着视频前端接入及仿冒接入引起的视频数据泄露、病毒传播、木马植入等安全风险[1],需要自动发现视频系统联网设备、智能识别设备类型并归类。对发现的联网设备进行健康状态评估,仿冒鉴别,对违规接入/仿冒接入设备进行隔离阻断,从而提升视频系统整体网络安全。
2.2.2 解决问题措施
一是前端接入控制,以IPC 准入控制、设备资产识别、主动风险探知为主;
横向边界根据连接目标的不同,建立不同的安全边界。严格控制进出网络各个安全区域的访问,明确访问的来源、访问的对象及类型,确保合法访问的正常进行,杜绝非法及越权访问,通过对全网的网络终端进行实时整体管控。实现终端准入“实时化”。
二是入侵侦测和防御,入侵防御设运行于边界保护区内,通过实时自动识别和响应网络违规行为。以全面深入的协议分析为基础,融合智能协议识别、协议异常检测、流量异常检测、会话关联分析等多种技术,提供从网络层、应用层到内容层的深度安全检测。
三深度封包检查,检查所有未遵照协议进出的通信,内含可能的攻击及政策违反在侦测或预防模式下运作,以保护操作系统和应用程序漏洞;
能够防御应用层攻击、SQL Injection及Cross-site 跨站脚本攻击;
提供包含攻击来源、时间及试图利用什么方式进行攻击等有价值信息,当事件发生时,会立即自动通知管理员。
2.3 重大事件发生时终端摄像机直连泛滥、网络拥塞等问题
2.3.1 问题描述
由于目前的安全防范技术存在局限性,在视频系统终端IPC 数量过多、网络带宽的限制下,重大事件发生时容易造成终端摄像机直连泛滥、网络拥塞等问题,无法满足更高的视频系统网络信息管控功能要求。
2.3.2 解决问题措施
一是安全事件分析。在庞大的日志中,将采集的防火墙、主机、数据库服务器等设备的原始日志汇集分析及归一化处理,形成统一的安全事件格式,消除冗余事件,将事件转至SIEM 系统或集中日志服务器,作关联性分析、报告和存盘,对成千上万的事件进行聚类。
二是威胁分析。大量标准化处理的事件,经历事件分类处理、聚合、交叉关联等多种关联方法,依照一定的策略对数据库中安全事件进行统计分类,找出经常导致安全事件的起因和被攻击的原因,统计相同数据源及目标端口的安全事件的数量,客观地反映网络异常的情况。
三是在各种应急响应工作中需开通应急无线网络,为周边视频应用提供无线接入服务情况。为确保接入的安全防护质量,需针对性建设集中接入认证和管控设备。应采用统一的安全管控机制,对所有接入终端采用集中的身份管理;
应急环境下的无线安全设备应具备主动防御功能。
3.1 安全增强模块测试
为了能够实时发现网络运行过程中的已知病毒和未知威胁,在核心交换机或重要的网络接入区旁路部署未知威胁发现系统,检测发现网络流量中病毒、木马、僵尸、APT 攻击等恶意流量,定位不安全计算机。由未知威胁发现系统进行数据深度分析,发现整个互联网专网的安全威胁,特别是能够有效识别未知威胁等安全威胁起到安全预警的作用。
部署未知威胁发现系统之后,网络安全管理变得清晰可控,可实现三大功能:
(1)可见性:未知威胁发现系统可部署在各个网络层次交换机上执行综合的全面覆盖,通过系统使管理员将网络中的可疑活动都看得一清二楚,从网络层到应用层的多种协议流量情况尽在眼中,像“放大镜”一样帮助管理员发现网络中的已知、未知威胁和安全问题。
(2)定位准:利用未知威胁发现系统通过协议和应用的关联分析,快速定位高危节点计算机和明确威胁攻击型态,通过实时数据报表、日/周/月报表反映互联网专网安全形势总体视图。
(3)可处理:未知威胁发现系统对于威胁的处理分为两个方面。一是系统在未知威胁发现和定位后,将安全威胁转化为详细的处理措施并落实。二是由厂家的专业服务工程师对疑难或新威胁情况进行进一步处理,包括提取病毒样本分析和现场处理等。
3.2 终端控制模块测试
系统在终端识别的基础上,对不符合基线的终端(新加入、变更)进行隔离或阻断的控制,以防止非法终端接入后给网络带来信息安全隐患。系统对终端的控制管理一般有三种方式:
(1)通过与准入系统联动的方式实现。此种方式优势明显,不仅功能全面、稳定性强,而且后期扩展便捷,便于维护。
(2)对于没有准入系统联动条件的场景还可以通过在核心层设备或分支出口设备上旁挂控制网关的方式,系统通过给网关下发指令的方式对非法终端进行隔离或阻断。
(3)如果以上条件都不能满足,系统还可以通过告警、短信、邮件等方式通知管理员手工处理终端的变更信息。
通过实践验证,本文提出的关于视频系统的精细化安全管控举措有效解决了前期建设系统独立零散,缺乏统一的安全管理平台、IPC被劫持并用作DDOS 攻击等黑客行为、重大事件发生时终端摄像机直连泛滥、网络拥塞等问题。为信息化运维工作提供了便捷、准确的数据和技术支持的同时,促进了信息系统运行维护工作的自动化、规范化和标准化。为视频专网的精细化安全管控提供了一种新的方法。通过对系统设备接入的控制、登记、审批、入网等流程的建立,规避了非法设备未授权接入及由此引发的数据泄露、恶意攻击等安全事件;
可做到实时排查资产,掌握各种设备运行状态,通过视频中心的实时画面,相关部门可以全面、实时地掌握视频专网的现状,随时了解各重要现场是否有异常情况,全面掌握区域的现场动态。充分优化人力资源配置,提高管理效益,降低管理成本。