◆杨 健 顾 涛
公安视频专网安全管理系统的设计与研究
◆杨 健1顾 涛2
(1.嘉兴市公安局 浙江 314000;2.嘉兴市秀洲区公安分局 浙江 314000)
近年来,随着科技的发展和网络的进步,视频监控系统已在各种公共场所被广泛地安装使用。为了适应越来越复杂的治安形势要求,全面提升应对突发案件、群体性事件和重大保卫活动的响应能力和监控力度,设计和实现公安视频专网管理系统对于国家近年来打击犯罪尤为重要。本文根据对公安视频专网的网络结构、业务特征进行分析,对公安视频专网安全管理系统进行设计、分析,力争为公安机关打击防范违法犯罪、社会治安管控、交通管理发挥作用。
视频;监控系统;专网;社会安全
近年来,随着我国综合国力的增强、社会的快速进步和国民经济的不断增长,视频监控系统的重要性在社会治安管理、交通运输管理、电力、银行、安检及军事等领域日益凸显,设计和研究符合网络时代的公安视频专网安全管理系统已经成为社会安定发展的重中之重。
在前期各地的公安视频专网建设中,普遍存在“重应用,轻安全”的情况。公安视频专网的应用非常丰富,承载了治安监控、道路监控、指挥调度、打击犯罪、社会管理、服务群众等大量的业务功能,而公安视频专网的安全建设基本处于空白状态,视频监控系统大量应用背后暗藏信息安全危机。国内建设了许多视频网络、摄像头等公共设施,但却考虑较少视频监控网络的安全管理。用户单位对信息安全的重视程度也明显不够,许多监控系统的缺省密码都未修改,留下极大的安全隐患。
根据对公安视频专网的网络结构、业务特征进行分析,目前公安视频专网中主要存在以下几个方面的风险:
网络非法互联风险。公安视频专网设计上与互联网及其他网络物理隔离,只能通过防火墙、边界接入平台等严格的安全设施与公安信息网、政府部门视频监控网等不同网络之间进行信息交换与共享。实际工作中,公安视频专网中通过多网卡、网络出口、网络代理、无线AP、NAT边界等形式绕过安全设施监管,与外部网络的联通情况屡见不鲜,严重破坏视频专网的物理隔离性,极易造成信息的泄露与病毒木马的传播,甚至成为外部攻击入口。因此,发现并严格管理公安视频专网与其它网络的连接边界,是视频专网网络互联安全管理的一大重点。
设备接入安全风险。由于摄像头等前端设备部署分布极为广泛,处于无人看守区,且当前视频监控系统已经进入了IPC时代,非授权人员只要简单地用计算机替换前端摄像头就可以轻松地实现网络的入侵和非法数据的访问。
计算机基础安全风险。视频专网的终端计算机(服务器)主要用于工作人员对视频专网的日常管理与使用,以及承载视频专网的各类应用系统。视频专网的终端(服务器)主要安全风险包括:弱口令、操作系统漏洞、病毒威胁、木马软件、USB存储设备滥用、非法外联等情况。一旦终端(服务器)被入侵、攻击、控制,也就意味着整个视频专网被入侵者控制,获取密码、非法控制、盗取数据等情况都可能发生。
数据安全风险。视频专网保存有大量的敏感视频数据,一旦泄露,会严重危害到国家、社会安全和个人隐私。目前主要对通过视频共享平台访问的视频数据有审计记录,但缺乏完整的对专网内所有视频数据的查看、下载、复制、外发进行有效审计与管控。
视频系统成效保障风险。一般视频共享平台会对接入的视频源与存储等设备进行基本的状态检测,但对于许多关系到视频系统建设成效的更细致的异常,比如画面模糊、图像参数失真、偏色、物体遮挡、线路衰减、设备时钟失步、磁盘阵列异常、录像重复存储、像素偏低、录像保存时间不足、硬盘状态异常等却缺乏有效检测手段,从而影响到视频系统的整体建设运行效果。
