公安視頻專網安全管理系統的設計與研究

◆楊 健 顧 濤

?

公安視頻專網安全管理系統的設計與研究

◆楊 健1顧 濤2

（1.嘉興市公安局 浙江 314000；2.嘉興市秀洲區公安分局 浙江 314000）

近年來，隨著科技的發展和網絡的進步，視頻監控系統已在各種公共場所被廣泛地安裝使用。為了適應越來越復雜的治安形勢要求，全面提升應對突發案件、群體性事件和重大保衛活動的響應能力和監控力度，設計和實現公安視頻專網管理系統對于國家近年來打擊犯罪尤為重要。本文根據對公安視頻專網的網絡結構、業務特征進行分析，對公安視頻專網安全管理系統進行設計、分析，力爭為公安機關打擊防范違法犯罪、社會治安管控、交通管理發揮作用。

視頻；監控系統；專網；社會安全

0 引言

近年來，隨著我國綜合國力的增強、社會的快速進步和國民經濟的不斷增長，視頻監控系統的重要性在社會治安管理、交通運輸管理、電力、銀行、安檢及軍事等領域日益凸顯，設計和研究符合網絡時代的公安視頻專網安全管理系統已經成為社會安定發展的重中之重。

1 公安視頻專網安全現狀

在前期各地的公安視頻專網建設中，普遍存在“重應用，輕安全”的情況。公安視頻專網的應用非常豐富，承載了治安監控、道路監控、指揮調度、打擊犯罪、社會管理、服務群眾等大量的業務功能，而公安視頻專網的安全建設基本處于空白狀態，視頻監控系統大量應用背后暗藏信息安全危機。國內建設了許多視頻網絡、攝像頭等公共設施，但卻考慮較少視頻監控網絡的安全管理。用戶單位對信息安全的重視程度也明顯不夠，許多監控系統的缺省密碼都未修改，留下極大的安全隱患。

2 公安視頻專網安全風險分析

根據對公安視頻專網的網絡結構、業務特征進行分析，目前公安視頻專網中主要存在以下幾個方面的風險：

網絡非法互聯風險。公安視頻專網設計上與互聯網及其他網絡物理隔離，只能通過防火墻、邊界接入平臺等嚴格的安全設施與公安信息網、政府部門視頻監控網等不同網絡之間進行信息交換與共享。實際工作中，公安視頻專網中通過多網卡、網絡出口、網絡代理、無線AP、NAT邊界等形式繞過安全設施監管，與外部網絡的聯通情況屢見不鮮，嚴重破壞視頻專網的物理隔離性，極易造成信息的泄露與病毒木馬的傳播，甚至成為外部攻擊入口。因此，發現并嚴格管理公安視頻專網與其它網絡的連接邊界，是視頻專網網絡互聯安全管理的一大重點。

設備接入安全風險。由于攝像頭等前端設備部署分布極為廣泛，處于無人看守區，且當前視頻監控系統已經進入了IPC時代，非授權人員只要簡單地用計算機替換前端攝像頭就可以輕松地實現網絡的入侵和非法數據的訪問。

計算機基礎安全風險。視頻專網的終端計算機（服務器）主要用于工作人員對視頻專網的日常管理與使用，以及承載視頻專網的各類應用系統。視頻專網的終端（服務器）主要安全風險包括：弱口令、操作系統漏洞、病毒威脅、木馬軟件、USB存儲設備濫用、非法外聯等情況。一旦終端（服務器）被入侵、攻擊、控制，也就意味著整個視頻專網被入侵者控制，獲取密碼、非法控制、盜取數據等情況都可能發生。

數據安全風險。視頻專網保存有大量的敏感視頻數據，一旦泄露，會嚴重危害到國家、社會安全和個人隱私。目前主要對通過視頻共享平臺訪問的視頻數據有審計記錄，但缺乏完整的對專網內所有視頻數據的查看、下載、復制、外發進行有效審計與管控。

視頻系統成效保障風險。一般視頻共享平臺會對接入的視頻源與存儲等設備進行基本的狀態檢測，但對于許多關系到視頻系統建設成效的更細致的異常，比如畫面模糊、圖像參數失真、偏色、物體遮擋、線路衰減、設備時鐘失步、磁盤陣列異常、錄像重復存儲、像素偏低、錄像保存時間不足、硬盤狀態異常等卻缺乏有效檢測手段，從而影響到視頻系統的整體建設運行效果。

