物联网架构下“雪亮工程”安全防护体系的设计与实现

一、背景

“雪亮工程”作为国家战略部署的重要抓手之一, 是在新形势、新发展、新机遇的环境下, 促进经济繁荣、维护国家安全和社会稳定、预防和打击暴力、恐怖犯罪的重要举措。

四川广电网络成都分公司紧紧抓住这一机遇, 在全域成都范围内开展了极具广电特色“雪亮工程”项目推广, 并通过在网络化、数字化、动态化条件下完善社会治安防控体系、深化“平安中国”建设的重要基础性工程, 对于提升城乡管理水平、创新社会治理体制具有重要意义。

四川广电成都分公司建设的“雪亮工程”是以县、乡、村三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。

它通过三级综治中心建设把治安防范措施延伸到群众身边, 发动社会力量和广大群众共同监看视频监控, 共同参与治安防范, 从而真正实现治安防控“全覆盖、无死角”。因为“群众的眼睛是雪亮的”, 所以称之为“雪亮工程”。

当前全国范围所建设的视频监控专网, 大多均未进行安全体系的建设, 导致视频专网的安全事件呈上升趋势, 成为黑客热衷的一块甜点。

为了遏制视频监控网络自身的安全, 以及相关联的政务系统的安全, 2015年国家九部委联合发布的996号文, 针对公共安全视频监控建设联网的建设指导明确要求对视频专网进行安全的全面防护。

前期《中华人民共和国网络安全法》由全国人民代表大会常务委员会于2016年11月7日发布, 自2017年6月1日起施行。对新的安全法案的解读可以明确:“雪亮工程”属于“重要行业和领域”的关键信息基础设施, 需要在等保合规的基础上, 进行重点防护, 具体将严格按照国家正在起草编制的指导要求进行建设。

目前, 四川广电成都分公司建设的“雪亮工程”终端探头已经有2万多个, 作为公共视频大联网系统建设一部分的“雪亮工程”, 如果构建其网络安全体系, 保障传输安全, 已经成为我们公司关注的头等大事。

二、“雪亮工程”专网的安全隐患风险及安全防范思路

“雪亮工程”专网的安全风险主要来自于内、外两个部分。

(一) 外部风险

(1) 更换摄像头、非法接入造成监控视频信息的泄露; (2) 利用设备漏洞进行远程控制, 如云台控制、回放控制、设备查询、录像下载等; (3) 利用视频链路改变通信协议窃取数据。

(二) 内部风险

(1) 内部用户访问控制不严格导致越权访问; (2) 从内部发起恶意链接攻击服务器, 导致服务器不可用实时监控失效等。

(三) 安全防范思路

参考上述风险和《GA视频传输网建设指南》的防护要求, 提出对于威胁防范思路:

(1) 视频专网需与外部网络有效的隔离, 防绕行; (2) 对视频访问以协议代理的形式进行, 剥离原有协议、防止夹带; (3) 严格的访问控制、协议识别, 对协议进行合规检查; (4) 对视频控制指令进行过滤, 防止高危操作; (5) 利用多因子认证对访问用户进行强制认证; (6) 用户访问情况进行监控, 以便事后追溯。

三、物联网架构的安全防护体系设计与实现

信息安全系统设计遵循“统一规划、分步实施”、“确保安全、促进应用”、“结合实际, 突出特色”、“遵循标准、规范建设”的原则, 具有先进性和良好的扩展性, 既能满足当前的应用需求、管理需求、安全需求, 也能随着信息化发展产生的新需求而方便灵活地进行功能、性能扩展。

四川广电成都分公司“雪亮工程”项目必须按照国家等级保护政策要求的三级防护相关要求, 基于物联网架构进行安全防护体系的设计, 实现具有以用户为基本粒度的自主访问控制, 具有较强的安全防护能力, 部署相关安全设备以点构面, 结合人工的安全服务, 形成动态且完善的安全防护体系保障“雪亮工程”长期安全可靠的运营使用。

在“雪亮工程”整体安全架构设计上, 对IPC (IP摄像头) 视频前端的安装部署, 通过我公司的专线链路资源进行承载回传, 在成都市视频监控调度管理中心管理平台 (各地部署当地存储) 进行存储供党政外网、互联网的移动终端APP、公安网等业务系统进行资源共享调取。

对于“雪亮工程”的视频专网建设, 主要包括:前端IPC, 数据承载通信网络、中心管理平台、资源共享安全边界四部分。对四川广电成都分公司“雪亮工程”的视频专网, 基于物联网架构进行安全防护体系的设计, 主要包括:前端IPC的准入安全、数据承载通信网络的架构安全、中心管理云平台的安全以及配套安全服务。

