1. 背景和需求分析

伴随着平安城市、智慧城市的深入建设，监控系统越来越多地应用到各行各地。“天网工程”的构建使得城市的监控点不断增加，摄像头的覆盖率不断提高，人们的城市生活、工作得到了更牢靠的保障。

“雪亮工程”以县、乡、村三级综治中心为指挥平台进行建设，发动社会力量和广大群众共同监看视频监控，帮助打造“平安农村”，从而真正实现治安防控的“全覆盖、无死角”。

摄像头对于治安环境的改善贡献显著，但事情都有两面性，围绕摄像头所引起的安全事件也不在少数。

号称「DDos发电站」的物联网破坏者病毒Mirai，利用暴露在互联网上的海量视频摄像头实施DDoS攻击，曾导致美国东海岸地区遭受大面积网络瘫痪。

2017年12月，某省公安部门邀请安全防范技术与风险评估公安部重点实验室对该省视频传输网进行抽检。结果显示：该省视频传感网基本处于"裸奔"状态，黑客可直接通过侵入前端设备，控制整个系统。

公安视频监控系统本身主要实现公共视频的全天候的实时监控和录像，达到实时监控管理、主动预警、震慑犯罪及为事件后期取证提供依据等信息的重要系统。但由于视频监控系统的特点，目前存在两个弊端，分别是管理难度大和安全系数低，切实需网络管理者重视和整改。

1.1 管理难度大

基础的公安视频专网是视频监控系统的主要承载网络，具有网络规模庞大、网络分支较多、 视频摄像头接入地理位置十分分散、人为监管困难等特点。网络管理员通过监控平台无法有效判断IP摄像机的链路质量，并且当网络中出现异常行为和攻击时， 没有可回溯的机制，存在安全隐患。

视频监控系统应具备链路探测和质量统计机制，可生成链路服务质量数据，分析链路的延时和连通性；应具备多维度流量统计机制，针对每条链路的流量趋势支持实时监控和历史查看功能；应具备应用审计功能，可查看历史行为日志，做到有据可查。

1.2 安全系数低

建设过程中安全规划经验不足，使视频专网安全建设匮乏，特别是视频摄像头接入端常年暴露在公众视野中，缺少准入控制机制，容易成为非法分子的入侵端，攻击者通过仿冒用户网络视频监控设备侵入视频设备，并以此为跳板入侵视频监控系统，窃取、篡改视频图像和数据，甚至导致视频监控平台瘫痪。

视频专网中流量组成混杂，包括视频监控流量、业务管理流量和其他流量等，每类流量作用不一，粗犷的管理方式缺乏数据隔离，难以保障业务高效、安全运行，极易造成网络故障和被攻击等后果。

公安应用是视频监控的重要领域之一。对公安机关来说，一旦视频监控系统被侵入，极有可能导致视频数据泄漏。更为严重的是，如果视频被人进行修饰、篡改、删除等操作，交通管理、线索追踪、治安管理、人口管理等各项涉及视频数据的公安业务都可能受到影响，公安机关的执法透明度与公信力也可能遭受非议。

监控专网使用的是专用设备和软件，摄像机运行在类linux 平台上，使用mips 或者arm系统硬件，管理软件运行在windows平台上，厂商自行开发管理软件，使用开放的视频通讯协议，这些系统一经部署完成，由于网络封闭隔离，厂商不能提供远程的在线升级，一旦基础平台出现漏洞，厂商的通常也不能及时提供安全更新，使网络处于危险之中。专用的软硬件系统由于依赖通用的操作系统和基础库，在具有通用系统的安全漏洞的同时，又不具有通用系统的快速补丁更新能力，实际上比通用系统更不安全。

