摘　要

　　對公安機關來講，海量的視頻圖像信息已經成為打擊犯罪、治安防控、維穩處突、社會管理的重要資源，承載著視頻資源的“視頻專網”更是重中之重。綜上所述，視頻專網的安全問題更顯得尤為重要。未來公安視頻專網架構拓撲中，對專網中視頻的整合應用方式、資產管理、前端安全準入、基礎安全防護系統、安全監管平臺等多方面專網安全節點進行研究分析，是公安警務網絡架構搭建的重要工作。

　　0

　　引　言

　　隨著我國城市化進程的發展，視頻監控系統作為維護社會公共安全的重要載體和工具，遍布城市各個角落和人民日常生活的各個領域，其功能和作用愈發顯著。鶴崗市公安局以“雪亮工程”建設項目為契機，根據市局黨委2020年度全局“七個一”工作清單戰略部署，利用“視頻專網”將新建視頻資源整合，全力打造全局前端設備“一張網”的概念，即將“視頻專網”作為全市視頻資源的載體，將重點區域、重點場所、公交車、出租車、執法執勤車輛、執法記錄儀（無線物聯網卡視頻回傳）等符合要求的視頻資源全部整合到“一張網”中，實現全局“一張網”掌控全市動態。

　　鶴崗市副市長、公安局黨委書記、局長徐連斌提出的“三警戰略”中“科技強警”以及“大數據賦能、信息化增效、科技化強警”的主導思想，奠定了2020年鶴崗市公安局信息化工作的主基調。將智能化、大數據思維，融入到鶴崗市公安局科技信息化建設當中來，開拓民警創新性思維模式，大力支持“發明創造”，開啟“數字鶴崗”新時代。

　　鶴崗市公安局立足于“視頻專網”的研發創新，于2020年5月13日成功申請由中華人民共和國國家版權局頒發的計算機軟件著作權登記證書（3項）。計算機軟件著作權登記證書的頒發，開創了鶴崗市公安局“國家著作權”的先河。同時憑借對視頻專網應用的積累，將會有越來越多的想法和創新得到實踐，越來越多的成果得以應用。對公安機關來講，海量的視頻圖像信息已經成為打擊犯罪、治安防控、維穩處突、社會管理的重要資源，承載著視頻資源的“視頻專網”更是重中之重。綜上所述，視頻專網的安全問題更顯得尤為重要。

　　1

　　現狀和需求

　　近年來，公安視頻專網的建設規模正在不斷擴大，專網前端的IP接入設備（如IPC、RFID等）的種類與數量正在不斷上升，這些前端設備被廣泛應用于治安管理、交通疏導等領域，與國計民生息息相關；同時，如人臉對比、車輛識別、大數據分析等核心業務，也正向公安視頻專網遷移，目前的公安視頻專網事實上已經成為一張承載海量終端與海量數據的物聯網。

　　公安視頻專網的重要性正在不斷提升，隨之而來的安全問題也日益凸顯，一旦出現黑客攻擊、數據竊取等事件，將有可能造成治安管理失控、交通管制失效、敏感信息泄漏、LED屏幕倒流信息篡改等后果，嚴重危害社會穩定。

　　與此相對的是，由于點多面廣，大部分公安視頻專網無法部署有效的安全策略，前端設備與后端業務基本處于直連狀態，大量無人值守的接入終端被黑客利用成為攻擊源。攻擊者可利用分散在社會各處的前端設備接入整個網絡中，對核心業務系統展開攻擊，甚至竊取保密信息。因此，如何解決來自于前端設備的安全風險、如何防護視頻專網后臺的安全、如何監測視頻專網中的異常情況成為公安視頻專網安全體系建設的突出問題。

　　本文就視頻專網的安全問題進行研究分析，未來如何將前端視頻資源整合到視頻專網當中，后端平臺應當如何建設才能避免非法數據危及整個視頻專網，一旦發生非法入侵，如何才能保證視頻專網的安全。在整合視頻資源的同時，如何保證視頻專網的安全性，是擺在廣大公安民警面前的一項重要課題。