(一) 前端IPC的准入安全

“雪亮工程”所有IPC前端部署在分散的地理位置, 通过承载网络汇集至网络核心, 每个环节都存在很大程度的安全隐患, 四川广电成都分公司“雪亮工程”项目充分借鉴杭州交警视频专网的成功经验 (学习G20举办成功经验) , 采用创新方案, 引入安全准入网关, 通过IP、MAC、IPC的视频流特征码等多因子认证, 实现对所有前端IPC接入的安全准入, 将安全管控能力扩展覆盖至接入端。

基于广电基础网络的实际情况, 及项目的建设规模, 采取分散式部署, 将硬件的终端准入网关部署在EPON网络OLT节点与IP网络之间;也可以根据试点建设规模, 进行集中部署在管理平台中心交换机与OLT之间。

(二) 数据承载通信网络的架构安全

“雪亮工程”针对数据承载通信网络的架构安全, 需要在网络建设方案的设计中充分考虑。其中主干承载网络充分冗余设计, 网络产品的关键部件冗余设计, 无源EPON网络充分的光衰、容错设计;以保证整体网络架构上的冗余, 保证架构安全。

另一方面在公司EPON网络未覆盖需新建或EPON网络需升级改造的情况下, 考虑所有IPC的部署环境相对恶劣, 采用工业级以太网交换机, 实现环网组网, 满足数据承载通信网络的架构安全, 同时产品的工业级特性, 符合村落部署IPC实际恶劣环境的要求。

(三) 中心管理云平台的安全

“雪亮工程”中心管理云平台, 作为“雪亮工程”的大脑中枢, 汇集所有前端IPC的视频源信息, 面向各个政务系统提供资源共享。基于政务云平台的建设, 未来政务系统均面向云模式发展, “雪亮工程“欲基于”云“架构进行中心管理平台的建设, 充分实现”动态扩展、按需服务“的云特性。

对中心管理平台的安全防护建设, 按照国家信息安全等级保护制度第三级要求, 一方面采用传统的安全建设, 在安全网关核心节点进行部署一系列传统安全防护产品, 包括防火墙、入侵防御系统、web应用防护系统、服务器优化系统、漏洞扫描系统、数据库审计系统、行为审计系统、运维审计系统、日志分析系统等, 构建平台业务数据纵向流量的安全防护体系;另一方面基于“云”模式中心管理平台的安全防护, 通过安全网关集成的防火墙、入侵防御及防病毒网关等安全模块, 基于VXLAN组网和L2~L7层的N:M虚拟化能力, 实现平台业务数据虚拟机之间横向流量的安全防护体系;围绕“云平台自身架构安全、云平台业务运行安全、云平台运营管理安全”几个议题, 详细的阐述云环节下的安全防护设计。

1. 云平台自身安全架构

云数据中心的安全体系架构, 第一个维度是云基础架构的安全问题, 为每个应用提供相对独立的网络环境, 我们定义为整套安全体系的物理层面的安全。

采用标准成熟的VXLAN技术, 实现虚拟机流量的Overlay承载, 实现传统边界从接入交换机的端口延伸至虚拟机网口, 实现对一台物理服务器内多个虚拟机的流量感知能力, 解决多租户隔离的安全问题。

目前各大网络厂商对于虚拟机流量感知所倡导的技术路线, 包括VEPA、VN-TAG等;其中cisco私有的VN-TAG因为其私有性, 需要服务器支持VN-TAG的网卡与其配套, 真正项目交付落地过程中, 总存在于很大的局限性;以HP为代表的VEPA技术, 需要虚拟机支持VEPA技术, 而截止目前VM仍未支持VEPA技术, 真正项目交付落地过程中, 依然存在很大局限性。

对云数据中心充分思考, 采用成熟的技术, 引入VXLAN的Overlay技术实现对虚拟机流量的感知, 解决虚拟机之间安全防护的难题;目前虚拟机层面已经完全支持VXLAN技术, 采用支持VXLAN的安全网关产品, 与虚拟机层面的VTEP实现Overlay隧道的连接, 每个虚拟机分配一个VID, 所有虚拟机流量无论二层VXLAN的交互还是三层VXLAN的交互, 均要通过安全网关, 这样即可实现将流量牵引出来至安全网关进行安全防护, 解决虚拟机之间流量安全隔离问题。

2. 云平台业务运行安全

云数据中心的安全体系架构, 第二个维度是安全策略的部署问题, 即为应用按需提供所需的安全能力, 定义为整套安全体系的逻辑层面的安全。

基于安全云模式, 是针对云计算自身的安全需求提出的解决方案。在安全云中, 通过多虚一和一虚多技术, 可以实现安全网关的快速扩展和细粒度的多租户安全资源分配能力。

设计需要机框+业务板卡产品形态的安全网关产品;一方面在性能上规避传统网络与安全的性能瓶颈, 另一方面在虚拟化技术实现能力上, 需要全面的实现N:M虚拟化, 以迎合“云”架构的IT硬件资源池化的建设要求。

