当前位置:安全服务 \ 安全征文作品展
三等奖 —— 视频接入共享平台安全建设的整体思路
新闻来源:
发布人:计算机安全协会
点击率:516
发布日期:2018.07.18

视频接入共享平台安全建设的整体思路

摘要:本文以我公司承建的宁波市公安局镇海分局“镇海区视频资源整合及共享平台”为例,论述以新的等保要求来指导视频接入共享平台安全建设的整体思路,继而建立统一技术框架的网络安全防护体系。《网络安全法》的颁布实施,对等保工作提出了新的要求,我们必须学习并深入理解相关法律法规、政策规范及技术标准,规范实施新形势下网络安全建设。


一、项目概况

镇海区视频资源整合及共享平台主要接入区公安局、区城管局、区环保局、区农业局、文化市场监督局、智慧水务、公路管理段7家单位视频资源,并提供给区政府各相关职能部门进行共享访问,实现对公安各类治安监控、城管监控、环保监控和其他社会面等视频图像资源的接入、传输、共享、管理与应用。

整个系统涉及多家单位的网络接入及各部门的访问应用,所以平台的网络安全、应用安全、终端安全及等保工作的落实显得尤为重要。在整个系统建设过程中,我们将按照安全保护等级二级的要求,进行网络安全建设,并进一步提高视频资源的共享应用水平和安全管理水平。

二、法律法规与等级保护

《中华人民共和国网络安全法》是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。

《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度。

《网络安全法》的发布,标志着网络安全保护已进入有法可依的2.0时代,它规定了网络运营者必须履行的一系列保护“网络运行安全”方面的要求和义务,而作为其核心内容之一的网络安全等级保护制度成了行业热议的话题。在此之前,我国已有信息安全等级保护标准,但网络空间安全保护一直以来监管相对空白,网络安全等级保护制度的出台将为网络空间保驾护航。网络安全等级保护制度规定于《网络安全法》的第二十一条,要求网络运营者应当按照网络安全等级保护制度,履行相应安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

(一)新形势下的等级保护体系

blob.png

继《网络安全法》颁布实施后,一系列公安行业标准相继出台:

——GA/T 1389-2017《信息安全技术 网络安全等级保护定级指南》;

——GA/T 1390.2-2017《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》;

——GA/T 1390.3-2017《信息安全技术 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求》;

——GA/T 1390.5-2017《信息安全技术 网络安全等级保护基本要求 第5部分:工业控制系统安全扩展要求》。

并计划发布GA/T 1390《信息安全技术 网络安全等级保护基本要求》剩余部分:

——第1部分:安全通用要求;

——第4部分:物联网安全扩展要求;

——第6部分:大数据安全扩展要求。

同时,配合相关的国家系列标准包括:

—— GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南;

—— GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求;

—— GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求。

从信息安全到网络安全,等级保护的定义、保护对象、定级流程、安全要求发生了相应的变化:

blob.png

(二)新形势下的安全建设思路

要做好真正贴近等保要求又确实可行的安全建设方案,还是要从等保的核心思想和基本要求入手,进行深入分析,找到等保建设的要点,以此为基础,形成全局视角,继而形成方案框架,并最终形成建设方案。

1、等保核心思想

等保的核心思想是不同对象分等级进行保护。根据等保相关管理文件,等保对象的安全保护等级分为五级,不同等级有着不同的保护要求。

等保对各等级保护对象的基本要求分为“技术要求”和“管理要求”两大类。技术要求又细分为“物理和环境安全”、“网络和通信安全”、“设备和计算安全”、“应用和数据安全”4个部分;管理要求则又细分为“安全策略和管理制度”、“安全管理机构和人员”、“安全建设管理”、“安全运维管理”4个部分。

可见等保涵盖了网络安全的各个方面,希望通过一次性安全建设就可以完全实现等保合规是不现实的。一次性安全建设只能为等保合规提供基础条件,彻底的等保合规还需要在网络日常运维等方面做大量认真细致的工作。

2、技术支撑管理

除物理安全单独设计外,安全建设方案首要考虑的是建立一个可以帮助实现等保合规的统一安全技术框架,在此框架之上,通过各种安全策略配置或其他安全管理手段实现各种安全目标(包括技术目标和管理目标)。这个可以称之为“技术支撑管理”的建设思路,是将安全策略与设备部署相协调,一个设备可能需要实现多种不同目的的安全策略,而一个具体的安全策略也可能会在不同的设备上实现。

