张卫军

(中远海运科技股份有限公司，上海 200135)

0 引 言

随着监控行业的不断发展，视频监控系统已广泛融入到人们的日常生活中。以数字结构化网络摄像机为核心的视频监控系统在公安、银行、教育、商场和工业园区等领域得到了广泛应用，在维护社会治安、应对突发事件等方面发挥了重要作用，已成人们生产和生活中不可或缺的一道安全屏障。然而，当前的视频监控系统和监控设备普遍缺乏系统性的安全防护机制，视频监控系统信息泄露、网络攻击事件频发，严重威胁着个人、企业乃至国家的安全。

当前，国内主流的视频监控系统采用的安全防护措施仍以网络安全防护和视频信息加密为主。这些措施无法满足主动全局安全感知、主动防御、深度巡检和量化管理等新时代监控系统的安全要求。已有研究很少对通过增加部署整体安全感知平台提升视频监控系统的安全性的方法进行分析。对此，本文提出一套基于安全感知平台的视频监控系统安全解决方案，提升视频监控系统的安全防护能力，供相关研究人员参考。

1 整体安全解决方案

数字化工业园区是现代化建设中的重点项目之一，而园区安全问题是日常管理中需解决的重要问题。依托数字化工业园区系统建设的视频监控系统是数字化工业园区的重要组成部分，其打破了原有视频监控系统的信息孤岛状态，达到了数字化工业园区视频监控系统统一平台、统一互联和统一运维的目的，实现了园区视频监控系统与园区内公安平安城市视频专网和政府应急指挥调度平台的互联互通，充分发挥了“看、控、存、管、用”的功能，真正起到了保障工业园区安全的作用。

然而，工业园区视频监控系统的网络和系统架构比较简单，前端视频类监控设备、传输设备、后端存储设备和应用系统直接设置在1个网络内，同时在设计和实施时未考虑部署任何安全隔离和安全监测等设备，导致系统的安全性较差，经常遭到攻击。工业园区主要存在以下安全问题和安全隐患：

1) 视频监控前端设备部署在园区的各个出入口、道路等暴露的公共场所，极易被恶意入侵，进而使整个网络遭受侵害，导致核心业务系统无法正常运行，大量保密数据被窃取；

2) 视频监控摄像头、交换机、存储装置、平台服务器和PC(Personal Computer)终端等都是监控系统的组成部分，无有效的技术手段鉴别是否存在非监控设备接入，无法避免由此引发的安全事件；

3) 缺乏安全边界设备，整个网络互联互通，容易遭到破解，安全性较差；

4) 监控系统中的PC终端大多采用Windows系统，缺乏有效的防病毒和补丁管理措施。

为此，在综合考虑工业园区原视频监控系统的整体架构及其可能遭受侵害的客体和受侵害的程度的基础上，选择采用搭建可靠的安全感知平台的解决方案。

具体而言，从安全策略、安全管理制度和安全管理单位等方面进行安全感知平台设计，同时考虑成本和实施的便利性，采用操作简单、实用的方法选择安全设备。按照国家有关法律、法规的要求和等级保护标准，结合视频监控系统的发展现状和需求，以分层纵深防御和立体协同防御为设计思路，为原视频监控系统提供全方位的安全保障。改造之后的视频监控系统拓扑图见图1。

图1 改造之后的视频监控系统拓扑图

将原视频监控系统的架构分为3层。

1) 第一层为原视频监控系统前端监控设备的接入层。对原监控系统的接入层和应用层进行安全隔离，通过增加部署网络边界(安全隔离设备)，进行网络隔离和安全访问控制。通过身份认证、访问控制等措施，保障业务系统的合法使用。

2) 第二层为应用层。通过在原核心交换机中部署流量探针、堡垒机、入侵防御万兆防火墙和防毒墙，严格按安全规则对视频监控系统的所有视频、数据等进行过滤，将不安全或不符合安全规则的信息隔离，从而避免在原网络上“直通”产生各类安全问题。另外，通过部署基于IP(Internet Protocol)和端口访问控制的防火墙、全流量检测的流量探针，将有效的数据提供给安全感知平台，对网络中发生的非法入侵、暴力破解等各种攻击行为进行有效拦截。

