摘　要

　　對公安機關(guān)來講，海量的視頻圖像信息已經(jīng)成為打擊犯罪、治安防控、維穩(wěn)處突、社會管理的重要資源，承載著視頻資源的“視頻專網(wǎng)”更是重中之重。綜上所述，視頻專網(wǎng)的安全問題更顯得尤為重要。未來公安視頻專網(wǎng)架構(gòu)拓撲中，對專網(wǎng)中視頻的整合應(yīng)用方式、資產(chǎn)管理、前端安全準入、基礎(chǔ)安全防護系統(tǒng)、安全監(jiān)管平臺等多方面專網(wǎng)安全節(jié)點進行研究分析，是公安警務(wù)網(wǎng)絡(luò)架構(gòu)搭建的重要工作。

　　0

　　引　言

　　隨著我國城市化進程的發(fā)展，視頻監(jiān)控系統(tǒng)作為維護社會公共安全的重要載體和工具，遍布城市各個角落和人民日常生活的各個領(lǐng)域，其功能和作用愈發(fā)顯著。鶴崗市公安局以“雪亮工程”建設(shè)項目為契機，根據(jù)市局黨委2020年度全局“七個一”工作清單戰(zhàn)略部署，利用“視頻專網(wǎng)”將新建視頻資源整合，全力打造全局前端設(shè)備“一張網(wǎng)”的概念，即將“視頻專網(wǎng)”作為全市視頻資源的載體，將重點區(qū)域、重點場所、公交車、出租車、執(zhí)法執(zhí)勤車輛、執(zhí)法記錄儀（無線物聯(lián)網(wǎng)卡視頻回傳）等符合要求的視頻資源全部整合到“一張網(wǎng)”中，實現(xiàn)全局“一張網(wǎng)”掌控全市動態(tài)。

　　鶴崗市副市長、公安局黨委書記、局長徐連斌提出的“三警戰(zhàn)略”中“科技強警”以及“大數(shù)據(jù)賦能、信息化增效、科技化強警”的主導(dǎo)思想，奠定了2020年鶴崗市公安局信息化工作的主基調(diào)。將智能化、大數(shù)據(jù)思維，融入到鶴崗市公安局科技信息化建設(shè)當中來，開拓民警創(chuàng)新性思維模式，大力支持“發(fā)明創(chuàng)造”，開啟“數(shù)字鶴崗”新時代。

　　鶴崗市公安局立足于“視頻專網(wǎng)”的研發(fā)創(chuàng)新，于2020年5月13日成功申請由中華人民共和國國家版權(quán)局頒發(fā)的計算機軟件著作權(quán)登記證書（3項）。計算機軟件著作權(quán)登記證書的頒發(fā)，開創(chuàng)了鶴崗市公安局“國家著作權(quán)”的先河。同時憑借對視頻專網(wǎng)應(yīng)用的積累，將會有越來越多的想法和創(chuàng)新得到實踐，越來越多的成果得以應(yīng)用。對公安機關(guān)來講，海量的視頻圖像信息已經(jīng)成為打擊犯罪、治安防控、維穩(wěn)處突、社會管理的重要資源，承載著視頻資源的“視頻專網(wǎng)”更是重中之重。綜上所述，視頻專網(wǎng)的安全問題更顯得尤為重要。

　　1

　　現(xiàn)狀和需求

　　近年來，公安視頻專網(wǎng)的建設(shè)規(guī)模正在不斷擴大，專網(wǎng)前端的IP接入設(shè)備（如IPC、RFID等）的種類與數(shù)量正在不斷上升，這些前端設(shè)備被廣泛應(yīng)用于治安管理、交通疏導(dǎo)等領(lǐng)域，與國計民生息息相關(guān)；同時，如人臉對比、車輛識別、大數(shù)據(jù)分析等核心業(yè)務(wù)，也正向公安視頻專網(wǎng)遷移，目前的公安視頻專網(wǎng)事實上已經(jīng)成為一張承載海量終端與海量數(shù)據(jù)的物聯(lián)網(wǎng)。

