各大高校都正在积极完善视频专网建设，深入开展“平安校园”创建工作，河南省发布了《河南省教育系统安全专项整治三年行动实施方案》，提出强化学校人防物防技防建设，全面提升各级各类学校安全防范建设整体水平；湖北省发布了《湖北省学校安全条例》，从安全管理职责、校园安全管理、应急与事故处置等部分，明确公安机关应当在校园周边安装视频监控装置，将校园及周边安防视频监控系统和紧急报警装置接入本系统监控和报警平台。因此，原有校园视频专网、安防监控系统的网络安全防护建设也需适应新的要求。

高校一般通过校园安防监控系统工程项目来新建安防专网及分控中心，配合平安校园管理平台的升级改造来实现以下目标：

• 校园视频监控、入侵报警、消防报警、楼宇门禁系统、车辆门禁系统、巡查系统、可视对讲、智能测温等子系统整合联网。

  
  

• 与教育部及公安部门联网。

在视频专网前期建设中，由于早期建设标准要求和面临安全风险的历史局限性，往往并未同步考虑网络安全因素，而面对联网后的风险暴露面扩大、网络安全要求越发严格等现状，为避免发生类似“滕州市学校视频监控系统被植入恶意信息”“美国加州学校监控被黑客攻击”“安防公司Verkada遭黑客入侵，数百家学校、医院、警察部门、监狱视频信息泄露”等安全事件，学校在后期校园安防监控系统工程项目中应当同步考虑视频专网的安全建设，规范校园公共安全视频图像系统的建设和管理工作，有效保障视频专网运行效能和网络安全。

图1 校园安防监控系统示意图

校园视频安防网具有视频设备资产数量大、网络分布面积广、视频设备厂商多的特点，使得视频设备资产的精确管理和监控非常困难，无法反映实时的资产状态。摄像头多安装在室外等公开场合，很容易被替换成非法接入设备（黑客发起攻击的笔记本、主动探测类设备）。攻击者通过前端接入区接入非法设备，从而对其他摄像机、后端存储平台、视频管理系统和办公网络等发起攻击。

图2 室外摄像头

国内外曝光的新闻事件都反映出安防设备存在的安全风险需要引起高度重视，此前，某省公安厅发布的特急通知称，某安防监控品牌生产的监控设备存在严重安全隐患，部分设备已经被境外IP地址控制，要求各地立即进行全面清查，进行安全加固，消除安全漏洞。

图3 国内某安防设备风险曝光新闻

另外，国内知名黑客网站红黑联盟爆料称，某安防监控品牌的大量数码录像机设备被曝光存在远程代码执行漏洞，黑客可以由此直接获取设备最高权限。

一旦缺乏合规性检测手段，办公座席终端的违规登录、修改摄像机配置、非法权限的视频查看和下载、对办公席位终端或监控大屏的拍照截图等行为无法得到发现和拦截，极易对学校造成负面舆论影响。

视频监控网络服务器平台多采用B/S架构，为提供丰富的统计、分析、展示和交互功能，系统采用大量新技术，且采用多种开源、商用应用组件，使得管理系统平台自身的安全问题较多，同时Web服务器的常见漏洞也会出现在视频监控系统平台上。

为了实现不同边界的接入，而将网络进行互联，会存在其他网络对视频监控网络进行非法访问、攻击的隐患，系统面临从终端、内网、其他网络边界发起的安全攻击，存在非法访问、配置修改、拒绝服务、僵尸网络控制、信息泄露、信息篡改等安全风险。

视频专网建设，应当满足行业监管要求，纳入平台统一进行防护、监控、审计与管理。在满足监管合规性的同时，也应当满足以下安全需求。

在视频网络中，应当保障网络安全。应当有检测手段与防护手段保障网络的可用性。视频接入设备的网络连接终止于视频接入认证服务器，严格禁止视频接入设备对校园信息通信网的直接访问或直接与公安信息通信网交换数据。

