产品展示
摘要:综合应用国密标准算法,实现覆盖视频监控前端设备到后端管理平台的完整产品解决方案,实现视频监控系统数据采集、传输、存储和应用过程中的安全防护。主要包括前端安全监控设备、后端中心管理平台、安全解密模块。以身份认证、数据加密技术为核心,结合密钥管理技术及运行监管技术,保障视频数据的真实性、完整性,防止敏感视频数据外泄,抵御木马病毒致瘫监控系统的威胁。
关键词:国密应用、视频监控、信息安全、人工智能
1.概述
由于公安、司法、军工单位管理的安全要求,需要对重要区域进行实时监控可视化管理。但随着科技进步、社会发展,可视化管理网络化程度的不断提高,客户单位对可视化管理系统的网络防护性要求也越来越高,现有的普通行业网络安防监控系统虽然带来了高清化、智能化的高效管理,但同时一些网络安全漏洞及弊端也逐渐显露,已无法满足重要场所的网络防护管理需求。
尤其在2014年2月,“棱镜门”事件后,国家更是将信息安全列为重中之重,并成立了中央网络安全和信息化领导小组,中共中央总书记、国家主席、中央军委主席习近平亲自担任组长,着眼国家安全和长远发展,推动国家网络安全和信息化法治建设,不断增强安全保障能力。
针对重要场所视频监控信息遭截获、数据库遭窃取、平台遭非法访问等方面的问题,从系统的安全性、可靠性、实用性、先进性等方面出发,推出了重要场所视频监控安全防护整体解决方案。
通过对重要场所视频监控系统的安全需求分析,结合视频监控系统的业务特点,遵照等级保护相关要求,建立体系化的安全机制,保障重要场所视频监控系统的安全,提升重要场所视频监控的安全防护能力,保证视频监控系统的稳定、可靠、安全运行。
2.需求分析
当前普通视频监控管理整体架构在开放性的TCP/IP网络上,物理层、接入层、传输层、数据层、应用层和管控层均存在不同的安全威胁和安全风险。
图1 普通网络视频管理漏洞示意图
(1) 物理环境安全需求
需要加强物理机房的环境安全,确保物理机房具备防盗、防破坏、防火、防水、防雷的能力。需要对摄像头设备进行物理加固,防止人为移除、破坏摄像头等行为。需要在关键区位部署电子门禁,防范非法人员闯入关键区域。
(2) 前端接入安全需求
需要在关键监控位置的摄像头中部署密码模块并集成数字证书,防止摄像头的非法接入,并从源头加密视频信息,防止视频信息在网络传输中被窃取和监听。
(3) 网络传输安全需求
TCP/IP网络承载着视频数据、信令数据和应用数据,应当采取网络安全防护措施,保障网络传输安全,包括数据传输加密、网络访问控制、网络入侵防御、网络行为安全审计等等。
(4) 存储访问安全需求
在进行视频数据存储的时候,应当对重要视频数据进行加密存储,同时应当对视频资源进行容灾备份。在访问、播放视频数据的时候,应当通过身份认证、授权鉴权机制保障用户身份的合法性,并通过数据解密操作来使用视频资源。
(5) 后端应用安全需求
应当通过数据库操作行为审计、应用系统安全加固等措施,保障后台应用系统操作和业务流程的安全性。
(6) 综合管理安全需求
应当通过集中的身份认证、密钥管理、终端管理、病毒管理、漏洞管理等措施来管控系统内的软硬件资源,及时掌握系统面临的安全风险并作出应对处置。
3.方案架构
参考相关安全法律法规政策,从物理环境安全、前端接入安全、网络传输安全、存储访问安全、后端应用安全、综合安全管理等方面进行技术保障,并实现管理保障和运维保障,对重要场所视频监控系统进行全方位的安全防护保障,支撑系统高安全性运行。安全视频监控系统在通用视频监控业务平台的基础上通过集成安全模块,分别从视频监控前端设备、监控平台和展示终端三部分实现设备接入认证、系统可信运行、视频数据加密和监控信令完整性保护等安全机制,架构设计如下图所示:
安全视频监控系统安全架构图
图2 总体架构图
法律法规政策包括等级保护、数据安全、视频监控相关标准,行业性标准政策以及地方性安全政策,引领和指导安全保障平台的建设。
安全技术保障包括物理环境安全、前端接入安全、网络传输安全、存储访问安全、后端应用安全、综合管理安全。前端接入安全包括对摄像头的身份认证以及摄像头处的信源加密,保障摄像头的安全接入与重要视频数据的安全保护。网络传输安全包括网络传输加密、网络访问控制、网络安全审计、网络线路安全、网络入侵防御等安全措施,保障重要场所内视频监控系统数据传输的安全。存储访问安全包括存储加密、身份认证、主机监管、介质管控、容灾备份、主机病毒防护等安全措施,保障重要场所内视频数据的安全存储与访问。后端应用安全包括数据库审计、应用访问控制、应用身份认证、服务器加固等安全措施,保障重要场所内视频应用的安全。综合管理安全包括安全管理、密钥管理、身份认证、漏洞扫描、终端管理、病毒管理,实现对前端接入、网络传输、存储访问、后端应用的综合管理。