　　公安視頻專網(wǎng)的重要性正在不斷提升，隨之而來的安全問題也日益凸顯，一旦出現(xiàn)黑客攻擊、數(shù)據(jù)竊取等事件，將有可能造成治安管理失控、交通管制失效、敏感信息泄漏、LED屏幕倒流信息篡改等后果，嚴重危害社會穩(wěn)定。

　　與此相對的是，由于點多面廣，大部分公安視頻專網(wǎng)無法部署有效的安全策略，前端設(shè)備與后端業(yè)務(wù)基本處于直連狀態(tài)，大量無人值守的接入終端被黑客利用成為攻擊源。攻擊者可利用分散在社會各處的前端設(shè)備接入整個網(wǎng)絡(luò)中，對核心業(yè)務(wù)系統(tǒng)展開攻擊，甚至竊取保密信息。因此，如何解決來自于前端設(shè)備的安全風(fēng)險、如何防護視頻專網(wǎng)后臺的安全、如何監(jiān)測視頻專網(wǎng)中的異常情況成為公安視頻專網(wǎng)安全體系建設(shè)的突出問題。

　　本文就視頻專網(wǎng)的安全問題進行研究分析，未來如何將前端視頻資源整合到視頻專網(wǎng)當中，后端平臺應(yīng)當如何建設(shè)才能避免非法數(shù)據(jù)危及整個視頻專網(wǎng)，一旦發(fā)生非法入侵，如何才能保證視頻專網(wǎng)的安全。在整合視頻資源的同時，如何保證視頻專網(wǎng)的安全性，是擺在廣大公安民警面前的一項重要課題。

　　2

　　關(guān)于視頻專網(wǎng)安全建設(shè)

　　2.1　視頻專網(wǎng)安全準入系統(tǒng)建設(shè)意義

　　按照“嚴控邊界、縱深防御、主動監(jiān)測、全面審計”的思路，以前端準入控制系統(tǒng)、數(shù)據(jù)中心基礎(chǔ)安全防護系統(tǒng)和公安視頻監(jiān)控安全監(jiān)管平臺建設(shè)為重點，構(gòu)建視頻傳輸專網(wǎng)安全防護技術(shù)體系，實現(xiàn)對視頻傳輸專網(wǎng)的實時監(jiān)測、網(wǎng)絡(luò)異常情況的及時預(yù)警、違規(guī)入侵的及時處置、安全事件的及時溯源取證，全面提升視頻監(jiān)控系統(tǒng)安全防護能力，確保重要視頻圖像信息不失控、敏感視頻圖像信息不泄露。

　　2.2　視頻專網(wǎng)安全準入系統(tǒng)應(yīng)用價值

　?。?）對前端非法私接和仿冒進行防范，實現(xiàn)接入前端視頻專網(wǎng)設(shè)備后，阻斷網(wǎng)絡(luò)入侵和非法數(shù)據(jù)的訪問。

　?。?）通過視頻專網(wǎng)安全準入系統(tǒng)，解決因視頻專網(wǎng)特性導(dǎo)致前端設(shè)備部署規(guī)模龐大、網(wǎng)絡(luò)分支較多、網(wǎng)絡(luò)攝像頭接入地理位置分散、人為監(jiān)管困難的問題。

　?。?）解決目前視頻資源訪問無法追蹤，造成信息安全管理失控問題。

　?。?）通過部署視頻專網(wǎng)安全準入系統(tǒng)，解決因視頻專網(wǎng)實時視頻流的高吞吐、高轉(zhuǎn)發(fā)性，導(dǎo)致傳統(tǒng)安全設(shè)備部署困難的問題。

　　2.3　視頻專網(wǎng)安全準入系統(tǒng)建設(shè)方式

　　2.3.1　準入終端特征識別，禁止非法終端入網(wǎng)