2. 解决方案

视频安全接入解决方案由视频防火墙、集中管理平台与物联网安全平台组成。视频防火墙按区域安全域IP段等属性部署于视频专网接入层，针对视频摄像头进行设备准入认证，收集视频摄像头的流量信息，自动识别IP地址、MAC地址等信息，并建立监控列表，实时监控视频摄像头的在线状态、上下行流量信息；物联网平台和集中管理平台部署于视频专网核心层，针对视频防火墙进行集中监控、策略管理和日志报表统计等，加强视频监控网络的运维管理。

2.1 终端管理

视频防火墙从识别、准入、管理三个维度实现IPC的精细化管理，保障IPC接入和数据传输的安全性。

2.1.1 终端识别

视频防火墙基于DPI、DFI、终端指纹识别技术，对全网资产进行识别，可以发现全网网络资产，并识别终端类型，包括IPC终端、windows、linux、PC终端、移动终端等类型。

通过IPC资产清点和发现，关联入侵防御、病毒防护、非法外联、弱密码、暴力破解、扫描攻击等安全事件，并结合威胁情报和行为模型等识别手段，实现IPC脆弱性分析评估，，帮助安全管理人员掌握内网的资产情况，识别潜在风险。

2.1.2 IPC准入

管理员可基于IP、MAC、摄像头厂商等维度互相组合，针对IPC终端进行准入控制。不符合准入条件的IPC，将被识别为非法终端，视频防火墙将阻断非法终端的任何流量。

l 收集IPC的厂商、IP、MAC信息

管理员收集在网运行的IPC信息，用于IPC多维度绑定，提升IPC准入的唯一性和安全性。收集信息主要包括IPC厂商、IP、MAC等。如后续不涉及IPC的精细化管理，只收集IPC厂商，可忽略收集IP、MAC信息。

l 建立IPC对象

视频防火墙预置6个IPC厂商的指纹库，包括海康威视、大华、宇视、苏州科达、天地伟业、英飞拓等，管理员可自定义补充或添加IPC对象。

l IPC准入策略

视频防火墙基于IPC厂商、IP和MAC的对应关系，授权PC摄像头，当数据流到达视频防火墙后，放行符合绑定关系的IPC，针对不符合绑定关系或不在IPC对象的IPC终端，进行流量丢弃并上报告警信息。

    管理员可根据实际业务需求，基于IP地址、IP地址段进行白名单放行，视频防火墙针对白名单终端不阻断，不审计

2.1.3 权限管理

视频防火墙中默认支持SIP ALG、RTSP ALG、FTP ALG、H323 ALG、PPTP ALG、TFTP ALG、IRC ALG功能，默认支持常见UDP 5060、5061、5063视频协议端口，可自定义ALG端口号，可兼容GB-28181、 GB35114等最新视频协议，针对特定的视频协议可提供针对性的定制开发。

根据业务需求，基于IP、MAC、协议、应用特征、端口、时间、安全域等维度，精细化管理视频专网的访问行为和访问权限。

l 终端接入管理

针对受信终端匹配安全策略访问规则，进一步的细化访问和传输权限；对于非受信终端默认阻断，防止攻击行为；

l 业务访问权限

内置视频协议、主流网络协议和网络应用等特征库。 针对视频协议和视频端口的业务流量默认放行，保障业务正常传输；针对网络应用和协议，结合业务需求进行控制管理，精准管理网络流量和管理权限，保障对外权限最小化，减少视频专网中的“攻击面”；

l 防火墙管理权限

视频防火墙支持通过外部认证服务器完成管理员认证；具备双因子用户认证特性，双重登录保障；可自定义管理端口号，有效避免不法人员通过默认端口进行撞库攻击，保障防火墙管理可靠性；提供三权分立特性，管理者可根据账号管理属性，自定义分配模块管理权限，遵循管理“最小化”原则；支持自定义登录IP、登录失败阻断间隔、最大登录尝试次数、页面超时时间等规则，提升管理安全性。

