平安城市视频监控系统网络安全研究＊

杜庆灵

平安城市视频监控系统网络安全研究＊

杜庆灵

（河南警察学院信息安全系，河南 郑州 450000）

重点研究了平安城市视频监控系统网络安全问题，分析了视频监控系统网络架构、逻辑架构，探讨了支撑视频监控系统网络安全技术，给出了保障网络边界安全、视频专网内部安全、接入安全的技术方法，可为平安城市视频监控系统建设及应用提供参考。

视频监控；网络安全；视频图像信息；微卡口

1 引言

视频监控系统是平安城市的重要组成部分，近年来发展迅猛，其内容主要包括治安视频监控、道路视频监控、智能卡口（电子警察）、人脸比对、微卡口、移动监控等子系统，使用主体主要有公安机关、政法部门、政府相关部门等，为使用者提供涉及人、车、事、物等要素的视频图像信息。通常，公安机关是视频图像信息的主要管理者，视频监控系统已成为社会治安防控的重要手段。许多学者从技术、应用等不同的角度进行了深入探讨，但随着视频图像信息的大规模应用，其安全性也越来越重要，因其使用的主体较多，跨越互联网、公安网边界等因素，网络安全是一个十分重要的问题。本文重点研究视频监控系统的安全问题，并给出相应的解决方案。

2 视频监控系统总体架构

2.1 网络架构

平安城市视频监控系统主要管理者是公安机关，其对象不但包括政法、公安等部门自建的系统，还包括通过联网方式整合的社会建设系统，比如居民小区、学校、医院、工厂等。综上所述，使用视频图像信息的用户较多，视频监控系统的网络结构如图1所示。

图1 网络结构图

视频专网：用于汇接各类政法、公安机关自建的视频监控系统，可在此网布署视频图像信息共享平台，通过安全边界向公安网和互联网用户提供信息。

互联网：互联网包括公共网络和各种专网（如电子政务外网），主要实现社会视频监控资源的接入和对外提供公共服务等。在此网络内可布署社会资源接入平台及社会公共服务平台。

公安网：此网络用户可以通过安全边界向视频专网调用各种视频图像信息，并开展各种应用。在此网络内可布署视频图像信息综合平台和联网平台。

2.2 逻辑架构

视频监控系统逻辑架构如图2所示。

图2 视频监控系统逻辑架构图

前端感知信息采集层：负责各场景音视频信号的采集，包括智能卡口、监控摄像机、电子警察等。

网络传输层：主要指公安网、视频专网、互联网等。

基础设施层：指各种存储、计算资源等。

服务支撑层：指各种中间件、算法、模型等。

应用展示层：指面向各类用户提供各种服务。

标准体系：统一的编码标准、联网标准和接口标准等。

安全与运维体系：安全包括物理安全、网络安全、主机安全、数据安全等，运维指日常的运维服务，如信号质量诊断、掉线等。

3 视频监控系统网络安全技术

如前述，视频监控系统的安全体系包含数据安全、主机安全、网络安全等，本节重点探讨网络安全的问题，为视频监控系统达到等保三级提供技术支撑。

3.1 网络边界安全

以市级公安机关的视频专网为讨论对象，其网络边界可划分为纵向和横向边界，纵向边界主要指上至公安厅，下至所辖县公安局的视频专网边界，横向边界主要指与同级公安网、电子政务外网、互联网的边界。对于纵向边界，因同属视频专网，其边界防护可采用防火墙、防病毒系统、入侵检测系统等技术手段，制订相应的安全策略。对于横向边界，因涉及公安网、电子政务外网、互联网等，在公安网边界采用以公安网为主的防护措施及视频边界，现省辖市级公安机关均已实现。存在的问题是视频信息在两网之间的交互可能有延时。因电子政务外网的使用对象为党政机关，且电子政务外网也属于专网，因此，其边界防护可采用防火墙，通过制订访问控制策略，防止非授权用户的非法访问。与互联网边界，因涉及社会资源的接入及为外提供服务，加之社会资源接入的复杂性，在边界处应布署防火墙，入侵检测系统等安全设备，对社会资源进入视频专网的数据进行未知威胁检测，防止防火墙未检测出的威胁进入视频专网。当检测到威胁存在时，与防火墙等安全系统一起将特征代码删除或隔离。防火墙可安全策略分为以下几方面：①可对防火墙进行虚拟化设计，在防火墙上为每个租户划分虚拟防火墙，可按照VLAN方式，根据流量与VLAN标签一起到防火墙后，根据VLAN对应进入到每个虚拟防火墙进行安全检查，实现对各租户业务的安全隔离；②所有流向的数据均经防火墙进行安全检查；③对防火墙进行安全设计，除具备基本的安全隔离功能外，还可开启畸形包检查过滤，以及严格的访问控制权限，对扫描类的攻击行为进行过滤，对访问网络设备的扫描报文进行检查，确定其IP的来源，是管理员IP即为合法，非管理员IP认定为攻击。