　　通過建立合法資產(chǎn)庫，對合法終端進行特征識別，禁止非資產(chǎn)庫終端接入網(wǎng)絡(luò)，確保接入終端合法。

　　2.3.2　業(yè)務(wù)特征深度識別，實時處置非法業(yè)務(wù)

　　通過建立視頻專網(wǎng)安全準入系統(tǒng)內(nèi)置視頻協(xié)議白名單，深度識別符合GB28181、Onvif、GB35114-2017以及GA/T1400等標準的視頻業(yè)務(wù)，只允許視頻業(yè)務(wù)通過設(shè)備，實時阻斷非法業(yè)務(wù)流量并告警，在終端合法準入的基礎(chǔ)上，進一步實現(xiàn)對視頻專網(wǎng)的深層次防護。

　　2.3.3　業(yè)務(wù)流量全面審計，不法行為無處遁形

　　通過安全監(jiān)管平臺實時展示和記錄非法訪問行為和正常業(yè)務(wù)，通過非法流量告警日志實現(xiàn)前端風(fēng)險實時精準定位，通過大屏快速呈現(xiàn)在什么地點、什么時間發(fā)生了什么行為，讓網(wǎng)絡(luò)風(fēng)險降到最低。通過合法業(yè)務(wù)的記錄，可以回溯三個月內(nèi)正常訪問業(yè)務(wù)系統(tǒng)的所有行為。

　　2.3.4　網(wǎng)絡(luò)資產(chǎn)精準識別，終端信息多維呈現(xiàn)

　　通過主動掃描、被動監(jiān)聽和手動設(shè)置等手段采集視頻專網(wǎng)中的攝像頭、PC、NVR等接入設(shè)備的資產(chǎn)信息，包括設(shè)備IP、設(shè)備類型、在線狀態(tài)、接入鏈路狀態(tài)、廠家、地理位置等，并進行分類統(tǒng)計，建立統(tǒng)一的資產(chǎn)庫，解決多安防廠家并存的情況下接入資產(chǎn)難以統(tǒng)一監(jiān)管的問題。

　　2.3.5監(jiān)管平臺級聯(lián)部署，全網(wǎng)信息集中展示

　　通過建立視頻準入監(jiān)管平臺支持三級級聯(lián)部署，下級平臺實時向上級平臺匯總資產(chǎn)、告警以及網(wǎng)絡(luò)質(zhì)量等相關(guān)信息，多種信息在上級平臺進行匯總，分類、排序等處理，通過可視化頁面呈現(xiàn)全網(wǎng)資產(chǎn)狀態(tài)、安全態(tài)勢等信息，并且上級平臺針對未及時處理的安全事件，可通過監(jiān)管平臺通知下級進行處理，確保業(yè)務(wù)穩(wěn)定、安全運行。

　　3

　　視頻專網(wǎng)安全準入整體規(guī)劃

　　建設(shè)公安視頻傳輸專網(wǎng)安全防護體系，在前端接入網(wǎng)絡(luò)側(cè)，需構(gòu)建視頻監(jiān)控前端準入控制系統(tǒng)，完成對視頻前端接入設(shè)備的認證和接入數(shù)據(jù)的管控。在平臺側(cè)，建成視頻監(jiān)控數(shù)據(jù)中心基礎(chǔ)安全防護系統(tǒng)，完成應(yīng)用防火墻、入侵防御等安全防護設(shè)施的部署；在數(shù)據(jù)中心區(qū)域，建成視頻監(jiān)控安全監(jiān)管平臺；實時精確掌握視頻傳輸專網(wǎng)運行安全狀態(tài)。

　　建設(shè)公安視頻傳輸專網(wǎng)前端準入控制系統(tǒng)以“接入設(shè)備可信、接入數(shù)據(jù)可控”為原則，采用專業(yè)物聯(lián)網(wǎng)準入控制設(shè)備，通過主動掃描、被動監(jiān)聽和手工設(shè)置等手段，建立前端接入數(shù)據(jù)協(xié)議白名單準入機制，實現(xiàn)對網(wǎng)絡(luò)中非法惡意行為的識別、告警和實時阻斷，避免非法訪問、入侵攻擊等非法數(shù)據(jù)接入公安視頻傳輸專網(wǎng)。