适用范围：各分控中心、总控中心前端视频摄像接入、外部必要访问接入等。

• 未通过身份认证的视频接入设备禁止连接视频接入链路；

  
  

• 必须对信息通信网内使用视频接入业务的用户进行注册和权限管理，未经身份认证的用户禁止访问视频接入业务；

  
  

• 通过身份认证后的用户只能进行授权范围内的操作，禁止非授权访问资源及系统操作；

  
  

• 可识别资产属性，包括IP、MAC、设备类型、厂商品牌等。

  
  

视频接入链路与视频专网之间必须采用专线或VPN加密方式连接。

适用范围：各分控中心、总控中心前端视频摄像接入、外部必要访问接入等。

传输安全需要做到如下几点：

• 能够保证对敏感的视频信息传输进行通信机密性保护，防止视频信息通信网敏感数据外泄；

  
  

• 对控制信令进行“白名单”方式的格式检查和内容过滤，仅允许符合格式要求的控制信令数据通过，对不符合格式的数据进行阻断和报警；

  
  

• 视频数据格式检测按照预先注册的视频数据格式，对所传输的视频数据进行实时分析和过滤，对不符合格式的视频数据进行阻断和报警；

  
  

• 采取必要的安全技术防范措施，防止视频数据夹杂恶意代码进入信息通信网。

  
  

终端安全主要体现在如下几个方面：终端用户身份识别、终端设备认证、终端访问控制、传输保护。

适用范围：办公席位终端电脑、内网服务器终端等。

• 视频专网接入内网链路的终端是指内网调用外网视频监控系统资源的计算机终端，只有通过身份认证的用户才能被允许连接，保证接入用户身份的合法性；

  
  

• 内网服务器终端需经过认证后才可接入网络环境进行通信；

  
  

• 内网访问终端应当进行准入认证、防病毒与防泄密管控、移动介质、外设接入管控。

  
  

在第三方接入和需要调用视频文件，进行传输的场景下，应当在边界进行安全隔离，并且限制文件的交换。

此外，还需要对视频调用进行审计。

适用范围：第三方接入区、内部运维行为等。

需对视频专网内的设备进行管理。

适用范围：视频专网。

• 对视频接入终端需进行集中管理；

  
  

• 对访问终端进行准入管理；

  
  

• 对网内设备与系统进行漏洞管理；

  
  

• 对设备密码等配置进行合规性管理；

  
  

• 对视频网运维操作进行集中管理；

  
  

• 对视频网合规日志进行统一收集存储。

  
  

总控中心、部分分控中心作为所有视频监控、车辆卡口、人脸识别等前端采集设备的统一接入与管理平台集中区域，在视频专网上运行，其他应用平台基于深化业务应用开展设计规划，所需视频及图片非结构化资源由总控共享平台统一提供。因此总平台应用区防护乃重中之重，应遵循满足业务发展、适度防护的原则，应采用入侵检测、网络审计、资产探测、漏洞扫描、补丁管理、防病毒、身份认证、运维操作审计、日志审计、系统加固等安全技术措施进行安全防护，提升系统应用区的整体安全水平。

适用范围：总控中心、数据中心区域。

• 能通过持续监测资产状态，发现僵尸IP情况；

  
  

• 对视频监控终端进行行为监控，发现异常行为，并实时阻断；

  
  

• 对设备异常外联行为进行监控，并提供设备来源信息；

  
  

• 建立终端准入机制，实现终端、IPC和IOT设备的准入控制，可通过IP地址、MAC、白名单、协议等设备认证方式对接入设备进行管理，协议准入兼容视频协议；

  
  

• 通过弱口令检测，对专网网络进行脆弱性分析；

  
  

• 通过检测、阻断、限流、审计报警等防御手段，对蠕虫、后门、木马间谍软件、Web攻击、拒绝服务等攻击进行有效防御；

  
  

• 建立针对视频存储平台（NVR等 ）的应用层攻击检测能力，包括：SQL注入攻击、XSS攻击的检测和防御，对Web服务系统提供保护。

  
  

