利用平台双活+VPN方式提升全球眼监控系统网信安能力的探讨

2021-07-22王景兰

江苏通信 2021年3期

魏斌王景兰

中国电信股份有限公司镇江分公司

0 引言

某运营商目前的安保视频监控大部分采用的是全球眼业务产品，此业务产品是面向公众的业务，架构在Internet公网之上，存在较大的安全风险。业界安全形势严峻，弱口令、信息漏洞问题大量存在，且缺乏有效的管理。安保监控作为重要的电信安全设施，虽然全球眼平台和前端PU持续进行漏洞修补、安全升级等工作，但自有的全球眼设备使用互联网IP资产数量多且增长快，防护手段少、软件更新困难、漏洞被发现通报等问题仍然存在。历年的安全工作实践证明，提高网络安全防护水平，提升自有系统和平台的安全性，降低IP资产在互联网的暴露面数量是关键。

如何实现安保监控暴露面的骤缩并达到最终消除的目的，如何充分利旧现有的平台和网络设备资源保护投资，如何实现安保监控既要满足安全监控主要职能，又要提供手机端查询业务的能力，本研究提出采用网络改造、专有平台与监控平台双活方案，隔断视频监控前端遭受来自互联网攻击的路径，消除网络安全风险，可被各行业监控平台复制推广。

1 问题分析

安保监控需要降低暴露面，解决问题痛点，关键是要隔断视频监控前端遭受来自互联网攻击的路径。

1.1 安保监控前端组网的两种形式

（1）安保监控前端NVR通过公网接入平台POP点。

（2）NVR一般具备两张网卡与PU视频头进行通信，一是通过公网远拉方式，另一种是就近局域内网连接，其中就近接入方式是常用方式。

图1 NVR与PU的连接方式

NVR和远拉PU都是需要进行暴露面压缩改造的设备设施。

1.2 监控平台设备及视频前端布署在公网

大屏监控，为安保监控的主要设施，解码器通过公网直接调取NVR视频流。

全球眼终端查询，通过公网由全球眼管理平台调取视频流，存储能力1个月。

为解决全球眼存储时间短的问题，NVR配置了本地存储，满足半年至一年的存储需求。

图2 安保监控方式

监控平台设备存在安全隐患，在厂商维保过期后，安全问题将尤为突出，需进行暴露面压缩改造。

1.3 在暴露面改造前请求统一的解决方案

（1）方案一：全球眼本地节点的所有服务器需要新增2块网卡用于VPN地址的配置；或者新建一个节点，专门用于局内业务。

（2）方案二：在城域网配置ACL，对NVR进行安全防护。

统一方案优缺点对比见表1所示。比较认为采用虚拟专网的方式，在维护延续性、数据操作方便性、网络安全性、暴露面压缩上都能得到保证。

表1 统一方案对比

1.4 采用成熟MPLS VPN技术建立安全专用虚拟网络

安保监控NVR等搭载在城域网上，在本地网专线产品中，一类是互联网专线产品，另一类是VPN组网专线类产品，前者即是安保监控采用的接入方式，随着VPN虚拟产品的开发成功，从互联网专线产品转入VPN组网专线产品的迁移方案已成熟，压缩暴露面在业务层面较容易实施。

安保监控网络在结构上利用城域网进行VPN改造、本地网自有平台利旧结合全球眼虚拟专网改造，实现平台双活业务平滑迁移，先骤缩后复活多样化监控需求，可迅速进行安保监控全球眼暴露面消除工作的开展和部署。