3) 第三层为安全运维区。即搭建安全感知平台(集检测、可视和响应等功能于一体的监控系统安全运维大脑)，使原视频监控系统安全可感知，运维更方便，更有价值。

安全感知平台可对监控系统整体的安全态势进行实时的感知和分析，主要包括以下几个方面：

1) 整体监控系统安全感知。感知黑客攻击威胁、正式攻击和业务资产不规范等情况，对全网安全态势进行整体评价，以安全管理者的视角进行展现，有效掌握监控系统的整体安全态势，方便进行安全决策分析。

2) 系统外连风险感知。显示监控系统中PC机、服务器等对外部单位发起的异常访问行为，监视服务器是否存在外部未知威胁，从风险的外连行为、触发的区域和访问的目的地等维度为安全管理员提供直观的展示。

3) 攻击拦截。当发生安全攻击事件时，通过实时可视化的方式展示当前遭受到的来自于某个区域或IP地址的安全攻击情况、边界安全设备和防毒墙等的拦截情况，实时反馈当前网络遭受攻击的情况。

4) 内部安全性分析。通过安全感知平台，以可视化的方式展示内网主机攻击其他内网主机的情况，监测监控系统内部因中毒而发生的安全攻击行为，及时向安全管理员发出预警信息。

5) 监控设备和服务器漏洞分析。检测网内设备和服务器资产情况及包含的漏洞情况，及时修复漏洞。

6) 视频监控设备安全监测。收集视频监控设备遭受的安全攻击及出现的异常行为和异常离线等事件，对风险视频设备地址进行归纳，汇总每台设备发生的所有安全事件，并基于检测结果提供详细的举证信息和处置建议等。

2 主要设备的功能

基于安全防护全面、技术先进实用、可扩展、可用性和可靠性强、经济、管理和维护方便等目的，主要选择入侵检测防御系统(Intrusion Prevention System, IPS)、视频安全准入控制系统(Video Security Gateway, VSG)、网络安全感知平台和流安全分析引擎、堡垒机、漏洞扫描、审计数据中心、数据审计、业务审计引擎、内网安全管理和防毒墙等设备组成安全运维平台，各设备的具体功能如下。

2.1 IPS

在网络核心区域，IPS设备旁路部署，交换机镜像流量，对全网进行安全检测，实现对网络病毒、木马、破解密码和安全性攻击等网络入侵行为的有效防范。

2.2 VSG

在核心区域,VSG设备旁路部署,通过视频准入产品，实现视频专网资产发现与识别、前端摄像头接入控制、仿冒检测与处置、前端摄像头安全基线检查与状态监控、视频专网IP地址管理与监测和一体化的视频专网终端安全防护与管理等功能。

2.3 网络安全感知平台和流安全分析引擎

流安全引擎采用高性能计算服务器，采用并行操作系统，使转发平面与安全平面并行运行在安全运维平台上，采用并发方式处理，紧密协作，极大地提升网络数据包的安全处理性能。安全感知系统利用大数据并行计算框架支撑关联分析、流量检测和机器学习等计算检测模块，实现数据分析协同的全方位检测服务。

2.4 堡垒机

在运维区域，堡垒机旁路部署，通过部署运维堡垒主机，实现对内网网络设备和边界的访问控制的统一管理。实现对运维人员管理设备、网络设备和安全设备的运维操作的审计，同时实现对运维人员登录网络设备和服务设备的双因素认证。

2.5 漏洞扫描

在安全运维区域，漏洞扫描设备旁路部署，定期对网络中的运行设备、各类系统和各种服务等IT(Internet Technology)资源进行漏洞扫描，及时发现存在的漏洞，降低漏洞被利用的风险。