　　3.1　資產(chǎn)管理

　　視頻監(jiān)控網(wǎng)資產(chǎn)數(shù)量多，分布廣泛，視頻網(wǎng)建設(shè)方式多樣化，導(dǎo)致用戶對現(xiàn)網(wǎng)資產(chǎn)的具體情況無法準確把握，通過建立視頻專網(wǎng)安全準入系統(tǒng)，需支持豐富的資產(chǎn)管理功能，幫助用戶發(fā)現(xiàn)識別視頻專網(wǎng)資產(chǎn)詳細情況、IP地址利用情況以及支持和公安“一機一檔”系統(tǒng)進行對接。

　　3.1.1　資產(chǎn)掃描和管理

　　視頻專網(wǎng)安全準入系統(tǒng)，應(yīng)具備識別主流但不限于?？?、大華、宇視、天地偉業(yè)等安防廠商的設(shè)備，通過主動掃描、被動監(jiān)聽和手動設(shè)置等手段采集視頻專網(wǎng)中的攝像頭、PC、NVR等接入設(shè)備的資產(chǎn)信息，包括設(shè)備IP、設(shè)備類型、在線狀態(tài)、接入鏈路狀態(tài)、廠家、地理位置等，并進行分類統(tǒng)計，建立統(tǒng)一的資產(chǎn)庫，解決多安防廠家并存的情況下接入資產(chǎn)難以統(tǒng)一監(jiān)管的問題。視頻專網(wǎng)安全準入系統(tǒng)將掃描的設(shè)備經(jīng)過確認建立合法資產(chǎn)庫，生成準入白名單，資產(chǎn)庫還實時顯示資產(chǎn)的鏈路質(zhì)量，實時發(fā)現(xiàn)終端是否穩(wěn)定，避免出現(xiàn)視頻卡頓、丟失等情況。

　　3.1.2　IP地址管理

　　視頻專網(wǎng)安全準入系統(tǒng)，應(yīng)支持以圖表的方式展現(xiàn)IP資源的實際使用情況，包含已使用、未使用IP地址以及每個IP地址的終端類型，協(xié)助管理員對視頻專網(wǎng)IP資源使用進行整體規(guī)劃，快速完成IP資源分配、回收登記管理。IP信息展示方式分兩個維度，支持基于組織架構(gòu)查詢，也支持基于IP網(wǎng)段查詢。

　　3.1.3　“一機一檔”對接

　　視頻專網(wǎng)安全準入系統(tǒng)，應(yīng)包含視頻資源“一機一檔”作為公共安全視頻網(wǎng)網(wǎng)絡(luò)準入及安全管理系統(tǒng)子模塊，為視頻監(jiān)控日常管理、宏觀規(guī)劃和實戰(zhàn)應(yīng)用提供快速、準確、翔實的技術(shù)數(shù)據(jù)。視頻專網(wǎng)安全準入系統(tǒng)資產(chǎn)管理功能應(yīng)支持將掃描獲取的信息按照公安部“一機一檔”格式進行導(dǎo)出并支持和公安“一機一檔”系統(tǒng)進行對接，充分滿足公安視頻圖像信息管理的應(yīng)用要求。

　　3.2　終端安全準入

　　視頻專網(wǎng)安全準入系統(tǒng)，應(yīng)具備通過身份認證功能區(qū)分合法終端，有效防御私接對網(wǎng)絡(luò)造成的危害。物聯(lián)網(wǎng)中絕大部分終端是啞終端，不適合通過認證客戶端或者Portal方式進行認證，針對物聯(lián)網(wǎng)的特點，視頻專網(wǎng)安全準入系統(tǒng)主要有以下幾種準入機制。