多虚一将多个物理安全网关或业务板卡虚拟成为一个逻辑上的虚拟设备, 形成一个大的安全资源池。在这个安全资源池中, 安全的性能和功能都可以按需扩展, 性能不够可以增加一块同类型板卡, 功能不够可以增加一块其他业务板卡, 甚至可以整台设备进行扩展, 满足即插即用的动态性能扩展。针对此安全资源池, 还可继续进行一虚多虚拟化。一虚多虚拟化可以针对不同的租户划分出不同的VSA (虚拟安全设备) , 可以从VNID、CPU、内存、吞吐量、并发连接数、新建连接数、路由协议等维度进行划分, 从而实现1个租户、1个VSA、1个配置界面、N个VNID的目标, 满足资源池按照业务需求的动态分配;通过这一系列技术真正的从硬件层面解决新一代云计算中心对全局虚拟化能力的要求。

对于业务处理的逻辑流量处理方面, 可以借鉴cisco近两年提出的“服务链” (service Chain) , 基于创新的业务处理技术, 所有流量的安全防护均以接口来定义, 业务流量需要什么安全功能的管控, 只需要通过web界面按需勾选即可实现。

3. 云平台运营管理安全

云数据中心的安全体系架构, 第三个维度是云管理问题, 即满足云计算架构下全局对接能力, 定义为整套安全体系的管理层面的安全。

需要云安全网关自身即已提供了非常方便的管理方式:只需登录一个管理界面即可对所有安全功能模块进行管理, 而无需像以往一样登录到各个安全产品中进行配置和管理。在云计算中, 越来越多的人采用了专门的云管理平台来对云计算中的网络、存储、计算资源进行管理。Open Stack是目前最主流的云管理标准技术, 需要云安全网关全面支持基于Open Stack的云管理, 用户可以像管理计算、存储、网络资源一样管理迪普的安全设备, 实现真正意义上的资源自动配置管理, 以满足不同租户的自组网需求 (同租户IP地址重叠、不同租户安全策略防护自定义等) 。

从以上这三个维度, 在“雪亮工程”设计方案中进行全面的考虑, 实现专业的高性能硬件设备解决了云环境下的安全问题, 将云计算与安全资源无缝融合。

4. 配套的安全服务

“雪亮工程”作为一个大型的关系国计民生的项目, 按照国家相关规定, 须采用等级保护 (三级) 标准进行建设, 涉及物理安全、网络安全、主机安全、应用安全和数据安全等, 必须建立一套完善的信息安全防护体系。

“雪亮工程”是以开放的层次化的网络系统作为支撑平台, 为使各种信息安全技术功能合理地作用在网络系统的各个层次上, 从安全管理和安全技术两方面, 综合人员、技术和运行管理等实际情况, 制定统一的认证管理、多级访问控制和加密保护措施, 建成统一完整的安全体系结构, 在物理安全、运行安全、信息安全、管理安全和标准规范等多个层面保障信息系统的安全。信息系统的安全保障体系如下图所示:

根据以上的分析, 通过采用技术、管理与运行等各方面的措施, 建立信息系统的信息安全保障体系, 确保系统的信息安全。

技术措施:身份认证、防火墙、入侵检测、入侵防御、安全审计、防病毒、漏洞扫描等;

运行措施:备份与恢复、远程容灾、病毒的检测与消除、电磁兼容等。

管理措施:建立信息安全职责制度、系统操作流程、系统安全响应流程、系统培训制度、信息系统人员管理等一系列规范。

四、结束语

“推进农村‘雪亮工程’建设”, 短短10个字, 出现在《中共中央国务院关于实施乡村振兴战略的意见》中, 这既是“雪亮工程”首次被写入中央一号文件, 也意味着平安乡村建设将进一步提速, 随着平安城市的建设推进, 提高社会治安综合治理智能化水平, 推动公共安全视频监控建设联网应用, 已经成为平安中国建设的必要手段和必经之路。四川广电网络成都分公司建设的“雪亮工程”影响力和建设规模正在逐渐增大, 同时“雪亮工程”属于“重要行业和领域”的关键信息基础设施, 加强视频专网的安全防护是我们必须重视的, 而且这项工作也必须坚持不懈并一直在路上。

摘要：“雪亮工程”是一项充分发挥视频监控系统的作用, 来推进社会治安防控体系建设的一个国家重点建设项目。其中, 建设一个视频共享平台, 即视频专网, 用于监控视频的采集和对外共享, 是该项目的重点工作之一。同时, 社会治安在“雪亮工程”的建设下得以保障, 但是如何做好“雪亮工程”这张视频专网的安全防护呢?本文从建设专网信息安全防护必要性, 提出了安全体系建设的设计思路及实现。

关键词：雪亮工程,物联网架构,信息安全防护