3、安全技术框架

从网络承载的业务角度进行安全域划分是安全技术框架的核心要点,同时需要保证业务系统之间的隔离与互通。可采用VLAN、MPLS VPN等网络虚拟化技术构建基础网络承载,作为安全技术框架的具体实现。

4、终端应用保护

根据终端多业务处理的特性,终端应用保护最佳的处理方式应该为动态授权与保护,即根据其当前所处理业务的安全等级来动态地确定安全保护强度。可采用部署准入控制(802.1x或Portal)作为具体实现,在终端接入时实现对终端的认证和安全检查,并根据认证和检查的结果进行动态安全域划分。

5、统一安全部署

通过以上思路,建立一个技术框架,并形成基础的网络承载,可以满足等保基本要求——不同对象分等级进行保护。而在等保建设中具体应用的技术手段,与一般性的安全建设不会有本质的区别,如通过防火墙进行访问控制,通过IPS对L4~L7层威胁进行全面的深度防御,通过VPN/加密机实现加密访问,通过CA系统实现认证与授权等,依然是等保建设中采用的技术手段。

三、等保指导建立安全防护体系

视频接入共享平台整体结构搭建时,先将区城管局、区环保局、区农业局、文化市场监督局、智慧水务、公路管理段6家单位视频资源,统一接入镇海公安视频共享平台,再加上区公安局视频资源,经由镇海公安视频共享平台推送至区视频共享平台。区政府各相关职能部门在区电子政务外网共享访问区通过浏览器进行共享访问。

blob.png

部署1台万兆防火墙,实现各部门网络与镇海公安视频专网的逻辑隔离;部署1套视频隔离网闸,实现镇海公安视频专网与区视频共享专网的物理隔离;在区电子政务外网的资源共享区部署1台准入控制系统,用于网络边界的安全防护;部署一套CA认证系统,用于基于https访问的客户端认证。

(一)物理和环境安全

保护对象为机房及基础设施。镇海公安视频共享平台部署在分局大楼数据中心机房,镇海区视频资源整合及共享平台部署在区政府大楼数据中心机房,能够确保整个平台的物理和环境安全。

(二)网络和通信安全

保护对象为网络设备、安全设备、网络结构,包涵网络架构、边界防护、访问控制、通信传输等。

本方案在网络和通信安全方面,关于网络架构,主要采用H3C核心交换机LS-7506E-V、H3C汇聚交换机LS-5560-30C-EI及相关主控引擎、接口业务板卡、各种模块等。关于边界防护,主要采用国保金泰视频隔离网闸G2000CIID,同时,采用天融信TG-62242万兆防火墙,通信传输采用视频资源共享专网和电子政务网。在安全保护等级二级要求中,如网络访问控制“应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级”的功能实现,路由器、交换机的ACL功能和防火墙的访问控制功能都可以完成。

1、核心交换机LS-7506E-V

交换容量≥25.6Tbps,包转发率≥7680Mpps,业务插槽数≥6,支持将多台设备虚拟为一台,具有统一的管理、统一的转发表项,支持独立专用的嵌入式防火墙、IPS、应用控制、无线控制器、负载均衡、SSL VPN等多业务板卡。

2、汇聚交换机LS-5560-30C-EI

交换容量≥588Gbps,包转发率216Mpps,自带24个千兆电口,4个万兆SFP+口,1个扩展插槽,1个带外管理网口,内置软AC功能,交换平台实现有线无线一体化,支持802.1ae MACsec安全加密,包括用户数据加密、数据帧完整性检查及数据源真实性校验,实现MAC层安全;支持Portal方式用户认证;支持uRPF(单播反向路径检测),杜绝IP源地址欺骗,防范病毒和攻击;支持IP/Port/MAC的绑定功能;支持OSPF、RIPv2报文的明文及MD5密文认证;支持PKI(Public Key Infrastructure,公钥基础设施);支持CPU防护功能。

3、视频隔离网闸G2000CIID

提供IP/MAC认证设备接入认证功能,具备跨三层交换机不同网段的IP/MAC认证功能,设备能够对访问视频资源的源、目的IP、服务端口、访问时间等进行安全控制。能识别和检查包括海康、H3C、全球眼、贝尔、DB33等在内的各厂商视频控制信令协议,允许合法的信令在公安视频专网与区共享平台网络间传输。具备公安数字证书认证功能,在身份认证的基础上实现用户对视频资源的授权访问,同时具备数字证书、Radius、用户名口令多因素认证功能。满足《公安信息通信网边界接入平台安全测评报告》的厂商准用要求。

4、万兆防火墙TG-62242

整机吞吐量>16Gbps,最大并发数>600W,最大新建连接数不小于25 W,可根据需要扩展IPSEC VPN、SSL VPN、防病毒、入侵防御、URL分类过滤等功能。

