视频监控网络整体安全解决方案深信服科技股份有限公司2018年6月目录第1章项目背景 (3)第2章视频监控网络安全现状描述 (3)第3章视频监控网络安全需求 (5)3.1 访问控制要求 (5)3.2 入侵防范 (6)3.3 病毒防护 (6)3.4 补丁管理 (7)3.5 脆弱性检测 (7)3.6 安全审计 (7)3.7 边界接入安全 (8)3.8 终端安全管理 (8)3.9 全网安全风险感知 (9)第4章整体安全解决方案 (9)4.1 安全体系架构 (9)4.2 设计原则 (10)4.2.1 合规性设计原则 (10)4.2.2 安全技术体系设计 (12)4.3 整体安全方案拓扑 (14)4.3.1 视频监控网络与边界安全方案设计（横向） (16)4.3.2 视频监控网络边界安全方案设计（纵向） (20)4.3.3 系统应用区安全方案设计 (30)第5章方案价值 (34)5.1 部署简单 (34)5.2 使用方便 (34)5.3 贴近用户 (34)5.4 功能强大 (34)第6章设备清单 (35)第1章项目背景近年来，随着“平安城市”、“数字城市”、“智慧城市”等城市信息化概念的提出，国家、政府大力推进了视频监控系统的建设，逐渐形成了覆盖整个城市和各地区的视频监控网络，实现数字化监测与信息共享、治安重点区域实时监控，全面提升对突发案件、群体性事件和重大保卫活动的监控力度和响应能力。

可在第一时间掌握重要视频监控区域的异常情况，达到实时监控管理、主动报警、威慑诸如犯罪及为事后取证提供依据等监控目的。

视频监控网络设备的种类与数量不断上升，在治安、交通、智能楼宇等领域发挥日益重要的作用, 大数据分析、警用地理、车辆识别等核心应用正在向视频监控网络迁移,视频监控网络事实上已成为一张承载海量终端与海量数据的物联网。

视频监控网络设备数量巨大、物理部署范围广泛，且前端设备大都部署在道路、街区或其它隐蔽场所等极易被黑客利用，进而侵入到整个网络，导致核心业务系统无法正常运行、大量保密信息被窃取，因此建立完善的设备安全准入和设备监管机制成为了安全体系建设的重要课题。

第2章视频监控网络安全现状描述视频摄像头作为视频监控网络重要组成部分，基数大且部署分散，品牌多样，目前无技术工具自动统计。

另外对于大型机构一般采取分布式管理，权限分散，无集中式管理平台，且无法贯彻落实视频网络建设要求；视频监控设备部署地点大都暴露在道路、街区等公共场所，极易被恶意侵入，进而侵入到整个网络，导致核心业务系统无法正常运行、大量保密信息被窃取。

视频摄像头、交换机、路由器、防火墙、视频网业务服务器、运维终端等是视频监控网络全部组成部分，无技术手段鉴别是否存在非视频监控网终端的接入，无法规避由此引发的安全事件；视频监控网络对流量稳定性要求极高，但是不排除因为终端问题导致的异常访问流量发生，影响视频监控网络的稳定运行。

另外大型机构视频监控网络数据网络结构复杂且庞大，不同区域互联方式不同，有直连、专线、VPN等，当出现安全事件时，目前采用命令行逐级排查，耗时耗力，缺乏快速定位手段；视频监控网络边界接入环境复杂，边界接入平台多种多样，边界接入设备缺乏有效的认证与监管；网络中可能存在互联网通路，大大扩展了视频监控网络的网络边界，且其安全性较差，容易遭到破解，是对网络边界完整性的重大破坏。

视频监控网络中的监控PC终端大都为windows系统，缺乏有效的防病毒和补丁管理措施、usb外设管理措施，病毒和恶意代码可通过usb接口对监控终端进行感染，由于监控终端之间没有隔离措施，病毒会在整个监控网络中肆意传播。

通过非法接入的笔记本可对监控平台（windows）进行漏洞扫描，由于缺乏补丁管理和安全加固措施，可利用漏洞（例如：弱密码、溢出）获取服务器权限并进行控制，进而非法获取视频信息。

通过远程控制删除录像信息，修改配置，使摄像头无法正常工作，进而在监控区域内进行非法活动。

随着WEB技术的发展，应用系统的上线、开发和变更越来越频繁，应用系统的本身安全脆弱性。

第3章视频监控网络安全需求结合视频监控网络安全现状，规划视频监控网络、内部网络信息安全保障体系，应涵盖了应用平台计算环境安全、区域边界安全、通信网络安全、安全管理等方面，保障视频监控网络的安全性、保密性、可用性，具体网络安全需求如下：3.1访问控制要求视频监控网络网络边界、内部网络中应采取有效的访问控制措施，防止非法访问，黑客攻击的发生，特别在前置摄像头与核心汇聚交换设备之间防护来自前置摄像头的安全威胁，如采用防火墙技术进行安全防护，各安全边界接入必须能够进行细粒度的访问控制能力，严格控制访问者的权限包括：源、目的IP控制，能够进行源、目的IP的访问控制●服务端口控制。

对访问视频管理服务器的端口进行控制，其它视频端口默认关闭，动态开放●访问时间控制。

能够控制客户端访问视频资源的时间●访问行为权限管理。

能够根据用户名/用户组、IP/IP段进行视频资源的访问控制，包括：摄像头访问范围、云台控制、历史视频录像查询、历史视频录像播放、日志查询、视频数据库修改等进行权限控制●单向访问控制。

