如何构建公安视频传输网络安全防护屏障？

科技 2024-10-17 08:02 北京

背景

公共安全视频监控建设是贯彻党中央、国务院关于创新驱动发展、推动新型城镇化、全面建成小康社会的重要举措；在整合信息资源，提升城市管理能力和服务水平，促进产业转型有着重大作用。

公安视频监控网络系统作为国家重要的关键信息基础设施，由于在前期建设中缺乏总体安全规划，安全投入不足，导致安全隐患已日益凸显。

基本情况

公安视频网主要包含了以下几个网络：

1）公安视频传输网：这是承载以视频图像为主的感知数据采集、存储、解析、应用、共享等业务的网络通路，为视频图像数据等各类感知数据汇聚和业务协同提供网络传输保障。它主要包括接入网络和骨干网络，其中接入网络用于支撑前端设备到基层公安机关的数据传输，而骨干网络用于连接部、省、市、县四级，承担视频图像数据汇聚以及业务协同。

2）新一代公安信息网：这个网络按照《GA/DSJ 400-2019新一代公安信息网网络架构技术要求》开展建设，与公安视频传输网配合，共同构建公安视频专网的安全和运行环境。

3）公安移动信息网：侧重开展公安视频图像的移动应用和资源接入。

除了以上网络之外，还有雪亮工程相关的网络结构。雪亮工程是指公共安全视频监控建设联网应用，它通过整合社会资源和政府部门的视频资源，实现了全域覆盖、全网共享、全时可用和全程可控的目标。

公安视频传输网安全架构示意图

公安视频传输网安全现状和挑战

缺乏安全防护措施

公安视频传输网与其他专网、互联网网络边界互联方式五花八门，缺乏规范的技术指导。在内部网络，前端设备、终端、网络、主机、应用系统基本为裸奔状态，仅有系统用户密码认证等简单的安全措施。面对越来越复杂的APT攻击、黑客入侵、内部非法人员的渗透，网络极易被攻破，极易造成视频监控设备被控、敏感数据泄漏、网络不可用等安全风险。

缺乏访问控制管理

公安视频传输网是个规模较大的网络，包含大量的视频监控设备、业务系统等，客户端也分布比较广泛，在整个公安视频传输专网内应存在不同的安全等级，不同业务单元，不同授权访问范围，在网络访问控制上存在访问控制关系不严格的情况，可能带来内部安全问题，也方便入侵者扩大攻击范围。

缺乏安全态势的掌控

网络的建设过程中，对于安全决策者、安全管理者正在面临着资产看不见、风险理不清、资产管不住、流程跑不顺、责任查不出的难题。对于管理者而言，需要对全网或相关业务信息系统的整体安全运行状况有一个直观的了解、清晰的掌控，能获悉当前的安全态势、攻击分布、防护缺陷，需要掌握安全防护体系建设能力和管理能力。