2.2 安全防护

视频防火墙和物联网平台关注物联网终端资产状态、弱口令、系统漏洞等威胁信息，结合多角度、多维度分析物联网终端的安全事件，为客户对物联网终端安全管控构建管理平台。

2.2.1 漏洞防护

视频防火墙预置8000+IPS防护规则，防护规则中涵盖CVE、CNVD、CNVVD编号的物联网的漏洞，涵盖厂商零日漏洞库。防护规则每两周更新，关注业界最新发现的安全漏洞和接收全球用户反馈的攻击特征，并在第一时间做出响应和提供更新，实时完善攻击特征库，提供最及时、最全面的入侵防御。针对能对各种物联网设备、智能硬件系统的各种漏洞进行监测。

视频防火墙提供虚拟补丁管理，管理员无需在IPC和其他终端中安装升级组件补丁，于视频防火墙中部署配置安全防护规则即可规避漏洞风险

2.2.2 威胁情报

随着攻击的复杂性、多元化不断提升，传统安全设备不断受到挑战；新一代的攻击者常常向企业和组织发起针对性的网络攻击，也就是高级持续攻击（APT）。攻击者不断改变现有的攻击方式，开发新的方法。传统的规则匹配已经无法防御这样的攻击。视频防火墙通过自研威胁情报云平台，整合对接60余家商业、开源威胁情报，包括微步在线、IBM安全、VirusTotal、天际友盟、PluseDive等等。提供全网威胁情报查询功能，支持对可疑IP、域名、文件Hash进行搜索，并查看关联分析。

支持展示全球热门和新型的威胁事件，支持数据下钻查看该威胁事件的时间、威胁级别、描述、类型、应用措施和指示器等信息。支持针对威胁事件提供安全防护的配置向导，通过引导方式帮助用户完成安全加固，规避威胁风险；支持通过一键添加的方式，新增防护措施，减轻管理员的运维工作量。

2.3 数据运维

2.3.1 业务质量分析

视频防火墙基于视频摄像头统计业务流量，以趋势图、柱状图展示流量趋势，帮助管理者了解各视频摄像头的业务情况，正常的视频流量整体趋势较为稳定和平缓，如管理者发现某个视频摄像头的流量出现突增突降的情况，初步可确定该视频摄像头有故障。

针对故障视频头，管理者可进一步分析该视频摄像头的流量组成，包括协议、应用和流量额等信息，帮助管理者深入分析故障原因。如分析某视频摄像头突增UDP协议流量，来源于可确定该视频摄像头存在被攻击情况。

下代防火墙配备链路级质量探测机制，通过PING、DNS、TCP等探测协议，基于线路、目标域名、目标IP进行分析探测成功率、延时等数据，帮助网络管理员及时发现各区域服务质量较差的线路和视频摄像头，为管理员快速定位故障线路和视频摄像头提供有效工具，为优化整体网络，提升关键业务服务质量提供数据支撑。

2.3.2 数据联动

下代防火墙全面审计管理员操作行为、系统状态、审计内容和安全防护内容，审计数据支持本地留存，同时支持将审计数据发送至第三方syslog格式的数据平台，用于管理者进行大数据分析，实现数据再利用。

下代防火墙配套集中管理平台，接入层防护的下代防火墙将防护数据统一发送至监控中心服务器区的集中管理平台，由管理平台进行数据整合，针对全网进行数据分析，以可视化的图表进行宏观呈现，以简单明了的日志进行微观记录，以数据报表的形式帮助管理者完成运维汇报工作。

结束语

在视频专网部署视频防火墙，在接入方面，对所有入网的IPC终端、协议流量、合法用户进行准入控制，防止IPC终端的私接问题并进行合法IPC和合法用户入网进行规范化管理；在权限方面，针对视频协议和网络协议进行精细化管理，有效防止越权行为；在防护方面，具备IPS、AV和威胁情报等防护手段，全面过滤网络威胁；在运维方面，助力质量分析、数据分析和数据联动。

视频防火墙帮助管理者有效解决了视频专网中长期存在的权限、安全和运维等问题，从根本上保障视频专网的安全性，它是视频专网中必不可少的安全产品。