安全管理保障包括管理机构及职责、管理制度、系统建设管理。
安全运维保障包括运行维护机构及职责、日常运行管理、工作人员管理、应急与应灾、安全防护。
3.2部署说明
安全区划分如图所示。重要场所视频监控系统划分为前端接入区、存储访问区、后端应用区以及重要场所综合管理区。前端接入区按照摄像头的安全级别划分为重点监控区和普通监控区。重点监控区内承载重要安全系列摄像头。普通监控区内承载系统兼容普通摄像头。
在重点监控区的半球摄像头、筒机摄像头、球机摄像头、热成像筒机摄像头中部署USB密码模块,保障安全摄像头的安全接入和视频数据的信源加密。对重点监控区的所有摄像头实行摄像头物理加固,防止人为破坏摄像头。在重点监控区安装电子门禁系统,实行物理访问控制。
对普通监控区的枪球联动摄像头、鹰眼摄像头、人脸抓拍室外摄像头、重载云台摄像头实行摄像头物理加固,防止人为破坏摄像头。
在存储访问区中的VRM(VOD)、VAG、VTDU等设备中部署PCI-E密码模块,实现视频数据的加解密存储和访问。在存储访问区中的客户端终端上部署主机监控与审计软件、介质管控软件、病毒防护软件以及USBKey硬件,实现终端计算环境的安全并终端登录可信。在存储访问区部署存储备份系统,对CVR磁盘阵列的视频数据进行容灾备份。在存储访问区的网络边界部署防火墙、IPS和网络审计,对网络流量进行安全防护。在存储访问区的网络边界部署VPN,联动后端应用区的VPN设备,对存储访问区与后端应用区的重要数据传输进行加密保护。在存储访问区部署电子门禁系统,实现物理访问控制。对存储访问区进行机房物理环境安全设计。
在后端应用区,部署数据库审计系统,审计管理数据库操作行为。在后端应用区的业务服务器中采取应用加固措施,如应用访问控制、服务器端口服务关闭等,加固应用系统的安全性。在后端应用区的网络边界部署防火墙、IPS和网络审计,对网络流量进行安全防护。在后端应用区的网络边界部署VPN,联动存储访问区的VPN设备,对后端应用区与存储访问区的重要数据传输进行加密保护。在后端应用区部署电子门禁系统,实现物理访问控制。对后端应用区进行机房物理环境安全设计。
在重点监控区,部署安全管理中心、身份认证系统、密钥管理系统、终端管理系统、病毒防护系统、漏洞扫描系统,对加密视频监控系统进行综合管理。在重点综合管理区的网络边界部署防火墙,对网络流量进行安全防护。在重点监控区部署电子门禁系统,实现物理访问控制。对重点监控区进行机房物理环境安全设计。
3.3主要功能
系统通过分级分区的部署方式,对重要场所的视频流进行安全加密,保证视频流信息不被恶意篡改,窃取及替换。系统的前端设备主要完成视频采集、音频采集与播放、告警信息采集与上报、视频与数据加密、安全认证、数据传输等功能。
系统的后端中心管理平台主要完成视频与数据查看、分发、存储、数据加解密、密钥管理、权限认证、安全审计等功能。
3.4技术指标
Ø 在前端接入区的半球摄像头、筒机摄像头、球机摄像头、热成像筒机摄像头等安全摄像头中嵌套USB密码模块。
USB密码模块内置数字证书,由加密硬件模块和配套的软件库组成,加密硬件模块负责完成视频或协议数据的加解密,实现密态视频采集。配套的软件库在摄像头的主芯片内运行,负责建立与密钥管理系统交互的通信链路,完成与密钥管理中心之间的身份认证、密钥分发、密钥销毁等交互过程。
USB密码模块能提供数据加/解密、数据完整性计算、数字签名/验证、用户认证等功能。其主要功能为:
1. 支持支持国家密码管理局颁布的国密算法(SM1,SM2,SM3,SM4),并可以根据需求加载其他级别的算法;
2. 支持Windows XP/2003、Windows 7、Linux等操作系统;
3. 提供密钥的安全存储。
Ø 在存储访问区的VRM(VOD)、VAG、VTDU等设备中部署PCI-E密码模块。
PCI-E密码模块内置数字证书,由加密硬件模块和配套的软件库组成,加密硬件模块负责完成视频或协议数据的加解密,配套的软件库在设备的主芯片内运行,负责建立与密钥管理系统交互的通信链路,完成与密钥管理中心之间的身份认证、密钥分发、密钥销毁等交互过程。PCI-E密码模块能提供数据加/解密、数据完整性计算、数字签名/验证、用户认证等功能。其主要功能为:
1. 支持支持国家密码管理局颁布的国密算法,并可以根据需求加载其他级别的算法;
2. 支持Windows XP/2003、Windows 7、Linux等操作系统;
3. 提供密钥的安全存储。
Ø 在重点监控区部署密钥管理系统。
密钥管理系统(简称KMC)的功能是管理加密视频监控系统内的安全加密摄像机、安全加密VRM、安全加密VAG、安全加密VTDU的密码设备资源,认证设备身份的合法性,管理加密视频监控系统中的密钥,包括设备的加密密钥、工作密钥,以及通信密钥。KMC使用硬件加密卡产生所需要的密钥,KMC所记录的密钥信息都由硬件加密卡加密后存入数据库。KMC的功能包括:
1、管理系统内设备使用的对称密钥,根据需要使用硬件PCIE加密卡完成对称密钥的生成。并保障密钥管理全过程的安全,包括密钥的产生、存放、分发、使用、备份、更新、销毁等;
2、具有密码合规性基准数据接收、密码设备入网注册、密码设备合规性检查、密码设备管理等功能;
3、实现密码应用有效性基准数据接收、密码应用有效性审查及处理、密码应用有效性信息上报等功能;
4、支持审计管理功能,记录密钥的生成、分发、使用、更新和销毁动作和操作日志。
3.5关键技术
该解决方案所应用到的关键技术主要包括:
1、视频数据安全技术
(1)视频安全体系架构设计;
(2)密码算法应用;
(3)密钥管理与分发;
(4)安全接入认证;
(5)视频信源加解密。
2、自主可控基础软硬件开发技术
(1)自主可信软硬件(龙芯)开发;
(2)自主可控的操作系统/数据库开发;
(3)软件安全中间件架构;
(4)并行计算处理。
3、流媒体网络通信技术
(1)多通道分布式数据采集;
(2)流媒体网络分发;
(3)流媒体实时处理;
(4)流媒体中间件构建。
4.适用领域
该解决方案广泛应用于党政,军工、公检法司等重点关乎国家国计民生的单位,解决此类重点单位对数据安全的防护需求,方案根据分级分区的设计理念,通过分析各区域的防护特性和安全隐患,按照安全防护设备选型及部署建议,将综合安全体系进行分层设计,实现系统之间的互联互通和有机联动。
5.企业分工/产品清单/接口说明
设备选型应当遵循安全合规、技术先进、适用性、经济性等原则。
推荐设备和产品配置如下表所示
配置清单
分类/分区 | 产品名称 | 产品形态 | 部署位置 | 备注 |
物理环境安全 | 电子门禁 | 物理系统 | 在重点监控区、存储访问区、后端应用区、重要的视频监控区的边界部署。 | |
前端接入安全 | USB密码模块 | 硬件 | 在视频监控区中的安全可信摄像头中部署。 | |
网络传输安全 | 防火墙 | 硬件 | 在重点监控区、存储访问区、后端应用区等区域的网络边界。 | |
网络审计 | 硬件 | 在存储访问区、后端应用区等区域的网络边界。 | ||
IPS | 硬件 | 在存储访问区、后端应用区等区域的网络边界。 | ||
VPN | 硬件 | 在存储访问区、后端应用区等区域的网络边界。 | ||
存储访问安全 | PCI-E密码模块 | 软件 | 在存储访问区的VRM(VOD)、VAG、VTDU等设备中部署。 | |
数据容灾备份 | 硬件 | 在存储访问区中部署。 | ||
主机监控与审计 | 软件 | 在存储访问区的客户端终端上部署。 | ||
介质管控 | 软件 | 在存储访问区的客户端终端上部署。 | ||
USBKey | 硬件 | 在存储访问区的客户端终端上部署。 | ||
病毒防护客户端 | 软件 | 在存储访问区的客户端终端上部署。 | ||
后端应用安全 | 数据库审计 | 硬件 | 在后端应用区中部署。 | |
综合管理安全 | 密钥管理系统 | 硬件 | 在重点监控区内部署。 | |
身份认证系统 | 硬件 | |||
终端管理系统 | 硬件 | |||
病毒防护系统 | 硬件 | |||
漏洞扫描系统 | 硬件 | |||
安全管理中心 | 硬件 |
6.应用案例
三零凯天服务对象与合作伙伴遍布党政、金融、能源、交通、电子信息等关乎国计民生的重要行业,目前已完成包括西部国际博览城、粮食局、会东会理雪亮工程等项目。近三年来完成多个千万级以上项目,工程质量得到业主的一致认可。
成都三零凯天通信实业有限公司
联系人:刘巧