关闭双向视频通讯。

3.2入侵防范应对视频监控网络中网络攻击行为进行实时的检测和分析，及时的发现异常行为，降低安全事件的发生率。

如采用入侵防御系统进行安全检测和防护。

3.3病毒防护病毒、木马一致是威胁网络安全的头号杀手，在视频监控网络中存在大量的终端、服务器，一旦感染恶意病毒、木马，将严重影响视频监控资源系统的稳定运行。

应对视频监控网络终端、服务器，采用防病毒安全措施，防止恶意病毒、木马的传播。

同时，为了保证内网视频监控终端在接收视频数据时不被木马、病毒感染，视频监控浏览软件无论采用浏览器方式还是客户端软件方式，都应具备以下防护手段：●视频监控终端禁止执行来自外部的涉及操作系统、文件系统或运行其它应用进程的指令●视频监控终端对接收到的视频流仅允许进行解码播放，不允许执行视频流内任何指令●视频监控终端应安装必要的防病毒软件●支持网络防病毒，用于windows视频服务器和视频监控终端的统一病毒防护。

3.4补丁管理视频监控网络中的视频服务器和视频监控终端为windows操作系统，需要定期更新系统补丁，支持补丁统一管理，用于windows 视频服务器和视频监控终端的统一补丁管理。

3.5脆弱性检测可实现对设备定期的脆弱性检测，及时发现高危漏洞和弱密码漏洞。

3.6安全审计由于在视频监控网络中，大量的访问用户从不同时间、地点访问视频监控资源，如不对用户网络访问行为进行有效的安全记录，当发生安全事件时，很难去追溯和定责。

因此，应加强高清视频监控网络安全审计能力，记录用户访问的身份、行为、访问过程等内容信息，为事后分析取证提供数据支撑。

3.7边界接入安全视频监控网络安全接入平台的设计需要满足第三方信息通信网对外部图像资源的安全浏览，并与第三方信息通信网之间的数据需要通过视频交换平台进行数据的共享和传输。

视频监控网络与第三方信息通信网应严格按照信息网边界接入平台建设的技术规范实现边界安全防护。

因此采用必要的安全隔离设备，对视频监控网络进入第三方信息通信网的数据进行隔离。

3.8终端安全管理在视频监控网络中，视频终端的安全性尤为重要，视频监控网络中的前置摄像头和网络设备存在大量弱口令、溢出等安全漏洞隐患。

针对前端摄像机接入形成的网络边界，制定技术可靠、安全防护性高的、基于终端准入认证的前端摄像机访问控制技术措施。

防止前端摄像机被非法替换、终端非法接入、网络非法访问等安全问题的发生。

还需对摄像头运行状态实时监测，对异常状态及时统一分级报警，实现各类状态的数据汇总和集中展示。

另外，视频监控网络中存在部分PC终端，而这些终端都为windows操作系统，需要对这些终端进行注册管理，达到与其他设备统一管理，如果存在安全漏洞或者配置不完善，则容易遭受蠕虫病毒攻击、黑客攻击或泄漏重要信息，给内部网络带来安全隐患。

要求对该设备进行行为审计、“一机两用”行为监测、外设端口控制等做有效管理。

要保证内网的安全性，就必须对终端计算机上的漏洞情况进行分析，打上所需要的补丁，以及时修补计算机上存在的漏洞，从而提高计算机自身的系统安全性。

3.9全网安全风险感知应具备对全网安全风险可视，具备对内部横向攻击、违规操作、异常流量、异常行为等进行感知分析，风险预警。

能帮助用户发现、识别、提取视频监控网络内部署的应用系统，如人脸识别、车牌自动识别等。

能及时发现未经授权上线的应用、发生异常的应用等，帮助用户有效管理应用。

支持异常行为分析，异常行为可以通过报警由用户查看，探测同时连接视频网的高危行为。

应能对视频监控网络中的设备、系统、应用进行定期的安全检测，尽早地发现存在的安全漏洞，并进行修补，从而降低漏洞被利用的风险，降低安全隐患。

支持对非法通讯行为暴露在用户监视之下，在网络内部的攻击、扫描、探测等行为能够被用户有效管控。

第4章整体安全解决方案4.1安全体系架构关于通用视频监控网络项目安全设计思想是：依照国家等级保护的相关要求，利用密码、代码验证、可信接入控制等核心技术，在既定框架下实现对信息系统的全面防护。

整个体系模型如下图所示：信息安全保障体系架构4.2设计原则4.2.1合规性设计原则本项目在满足公共安全视频监控联网平台的实际安全需求基础上，采取技术和管理相结合的安全防护措施，将安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

(一)构建分域控制体系在总体架构上将按照分层、分区、分域保护思路进行，从结构上根据企业的情况划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施；并通过统一的基础支撑平台来实现对整个平台基础安全设施的集中管理，构建分域的控制体系。

(二)构建纵深的防御体系安全防御采用统一身份管理、访问控制、入侵检测、病毒防范、安全审计、防病毒、传输加密、集中数据备份等多种传统技术和措施，并结合虚拟机间防护、虚拟机病毒防护等新的技术手段，实现业务应用的可用性、完整性和保密性保护，并在此基础上实现综合集中的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力。

(三)保证一致的安全强度对于平台计算环境和区域边界，可以采用分级的办法，在通信网络上则采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。

(四)实现高效的安全运营体系信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。