2.6 审计数据中心

在安全运维区域，审计数据中心设备旁路部署，对监控系统中产生的大量日志数据、运行状态数据进行收集和关联分析，及时发现安全威胁。

2.7 数据审计

数据审计设备旁路部署，核心交换机流量镜像给设备，配置单独的带外管理系统，实现对数据非法操作的告警和审计。通过对业务人员访问系统的行为进行记录等，帮助用户进行事前规划预防、实时监视及违规行为响应、合规报告和事故追踪溯源，促进核心资产的正常运营。实时监控数据服务设备的流量，解析各种操作结果，提供日志报表系统分析功能，为事后分析和取证提供证据。

2.8 业务审计引擎

业务审计引擎设备旁路部署，对用户访问网络内的核心IT资产和服务设备进行全面的合规审计。使用户网络满足国家相关标准和网络安全法律的要求；使安全管理人员掌握网络安全态势和各类关键业务系统的访问情况，及时有效地发现安全风险，降低各类网络信息资产遭到损坏和窃取的风险。

有效还原安全事故的发生过程，当安全事故发生时，可及时定位到责任人。

2.9 内网安全管理

终端安全管理系统通过管理中心(部署于虚拟机中)和PC终端部署EDR(Endpoint Detection and Response)终端安全管控组件，安全策略统一下发，实现桌面运维、安全防护、终端审计、移动存储管理、准入控制和补丁分发等功能。

2.10 防毒墙

防毒墙支持对可执行、库、邮件、脚本、DOS可执行和图片格式病毒的查杀，对各种蠕虫病毒攻击的防御，对未知病毒的识别和阻断，对详细病毒日志的查询和统计，以及日、周、月的日志报表功能，发送日志信息给管理员等。

3 安全防护效果验证

采用上述方案在某工业园区部署该安全感知平台，其监控中心界面见图2。该平台部署完成之后，实际应用发现，其能直接、简洁地对园区内的安全态势进行实时展示，辅助管理人员实时了解监控系统的“健康状况”，从而更好地对园区进行安全管理。

图2 安全感知平台监控中心界面

1) 该平台具有图形化展示模块，可显示全网业务对象的访问关系与被入侵业务情况、流量分析、监控系统存在的漏洞和安全日志(展示支持所有安全设备的安全日志汇总)等内容。

2) 该平台能将原监控系统的单点单设备安全提升为系统整体安全，将单台设备预警提升为整体预警，将片面管理提升为集中化管理，从而强化安全防护效果。

3) 该平台部署完成之后，可通过对全网视频监控设备进行安全风险扫描，形成风险评估报告(见图3)，包括财产风险、服务器设备风险和办公效率风险等，以便及时发现被保护对象存在的各类风险。管理者可根据具体的风险情况和详细介绍进行风险处理。

图3 整体风险评估报告

4) 当出现黑客攻击的情况时，通过该平台的攻击防御功能(见图4)，能及时阻止黑客通过某监控设备弱口令薄弱环节发起的暴力破解行为，对其进行有效拦截，提供全面的攻击防护。

图4 攻击防御界面

5) 通过该平台的漏洞扫描功能(见图5)，可实现对园区监控系统中所有的前端监控设备、PC终端和服务器等设施的漏洞情况的主动扫描识别，尽可能地确保提前发现、提前修复，从而有效保障设备的安全，防止因系统或设备存在漏洞而导致黑客入侵。

图5 漏洞扫描

4 结 语

本文提出了一种基于安全感知平台的视频监控系统安全解决方案，实现对视频监控系统的全面安全防护。实际应用结果表明，该平台具有方便、灵活的特性，既能对已建成的视频监控系统进行安全加固，又能及时发现系统中存在的风险漏洞，并对其进行处理，提升系统整体的安全防护能力。依据该方案，可根据工业园区的视频监控业务特点及其存在的安全隐患，选择合适的安全设备搭建安全感知平台。该方案不需要改变原监控系统的部署架构，具有较好的普适性，可推广应用于其他行业的监控系统中。