3.2 视频专网内部安全

对视频专网内部安全可采用访问控制技术、入侵防御技术等进行安全保护。访问控制可采用PKI/PMI技术实现，因视频专网信息的使用者是民警或辅警，民警在公安专网内信息访问已使用PKI/PMI方式进行控制，而且PKI/PMI已拓展到外网，实现了外网数字身份证书机制，将这种机制移植到视频专网即可，对辅警，通过PKI/PMI系统的扩展，可对辅警颁发类似民警外网的数字身份证书的访问控制设备，实现有效的访问控制。

在视频专网的服务器区布署入侵防御系统，检测针对HTTP、FTP、DNS等服务器的各种攻击，比如缓冲区溢出、服务漏洞、注入攻击、跨站脚本、目录穿越等攻击；检测蠕虫、木马、间谍软件、广告软件、僵尸网络等恶意软件等。

入侵防御系统是基于多种先进安全技术的检测技术，可有效地检测各种已知或者未知的威胁。其设计基于全面检测、准确分析、多面展现的理念，采用协议智能识别技术，自动区分不同应用和协议，无需人工设定协议端口，基于漏洞的检测技术以及基于攻击特征的检测技术，可发现各种已知的攻击，如漏洞、蠕虫、木马等。

3.3 接入安全

视频专网内存在接入地点广泛、网络基础设备较复杂等情况，有必要对入网设备进行认证，可启用802.1x认证协议对所有接入视频专网的设备进行MAC认证。只有通过认证的网络设备才能接入视频专网，为了防止非法接入，可启用网络设备识别功能，实时对网络设备进行扫描，识别出真实的设备类型，发现非法入侵进行告警。可对视频专网的摄像头、网络设备、终端等设备进行注册、登记（包括 MAC 地址、物理位置、IP地址、型号、厂商等），确保公安视频专网所有IP设备的规范化管理，统一注册、统一审批。

4 结束语

平安城市视频监控系统的承载网络安全级别较高、规模庞大、网络分支较多、网络摄像头接入地理位置十分分散、人为监管困难、信息量大且较为敏感等特点，导致网络终端设备、网络摄像头等设备以及网内信息存在较大的安全风险。因此，有必要对视频监控系统网络安全进行深入研究，采用网络安全技术、制订安全策略，实施安全管理，从视频终端、视频设备、计算机终端、服务器、网络设备，视频终端弱口令，数据和行为安全等方面进行全方位的管控。防止出现视频专网网络摄像头等设备的私接和仿冒、专网内异常访问和流量影响视频、视频专网数据泄露等问题。建立一套完整的设备入网管理流程，对设备的入网进行规范化管理，从而保障视频专网的安全性。本文主要从安全技术方面对视频监控系统的网络安全进行了探讨，给出了解决视频监控系统网络安全的技术方法，本文的研究有一定应用价值。

［1］孟辉，李颖，李帅，等.公安视频监控专网应对网络攻击的安防策略［J］.辽宁警察学院学报，2019（3）：7-10.

［2］单晓辉，单洪伟，刘祥.公安视频数据安全面临的机遇与挑战［J］.中国公共安全，2019（5）：117-121.

［3］周亚.基于云时代的网络视频信息传输安全保障性探讨［J］.中国安防，2019（4）：100-102.

2095－6835（2019）22－0059－02

TN948.6

A

10.15913/j.cnki.kjycx.2019.22.018

杜庆灵，男，河南鹿邑人，博士后，教授，主要研究方向为公安信息化、信息与网络安全。

安全防范技术与风险评估公安部重点实验室科研项目（编号：18AFKF242）；河南省教育厅重点科研项目（编号：20B52007）；河南警察学院校立项目（编号：HNJY-2018-17）

〔编辑：张思楠〕