接入链路是视频接入业务与公安信息通信网之间的专用通道，将其作为公安信息通信网边界接入平台的一条独立链路，纳入平台统一监控、审计与管理。要求实现对视频接入业务的注册信息管理、运行监控管理和安全审计。

此外，还需实现如下审计手段：

• 对视频访问用户的操作，进行审计；

  
  

• 对网络流量进行审计；

  
  

• 对网内设备的运维操作，需要进行录屏，命令行归档等形式的留存与审计；

  
  

• 对网内设备的日志，进行集中存储与审计。日志留存时间应当满足《网络安全法》6个月以上的要求。

  
  

• 《中华人民共和国网络安全法》

• 《信息技术安全性通用评估准则》ISO/IEC 15408（CC）

• 《信息技术安全技术信息安全管理体系》GB/T22080-2016

• 《信息安全技术网络安全等级保护基本要求》GB/T22239-2019

• 《信息安全技术网络安全等级保护安全设计技术要求》GB/T25070-2019

• 《公共安全视频监控联网信息安全技术要求》GB35114-2017

• 《安全防范视频监控联网系统信息传输、交换、控制技术要求》GB/T28181-2011

• 《物联网智能终端信息安全白皮书》

• 《公安视频图像信息应用系统》GAT1400-2017

• 《国家信息共享平台总体规划》（雪亮工程）

• 《视频传输网络建设指导意见》（征求意见阶段）

• 《关于加强公共安全视频监控建设联网应用工作的若干意见》（996号文）

• 《信息系统安全等级保护技术要求》

• 《GA/T 1788.3-2021公安视频图像信息系统安全要求-第3部分：安全交互》

  
  

校园安防视频监控网络安全核心仍是保护视频数据安全，视频数据的安全需要从视频数据的产生、传输、存储及共享的整个生命周期进行考虑。

区别于其他网络系统的安全，视频监控网络最大的不同就是视频前端设备安全及可用性要求，需要进行针对性的考虑。

校园安防视频监控网络安全建设方案从区域划分上考虑分区分域、重点保护、满足业务发展、适当保护等原则，先进行合理的区域规划、拓扑设计，再进行分区域安全防护建设设计。

图4 校园安防监控系统整体安全防护建设示意

校园视频专网区域拟划分为接入域、数据中心域、办公终端访问域、安全管理域。

接入域又分为视频终端接入区、用户访问接入区、第三方接入区。

总控中心、分控中心各个视频终端摄像头，部署于该区域内。视频终端接入区需要有终端的准入与管理，保障终端完整性，并进行集中管理。

其次，视频传输过程应当加密，防止被截取与篡改。

此外，视频传输流量应当有检测与防护手段。

用户访问接入区，用于提供用户访问的入口。首先需要确认用户的身份，以及鉴定用户的访问权限。其次，如果用户有权限访问的场合，还需要确保视频调用时的完整性。

第三方接入区，主要是为满足上级监管的要求，与第三方开放的接口（例如公安行业用于调查取证的第三方接入）。第三方接入区，主要需要进行安全隔离与数据的有限交换。

数据中心域又分为视频存储备份区、系统平台应用区两大区域。

存储区主要用于视频的回传存储，多为集中式存储集群。存储区是与上文三个接入域均有交互，应当满足上述三个接入区的安全要求。此外，存储区还应当对磁盘阵列、服务器集群等进行冗余配置。

如需查询历史视频记录，也需要先经过身份鉴别后，才能访问该区域调用视频数据。

系统平台应用区主要包括校园视频传输网中各级网络相关的服务器、应用系统、数据库等。

总控中心共享平台作为所有视频监控、车辆卡口、人脸识别等前端采集设备的统一接入与管理平台，其中包括校园视频监控、入侵报警、消防报警、楼宇门禁系统、车辆门禁系统、巡查系统、可视对讲、智能测温等子系统和其他应用平台，因此总平台应用区的防护乃重中之重，应遵循满足业务发展、适度防护的原则。

