基于等保2.0的视频监控网络安全建设方案
近年来,视频监控网络成为了黑客攻击的重要目标。
-
2015 年,CNVD通报了多款智能监控设备、路由器等存在被远程控制高危风险漏洞的安全事件;
-
2016年底,上百万摄像头组成的僵尸网络Mirai,以当时最大DDoS流量,攻击美国域名服务商Dyn,导致多家知名网站无法访问;
-
2017年8月,国内警方破获一个犯罪团伙,在网上制作和传播家庭摄像头破解入侵软件。查获被破解入侵家庭摄像头IP近万个,涉及浙江、云南、江西等多个省份。
视频监控具有数量多、边界不清晰、网络关系复杂等特点,因此其面临着攻击入口多、管理难度大、区域隔离难等多种安全风险。
针对视频监控网络特点,依据等保2.0基本要求与物联网扩展要求,和记官网输出了“基于等保2.0的视频监控网络安全建设方案”,从前端安全、边界安全、网络安全、管理安全四大方面进行层层设计与加固,结合“事前检测、事中防护、事后追溯”的防护理念,通过安全技术以及安全管理体系建立可靠有效的安全体系。
建设目标:结合等保2.0,满足行业需求
基于等保2.0的视频监控网络安全建设方案,针对不同的风险采取对应的措施,最大限度地消除应用系统目前存在的安全隐患及漏洞,提供完善安全防护,确保网络信息的保密性、完整性、可用性及可审性、抗抵赖性。
安全目标如下:
-
防范数据的非法窃取
-
以事前防范为主,全方位的平台安全形势分析与加固,有效弥补系统漏洞,防范恶意代码的入侵攻击
-
注重原有投资的有效 性、新旧技术的兼容性
-
防范网络的安全可用
-
保护网络系统服务的连续性
-
防范网络资源的非法访问及非授权访问
-
防范入侵者的恶意攻击与破坏
-
防范病毒的侵害
-
实现网络的安全管理
解决方案:全方位、立体化的安全防御体系
依据国家信息安全等级保护制度和信息保障技术框架,针对视频监控的脆弱点与风险,结合整网考虑,构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系,本方案在安全性的建设上,主要分为前端安全防护、边界安全防护、网络安全防护、管理安全防护四个层面展开。再结合安恒视频监控物联网态势感知平台,形成统一的安全管控中心。
利用端+中心结合的联动式动态预警技术、内核级进程文件防护技术、大数据安全分析技术等多项关键技术,对各种物联网设备进行安全漏洞威胁主动巡检和联动防护,及时感知和防护物联网络安全风险,符合等级保护2.0关于物联网设备安全的要求。
(图:总体建设拓扑图)
方案特点:多位一体,能力聚合
事前、事中、事后的一体化防护
信息安全事件的发生,通常都会经历事前、事中、事后三个生命周期过程,不同的阶段我们可以有针对性地采用安全措施,三个生命周期的安全任务即事前预防为主、事中有效防护、事后追溯审计。
每个阶段的安全任务如下图所示:
(图:安全生命周期防护措施示意图)
满足等级保护技术规范要求
符合等级保护相关要求的安全防护措施,形成检测、防护、响应和恢复的保障体系,从而建立有针对性的合规性安全保障体系框架和安全防护措施。
数据驱动今后决策及方向
实现对视频监控网络安全事件的分析与挖掘,依据真实的感知数据,可驱动今后制定对应的有效决策,有针对性地部署管理,提升整体安全水平。
提升整体安全能力
-
提升前端资产管控能力
-
提升接入设备认证能力
-
提升用户身份认证能力
-
提升网络访问控制能力
-
提升数据传输安全能力
-
提升安全事件通报预警能力
-
提升应急响应能力
促进运维管理规范化
结合安全运维审计设备,建设完备的安全运行维护管理平台,实现对视频设备的可视、可控、可管理,达到运维数据档案化管理、设备故障主动监测、并第一时间告知的目标。通过融入设备巡检、质量诊断等智能化运维业务,使运维服务更智能、更具生命力,为用户及时发现系统运行问题、排除故障、预先防范等提供强有力的保障。
提供持续性安全服务
和记官网作为专业的安全解决方案领导厂商,具备前瞻性的安全研究能力,给客户提供领先的安全产品、专业的安全服务、优秀的解决方案;基于多年安全积累,已将最佳安全实践产品化,产品、服务、方案切合国内安全需求。
安恒视频监控安全建设方案已成功应用在全国多个地区,覆盖到北京、江苏、浙江、河北、山东等各地省市区县各个机构。依据等保2.0相关要求,从前端安全、边界安全、网络安全、管理安全多个层次进行综合安全建设,覆盖到事前预防,事中有效防护,事后追溯审计等,为视频监控网络构建了综合的安全防护体系,有效提升了视频监控网络的安全防护能力。