长沙公安视频监控联网系统网络访问控制建设与应用

　　近年来,视频监控联网系统的规模持续扩大、智能应用深度不断拓展,其规模化、网络化、数字化特征更加显著,视频图像信息资源已成为重要的国家基础信息资源,也相应地带来了一定的安全风险。 因此,必须高度重视、充分认识加强视频监控联网系统安全管理工作的重要性和紧迫性,在政策、技术、管理等多个方面着手采取必要措施,切实提升对视频监控安全态势的掌控能力。目前长沙公安已经基本建设完成了覆盖全市的视频监控联网系统,并且取得了良好的实际效果,有力地协助了公安机关治理交通、打击罪犯。 但由于视频监控联网系统建设初期缺乏整体安全规划和统筹协调,随着互联互通、全网共享等目标的推进,在应用过程中逐渐暴露出一些安全问题。 由于摄像头等前端设备部署分布极为广泛,大多处于无人看守区,且当前视频监控系统已经进入了IPC时代,非授权人员只要简单地用计算机替换前端摄像头就可以轻松地实现网络的入侵和非法数据的访问。

　　随着GB 35114-2017《公共安全视频监控联网信息安全技术要求》的发布和推广,视频监控联网系统在信息传输、交换、控制方面的安全性得到了极大的加强,有效的保证了视频数据的安全性,但比较遗憾的是,该标准侧重应用层的安全要求,对网络层面的安全要求未做太多描述。

　　针对视频监控联网系统网络层面的安全防护问题,长沙公安积极开展网络访问控制方案的设计与论证,并结合GB 35114-2017《公共安全视频监控联网信息安全技术罗求》,建设一套“高度兼容”“相辅相成”的网络访问控制体系。

　　一、技术方案选型

　　网络访问控制(Network Access Control,NAC)是网络安全的一个技术分支,是一种软件技术和硬件技术的混合体,可根据终端设备符合策略情况对其访问网络能力进行动态控制。 网络访问控制方案的设计首先需要分析研究网络访问控制应用中常见的技术手段,不同的网络环境往往采用的技术手段不同。

　　国际权威的评测机构Forrester对整个NAC行业按照核心技术的选择划分为3大阵营:

　　(1)Software-Based NAC(基于端点Endpoint技术协议的NAC系统架构)以纯软件或协议方式(主机防火墙、ARP干扰)实现准入控制,代表厂商为微软等操作系统厂商提出的网络接入保护(NAP)技术。 该技术的设计目标是让管理者可以监视任何试图接入网络的计算机的安全状态,并确保接入的计算机都具有符合健康策略的安全防范措施。 不符合健康策略的电脑,将被接入到一个受限的网络环境,管理者可以在这个网络环境中存储一些安全软件,帮助这些安全性较差的计算机提高到符合要求的安全水平。 优点是价格便宜、部署方便,缺点是对没有安装Agent的设备控制较弱。

　　(2)Infrastructure-Based NAC(基于基础网络设备的NAC累统架构)依托现有网络交换设备协议框架实现准入控制,代表厂町为CBco提出的网络准入控制(C-NAC)技术。该技术的设计目标是要防止病寄.蛹虫等黑客技术对企业安全造成危害。在设备接入网络之前,C-NAC能够检查它是香符合企业最新制定的防病毒和操作系统补丁策略,有问题的主机将被隔离或限制网络接入苑围,直到修复为止。优点是架构成熱,可靠,倣点是对交换机晶牌,型号,软件版本具有极高的要求。

　　(3)Appllance-Based NAC(基于应用设备理念的NAC系统架构)是独立作为一个应用的NAC产品,通过与交换机标准协议对接实现准入控侧,代表厂商为远望,盈高、画方等专业准入厂商。该技术的设计目标是“不改变网络、不装客户端"。在设备接入网络之前或之后,通过第三方认证、应用识别等检查设备的合规性,有问题的设备将被隔离或限制网络接入范围。 优点是兼容性强、用户体验友好,快点是交换机需要开启相关配置。

　　长沙公安视频监控联网系统信息化建设已经达到一定高度,网络环境已经建设完好。选择的技术方案必须能够适应用户多种多样的接入环境,尽量避免改造网络,而且需要兼容GB 35114-2017《公共安全视频监控联网信息安全技术要求》的实施。

　　从上述技术方案的分析,结合视频监控网络的特点,Appliance-Based NAC最适合长沙公安视频监控联网系统。

　　二、关键技术分析

　　Appliance-Based NAC在应用过程中根据网络环境、控制强度的差异会采用不同的控制技术。

　　(一)IP-MAC绑定

　　相对于P地址可轻易更改,MAC地址则固化在网卡的EEPROM中,它由EEE统一分配,一次性写入,不能随意改动。因此,IP-MAC绑定的思想就是:将合法终端的IP地址与MAC地址写入交换机的访问控制列表中。 终端访问网络时,只有其IP,MAC地址均与访问控制列表匹配,才认为其是合法终端,允许其访问网络。

　　(二)VLAN隔离

　　在交换机上划分可信VLAN和不可信VLAN,如果入网设备未获得入网许可,则通过下发命令将对应端口划入不可信VLAN,按要求申报,审核获得许可后,再下发指令将对应端口划入可信VLAN:批准入网。

　　(三)策略路由

　　策略路由(Policy-Based-Route)是一种依据用户制定的策略进行路由选择的机制,通过将交换机流量牵引到专用的访问控制设备上,根据设置的路由进行访问控制。与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由基于到达报文的源地址、协议、传输层端口、数据包内容等信息灵活的进行路由选择。