管理安全風險。專網安全缺乏整體管理手段，相關管理員無法從全局上把握當前專網運行安全態勢，出現安全事件或者設備故障時也沒有一套機制化的整合管理員、運營商與工程商運維人員等相關各方協同參與的工作流程來保障快速響應。

3 目的與意義

實現公安視頻專網安全監管系統貫徹國家、政府對平安城市信息安全保障工作的要求，我們應該為視頻專網提供一體化的網絡互聯管控、終端準入控制、應用安全監管和安全管理監控能力，保障視頻專網安全、高效、可靠地發揮作用。

（1）提高網絡互聯管控能力。具有邊界實時監測與注冊管理能力，針對邊界安全監管需求，基于網絡特征與應用特性的綜合分析、跟蹤技術建立了異構網絡的安全指標體系，實現復雜網絡環境下的線路邊界定位，做到邊界清晰可控。

（2）加強終端準入控制能力。建立視頻專網統一的終端準入控制機制，能夠在線監控全網計算機終端/服務器、視頻監控設備的入網狀態；系統可以通過點對點掃描技術、設備分析技術智能地識別視頻專網內的設備類型；提供計算機終端/服務器安全基線核查、用戶操作行為監控等功能，能夠有效防范非法終端和用戶違規外聯行為。

（3）提高應用安全監管能力。能夠自動檢測使用游戲、聊天、P2P、黑客工具等違規應用軟件行為，及時處置并報警；對維護操作行為進行權限控制，實現統一登錄與審計。

（4）嚴格安全管理監控能力。應建立全網安全管理與監察管控機制，形成視頻專網全網統一的安全管理體系；創建了高擴展、高穩定性的網狀結構級聯服務和多通道消息服務，支持多級別、跨區域等多級級聯管控的工作模式，實現安全工作的信息化；實施全網資產細粒度管理，實時掃描檢查網絡安全狀況，具有設備自動發現識別、安全工作流程監察、安全事件監測審計等能力，具備及時發現網絡入侵、信息竊密、病毒擴散，以及實時監測在網安全設備狀態等功能。

4 系統的設計與實現

通過以上安全風險分析，針對視頻專網安全狀況，充分考慮未來安全建設需求，公安視頻專網安全管理系統可從下而上分為“對象層”、“接入層”、“數據分析層”、“業務處理層”和“數據可視化層”進行整體設計，具體結構圖如圖1。

圖1安全管理系統架構圖

按照以上架構設計公安視頻專網安全管理系統具有安全態勢集中展現、全網資產實時統計、安全風險自動發現、入網設備統一管控、文件輸出嚴格監管和視頻系統綜合運維六大主要功能。

（1）安全態勢集中展示

能夠以地圖、圖表、報表等展現形式集中展示各類安全監管類、資產統計類、風險展示類和視頻運維類等信息。

（2）全網資產實時統計

能夠統計視頻專網硬件、軟件、終端設備、視頻專用設備等全網部署情況，能夠實時自動發現終端計算機、服務器、視頻圖像監控設備、網絡設備等設備，對終端軟件安裝及變更、硬件信息及變更、IP地址使用情況進行統計監管；支持對各類資產的數量、類型等進行分類統計和管理。

（3）安全風險自動發現

支持自動發現終端環境風險、終端運行風險和違規外聯情況等；能夠根據用戶考核要求，結合安全風險情況，對被考核對象進行安全考評，包含注冊率、邊界備案率、防毒軟件覆蓋率、補丁打全率等。

（4）入網設備統一管控

系統具有邊界發現與備案功能，可以對各類設備接入進行隔離、安全檢查，并對終端進行控制管理。

（5）文件輸出嚴格監管

具有敏感信息識別、文件輸出審計和移動介質管理等功能，能夠對文件輸出行為進行審計、記錄，嚴格管控。

（6）視頻系統綜合運維

具有故障統計、故障檢測、故障申報流轉、監控名稱回寫等功能，支持視頻采集設備與服務端信息的同步。

[1]王薇.內部網絡安全管理系統分析[J].計算機光盤軟件與應用，2011.

[2]馬立新，金月光.基于策略的網絡安全管理系統設計與實現[J].軟件，2013.