公安视频传输网安全隐患总结

公安视频传输网安全防护体系建设建议

依据公共安全视频联网安全体系建设技术规范进行分区分域设计，分为前端接入区、横向边界区、纵向边界区、系统应用区及安全运维区。以下为各个区域涉及的产品；

前端接入区：威努特网络准入系统，终端检测与响应系统

纵向边界区：威努特第二代防火墙，入侵防御系统

横向边界区：威努特第二代防火墙，入侵防御系统

系统应用区：威努特第二代防火墙，入侵防御系统，上网行为审计与管理系统，WEB应用防火墙，漏洞扫描系统

安全运维区：威努特态势分析与安全运营管理平台，统一安全管理平台，日志审计系统，安全运维管理系统，数据库审计系统。

公安视频传输网安全防护示意图

建设依据

•《中华人民共和国网络安全法》（2016年11月7日颁布）

•《公安视频图像信息系统安全技术要求第1部分：通用要求》（GA/T 1788.1-2021）

•《公安视频图像信息系统安全技术要求第2部分：前端设备》（GA/T 1788.2-2021）

•《公安视频图像信息系统安全技术要求第3部分：交互安全》（GA/T 1788.3-2021）

•《公安视频图像信息系统安全技术要求第4部分：安全管理平台》（GA/T 1788.4-2021）

•《公共安全视频监控联网系统信息传输、交换、控制技术要求》(GB/T28181--2022)；

•《公共安全视频监控联网信息安全技术要求》（GB 35114-2017）

•《公安视频传输网建设指南（征求意见稿）》（公科信传发〔2017〕282号）

•《关于加强公安视频监控安全管理工作的通知》（公安科信传发〔2017〕222号）

•《关于印发加强公共安全视频监控建设联网应用工作方案（2015-2020年）的通知》（发改办高技〔2015〕2056号）；

•《全国公安机关视频图像信息整合与共享工作任务书》（公科信〔2012〕11号）；

•《关于进一步加强公安机关视频图像信息应用工作的意见》（公通字〔2015〕4号）；

•《公安部关于印发<关于大力推进基础信息化建设的意见>的通知（公通字〔2015〕18号）》；

•《公安部关于进一步加强公安机关内部视频图像信息资源整合与共享工作的通知（公传发〔2015〕582号）》；

前端接入区安全

资产管理：自动识别全网终端资产信息，实时监控系统状态并告警，保持业务连续性。

补丁管理：对全网终端进行漏洞扫描并漏洞类型进行多维关联按需修复。

安全运维管控：对终端进行应用程序识别与控制、网络安全防护、非法外联控制、外设使用控制、帐号密码安全检测、本地安全策略加固等。

终端准入控制（PC与IPC设备终端进行分区）：主要包括终端用户身份识别、终端设备认证、终端访问控制。

前端准入区安全示意图

纵向边界安全

纵向边界区主要实现派出所视频接入网，区县公安视频和市公安视频专网（天网、智能交通）之间的安全交互。在视频专网的纵向边界区，部署视频安全防火墙、入侵防御，对省、市、县之间进行逻辑隔离，启用访问控制策略和IPS功能，做边界防护。对上下行流量，区分视频数据和信令数据，同时结合应用识别功能，进行严格控制。任何越权的访问和不符合访问控制策略的操作都会被阻断。

纵向边界安全示意图

横向边界安全

横向边界区主要实现公安视频传输网与公安信息网、互联网以及电子政务外网之间的安全交互。通过建设公安信息网边界接入平台、互联网边界交互平台以及电子政务外网边界交互平台，保障公安视频传输网与其他网络间的安全连接以及资源的安全共享。

◎ 市级公安信息网视频边界

1）公安信息网视频边界接入平台链路

按照公安部《边界接入平台建设规范》要求，在公安视频传输网和公安信息网之间，建设带宽不低于万兆的公安信息网视频边界接入平台链路。通过公安信息网视频边界接入平台将公安视频传输网共享平台视频流单向推送至公安信息网联网平台，通过联网平台实现公安信息网内用户对视频图像的共享需求。

公安信息网视频接入链路应包括万兆防火墙、万兆入侵防御系统、万兆网闸和视频认证系统、集中监控系统等。

2）公安信息网数据资源交互链路

在公安视频传输网与公安信息网之间，建设数据资源交互链路。该链路在安全隔离情况下将公安视频传输网数据资源（如：数据库、文件等）的单向同步至公安信息网数据资源（如：数据库、文件等）。在安全防护的基础上，满足公安信息网与公安视频传输网之间数据资源共享与安全交换的需求。

公安信息网数据资源交互链路应包括万兆防火墙、万兆入侵防御系统、万兆网闸和万兆数据安全交互系统、集中监控探针等。

市级公安信息网视频边界安全示意图

◎ 市级互联网边界

互联网视频边界接入平台链路。

公安视频传输网与互联网之间的边界交互平台为公安视频传输网与互联网视频资源交互的唯一通道。

在市级公安视频传输网与互联网之间，应建设社会视频监控资源接入链路。该链路实现视频流单向传输和视频控制信令双向传输，能够实现公安视频传输网对社会视频监控资源的单向调用。在安全防护的基础上，满足从互联网端收集社会面视频资源的需求。

