平安城市視頻監控系統網絡安全研究＊

杜慶靈

平安城市視頻監控系統網絡安全研究＊

杜慶靈

（河南警察學院信息安全系，河南 鄭州 450000）

重點研究了平安城市視頻監控系統網絡安全問題，分析了視頻監控系統網絡架構、邏輯架構，探討了支撐視頻監控系統網絡安全技術，給出了保障網絡邊界安全、視頻專網內部安全、接入安全的技術方法，可為平安城市視頻監控系統建設及應用提供參考。

視頻監控；網絡安全；視頻圖像信息；微卡口

1 引言

視頻監控系統是平安城市的重要組成部分，近年來發展迅猛，其內容主要包括治安視頻監控、道路視頻監控、智能卡口（電子警察）、人臉比對、微卡口、移動監控等子系統，使用主體主要有公安機關、政法部門、政府相關部門等，為使用者提供涉及人、車、事、物等要素的視頻圖像信息。通常，公安機關是視頻圖像信息的主要管理者，視頻監控系統已成為社會治安防控的重要手段。許多學者從技術、應用等不同的角度進行了深入探討，但隨著視頻圖像信息的大規模應用，其安全性也越來越重要，因其使用的主體較多，跨越互聯網、公安網邊界等因素，網絡安全是一個十分重要的問題。本文重點研究視頻監控系統的安全問題，并給出相應的解決方案。

2 視頻監控系統總體架構

2.1 網絡架構

平安城市視頻監控系統主要管理者是公安機關，其對象不但包括政法、公安等部門自建的系統，還包括通過聯網方式整合的社會建設系統，比如居民小區、學校、醫院、工廠等。綜上所述，使用視頻圖像信息的用戶較多，視頻監控系統的網絡結構如圖1所示。

圖1 網絡結構圖

視頻專網：用于匯接各類政法、公安機關自建的視頻監控系統，可在此網布署視頻圖像信息共享平臺，通過安全邊界向公安網和互聯網用戶提供信息。

互聯網：互聯網包括公共網絡和各種專網（如電子政務外網），主要實現社會視頻監控資源的接入和對外提供公共服務等。在此網絡內可布署社會資源接入平臺及社會公共服務平臺。

公安網：此網絡用戶可以通過安全邊界向視頻專網調用各種視頻圖像信息，并開展各種應用。在此網絡內可布署視頻圖像信息綜合平臺和聯網平臺。

2.2 邏輯架構

視頻監控系統邏輯架構如圖2所示。

圖2 視頻監控系統邏輯架構圖

前端感知信息采集層：負責各場景音視頻信號的采集，包括智能卡口、監控攝像機、電子警察等。

網絡傳輸層：主要指公安網、視頻專網、互聯網等。

基礎設施層：指各種存儲、計算資源等。

服務支撐層：指各種中間件、算法、模型等。

應用展示層：指面向各類用戶提供各種服務。

標準體系：統一的編碼標準、聯網標準和接口標準等。

安全與運維體系：安全包括物理安全、網絡安全、主機安全、數據安全等，運維指日常的運維服務，如信號質量診斷、掉線等。

3 視頻監控系統網絡安全技術

如前述，視頻監控系統的安全體系包含數據安全、主機安全、網絡安全等，本節重點探討網絡安全的問題，為視頻監控系統達到等保三級提供技術支撐。

3.1 網絡邊界安全

以市級公安機關的視頻專網為討論對象，其網絡邊界可劃分為縱向和橫向邊界，縱向邊界主要指上至公安廳，下至所轄縣公安局的視頻專網邊界，橫向邊界主要指與同級公安網、電子政務外網、互聯網的邊界。對于縱向邊界，因同屬視頻專網，其邊界防護可采用防火墻、防病毒系統、入侵檢測系統等技術手段，制訂相應的安全策略。對于橫向邊界，因涉及公安網、電子政務外網、互聯網等，在公安網邊界采用以公安網為主的防護措施及視頻邊界，現省轄市級公安機關均已實現。存在的問題是視頻信息在兩網之間的交互可能有延時。因電子政務外網的使用對象為黨政機關，且電子政務外網也屬于專網，因此，其邊界防護可采用防火墻，通過制訂訪問控制策略，防止非授權用戶的非法訪問。與互聯網邊界，因涉及社會資源的接入及為外提供服務，加之社會資源接入的復雜性，在邊界處應布署防火墻，入侵檢測系統等安全設備，對社會資源進入視頻專網的數據進行未知威脅檢測，防止防火墻未檢測出的威脅進入視頻專網。當檢測到威脅存在時，與防火墻等安全系統一起將特征代碼刪除或隔離。防火墻可安全策略分為以下幾方面：①可對防火墻進行虛擬化設計，在防火墻上為每個租戶劃分虛擬防火墻，可按照VLAN方式，根據流量與VLAN標簽一起到防火墻后，根據VLAN對應進入到每個虛擬防火墻進行安全檢查，實現對各租戶業務的安全隔離；②所有流向的數據均經防火墻進行安全檢查；③對防火墻進行安全設計，除具備基本的安全隔離功能外，還可開啟畸形包檢查過濾，以及嚴格的訪問控制權限，對掃描類的攻擊行為進行過濾，對訪問網絡設備的掃描報文進行檢查，確定其IP的來源，是管理員IP即為合法，非管理員IP認定為攻擊。

