点击 信创咨询 并设为星标⭐️ 及时获取最新资讯
编者按:慧盾视频安全解决方案是一套贴近用户视频使用流程,不改变用户使用习惯和不对现有网络拓扑进行大规模整改的一套安全防护体系,帮助业务人员维护视频监控平台安全,保障视频数据安全,符合国家法律法规。为保证视频监控系统的安全,慧盾安全提出视频数据防泄漏、监控系统防攻击、联网共享可追踪的三大安全目标。
编辑|信创咨询公众号(ID:XConsultancy)出品 | 安东工作室作者|慧盾安全转载|请注明出处
01
解决方案基本概述
近年来,随着全社会高清视频监控的快速发展,海量的视频监控设备部署到城市的各个角落,对公共安全提升带来了巨大促进。然而,海量摄像头难以得到有效统计,各级平台对接要求视频协议标准化、协议开放,视频监控背后的数据存储量与日俱增,视频数据的价值也越来越高,导致在视频数据产生、数据传输、数据使用、数据共享等各个方面存在着严重的数据安全隐患,安防系统导致的安全事件不断涌现。人们逐步认识到,视频安防监控自身数据的安全已经成为一个重要而亟待解决的问题。通过对现网视频监控建设现状,以及国家相关部门针对视频监控网络安全检查的具体要求,当前主要有以下几类安全痛点亟待解决:- 摄像机等前端设备存在违规接入/替换的安全隐患,对当前的摄像头缺乏准入控制机制,缺乏及时监测、报警或拦截能力。
- 视频监控设备(摄像头、NVR、流媒体服务器等)存在弱口令问题和系统漏洞问题,导致设备容易被黑客远程控制,或被勒索病毒感染,严重者导致系统彻底瘫痪,以及敏感视频泄漏至国外。
- 对视频数据的安全防护更多依赖规章制度,对于敏感视频缺乏有效便捷的技术手段进行事前控制,外发视频也无相应审批管控手段,容易导致敏感视频泄漏。
- 对视频监控数据应用的违规行为,缺乏技术手段进行有效审计,无法在事后进行及时溯源。
- 当前平台与其他管理单位平台可互联互通,其他管理单位调阅的视频存在泄漏的隐患,且泄漏后从本平台无法进行溯源,导致本单位不得不承担主要责任。
- 视频监控网络中数据明文传输,容易造成用户隐私泄露或者数据被篡改。
- 缺乏可视化运维系统实时监控摄像头的状态,对前端设备进行规范化、精细化的全生命周期管理。
综上,为保证视频监控系统的安全,慧盾安全提出视频数据防泄漏、监控系统防攻击、联网共享可追踪的三大安全目标。02
解决方案总体架构及说明
慧盾视频安全解决方案是一套贴近用户视频使用流程,不改变用户使用习惯和不对现有网络拓扑进行大规模整改的一套安全防护体系,帮助业务人员维护视频监控平台安全,保障视频数据安全,符合国家法律法规。
如上图所示,整体解决方案包括监控平台安全、终端防泄密、前端接入安全、视频跨平台共享安全4个部分。针对重点区域的摄像头部署视频接入安全网关,在接入层汇聚节点部署视频汇聚安全网关,与视频核心安全网关联动,实现前端摄像头准入、视频访问控制、设备身份认证和视频传输安全;对摄像头进行全向攻击防护;阻断异常终端对监控平台发起的恶意攻击,识别危险视频进程与协议,保护视频监控平台;实现非法用户非法访问或者合法用户越权访问的行为进行拦截防护,实现IPC所采集的视频数据到视频监控平台的传输加密及完整性校验,保障视频监控数据的私密性和完整性。在视频监控数据中心网络区所连接的核心交换机处部署慧盾视频核心安全网关产品,部署方式是在核心交换机侧旁路部署,通过引流方式,实现对所有进出视频监控系统数据中心的访问请求进行访问控制和视频数据安全防护;同时,在监控席终端上部署慧盾视频防泄密客户端软件,用来保证监控席终端所使用的视频数据的安全。