APP下载

利用平台双活+VPN方式提升全球眼监控系统网信安能力的探讨

2021-07-22王景兰

江苏通信 2021年3期
关键词:海康公网大屏

魏 斌 王景兰

中国电信股份有限公司镇江分公司

0 引言

某运营商目前的安保视频监控大部分采用的是全球眼业务产品,此业务产品是面向公众的业务,架构在Internet公网之上,存在较大的安全风险。业界安全形势严峻,弱口令、信息漏洞问题大量存在,且缺乏有效的管理。安保监控作为重要的电信安全设施,虽然全球眼平台和前端PU持续进行漏洞修补、安全升级等工作,但自有的全球眼设备使用互联网IP资产数量多且增长快,防护手段少、软件更新困难、漏洞被发现通报等问题仍然存在。历年的安全工作实践证明,提高网络安全防护水平,提升自有系统和平台的安全性,降低IP资产在互联网的暴露面数量是关键。

如何实现安保监控暴露面的骤缩并达到最终消除的目的,如何充分利旧现有的平台和网络设备资源保护投资,如何实现安保监控既要满足安全监控主要职能,又要提供手机端查询业务的能力,本研究提出采用网络改造、专有平台与监控平台双活方案,隔断视频监控前端遭受来自互联网攻击的路径,消除网络安全风险,可被各行业监控平台复制推广。

1 问题分析

安保监控需要降低暴露面,解决问题痛点,关键是要隔断视频监控前端遭受来自互联网攻击的路径。

1.1 安保监控前端组网的两种形式

(1)安保监控前端NVR通过公网接入平台POP点。

(2)NVR一般具备两张网卡与PU视频头进行通信,一是通过公网远拉方式,另一种是就近局域内网连接,其中就近接入方式是常用方式。

图1 NVR与PU的连接方式

NVR和远拉PU都是需要进行暴露面压缩改造的设备设施。

1.2 监控平台设备及视频前端布署在公网

大屏监控,为安保监控的主要设施,解码器通过公网直接调取NVR视频流。

全球眼终端查询,通过公网由全球眼管理平台调取视频流,存储能力1个月。

为解决全球眼存储时间短的问题,NVR配置了本地存储,满足半年至一年的存储需求。

图2 安保监控方式

监控平台设备存在安全隐患,在厂商维保过期后,安全问题将尤为突出,需进行暴露面压缩改造。

1.3 在暴露面改造前请求统一的解决方案

(1)方案一:全球眼本地节点的所有服务器需要新增2块网卡用于VPN地址的配置;或者新建一个节点,专门用于局内业务。

(2)方案二 :在城域网配置ACL,对NVR进行安全防护。

统一方案优缺点对比见表1所示。比较认为采用虚拟专网的方式,在维护延续性、数据操作方便性、网络安全性、暴露面压缩上都能得到保证。

表1 统一方案对比

1.4 采用成熟MPLS VPN技术建立安全专用虚拟网络

安保监控NVR等搭载在城域网上,在本地网专线产品中,一类是互联网专线产品,另一类是VPN组网专线类产品,前者即是安保监控采用的接入方式,随着VPN虚拟产品的开发成功,从互联网专线产品转入VPN组网专线产品的迁移方案已成熟,压缩暴露面在业务层面较容易实施。

安保监控网络在结构上利用城域网进行VPN改造、本地网自有平台利旧结合全球眼虚拟专网改造,实现平台双活业务平滑迁移,先骤缩后复活多样化监控需求,可迅速进行安保监控全球眼暴露面消除工作的开展和部署。

2 解决措施

安保监控暴露面整治将采用网络改造、专有平台与全球眼平台双活方案。具体实施步骤主要经历三个阶段:

(1)迁改准备,区县电路梳理、地址规划、VPN组网、确定调整方案及计划;

(2)暴露面骤缩,一次性暴露面迁改,业务平滑迁移,维持基本监控功能;

(3)平台双活,在自有海康运营平台加载稳定后,全球眼VPN化并复活启用。

2.1 迁改准备阶段

安保监控摄像头分属两个厂家的产品,分别为海康与大华,NVR使用互联网专线电路161条,配置的IPv4合法地址完全暴露在公网之上。

(1)全球眼平台为市区和三县提供1个月左右的回放能力,可以通过在公网的PC使用全球眼帐号对视频进行监控管理。

(2)大屏电视墙为主要营业厅、大楼提供多画面实时监控。

(3)NVR配置了大容量本地存储,满足半年乃至一年的监控录像调取还原需求。

(4)海康运营平台启用门禁道闸识别功能,具备自有视频监控运营能力。

迁改顺序:

(1)通过BSS系统受理新安保监控VPN组网虚拟销售品。

(2)为161条互联网专线规划VPN私有IP地址,NVR按/29掩码分配地址,结合平台使用及其它特殊需求,一共配备了6个C的地址段。

(3)在城域网配置VPN域,预备VPN私有IP地址新数据脚本。

(4)在BSS系统中对相关NVR及监控终端互联网专线进行变更,加入VPN组网产品。

(5)在迁改时,由于NVR配置了本地存储,因此视频流的存储一直存在,NVR迁改到VPN不会丢失数据。大屏电视墙在迁改过程中会影响实时监控,应控制在最短时间迁改到位,因此大屏应该与市区NVR同一批次迁入VPN,此时IP地址并未变。

(6)启用海康运营平台,通过远程修改NVR新规划地址(IP地址改变),对NVR(VPN)进行管理,此时达到全球眼平台管理NVR(公网)、海康运营平台管理NVR(VPN)分治状态。

(7)待迁入VPN完成后,全球眼平台增加网卡,配置VPN专网通道,逐个远程对NVR刷新平台IP地址,复活全球眼平台对全区NVR(VPN)的通信。

(8)最后在OSS系统中进行常规维护,将IP地址资源按规划VPN私网地址修改到位,同时将原电路使用的公网IP地址备案信息释放。

2.2 暴露面骤缩阶段

(1)暴露面快速清除

根据安保监控特点,电路割接分市区和三县两个批次执行。割接前提前进行地址规划,预制配置脚本,在割接当日一次性将对象NVR公网数据整体迁入VPN中,1小时内当批次NVR暴露面消失。市县所有NVR暴露面在2小时内清除,前后2批次相隔1日。

(2)业务平滑迁移

在迁移时确保监控业务仍然可以正常运行。为配合暴露面骤缩,采用NVR IP公网地址不变进入VPN实例的方式,迁入后从Internet上无法再与这些NVR通信,但加入VPN的平台仍然可以用原有参数与迁入NVR通信。

在市区,主要实时监控使用的是大屏电视墙,首先将大屏使用的专线电路迁入VPN,大屏可以直接使用新VPN私网IP地址,大屏迁入VPN后由于NVR还未迁入,大屏将出现黑屏,此时可以启用全球眼终端PC进行监视接管。其次,随着NVR公网数据的整体迁入VPN,在1小时内大屏陆续恢复影像。

(3)维持基本监控功能

在迁移期间,由于NVR配置了本地存储,因此视频流的存储一直存在,NVR迁改到VPN不会丢失数据,三个监控平台在各公网和VPN网两个虚拟空间,只维持一个监控方式,如公网已无大屏实时监视,VPN中的NVR也在手机终端App中离线。

2.3 平台双活阶段

(1)NVR一旦迁入VPN后,全球眼平台将处于“假死”状态,暂时失去对NVR的监控能力,对NVR(VPN)手机终端查询视频的功能也一并暂停,但全球眼平台对未迁入VPN的NVR仍具有通信体征。

(2)由于全球眼平台处于假死状态不能管理NVR(VPN),此时可以启用海康运营平台,通过远程修改NVR新规划地址(IP地址改变),对NVR(VPN)进行管理,此时达到全球眼平台管理NVR(公网)、海康运营平台管理NVR(VPN)的分治状态。

(3)待市、县公司全部加入VPN,并纳入海康运营平台管理,成为独治状态后,此时全球眼平台对于全区NVR(VPN)属于脱管“真死”。

(4)全球眼平台相对于安保监控“真死”后,可以对全球眼服务器增加网卡,开启VPN专网通道,远程逐个对NVR刷新平台IP地址,复活全球眼平台对全区NVR(VPN)的通信,此时全球眼平台与海康运营平台实现对所有NVR的双活共治状态,安保监控成为既满足安全监控主要职能,又能提供手机端查询业务能力,还能提供个性化运营的开发应用。

3 结束语

采用平台双活加VPN网络隔离的方式,在充分盘活原有资源的基础上,为多年悬而未决的暴露面威胁提供了快速有效的迁改方式,其中的网络改造方式与步骤、自有平台与全球眼平台双活法、暴露面的骤缩方案对如何隔断视频监控前端遭受互联网攻击的路径、消除网络信息及安全风险具备较强的参考价值。

猜你喜欢

海康公网大屏
从618看电视发展趋势,大屏、高端以及激光电视成热门首选
浅析大临铁路公网覆盖方案
为大屏而生,让体验更佳 峰米4K激光家庭影院Max
超越DCI影院色彩的百寸大屏王者 海信(Hisense) 100L9-PRO
公网铁路应急通信质量提升的技术应用
浅谈客厅大屏显示未来
如何迎接公网对讲的春天
视界因你更清晰、更智能——评测海康1600万“深眸”致清系列摄像机
海康威视:深度智能助力校园安防升级
超强脑王来了——评测海康威视“海康超脑”全系列产品家族