　　2

　　關于視頻專網安全建設

　　2.1　視頻專網安全準入系統建設意義

　　按照“嚴控邊界、縱深防御、主動監測、全面審計”的思路，以前端準入控制系統、數據中心基礎安全防護系統和公安視頻監控安全監管平臺建設為重點，構建視頻傳輸專網安全防護技術體系，實現對視頻傳輸專網的實時監測、網絡異常情況的及時預警、違規入侵的及時處置、安全事件的及時溯源取證，全面提升視頻監控系統安全防護能力，確保重要視頻圖像信息不失控、敏感視頻圖像信息不泄露。

　　2.2　視頻專網安全準入系統應用價值

　　（1）對前端非法私接和仿冒進行防范，實現接入前端視頻專網設備后，阻斷網絡入侵和非法數據的訪問。

　?。?）通過視頻專網安全準入系統，解決因視頻專網特性導致前端設備部署規模龐大、網絡分支較多、網絡攝像頭接入地理位置分散、人為監管困難的問題。

　?。?）解決目前視頻資源訪問無法追蹤，造成信息安全管理失控問題。

　?。?）通過部署視頻專網安全準入系統，解決因視頻專網實時視頻流的高吞吐、高轉發性，導致傳統安全設備部署困難的問題。

　　2.3　視頻專網安全準入系統建設方式

　　2.3.1　準入終端特征識別，禁止非法終端入網

　　通過建立合法資產庫，對合法終端進行特征識別，禁止非資產庫終端接入網絡，確保接入終端合法。

　　2.3.2　業務特征深度識別，實時處置非法業務

　　通過建立視頻專網安全準入系統內置視頻協議白名單，深度識別符合GB28181、Onvif、GB35114-2017以及GA/T1400等標準的視頻業務，只允許視頻業務通過設備，實時阻斷非法業務流量并告警，在終端合法準入的基礎上，進一步實現對視頻專網的深層次防護。

　　2.3.3　業務流量全面審計，不法行為無處遁形

　　通過安全監管平臺實時展示和記錄非法訪問行為和正常業務，通過非法流量告警日志實現前端風險實時精準定位，通過大屏快速呈現在什么地點、什么時間發生了什么行為，讓網絡風險降到最低。通過合法業務的記錄，可以回溯三個月內正常訪問業務系統的所有行為。

　　2.3.4　網絡資產精準識別，終端信息多維呈現

　　通過主動掃描、被動監聽和手動設置等手段采集視頻專網中的攝像頭、PC、NVR等接入設備的資產信息，包括設備IP、設備類型、在線狀態、接入鏈路狀態、廠家、地理位置等，并進行分類統計，建立統一的資產庫，解決多安防廠家并存的情況下接入資產難以統一監管的問題。

　　2.3.5監管平臺級聯部署，全網信息集中展示

　　通過建立視頻準入監管平臺支持三級級聯部署，下級平臺實時向上級平臺匯總資產、告警以及網絡質量等相關信息，多種信息在上級平臺進行匯總，分類、排序等處理，通過可視化頁面呈現全網資產狀態、安全態勢等信息，并且上級平臺針對未及時處理的安全事件，可通過監管平臺通知下級進行處理，確保業務穩定、安全運行。

　　3

　　視頻專網安全準入整體規劃

　　建設公安視頻傳輸專網安全防護體系，在前端接入網絡側，需構建視頻監控前端準入控制系統，完成對視頻前端接入設備的認證和接入數據的管控。在平臺側，建成視頻監控數據中心基礎安全防護系統，完成應用防火墻、入侵防御等安全防護設施的部署；在數據中心區域，建成視頻監控安全監管平臺；實時精確掌握視頻傳輸專網運行安全狀態。

　　建設公安視頻傳輸專網前端準入控制系統以“接入設備可信、接入數據可控”為原則，采用專業物聯網準入控制設備，通過主動掃描、被動監聽和手工設置等手段，建立前端接入數據協議白名單準入機制，實現對網絡中非法惡意行為的識別、告警和實時阻斷，避免非法訪問、入侵攻擊等非法數據接入公安視頻傳輸專網。