3.2 視頻專網內部安全

對視頻專網內部安全可采用訪問控制技術、入侵防御技術等進行安全保護。訪問控制可采用PKI/PMI技術實現，因視頻專網信息的使用者是民警或輔警，民警在公安專網內信息訪問已使用PKI/PMI方式進行控制，而且PKI/PMI已拓展到外網，實現了外網數字身份證書機制，將這種機制移植到視頻專網即可，對輔警，通過PKI/PMI系統的擴展，可對輔警頒發類似民警外網的數字身份證書的訪問控制設備，實現有效的訪問控制。

在視頻專網的服務器區布署入侵防御系統，檢測針對HTTP、FTP、DNS等服務器的各種攻擊，比如緩沖區溢出、服務漏洞、注入攻擊、跨站腳本、目錄穿越等攻擊；檢測蠕蟲、木馬、間諜軟件、廣告軟件、僵尸網絡等惡意軟件等。

入侵防御系統是基于多種先進安全技術的檢測技術，可有效地檢測各種已知或者未知的威脅。其設計基于全面檢測、準確分析、多面展現的理念，采用協議智能識別技術，自動區分不同應用和協議，無需人工設定協議端口，基于漏洞的檢測技術以及基于攻擊特征的檢測技術，可發現各種已知的攻擊，如漏洞、蠕蟲、木馬等。

3.3 接入安全

視頻專網內存在接入地點廣泛、網絡基礎設備較復雜等情況，有必要對入網設備進行認證，可啟用802.1x認證協議對所有接入視頻專網的設備進行MAC認證。只有通過認證的網絡設備才能接入視頻專網，為了防止非法接入，可啟用網絡設備識別功能，實時對網絡設備進行掃描，識別出真實的設備類型，發現非法入侵進行告警?？蓪σ曨l專網的攝像頭、網絡設備、終端等設備進行注冊、登記（包括 MAC 地址、物理位置、IP地址、型號、廠商等），確保公安視頻專網所有IP設備的規范化管理，統一注冊、統一審批。

4 結束語

平安城市視頻監控系統的承載網絡安全級別較高、規模龐大、網絡分支較多、網絡攝像頭接入地理位置十分分散、人為監管困難、信息量大且較為敏感等特點，導致網絡終端設備、網絡攝像頭等設備以及網內信息存在較大的安全風險。因此，有必要對視頻監控系統網絡安全進行深入研究，采用網絡安全技術、制訂安全策略，實施安全管理，從視頻終端、視頻設備、計算機終端、服務器、網絡設備，視頻終端弱口令，數據和行為安全等方面進行全方位的管控。防止出現視頻專網網絡攝像頭等設備的私接和仿冒、專網內異常訪問和流量影響視頻、視頻專網數據泄露等問題。建立一套完整的設備入網管理流程，對設備的入網進行規范化管理，從而保障視頻專網的安全性。本文主要從安全技術方面對視頻監控系統的網絡安全進行了探討，給出了解決視頻監控系統網絡安全的技術方法，本文的研究有一定應用價值。

［1］孟輝，李穎，李帥，等.公安視頻監控專網應對網絡攻擊的安防策略［J］.遼寧警察學院學報，2019（3）：7-10.

［2］單曉輝，單洪偉，劉祥.公安視頻數據安全面臨的機遇與挑戰［J］.中國公共安全，2019（5）：117-121.

［3］周亞.基于云時代的網絡視頻信息傳輸安全保障性探討［J］.中國安防，2019（4）：100-102.

2095－6835（2019）22－0059－02

TN948.6

A

10.15913/j.cnki.kjycx.2019.22.018

杜慶靈，男，河南鹿邑人，博士后，教授，主要研究方向為公安信息化、信息與網絡安全。

安全防范技術與風險評估公安部重點實驗室科研項目（編號：18AFKF242）；河南省教育廳重點科研項目（編號：20B52007）；河南警察學院校立項目（編號：HNJY-2018-17）

〔編輯：張思楠〕