社会视频监控资源互联网接入链路包括万兆防火墙、万兆入侵防御系统、万兆网闸和万兆视频认证系统、集中监测探针等。

市级互联网边界安全示意图

◎ 市级电子政务外网边界

1）电子政务外网视频资源交互链路

在公安视频传输网与电子政务外网之间，建设一套视频资源交互链路。该链路实现视频流和视频控制信令的双向传输，能够实现视频资源的相互调用。在安全防护的基础上，满足将电子政务外网视频资源接入公安视频传输网，同时实现对电子政务外网用户共享公安视频传输网中视频资源的需求。

电子政务外网视频资源交互链路包括万兆防火墙、万兆入侵防御系统、万兆网闸和万兆视频认证系统等。

电子政务外网视频资源交互安全示意图

2）电子政务外网数据资源交互链路

在公安视频传输网与电子政务外网之间，建设数据资源交互链路。该链路在安全隔离情况下实现数据资源（如：数据库、文件等）的双向同步。在安全防护的基础上，满足电子政务外网与公安视频传输网之间数据资源共享与安全交换的需求。

电子政务外网数据资源交互链路应包括万兆防火墙、万兆入侵防御系统、万兆网闸和万兆数据安全交互系统等。

电子政务外网数据资源交互安全示意图

系统应用区安全

访问控制安全：部署防火墙实现视频图像信息共享平台数据中心的边界防护和访问控制；

入侵防御：部署入侵防御实现区域边界处的入侵和攻击行为的检测，并有效防护视频传输网内部网络进来的攻击行为；

流控审计：部署上网行为审计与管理设备实现用户访问可溯源；

平台应用安全：部署WAF设备对视频监控平台等B/S架构的业务系统进行安全防护，实现网页防篡改、HTTP协议加固等；

漏洞扫描：实现对公安视频传输网中运行的网络设备、操作系统、数据库、中间件、应用系统等IT资源的漏洞及时发现。

系统应用区安全示意图

安全运维区

◎ 安全态势感知平台

在网络的关键节点采集网络中的安全要素信息，综合分析安全风险问题，实现全网攻击感知、风险感知、漏洞感知、威胁感知、资产感知、运行感知等安全态势感知，能够对攻击行为进行回溯分析，对网络安全事件进行预测和预警。

◎ 数据库审计

通过部署数据库审计设备，对重要视频数据库进行数据库审计。

支持数据库操作请求、数据库操作响应实时动态审计，包括对原始SQL语句、包长度、请求时间、客户端IP地址、MAC地址、操作系统用户名、主机名、端口、使用工具、数据库用户名、终端名等数据库操作请求信息审计；支持对SQL语句执行结果、SQL语句执行时间、影响行数、SQL语句执行异常等数据库操作响应信息的审计；

◎ 日志审计

通过部署日志审计系统自动收集各种安全设备、网络设备、应用系统、操作系统所产生的海量日志信息。支持远程自动、代理两种日志收集模式。

支持Syslog、SNMP Trap、Netflow、JDBC等协议日志收集。支持将不同设备所产生的不同格式的难以理解的日志数据进行统一格式化处理，提炼有用的信息展示给管理者。

支持管理员从不同角度进行安全信息的可视化分析。审计报表支持按照排行、流量和概要进行统计，同时支持日、月、年等统计周期。对统计结果系统提供了表格及多种图形表现形式（柱状图、曲线图）。

◎ 安全运维管理系统

通过部署安全运维管理系统，实现运维管理身份鉴别和行为审计，安全运维管理系统主要实现以下功能：

单点登录。支持每位运维人员只能被授予一组管理平台的用户名和口令，通过运维管理平台一次登录系统后，就可以无需认证访问被授权的多个应用系统。

1）集中帐号管理。集中帐号管理包含对所有服务器、网络设备和其他设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理，而且还降低了管理大量用户帐号的难度和工作量。同时，通过统一的管理还能发现帐号中存在的安全隐患，并且制定统一的、标准的用户账户安全策略。