　　3.1　資產管理

　　視頻監控網資產數量多，分布廣泛，視頻網建設方式多樣化，導致用戶對現網資產的具體情況無法準確把握，通過建立視頻專網安全準入系統，需支持豐富的資產管理功能，幫助用戶發現識別視頻專網資產詳細情況、IP地址利用情況以及支持和公安“一機一檔”系統進行對接。

　　3.1.1　資產掃描和管理

　　視頻專網安全準入系統，應具備識別主流但不限于?？怠⒋笕A、宇視、天地偉業等安防廠商的設備，通過主動掃描、被動監聽和手動設置等手段采集視頻專網中的攝像頭、PC、NVR等接入設備的資產信息，包括設備IP、設備類型、在線狀態、接入鏈路狀態、廠家、地理位置等，并進行分類統計，建立統一的資產庫，解決多安防廠家并存的情況下接入資產難以統一監管的問題。視頻專網安全準入系統將掃描的設備經過確認建立合法資產庫，生成準入白名單，資產庫還實時顯示資產的鏈路質量，實時發現終端是否穩定，避免出現視頻卡頓、丟失等情況。

　　3.1.2　IP地址管理

　　視頻專網安全準入系統，應支持以圖表的方式展現IP資源的實際使用情況，包含已使用、未使用IP地址以及每個IP地址的終端類型，協助管理員對視頻專網IP資源使用進行整體規劃，快速完成IP資源分配、回收登記管理。IP信息展示方式分兩個維度，支持基于組織架構查詢，也支持基于IP網段查詢。

　　3.1.3　“一機一檔”對接

　　視頻專網安全準入系統，應包含視頻資源“一機一檔”作為公共安全視頻網網絡準入及安全管理系統子模塊，為視頻監控日常管理、宏觀規劃和實戰應用提供快速、準確、翔實的技術數據。視頻專網安全準入系統資產管理功能應支持將掃描獲取的信息按照公安部“一機一檔”格式進行導出并支持和公安“一機一檔”系統進行對接，充分滿足公安視頻圖像信息管理的應用要求。

　　3.2　終端安全準入

　　視頻專網安全準入系統，應具備通過身份認證功能區分合法終端，有效防御私接對網絡造成的危害。物聯網中絕大部分終端是啞終端，不適合通過認證客戶端或者Portal方式進行認證，針對物聯網的特點，視頻專網安全準入系統主要有以下幾種準入機制。

　　3.2.1　基于終端特征準入機制

　　視頻專網安全準入系統應具備采集前端設備的IP、MAC、系統信息、類型等信息生成唯一指紋的功能，對視頻監控設備的接入進行指紋識別，如果終端指紋和設備指紋庫信息一致，前端終端允許接入視頻專網，對指紋信息錯誤的終端實時阻斷并告警。（如圖一所示）

　　圖1 終端特征準入機制

　　3.2.2　基于GB28181標準的準入機制

　　GB28181作為公共安全視頻監控聯網系統信息傳輸、交換、控制技術要求，公安視頻傳輸網的設備應該遵循此標準進行信息傳輸、交換，但現在公安視頻傳輸網業務大量使用私有協議承載，導致“一機一檔”信息采集困難，運維管理不統一，視頻專網安全準入系統應支持識別IPC是否采用GB28181標準接入，對不符合國標的終端可進行告警和阻斷。

　　3.2.3　基于GB35114-2017標準的準入機制

　　GB35114-2017作為視頻監控聯網視頻信息以及控制信息安全保障的要求，要與準入控制機制相結合，在強制要求按照GB35114-2017標準建設的視頻專網中，視頻專網安全準入系統應通過對注冊報文、控制報文以及視頻流報文進行深度識別，對不符合GB35114標準的終端進行實時阻斷并告警。