通过视频核心安全网关与防泄密客户端相结合的方式,为监控平台所管理的监控席终端提供可信安全准入功能,对访问监控平台的操作终端进行身份认证,有效杜绝非法访问和越权访问;对合法监控席终端非法泄密行为进行防护,实现合法用户对视频画面进行非法截屏/录屏操作、非法使用第三方视频录屏软件、非法拷贝视频录像以及采用非法访问软件访问视频监控平台的行为进行管控和日志记录。通过在监控中心解码器与显示屏之间部署慧盾显示安全网关,对监控中心大屏进行拍屏防护,对违规拍摄行为进行震慑、安全警示和追踪,避免大屏敏感视频被泄露而无法追查。为了视频监控系统共享给其它部门的视频能进行追踪,在视频专网出口处部署视频共享安全网关,用于在外部平台远程调阅的视频流中嵌入追踪水印,从而实现视频流跨平台共享的泄漏追踪和防篡改。由内置于核心安全网关中的统一管理平台对慧盾核心安全网关、慧盾防泄密客户端软件、慧盾显示安全网关、慧盾共享安全网关、慧盾汇聚安全网关、慧盾接入安全网关进行综合统一管理,统一下发安全策略,统一呈现现网设备资产和设备状态,确保视频数据在使用过程中的安全和现网设备的安全运维。视频安全可视化平台对全网所有下级核心安全网关进行集中管理,对全网安全健康状况评价,详细展示各个域安全态势,提供全网资产管理、设备管理、拓扑展示、GIS展示、告警统计、考核检测等功能,实现全网视频安全态势总览功能。03
解决方案功能模块介绍
前端接入区设备暴露在室外,容易被黑客接入发起攻击。传统的防护设备主要部署在核心侧,无法保护摄像头,且攻击变种层出不穷,依靠特征识别会有一定的滞后性和误报率。通过前端设备资产发现、前端设备准入认证、应用协议访问控制、威胁识别防护等功能,全方位保护摄像头和平台。根据网络层级和接入规模,在每一个前端设备接入区与所属视频网络平台服务区汇聚层出口部署相应数量的视频汇聚安全网关;在重点区域部署视频接入安全网关;在核心交换机旁部署视频核心安全网关。可实现对于各前端设备接入区公共点位接入的摄像头进行资产扫描与发现、建立资产准入控制机制、对前端设备的工作状态进行实进监控、对视频传输网的非法接入、非法占用等行为进行实现监控与报警、对视频传输网网的流量异常情况进行实时监控。视频汇聚安全网关和视频核心安全网关都支持主路/旁路两种部署方式,可根据实际网络情况灵活选择部署方案。前端设备资产识别系统采取主动扫描+被动检测两种方式对前端设备进行发现与识别,识别得到的设备属性主要包括IP地址、MAC地址、应用协议、生产厂商等。前端IP摄像机与网络核心、内部关键业务平台直接连通,一旦被攻击者利用,可直接攻击核心业务系统,窃取保密信息,或者造成核心平台业务瘫痪,系统无法正常使用。非法设备接入主要有以下几种情况:非法设备伪造MAC地址符合摄像头编址规则;非法设备伪造IP欺骗视频服务器;接入私有摄像头替换已建成的摄像头设备,基于私有设备对监控系统发动入侵行为等。系统可对前端设备进行基于白名单的准入访问控制,支持基于IP地址、MAC地址、应用协议、生产厂商等认证方式对接入设备访问行为进行管理;通过设置准入策略,可以对违规设备自动阻断入网。系统对网络内前端设备运行情况进行实时监控,检测是否存在已入网设备被伪冒替换或者非授权设备非法接入的情况,根据策略进行告警和阻断。可对网内开启专用服务的各种设备进行弱口令检测,如TELNET、SSH、FTP、SNMP业务设备弱口令识别。可对现网设备进行链路质量检测,可直接从在线设备中选取检测对象;检测结果以列表形式呈现,且可根据多种条件进行检索。通过以上建设方案,强化准入机制,实现前端设备准入控制、身份认证,避免违规、仿冒等非法设备接入监控网络;可以有效防止病毒、DDOS攻击、黑客攻击等外部入侵,保护视频网系统整体的网络安全。