　　3.2.1　基于終端特征準入機制

　　視頻專網(wǎng)安全準入系統(tǒng)應(yīng)具備采集前端設(shè)備的IP、MAC、系統(tǒng)信息、類型等信息生成唯一指紋的功能，對視頻監(jiān)控設(shè)備的接入進行指紋識別，如果終端指紋和設(shè)備指紋庫信息一致，前端終端允許接入視頻專網(wǎng)，對指紋信息錯誤的終端實時阻斷并告警。（如圖一所示）

　　圖1 終端特征準入機制

　　3.2.2　基于GB28181標準的準入機制

　　GB28181作為公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求，公安視頻傳輸網(wǎng)的設(shè)備應(yīng)該遵循此標準進行信息傳輸、交換，但現(xiàn)在公安視頻傳輸網(wǎng)業(yè)務(wù)大量使用私有協(xié)議承載，導(dǎo)致“一機一檔”信息采集困難，運維管理不統(tǒng)一，視頻專網(wǎng)安全準入系統(tǒng)應(yīng)支持識別IPC是否采用GB28181標準接入，對不符合國標的終端可進行告警和阻斷。

　　3.2.3　基于GB35114-2017標準的準入機制

　　GB35114-2017作為視頻監(jiān)控聯(lián)網(wǎng)視頻信息以及控制信息安全保障的要求，要與準入控制機制相結(jié)合，在強制要求按照GB35114-2017標準建設(shè)的視頻專網(wǎng)中，視頻專網(wǎng)安全準入系統(tǒng)應(yīng)通過對注冊報文、控制報文以及視頻流報文進行深度識別，對不符合GB35114標準的終端進行實時阻斷并告警。

　　3.3　協(xié)議白名單過濾

　　視頻專網(wǎng)安全準入系統(tǒng)應(yīng)具備基于接入數(shù)據(jù)協(xié)議特征建立業(yè)務(wù)白名單功能。需內(nèi)置主流安防廠家的視頻等接入業(yè)務(wù)的協(xié)議特征庫，并支持特征庫手動擴展功能，默認關(guān)閉非業(yè)務(wù)端口，對于業(yè)務(wù)端口基于協(xié)議特征庫白名單進行數(shù)據(jù)管控。須只允許授權(quán)的終端接入視頻專網(wǎng)。當數(shù)據(jù)接入視頻專網(wǎng)時，對數(shù)據(jù)進行逐包協(xié)議特征解析，并與協(xié)議特征白名單進行匹配，如果白名單匹配成功，則將數(shù)據(jù)放行，如果匹配失敗則將數(shù)據(jù)實時阻斷，并進行實時告警。（如圖二所示）

　　圖2 白名單過濾原理

　　3.4　建設(shè)視頻數(shù)據(jù)中心基礎(chǔ)安全防護系統(tǒng)

　　視頻專網(wǎng)數(shù)據(jù)中心安全防護是保護數(shù)據(jù)中心核心軟硬件運行安全的系統(tǒng)。為運行在視頻傳輸專網(wǎng)數(shù)據(jù)中心的各類監(jiān)控系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫服務(wù)器等核心業(yè)務(wù)系統(tǒng)提供安全防護措施，使數(shù)據(jù)中心具備訪問控制、攻擊防護和病毒過濾等安全能力。

　　需在核心業(yè)務(wù)前端通過部署防火墻、入侵防御、防病毒、漏洞風(fēng)險檢測等安全防護設(shè)備，將公安視頻傳輸專網(wǎng)數(shù)據(jù)中心區(qū)域與其他區(qū)域進行安全隔離，實現(xiàn)數(shù)據(jù)中心與其他區(qū)域之間的安全連接和訪問控制。

