-
当前视频监控系统已深入应用于各个关乎国计民生的行业领域,其中还不乏关系国家安全的重要部门。这就意味着这些视频资料都是具有高度保密价值的信息,一旦遭受非法窃取,后果不堪设想。因此对于各个视频监控网络特别是诸如公安这样的重要部门,需要采取完善的技术手段防止安全威胁带来的严重影响。
在前期各地的公安视频专网建设中,普遍存在“重应用,轻安全”的情况。公安视频专网的应用非常丰富,承载了治安监控、道路监控、指挥调度、打击犯罪、社会管理、服务群众等大量的业务功能,而公安视频专网的安全建设基本处于空白状态,存在极大的安全隐患。
安全新挑战
近年来,为了适应越来越复杂的治安形势要求,国家、政府大力推进了“智慧城市”、“平安城市”、“天网工程”等视频监控系统的建设,逐渐形成了覆盖整个城市和乡镇的视频监控网络。但是,随着视频监控网络建设和应用的发展,其面临的安全风险越来越突出,视频监控系统必须迅速应对新的安全挑战。
视频专网规模大、分布广、结构复杂,面临诸多失控失管风险。
视频监控设备部署地点大都暴露在道路、街区等公共场所,极易被恶意侵入。
视频监控系统大量应用背后暗藏信息安全危机,视频监控网络安全监管系统建设基本处于空白状态。
-
远望视频专网安全监管系统为软件和硬件设备相结合的产品,主要包含全网资产发现及注册管理、设备准入控制及安全体检、网络边界及非法互联发现、终端安全监管与审计、文件输出严格监管、前端设备接入控制及远程运维、工作协同级联监管、全网安全态势展示等功能,系统符合GB/T28181安全防范视频监控联网系统国家标准的相关要求,通过系统建设,建立并完善视频专网的安全管理技术体系和工作机制,强化视频专网设备的发现、准入、安全保障,做到“设备可知、入网可信、边界可控、行为可查”,确保视频专网的安全运行。
-
视频专网安全监管系统包含数据态势展现、全网资产实时统计、安全风险自动发现、入网设备统一管控、文件输出严格监管、视频系统综合运维、故障告警集中管理和业务处理流程化管理主要功能。
(1)态势展示
能够以地图、图表、报表等展现形式,集中展示各类安全监管类、资产统计类、风险展示类和视频运维类等信息。
(2)全网资产实时统计
能够统计视频专网硬件、软件、终端设备、视频专用设备、备品备件设备等资产,能够实时自动发现终端计算机、服务器、视频图像监控设备、网络设备等,对终端软件安装及变更、硬件信息及变更、IP地址使用情况进行统计监管;支持对各类资产的数量、类型等进行分类统计和管理;对资产的生命周期、备品备件库存情况进行管理。
(3)安全风险自动发现
支持对终端环境风险、终端运行风险和违规外联情况的自动发现;能够根据用户考核要求,结合安全风险情况,对被考核对象进行安全考评。
(4)入网设备统一管控
系统可以对各类设备接入进行隔离、安全检查,并对终端进行控制管理。
(5)文件输出严格监管
具有敏感信息识别、文件输出审计和移动介质管理、视频水印等功能,能够对文件非法复制、拷贝等行为进行审计,严格管控。
(6)视频系统综合运维
具有音视频设备故障统计、故障监测、音视频设备弱口令检测,批量修改密码等功能。
(7)故障告警集中管理
对安全管理、故障运维的告警信息进行统一管理,并根据故障告警影响的严重程度,对告警信息进行分级处理。
(8)业务处理流程化管理
根据告警的级别管理员可通过手工或自动的方式生成事件,系统会对事件处理的流程、服务满意度效果进行跟踪管理。
-
1、关键技术方面
快速设备识别与智能准入。设备扫描器可根据操作系统指纹、设备访问协议等特性,智能识别设备类型,区分边界接入设备、终端计算机设备和视频设备等,为不同类设备采用不同准入控制策略提供基础,便于对全网设备的分类管理。
网络边界自动发现与监管。通过对双网卡设备,网闸、路由边界、网络代理边界、NAT边界等各类边界的检查和管理,实现对视频专网设备私自连接其它网络现象进行监管,防止因边界问题而导致信息泄密,病毒木马入侵;对视频专网计算机设备的非授权外联进行监管,通过应用网络状态监测、实时抓包分析、定时外联监测及通信防火墙等技术,及时发现违规外联行为并进行防护。
文件输入输出管控。对计算机设备上使用的U盘、移动硬盘、SD卡等移动存储介质进行统一注册管理,;对计算机设备上的刻录行为进行权限管控与行为审计;对所有视频录像存储设备上的文件导出行为进行统一审计记录,为事件查处提供有力依据。
视频水印管理。通过在终端计算机增加水印功能,有效减少信息泄露的途径,保证外泄后可追溯,且提高外泄后使用成本。信息外泄后能准确的锁定到泄露信息的地区、设备、和人员。
基于统计学习的风险识别和分类。根据风险评估指标体系,确定风险分析时需要使用的特征,形成符合要求的数据格式;可以对大量的访问数据实现自动地分类和识别,改善风险评估过程的自动化程度,有效地降低人工成本。
安全风险全方位实时感知,数据统一展示与建模方法。安全风险的全方位实时感知技术将每一项安全风险都智能的进行关联,以便全面的提供给管理者;还提出了面向安全风险的数据统一表示与建模方法。
(2)管理机制方面
全网资产管理。系统对用户资产进行登记、汇总,提供设备台账管理、库存管理、资产查询和资产统计功能。登记资产信息根据资产类型不同对资产的信息进行统计,包括资产基本属性、生命周期属性、使用属性等。
建立了安全管理信息化流程,确定省厅、市局以及区县等各级领导职责、确定各级安全管理员职责,将责任体系与行政管理体系相结合,形成安全管理绩效评估体系。其次,实现安全管理流程信息化,将文件上规定的安全事件处理流程、安全工作协同流程等进行信息化,使各流程得到有效执行。
建立了安全风险扁平化发现机制,将使用户存在的各类风险实时迅速上报,通过资产管理、风险评估等,强化对各种潜在威胁、薄弱环节和防护措施可靠性的分析,使其能够提高应对未知威胁的能力。同时,扁平化的风险发现机制,可减少专家型管理员的配备,大大降低对各级管理员的高技能要求。
建立了主管领导安全绩效评估体制,确定了在整个安全管理流程中各级领导分别承担的责任,明确省厅、地市及区县等各级领导职责,将责任体系与行政管理体系相结合,实现有效的绩效评估。
(3)平台架构方面
多级级联管理架构,“上下级联”。通过分级管理,实现跨地域分散部署和集中管理。“分散不分立”,形成有效的安全管理架构,实现多级级联。
灵活的分权管理机制,“上下齐管”。平台可以由统一的管理中心对主机进行管理,并且提供了基于安全角色的授权管理机制 。“上下齐管”,保证了管理的安全性。
高度模块化设计,需求响应迅速。平台采用模块化设计,用户可以根据不同安全需求定制采购。针对新的安全需求用户可以采用委托开发或者自主开发方式扩展和增强内网安全管理功能。