同时可以有效杜绝前端监控设备的私接,乱接,错接等各类非授权接入,方便管理者对分散复杂且数量庞大的前端视频监控点进行可控管理。同时,可以对视频网内存在弱口令的服务器或其他资产进行可视化展示,方便管理者对不安全节点提前干预处理,主动防御,保护系统的同时满足上级检查要求。在中心机房部署视频核心安全网关,在操作席终端以及部分办公终端安装视频防泄密客户端软件。对监控平台及存储区域构建双因子认证体系,实现合法用户通过合法应用的准入控制,有效防止非法人员在获悉监控系统账号及密码的情况下,访问监控系统,非法调阅、篡改、删除视频数据。只有安装慧盾视频防泄密客户端的终端可被允许访问监控平台设备。视频核心安全网关对所有安装视频防泄密客户端的终端进行安全策略配置下发,做到统一管理。视频核心安全网关与各终端上部署的视频防泄密客户端软件联动,针对监控终端用户设置安全访问权限,权限包括监控平台访问权限、视频数据下载/导出/抓图操作权限、视频数据外发权限、视频数据解密还原权限等。监控操作席终端上使用视频监控客户端软件下载/导出的视频数据和抓图文件自动加密保护,并以黄色安全锁标识;加密处理的视频数据只有在授权环境上才可以正常使用,一旦带离授权环境,加密保护的视频和抓图数据则完全无法使用;所有下载的数据自动进行加密保护,播放加密的视频数据与播放未加密的视频数据流畅度一样。在监控终端上实时查看、检索回放监控视频时,禁止对监控画面进行截屏和录屏,截取的画面内容为全白;可防键盘PrtSc键和各种截屏/录屏软件截屏录屏;支持禁止从显存/内存中获取图像;对截屏/录屏违规操作会进行实时警示,并进行日志记录用于事后审计。监控席终端显示屏容易被人通过手机等数码设备拍屏的方式将敏感视频泄露。本方案为用户提供屏幕水印防拍屏功能。内部人员通过拍屏等方式将视频数据非法外发后,单位信息安全人员可依据水印内容对外泄数据及当事人进行快速精准的溯源、定位及追责处理。同时屏幕水印可对潜在拍屏者起到很好的警示和威慑作用。在视频录像使用过程中,用户需要将部分视频数据以文件方式发给外部人员,为防止视频数据外发后发生泄密,视防泄密客户端软件可为外发视频文件添加使用权限,用于对外发视频文件进行离线管控。管理员可在控制台为所有终端用户设置视频文件外发权限控制基线,终端用户可在该基线基础上对外发的数据设置使用权限,可设置权限包括:外发文件打开密码、可打开外发视频的终端电脑MAC、硬盘SN号、使用次数、有效使用时间、阅后即焚(文件自删除)等。通过用户身份认证及访问控制功能,使视频数据的使用权限精细到人,根据内部人员的使用级别设置不同权限,可实现在同一终端上也可进行分级管理,每个人的行为系统都可记录,有效杜绝越级操作,非法使用等行为。有效加强了视频图像信息应用的动态审计监督和管理;实现行为日志审计,保障安全事件可追溯、可查证,一旦出现违规泄密情况,做到有迹可循,有证可查,定责到人。在监控中心大屏解码器与大屏之间部署视频显示安全网关,从视觉信息安全维度实现对视频数据的安全防护。支持拼接大屏显示显性水印,水印内容可自定义,内容可包括当前系统时间、大屏位置、警示性提示等。支持拼接大屏显示隐性水印,不影响视频观看效果,可用于事后追溯。提供专有控制软件实现远程控制,实时显示输入输出状态,支持GUI人机交互界面控制。通过对拼接大屏嵌入水印来震慑偷拍者并溯源,从而提供防拍屏保护功能,保护敏感视频安全,有效加强了视频图像信息的动态审计监督和管理,保障安全事件可追溯、可查证。视频监控联网共享平台通过网络和其他职权部门监控平台对接对接,实现本单位视频资源的远程调阅,由于外单位人员不受本单位制度和流程管理,为预防外单位泄露视频数据对本单位造成责任影响,部署该系统为用户提供追溯功能。