内部办公席位，多为个人PC。只有经过授权的PC与账号，才可以进行安全运维操作，或访问视频存储备份。

总控中心核心交换域作为承载整个校园安防网的核心区域，向下归口收集各分控中心数据流，向上对接教育、公安共享接入，横向对接数据中心域、办公终端访问域、安全管理中心域。

依据信息安全等级保护制度要求，应当合理规划安全管理域。该区域包含可信运维终端（部署数据中心运维专用终端，原则上机房现场运维必须使用数据中心安全运维专用终端，运维终端不能带离数据中心），C/S架构集中管控端（终端威胁与检测系统、终端数据防泄漏系统、安全准入系统等）、审计系统（运维审计、日志审计）、漏洞扫描系统等。

威努特物联网安全接入网关不仅具备有线数据传输能力，也具备4G无线数据传输能力。通过接入运营商4G网络，产品能够在复杂的大型分布式网络中正常进行数据传输，解决有线网络覆盖面有限的问题。

图5 威努特物联网安全接入网关核心能力示意

自学习建立物联网终端设备白名单，同时支持手动编辑，以白名单为基线进行终端设备接入的检测，一旦有未知设备接入网络即产生相应的告警以提醒管理员及时处理。

分布式摄像终端节点数量较多，且处于无人值守状态，安全设备下端连接的业务设备存在网口意外掉落、人为将网线拔出等问题，部署在摄像头前端的安全设备，具备网口状态异常时，及时向总控中心告警的能力，第一时间提醒运维人员定位前端点位中的非法操作。

在校园安防视频专网用户边界，应当采取以下防护措施：

通过下一代防火墙设备，开启入侵检测、防病毒功能，启用安全防护策略。

图6 威努特第二代防火墙安全能力示意

视频文件有可能会在不同部门、不同边界（如公安或政府调用的场景）交互，因此还需要对视频数据进行隔离交换，一般是通过部署网闸或光闸等设备来实现。

网闸具备专有隔离交换模块，可实现基于硬件的安全隔离，阻断具有潜在攻击可能的一切连接，又进行了强制内容检测，能够有效在两网间实现安全隔离与业务数据可靠交换。在视频专网场景下，可以开通视频文件的交换权限，对受信的外部调用请求进行视频传输。

图7 威努特安全隔离与信息交换系统（网闸）功能示意

在视频存储备份区，部署存储备份服务器集群，用于存储视频历史记录。可以采用分布式的方式进行部署。

通过虚拟化技术，在存储节点中搭建虚拟机作为载体支撑流媒体服务器，不仅具备良好的隔离性，并且能将存储系统富余的计算能力、空间资源充分利用起来。

图8 流媒体服务示意

图9 威努特分布式存储视频场景应用示意

威努特备份与恢复系统可后接磁带介质、磁盘介质、云存储（对象存储）等存储空间，用于备份系统容量的扩展，且不限制第三方品牌设备，方便客户的选择和利旧需求。

图10 威努特备份与恢复系统备份介质兼容及定时数据备份技术示意

系统平台应用区主要包括校园安防视频传输网各级网络相关的服务器、应用系统、数据库等。

参考《公安视频传输网建设指南》（征求意见稿）中“安全保障设施”，遵循满足业务发展、适度防护的原则，应采用入侵检测、网络审计、资产探测、漏洞扫描、补丁管理、防病毒、日志审计、系统加固等安全技术措施进行安全防护，提升系统平台应用区的整体安全水平。

其中，总控中心共享平台作为所有视频监控、车辆卡口、人脸识别等前端采集设备的统一接入与管理平台，在视频专网上运行，校园视频监控、入侵报警、消防报警、楼宇门禁系统、车辆门禁系统、巡查系统、可视对讲、智能测温等子系统和其他应用平台基于深化业务应用开展设计规划，所需视频及图片非结构化资源由共享平台统一提供。因此总平台应用区防护乃重中之重，应遵循满足业务发展、适度防护的原则，应采用防火墙、入侵检测、运维操作审计、日志审计、web安全防护与审计等安全技术措施进行安全防护。