　　3.3　協議白名單過濾

　　視頻專網安全準入系統應具備基于接入數據協議特征建立業務白名單功能。需內置主流安防廠家的視頻等接入業務的協議特征庫，并支持特征庫手動擴展功能，默認關閉非業務端口，對于業務端口基于協議特征庫白名單進行數據管控。須只允許授權的終端接入視頻專網。當數據接入視頻專網時，對數據進行逐包協議特征解析，并與協議特征白名單進行匹配，如果白名單匹配成功，則將數據放行，如果匹配失敗則將數據實時阻斷，并進行實時告警。（如圖二所示）

　　圖2 白名單過濾原理

　　3.4　建設視頻數據中心基礎安全防護系統

　　視頻專網數據中心安全防護是保護數據中心核心軟硬件運行安全的系統。為運行在視頻傳輸專網數據中心的各類監控系統、應用系統、數據庫服務器等核心業務系統提供安全防護措施，使數據中心具備訪問控制、攻擊防護和病毒過濾等安全能力。

　　需在核心業務前端通過部署防火墻、入侵防御、防病毒、漏洞風險檢測等安全防護設備，將公安視頻傳輸專網數據中心區域與其他區域進行安全隔離，實現數據中心與其他區域之間的安全連接和訪問控制。

　　3.4.1　防火墻

　　通過部署防火墻設備，實現對不同區域的安全劃分，在不同的安全域之間形成網絡邊界，通過邊界保護策略，有效規避大部分網絡層安全威脅，降低系統層安全威脅對視頻專網數據中心的影響。利用邊界防護手段，嚴格規范業務系統的數據傳輸及應用，防范不同網絡區域之間的非法訪問和攻擊，從而確保數據中心各個區域的有序訪問。

　　3.4.2  IPS入侵防御&防病毒

　　通過部署入侵防御&防病毒模塊，對各種蠕蟲、木馬、病毒、SQL注入、網頁篡改、惡意代碼、網絡釣魚、間諜軟件等攻擊提供有效的安全防護。在遭到0day攻擊時，可通過還原攻擊特征及內容，有效準確地檢測出各種應用上的攻擊，判斷對方的惡意，準確地將漏洞行為特征分析出來，通過內置的協議防護策略，結合系統內部集成的協議正規化規則，對不符合協議規則的網絡數據進行過濾防護。

　　3.4.3　漏洞風險檢測

　　通過部署漏洞風險檢測設備，對資產進行指紋提取及分析，可快速發現現網存活設備，對其進行精細化的資產信息展示。識別各類系統漏洞、中間件漏洞、數據庫漏洞、云平臺漏洞、WEB漏洞、行業漏洞。模擬人工滲透方式對漏洞進行驗證，自動判斷漏洞的真實性。對私接互聯網、私接路由、一機兩用、隨身WiFi等行為主動監測，預防出現跨網信息交互事件。

　　3.5　建設公安視頻監控安全監管平臺

　　應建設公安視頻監控安全監管平臺（簡稱：視監安管平臺），此平臺是對視頻傳輸專網安全設備以及攝像機資產統一監測的可視化管理平臺，通過該平臺建設，能夠實時精確掌握視頻傳輸專網運行安全狀態。

　　安全監管平臺應支持大屏顯示，通過可視化方式展示資產數量、資產運行狀態、資產廠家統計、資產類型統計、資產在線率、網絡鏈路質量以及入侵告警信息等。

　　安全監管平臺應支持多種日志信息，包括非法私接、非法仿冒、終端接入、終端行為、資產掃描、非法外聯、“一機一檔”、DDoS防護多種日志信息，各種日志信息支持全因素查詢檢索，資產掃描日志，支持基于設備IP、終端IP、廠商、類型、組織關系、變更原因以及時間的多維度查詢，方便用戶快速檢索有價值的信息。

　　4

　　結　語

　　隨著大數據時代的高速發展，視頻專網安全技術也應順應時代，甚至要走在時代前列，應不斷開拓創新，推進公安工作信息化向縱深發展。