视频共享安全网关在其他平台调阅的视频流中嵌入数字指纹,数字指纹中含有调阅者和被调阅者IP、部门、时间等信息,根据这些信息可进行视频在线共享溯源。当视频在多个部门共享时,可以针对不同部门设置不同的数字指纹,从而有效界定泄密责任范围。视频共享安全网关对视频码流插入数据指纹,防止视频传输过程被篡改,此外系统可以提供自动分析工具对视频数据进行一致性校验。视频共享安全网关同时也支持视频调阅准入控制功能,支持设置不同单位视频调阅的权限和视频流转方向,可通过黑白名单实现对调阅平台的准入控制;平台调阅情况实时进行日志记录,可用于事后审计。支持调阅用户和视频平台之间的信令双向传输,不影响双方的信令交互流程。支持视频平台和调阅用户之间的视频媒体流单向传输控制,控制数据流向,只允许平台向调阅用户发送视频,不能反向流入。支持对视频数据传输的合法协议进行判断,阻断非法应用协议,防止借用共享视频通道传输非法内容。支持审计日志记录GB28181协议下的实时调阅、回访和云台控制的日志,实现对第三方调阅内容和操作进行实时记录。通过部署该系统,可以有效实现视频跨平台实时共享调阅场景下的视频安全防护,一旦发生敏感监控视频被外单位泄密的安全事件,可以快速界定泄露单位,厘清本部门责任。视频核心安全网关内置数据安全管理模块,无需额外硬件即可实现集中运维管理功能。常用管理功能包括网络配置管理、用户管理、策略管理、视频流管理、终端管理、审批管理、日志管理和告警。管理界面为图形化界面,简单易懂、操作方便。视频安全解决方案支持生成图形化安全概览,概览内容包括资产总数、拦截攻击数量、安全终端数量、安全文件数量、非法操作次数、设备类型统计、厂商分布统计、安全事件告警、链路时延统计、IP使用率统计、实时流量趋势图等,方便了解整个监控系统状态。支持实时监测前端摄像头的运行状态,记录并呈现摄像头的各种设备信息,如IP地址、MAC地址、厂商、型号、上线时间等;支持实时展示资产的各种状态,如在线、离线、阻断等;支持实时生成设备组网拓扑图,并进行可视化展示,方便运维人员统一管理。支持IP地址使用情况分类展示,可展示的类别包括未使用的IP、已使用不在线IP、在线IP等,且可对每个IP设置备注信息,用于标识IP所对应设备的类型。可按不同组织设置不同管理员和用户,完成用户的分权分域管理,实现不同角色管理员提供不同管理权限,以达到设置可见/不可见、可管理/不可管理的安全管理目标。当视频监控系统网络及设备遭受到网络攻击时,针对异常设备、非法访问、入侵攻击等行为可进行快速识别、阻断并告警,防止前端设备被非法控制后向监控系统发起攻击。告警支持在管理界面集中呈现,并支持实时查询、导出。告警模块内置多种报警触发事件(上线、设备离线、非法接入、攻击威胁等)。告警模块实时与设备发现、识别感知、准入控制进行数据交互,接收到入侵、仿冒、离线、攻击等事件时,触发报警机制,管理可对报警的设备进行手动定位。同时提供可视化的报警查看功能,针对历史报警信息进行查看和搜索。通过部署该方案,可以实现视频专网设备监看、全问题告警、全流程控制、全生命周期管理,满足“可视、可测、可控、可管”的目标,提升各类前端设备的规范化、精细化管理水平,以及视频图像信息相关系统、数据的运营能力。当部署多台核心安全网关时,每台核心安全网关独立运行,为方便统一管理,可使用视频安全可视化平台可对全网所有下级核心安全网关进行集中管控,对全网安全健康状况进行实时展示,同时提供全网资产管理、设备管理、拓扑展示、GIS展示、告警统计、考核检测等功能,实现全网视频安全态势总览功能。安全可视化平台可查看全网所有告警统计、告警增长率、区域实时告警、威胁种类、威胁趋势、资产数量、设备在离线数量、IPC在线率、分区域IPC在线率、厂商分布、安全终端在线率等信息。04