基于数据包的区域、地址、角色、VLAN、端口号、服务、域名等进行安全策略控制。支持TCP首包可信检测,防统计型、异常包型攻击。支持设备防ARP欺骗、防路由欺骗。支持基于主机、子网、IP范围的SYN、ACK、并发、半连接的限制功能。支持安全联动功能,可与主流的的IDS和反病毒厂家的产品进行联动。

(三)设备和计算安全

保护对象为主机、数据库管理系统、终端,包涵身份鉴别、应用管控、入侵防范、恶意代码防范等。

视频接入共享平台采用HP服务器DL380G9,安装海康威视IVMS-8200平台软件,数据库管理系统采用Oracle 11g,终端访问部署在区电子政务外网共享访问区。安全保护在原交换机的ACL功能和原防火墙的访问控制功能的基础上,主要采用天融信防火墙TG-51131-F和盈高准入控制系统ASM6000-S。

1、防火墙TG-51131-F

整机吞吐量>8Gbps,最大并发数>280W,采用双安全操作系统设计,可根据需要扩展IPSEC VPN、SSL VPN、防病毒、入侵防御、URL分类过滤等功能。

基于数据包的区域、地址、角色、VLAN、端口号、服务、域名等进行安全策略控制,支持免客户端方式实现跨越三层设备进行IP/MAC绑定功能。支持非法报文攻击防护、统计型报文攻击防护,类型不得少于10种。支持ARP攻击、DHCP攻击、DNS异常包等特定应用的安全防护功能。

2、准入控制系统ASM6000-S

最大吞吐量≥500Mbps,最大并发连接数1000(条),每秒事务数(TPS)≥1000(次/秒),最大支持认证终端数500。

准入设备原生支持802.1x标准协议,无需第三方RADIUS服务器支持。支持基于多厂商Virtual Gateway的VLAN隔离技术,实现无客户端环境下端口级准入控制。支持基于策略路由技术的准入控制模式,同时支持交换机接口动态VLAN下发、端口隔离模式的网络边界管理。单台可支持至少2个核心交换机进行策略路由准入控制。支持端口镜像准入技术,通过对交换机镜像数据的实时分析,能够及时发现并阻断非授权终端的接入。

(四)应用和数据安全

保护对象为应用系统、中间件、配置文件、业务数据、用户隐私、鉴别信息等,包涵身份鉴别、访问控制、安全审计、数据保密等,应采用校验技术保证重要数据存储的完整性。

本方案在应用和数据安全方面,主要采用天融信TA-L-SE系统日志及审计管理系统、天谷CA认证系统V1.0。

1、天融信TA-L-SE系统日志及审计管理系统

25个审计节点许可,B/S模式,使用浏览器访问管理中心,浏览器端无需安装Java运行环境。

支持对各类网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。

通过SNMP、Syslog、数据库、文件、软件日志采集器、硬件探针等多种方式完成日志数据收集、日志处理、日志查询与分析、日志在线挖掘等功能。

2、天谷CA认证系统V1.0

SSL加密速度(RC4 128bits)≥100 Mbps,并发SSL用户数≥1000(全程SSL),并发SSL用户数≥3000(仅认证),每秒新建连接数≥600。

认证功能:①信任链认证:支持配置不限数量的信任链。②有效期认证:支持对证书有效期认证,防止过期证书登录。③黑名单认证:支持导入或智能根据CRL分发点实现黑名单认证功能。④红名单认证:支持红名单机制,红名单可以在网关中设置,也提供接口供第三方程序导入。⑤支持ZJCA红名单系统。

安全保障:管理界面支持以硬件UKEY方式登录管理。认证用户身份后,向应用系统转发的消息,要求实现签名,应用端提供验签接口,以确保传递信息的可靠性。

四、总结

如今,随着云计算、移动互联网技术的发展与应用,网络安全的威胁也显得更加错综复杂,《网络安全法》明确了新形势下的网络安全等级保护体系,为我们今后的网络安全建设指明了方向。

网络安全防护体系的建设是一个长期的持续的工作,不是一蹴而就的。安全威胁也在不断发展和更新,针对这些安全威胁的防护手段也需要逐步更新并应用到网络安全建设中,这种动态的过程将使网络安全防护更有生命力和主动性,真正为网络系统应用业务安全运行提供保障。

 

作者:叶利芳(宁波三维技术有限公司)

 


上一篇:没有了
下一篇:三等奖 —— 大数据时代企业信息网络安全体系建设
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com