2 解决措施

安保监控暴露面整治将采用网络改造、专有平台与全球眼平台双活方案。具体实施步骤主要经历三个阶段：

（1）迁改准备，区县电路梳理、地址规划、VPN组网、确定调整方案及计划；

（2）暴露面骤缩，一次性暴露面迁改，业务平滑迁移，维持基本监控功能；

（3）平台双活，在自有海康运营平台加载稳定后，全球眼VPN化并复活启用。

2.1 迁改准备阶段

安保监控摄像头分属两个厂家的产品，分别为海康与大华，NVR使用互联网专线电路161条，配置的IPv4合法地址完全暴露在公网之上。

（1）全球眼平台为市区和三县提供1个月左右的回放能力，可以通过在公网的PC使用全球眼帐号对视频进行监控管理。

（2）大屏电视墙为主要营业厅、大楼提供多画面实时监控。

（3）NVR配置了大容量本地存储，满足半年乃至一年的监控录像调取还原需求。

（4）海康运营平台启用门禁道闸识别功能，具备自有视频监控运营能力。

迁改顺序：

（1）通过BSS系统受理新安保监控VPN组网虚拟销售品。

（2）为161条互联网专线规划VPN私有IP地址，NVR按/29掩码分配地址，结合平台使用及其它特殊需求，一共配备了6个C的地址段。

（3）在城域网配置VPN域，预备VPN私有IP地址新数据脚本。

（4）在BSS系统中对相关NVR及监控终端互联网专线进行变更，加入VPN组网产品。

（5）在迁改时，由于NVR配置了本地存储，因此视频流的存储一直存在，NVR迁改到VPN不会丢失数据。大屏电视墙在迁改过程中会影响实时监控，应控制在最短时间迁改到位，因此大屏应该与市区NVR同一批次迁入VPN，此时IP地址并未变。

（6）启用海康运营平台，通过远程修改NVR新规划地址（IP地址改变），对NVR（VPN）进行管理，此时达到全球眼平台管理NVR（公网）、海康运营平台管理NVR（VPN）分治状态。

（7）待迁入VPN完成后，全球眼平台增加网卡，配置VPN专网通道，逐个远程对NVR刷新平台IP地址，复活全球眼平台对全区NVR（VPN）的通信。

（8）最后在OSS系统中进行常规维护，将IP地址资源按规划VPN私网地址修改到位，同时将原电路使用的公网IP地址备案信息释放。

2.2 暴露面骤缩阶段

（1）暴露面快速清除

根据安保监控特点，电路割接分市区和三县两个批次执行。割接前提前进行地址规划，预制配置脚本，在割接当日一次性将对象NVR公网数据整体迁入VPN中，1小时内当批次NVR暴露面消失。市县所有NVR暴露面在2小时内清除，前后2批次相隔1日。

（2）业务平滑迁移

在迁移时确保监控业务仍然可以正常运行。为配合暴露面骤缩，采用NVR IP公网地址不变进入VPN实例的方式，迁入后从Internet上无法再与这些NVR通信，但加入VPN的平台仍然可以用原有参数与迁入NVR通信。

在市区，主要实时监控使用的是大屏电视墙，首先将大屏使用的专线电路迁入VPN，大屏可以直接使用新VPN私网IP地址，大屏迁入VPN后由于NVR还未迁入，大屏将出现黑屏，此时可以启用全球眼终端PC进行监视接管。其次，随着NVR公网数据的整体迁入VPN，在1小时内大屏陆续恢复影像。

（3）维持基本监控功能

在迁移期间，由于NVR配置了本地存储，因此视频流的存储一直存在，NVR迁改到VPN不会丢失数据，三个监控平台在各公网和VPN网两个虚拟空间，只维持一个监控方式，如公网已无大屏实时监视，VPN中的NVR也在手机终端App中离线。

2.3 平台双活阶段

（1）NVR一旦迁入VPN后，全球眼平台将处于“假死”状态，暂时失去对NVR的监控能力，对NVR（VPN）手机终端查询视频的功能也一并暂停，但全球眼平台对未迁入VPN的NVR仍具有通信体征。

（2）由于全球眼平台处于假死状态不能管理NVR（VPN），此时可以启用海康运营平台，通过远程修改NVR新规划地址（IP地址改变），对NVR（VPN）进行管理，此时达到全球眼平台管理NVR（公网）、海康运营平台管理NVR（VPN）的分治状态。

（3）待市、县公司全部加入VPN，并纳入海康运营平台管理，成为独治状态后，此时全球眼平台对于全区NVR（VPN）属于脱管“真死”。

（4）全球眼平台相对于安保监控“真死”后，可以对全球眼服务器增加网卡，开启VPN专网通道，远程逐个对NVR刷新平台IP地址，复活全球眼平台对全区NVR（VPN）的通信，此时全球眼平台与海康运营平台实现对所有NVR的双活共治状态，安保监控成为既满足安全监控主要职能，又能提供手机端查询业务能力，还能提供个性化运营的开发应用。