解决方案实施效果
视频安全系统的建设可带来业务安全能力提升、降低安全合规风险,并附带各种综合社会效益等多种好处。
通过视频监控安全系统的建设,将极大提升视频安防监控系统的安全性,大幅降低视频安防监控系统被攻击而瘫痪的风险,大幅减少敏感监控视频泄漏的风险,从网络、主机、数据多个层面全面加强了视频安防监控系统和视频录像数据的管控能力。
视频监控安全建设作为信息时代加强安全工作的重要基础性工作,也符合各种法律法规和行业规范的要求,如满足《关于加强公共安全视频监控建设联网应用工作的若干意见》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等各种法律法规的强制要求,极大降低视频监控系统运行中的安全合规风险。
系统建成后,可确保在网络安全紧急事件发生时能够主动预防、准确判断、快速反应和有效应对,最大程度的避免和降低网络安全突发事件对社会经济发展带来的不良影响和破坏,从而促进并提升社会安全稳定,在反恐、社会维稳等方面均能带来良好的社会效益。
05
解决方案应用案例
为着力解决新疆某师公共安全视频监控安全突出问题,按照“总体规划,分步实施”的原则、“全域覆盖、全网共享、全时可用、全程可控”的总目标,慧盾从前期设计到后期实施全程服务新疆某师公共安全视频监控系统。在核心服务器所连接的核心交换机处部署慧盾视频核心安全网关,实现对数字录像设备的访问控制和视频数据的安全防护。在监控席终端上部署慧盾视频防泄密客户端软件,用来保证监控席终端所使用的视频数据的安全。在监控中心解码器与显示屏之间部署慧盾视频显示安全网关,对偷拍大屏行为进行追踪,及时定位偷拍者。在视频监控系统监控平台处部署一台视频共享安全网关,对所有通过专网共享给其它部门的视频流中插入追踪水印和二维码信息,用来对所共享的视频数据进行离线追踪。通过集成在核心安全网关中的统一管理平台,对慧盾各类安全网关进行综合管理,统一下发安全策略,统一呈现现网设备资产和设备状态,确保视频数据在使用过程中的安全和现网设备的安全运维,为新疆维稳发展保驾护航。2017年发布的《公共安全视频监控联网信息安全技术要求》,规定了公共安全视频监控网络的安全技术要求,从视频接入、传输、使用、共享等各个方面进行安全防护,确保视频图像不失控、不泄露。琼海市公安决定对全区19个派出所,部署的3000路高清摄像机,进行视频安全相关建设,提高城市建设的安全性的同时保证系统自身的安全稳健。为满足琼海公安对“高清化”、“智能化”、“视频共享保密”的需求。慧盾安全为琼海雪亮工程提供了针对视频服务器弱密码、视频服务器安全漏洞、终端视频录像/抓图导出泄密、终端截屏/录屏泄密、非法用户接入泄密、终端屏幕拍摄泄密、视频数据外发泄密、非授权内部共享传递等多方面安全隐患的防护方案。通过此次工程建设,琼海公安全面进入一个社会治安维稳新阶段,打造符合公安雪亮视频安全的新生态。06
相关产品列表介绍
产品名称 | | |
| | 1) 实现对数字录像设备的访问控制和对视频数据的安全防护。 4) 实现摄像头准入认证控制,禁止黑客、非法用户接入。 |
| | 1) 与核心安全网关配合,实现对下载导出的录像/截图自动加密保护。2) 禁止在操作席终端上对监控画面进行截屏/录屏。3) 外发视频数据保护,可设置使用权限和使用期限,超过期限自动删除。4) 通过透明水印和二维码,显示播放监控录像的用户信息和设备信息,可有效威慑拍摄屏幕者并利于事后追溯。 |
| | |
| | |
| | |
| | |
| | |
07
解决方案联系方式
慧盾安全 产品行销部 时光 13389097310