管理安全风险。专网安全缺乏整体管理手段,相关管理员无法从全局上把握当前专网运行安全态势,出现安全事件或者设备故障时也没有一套机制化的整合管理员、运营商与工程商运维人员等相关各方协同参与的工作流程来保障快速响应。
实现公安视频专网安全监管系统贯彻国家、政府对平安城市信息安全保障工作的要求,我们应该为视频专网提供一体化的网络互联管控、终端准入控制、应用安全监管和安全管理监控能力,保障视频专网安全、高效、可靠地发挥作用。
(1)提高网络互联管控能力。具有边界实时监测与注册管理能力,针对边界安全监管需求,基于网络特征与应用特性的综合分析、跟踪技术建立了异构网络的安全指标体系,实现复杂网络环境下的线路边界定位,做到边界清晰可控。
(2)加强终端准入控制能力。建立视频专网统一的终端准入控制机制,能够在线监控全网计算机终端/服务器、视频监控设备的入网状态;系统可以通过点对点扫描技术、设备分析技术智能地识别视频专网内的设备类型;提供计算机终端/服务器安全基线核查、用户操作行为监控等功能,能够有效防范非法终端和用户违规外联行为。
(3)提高应用安全监管能力。能够自动检测使用游戏、聊天、P2P、黑客工具等违规应用软件行为,及时处置并报警;对维护操作行为进行权限控制,实现统一登录与审计。
(4)严格安全管理监控能力。应建立全网安全管理与监察管控机制,形成视频专网全网统一的安全管理体系;创建了高扩展、高稳定性的网状结构级联服务和多通道消息服务,支持多级别、跨区域等多级级联管控的工作模式,实现安全工作的信息化;实施全网资产细粒度管理,实时扫描检查网络安全状况,具有设备自动发现识别、安全工作流程监察、安全事件监测审计等能力,具备及时发现网络入侵、信息窃密、病毒扩散,以及实时监测在网安全设备状态等功能。
通过以上安全风险分析,针对视频专网安全状况,充分考虑未来安全建设需求,公安视频专网安全管理系统可从下而上分为“对象层”、“接入层”、“数据分析层”、“业务处理层”和“数据可视化层”进行整体设计,具体结构图如图1。
图1安全管理系统架构图
按照以上架构设计公安视频专网安全管理系统具有安全态势集中展现、全网资产实时统计、安全风险自动发现、入网设备统一管控、文件输出严格监管和视频系统综合运维六大主要功能。
(1)安全态势集中展示
能够以地图、图表、报表等展现形式集中展示各类安全监管类、资产统计类、风险展示类和视频运维类等信息。
(2)全网资产实时统计
能够统计视频专网硬件、软件、终端设备、视频专用设备等全网部署情况,能够实时自动发现终端计算机、服务器、视频图像监控设备、网络设备等设备,对终端软件安装及变更、硬件信息及变更、IP地址使用情况进行统计监管;支持对各类资产的数量、类型等进行分类统计和管理。
(3)安全风险自动发现
支持自动发现终端环境风险、终端运行风险和违规外联情况等;能够根据用户考核要求,结合安全风险情况,对被考核对象进行安全考评,包含注册率、边界备案率、防毒软件覆盖率、补丁打全率等。
(4)入网设备统一管控
系统具有边界发现与备案功能,可以对各类设备接入进行隔离、安全检查,并对终端进行控制管理。
(5)文件输出严格监管
具有敏感信息识别、文件输出审计和移动介质管理等功能,能够对文件输出行为进行审计、记录,严格管控。
(6)视频系统综合运维
具有故障统计、故障检测、故障申报流转、监控名称回写等功能,支持视频采集设备与服务端信息的同步。
[1]王薇.内部网络安全管理系统分析[J].计算机光盘软件与应用,2011.
[2]马立新,金月光.基于策略的网络安全管理系统设计与实现[J].软件,2013.