　　(四)透明网桥

　　透明网桥(Transparent Bridging)指将专用的访问控制设备串联到网络中。透明网桥通常都保存一张网桥表,该网桥表记录目的MAC地址与接口之间的对应关系。透明网桥一般要作为网关、网桥或者代理服务器,所以需要对现有网络结构进行变动。

　　(五)旁路监控

　　“旁路监控”一般是指通过交换机等网络设备的“端口镜像”功能来实现监控,在此模式下,专用的访问控制设备需要连接到交换机的指定镜像端口,所以形象的称之为“旁路监控”。旁路监控模式部署起来比较灵活方便,只需要在交换机上面配置镜像端口即可,不会影响现有的网络结构。

　　长沙公安视频监控联网系统的建设主要采用以租代建模式,除核心交换层以外,汇聚、接入层都由运营商承建,交换机及网络的运维管理权限并不在公安,且长沙公安没有专业的安全管理团队。基于该情况,通过理论研究和一系列测试对上述技术进行了可行性分析:

　　(1)IP/MAC绑定方案需要安排专门的管理人员维护IP-MAC绑定表,视频监控联网系统中设备数量庞大,南方雷雨天气较多,视频监控设备维修更换频率高,维护工作压力非常大,如管理人员不在岗,将直接影响一线施工人员的工作进度,最重要的是启用了IP/MAC绑定方案无法兼容GB 35114-2017《公共安全视频监控联网信息安全技术要求》。

　　(2)VLAN隔离的控制效果比802.1x更强,缺点是需要更改全网的网络配置,对于长沙公安视频监控联网系统这样大型成熟网络的改造代价太大。

　　(3)策略路由对配置路由规则的技术能力要求非常高,需要有专业的保障团队来管理,长沙公安无相关专业团队.

　　(4)透明网桥方案需要将访问控制设备串联到网络中,该设备的处理性能直接影响现有网络的处理效率,可能会造成网络延时,而且如果访问控制设备出现故障,会导致网络瘫痪。

　　(5)旁路监控模式是从镜像端口拷贝过来的数据,对原始传递的数据包不会造成延时,不会对网速造成任何影响,访问控制设备一旦故障或者停止运行,不会影响现有网络,虽然在控制力度上相比其他方案弱一些,但胜在稳定和可靠。

　　长沙公安经过充分论证后认为旁路监控模式更适用于视频监控联网系统当前阶段的安全建设要求。

　　三、应用实践

　　长沙公安视频监控联网系统访问控制方案采用部署独立的访问控制网关。 目前将长沙公安的网络资源按照业务和安全等级划分为3个安全域:隔离区、修复区和工作区。隔离区指设备在身份认证前能够访问的网络资源;修复区指设备在通过身份认证但没有通过安全检查时所能访问的网络资源; 工作区指设备在通过身份认证和安全检查后能够访问的网络资源。

　　根据日常业务开展情况,将接入视频监控联网系统的设备分为三类:

　　第一类:驻场开发、设备维护、网络维护人员的终端。这类终端主要以PC和笔记本电脑为主。 对于这类终端,依据网络访问控制系统的设置,按以下程序进行处置:

　　(1)对未履行手续私自接入视频监控联网系统的终端,自动进行隔离,此类终端无法访问任何视频监控联网系统内的合法终端和应用服务;

　　(2)进入隔离区的设备可主动访问申报系统进行申报,等待管理员审批后,设备会自动进入修复区;

　　(3)进入修复区的设备可主动访问修复服务器下载杀毒软件、主机安全监控程序、体检程序,安装完成后体检程序会自动启动,如不通过体检,体检程序会协助修复,体检通过后进入工作区;

　　(4)根据PC设备使用人的业务特性,限制该PC只能访问特定的服务器。

　　第二类:民警、协辅警等在公安内部有正式身份的人员。这类人员一般使用PC,且设备使用较为固定,按以下程序进行处置:

　　(1)所有PC设备在使用前,由科通部门统一安装在主机监控程序中;

　　(2)每次开机或重新接入网络时对PC进行安全基线检查,包括是否安装了指定的系统漏洞补丁,是否安装了内部规定的杀毒软件,是否设置系统登录密码,密码是否是8位以上的字母、数字加特殊符号的组合,是否有设置共享。 检测后对不符合项给出提示,要求修复后才可入网。

　　第三类:哑终端。这类终端主要包括摄像头、存储、编解码设备等,这类设备无法安装主机监控程序中,根据设备特征,包括IP、MAC、端口服务、通信协议、厂商等构建设备指纹,根据指纹控制其访问范围。

　　四、结语

　　视频监控在现代社会中的重要性不言而喻,随着其在社会生活的方方面面所发挥的作用越来越大,监控系统所面临的风险也日益增加。 视频监控联网系统想要更加正常的运转,必须按照国家相关规定,加强网络安全传输、系统安全保障、重要信息安全管理,提升公共安全视频监控系统安全防护能力。

　　网络访问控制与病毒防治、补丁修复、系统维护等传统安全管理手段相辅相成,其接入控制、身份认证、基线核查等核心功能是网络安全管理必不可少的手段,视频监控联网系统引入网络访问控制体现了主动防御、整体安全的理念。

作者：黄开、邓袁钦、冯睿、姚龙飞

编辑：广汉