2）集中身份认证。管理平台为运维人员提供统一的认证接口。采用统一的认证接口不但便于对运维人员认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。

3）统一资源授权。管理平台提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护专网资源的安全。通过集中访问授权和访问控制可以对运维人员对服务器主机、网络设备的访问进行审计和阻断。

运维操作审计。操作审计管理主要审计运维人员的帐号使用情况（登录、资源访问）、资源使用情况等。在对各服务器主机、网络设备以及其他设备的访问日志记录都采用统一帐号、资源进行标识后，操作审计能更好的对帐号的完整使用过程进行追踪。

总结

公安视频传输网作为公共安全视频监控体系的关键组成部分，承担着保障公共安全和提升应急处置能力的重要职责。威努特具备针对公安视频传输网的网络安全建设能力，以先进的网络安全解决方案和全方位的服务可有效解决各种安全风险，为公共安全视频监控体系的稳定运行和信息安全传递保驾护航。威努特的产品以其卓越的威胁检测、实时响应和深度防御能力脱颖而出，不仅能够全面提升网络安全防护水平，还能优化系统运维效率，降低管理成本，确保视频数据的高效、安全传输。

渠道合作咨询田先生 15611262709

稿件合作微信:shushu12121

http://mp.weixin.qq.com/s?__biz=MzAwNTgyODU3NQ==&mid=2651127616&idx=1&sn=92c953b277ed13cd87a1864806d94c4e

威努特安全网络

提供安全、网络、云、计算一站式解决方案，服务于千行百业安全数字化转型。

最新文章

助力“智慧校园”建设丨威努特云桌面教育行业解决方案

重点防范！官方最新通报一批恶意网址和高危漏洞

威努特重要合作伙伴闭门研讨会（浙江）圆满召开！

一周全球重大网络安全事件速递（第四十七期）

威努特助力新能源汽车行业生产控制系统网络安全建设

威努特荣膺2024网络安全“金帽子”年度优秀安全产品

打造供应链安全壁垒：企业有效防范攻击的策略指南

远程办公新范式：威努特零信任安全访问控制系统

极速可靠，威努特助力高速公路构建综合信息化网络

威努特海事网络韧性新思路：基于“OT网络白环境”，构筑航运新防线

Gartner发布2024年中国ICT技术成熟度曲线：国产芯片登顶，生成式AI回落

一周全球重大网络安全事件速递（第四十六期）

高校监控系统屡遭入侵，威努特筑牢平安校园安全防线

附下载 | 车路云一体化网络建设部署指南

“白+黑”融合防护：重塑工业主机安全防护新高度

威努特邀您参与2024第二届中国海洋装备博览会“海事网络安全论坛”

全国高速“一张网”，联网收费系统该如何安全优化升级？

威努特工业交换机，筑牢特种玻璃智能制造行业生产基石

数据安全事件怎么分级，怎么上报？官方模板速取

一周全球重大网络安全事件速递（第四十五期）

威努特参编！我国首批工业互联网安全领域国家标准发布

安全隐患层出不穷，移动存储介质防护该从何入手？

筑牢高铁供电安全防线：威努特深度工控防护综合解决方案

威努特零信任：企业数字化转型安全建设的新路径

精准可靠 | 威努特风电场监控系统工业环网解决方案

2024年准东开发区专题讲座举办，威努特护航准东高质量发展

一周全球重大网络安全事件速递（第四十四期）

威努特亮相上汽集团新赛道技术创新高峰论坛，打造智能网联汽车安全新生态

护航智慧水利，威努特构建数字孪生流域“四预”工控安全体系

万物互联新时代，威努特助力企业一站式安全用网

安全强基：“等保”到“关保”升级之旅

构建绿色网络防线，威努特上网行为审计系统护航学生健康上网

附下载 | 《中国网络安全产业分析报告（2024年）》全文发布

一周全球重大网络安全事件速递（第四十三期）

医院无线覆盖全场景方案看看威努特怎么做

威努特态势感知：制药行业智能化转型的安全支撑

制造巨头海量数据被勒索公开！看威努特如何有效防治