分控中心提供的视频及图片资源共享到总平台，总控中心汇总共享到教育、公安行业专网。应遵循满足业务发展、适度防护的原则，应采用防火墙、入侵检测、运维操作审计、日志审计、web安全防护与审计等安全技术措施进行安全防护，提升系统应用区的整体安全水平。

应当对视频专网内的办公席位终端进行管理。通过部署安全准入系统，以准入网关结合终端威胁与检测、终端数据防泄漏客户端的形式，可以对终端准入、终端恶意代码防护、病毒特征库升级、软件与补丁批量分发、终端防泄密等进行管控。

首先，利用准入网关硬件，配合终端准入客户端，对终端资产的准入进行管理：只有授信的终端才可接入网内，访问视频专网。对非信任终端，应当采取阻断的方式，禁止接入内网。

图11 威努特安全准入系统能力示意

其次，对内网PC终端应当统一部署终端威胁与检测系统，防止终端病毒感染造成的对视频专网的破坏，还需对PC终端的USB使用，违规接入等进行限制。

最后，使用终端数据防泄密系统，从刻录控制、移动存储介质控制、打印控制、剪贴板控制、网络控制、截录屏控制及拍照保护等方面对视频影像数据的非法泄漏行为进行控制，敏感内容展示时形成水印，用于对抗截屏，拍照等泄密行为。

图12 威努特终端数据防泄漏控制手段示意

在日志审计方面，可以通过收集与分析入侵日志，数据操作日志，业务交互日志，数据库访问日志，运维操作日志等，对敏感数据的增删改查进行审计。

此外，根据《网络安全法》要求，日志留存期应当至少6个月。

在运维审计方面，重点对运维操作进行录屏、记录命令行等操作，用于对运维人员恶意或无意泄密进行记录便于后期追溯，并可以设定高危命令阻断，如禁止拖库、删库等。

通过对信息系统进行漏洞扫描，并对发现的漏洞进行加固，是减少数据被破坏与泄露的手段之一。在网络中部署漏洞扫描系统，只需定期对当前网段上的重点服务器、主机以及web应用进行扫描，即可得到当前系统中存在的各种安全漏洞，并且有详细的对应的补丁或修复方案。

威努特物联网安全接入网关通过统一安全管理平台进行统一配置管理和告警日志收集，所有配置都可以针对具体的某个接入网关。为了方便管理多个具有相同业务的接入网关，系统还引入了分组的概念，可以对同组的设备一次性配置。

通过对前端接入、光端机到汇聚之间串联视频物联网安全接入网关，实现指令级别的实时精准控制，与旁路镜像的安全准入系统、C/S架构的终端威胁与检测系统形成完整全面立体的校园安防视频网安全准入机制。

对校园安防视频网络中的核心业务进行划分区域，重点保护，通过合理划分安全域，对重要数据留存的视频存储备份区、系统平台应用区进行重点保护，通过采购web应用防火墙（WAF）、运维审计、日志审计、漏洞扫描、高级威胁检测，对核心业务形成重点防护、精准防护。

本文概述了高校在推进“平安校园”建设工作中，视频专网建设的必要性和面临的安全挑战。早期视频专网建设往往忽视网络安全因素，导致后期面临多种安全风险，包括视频接入安全难以监管、设备存在安全漏洞和弱口令、视频数据易泄露滥用、服务器平台安全风险以及网络互联带来的安全风险等。为应对这些挑战，威努特提出校园安防视频网网络安全建设方案，包括加强视频接入和传输安全、实施严格的身份认证和权限管理、采用加密技术保护视频信息等措施，以确保视频专网的安全稳定运行，为平安校园建设提供坚实的技术支撑。