　　3.4.1　防火墻

　　通過部署防火墻設(shè)備，實現(xiàn)對不同區(qū)域的安全劃分，在不同的安全域之間形成網(wǎng)絡(luò)邊界，通過邊界保護策略，有效規(guī)避大部分網(wǎng)絡(luò)層安全威脅，降低系統(tǒng)層安全威脅對視頻專網(wǎng)數(shù)據(jù)中心的影響。利用邊界防護手段，嚴格規(guī)范業(yè)務(wù)系統(tǒng)的數(shù)據(jù)傳輸及應(yīng)用，防范不同網(wǎng)絡(luò)區(qū)域之間的非法訪問和攻擊，從而確保數(shù)據(jù)中心各個區(qū)域的有序訪問。

　　3.4.2  IPS入侵防御&防病毒

　　通過部署入侵防御&防病毒模塊，對各種蠕蟲、木馬、病毒、SQL注入、網(wǎng)頁篡改、惡意代碼、網(wǎng)絡(luò)釣魚、間諜軟件等攻擊提供有效的安全防護。在遭到0day攻擊時，可通過還原攻擊特征及內(nèi)容，有效準確地檢測出各種應(yīng)用上的攻擊，判斷對方的惡意，準確地將漏洞行為特征分析出來，通過內(nèi)置的協(xié)議防護策略，結(jié)合系統(tǒng)內(nèi)部集成的協(xié)議正規(guī)化規(guī)則，對不符合協(xié)議規(guī)則的網(wǎng)絡(luò)數(shù)據(jù)進行過濾防護。

　　3.4.3　漏洞風(fēng)險檢測

　　通過部署漏洞風(fēng)險檢測設(shè)備，對資產(chǎn)進行指紋提取及分析，可快速發(fā)現(xiàn)現(xiàn)網(wǎng)存活設(shè)備，對其進行精細化的資產(chǎn)信息展示。識別各類系統(tǒng)漏洞、中間件漏洞、數(shù)據(jù)庫漏洞、云平臺漏洞、WEB漏洞、行業(yè)漏洞。模擬人工滲透方式對漏洞進行驗證，自動判斷漏洞的真實性。對私接互聯(lián)網(wǎng)、私接路由、一機兩用、隨身WiFi等行為主動監(jiān)測，預(yù)防出現(xiàn)跨網(wǎng)信息交互事件。

　　3.5　建設(shè)公安視頻監(jiān)控安全監(jiān)管平臺

　　應(yīng)建設(shè)公安視頻監(jiān)控安全監(jiān)管平臺（簡稱：視監(jiān)安管平臺），此平臺是對視頻傳輸專網(wǎng)安全設(shè)備以及攝像機資產(chǎn)統(tǒng)一監(jiān)測的可視化管理平臺，通過該平臺建設(shè)，能夠?qū)崟r精確掌握視頻傳輸專網(wǎng)運行安全狀態(tài)。

　　安全監(jiān)管平臺應(yīng)支持大屏顯示，通過可視化方式展示資產(chǎn)數(shù)量、資產(chǎn)運行狀態(tài)、資產(chǎn)廠家統(tǒng)計、資產(chǎn)類型統(tǒng)計、資產(chǎn)在線率、網(wǎng)絡(luò)鏈路質(zhì)量以及入侵告警信息等。

　　安全監(jiān)管平臺應(yīng)支持多種日志信息，包括非法私接、非法仿冒、終端接入、終端行為、資產(chǎn)掃描、非法外聯(lián)、“一機一檔”、DDoS防護多種日志信息，各種日志信息支持全因素查詢檢索，資產(chǎn)掃描日志，支持基于設(shè)備IP、終端IP、廠商、類型、組織關(guān)系、變更原因以及時間的多維度查詢，方便用戶快速檢索有價值的信息。

　　4

　　結(jié)　語

　　隨著大數(shù)據(jù)時代的高速發(fā)展，視頻專網(wǎng)安全技術(shù)也應(yīng)順應(yīng)時代，甚至要走在時代前列，應(yīng)不斷開拓創(chuàng)新，推進公安工作信息化向縱深發(fā)展。