基于等保 2.0 的視頻監控系統安全防護研究

為了滿足社會治理、民生服務等公共安全需求，視頻監控系統的建設規模越來越大，地位也越來越突出。但由于視頻監控系統在設計上往往將重點放在功能實現上，國標 GB 35114—2017《公共安全視頻監控聯網信息安全技術要求》也只是對系統內聯網和系統間聯網做出規范和要求，視頻監控系統缺少完整的安全防護規劃。這使得系統的設備容易被入侵控制和攻擊破壞，甚至成為攻擊內網的跳板，造成重要數據的外泄。

2016 年，黑客攻擊了美國的多個視頻監控系統，利用上百萬網絡攝像頭產生當時最大的分布式拒絕服務攻擊流量，造成美國域名服務商 Dyn 無法工作 。2020 年 2 月，國家互聯網應急中心發布警示，境外黑客組織聲稱獲取我國多個視頻監控系統的 IP 地址，并有可能對其發起網絡攻擊 。《2020 年聯網智能設備安全態勢報告》顯示，通用聯網智能設備（手機、路由器、智能監控平臺等）的漏洞數量呈現快速增長趨勢，同比增長 28%，聯網智能設備僵尸網絡控制規模逐年增大 。

網絡安全等級保護是國家保證網絡安全的根本制度，要求不同安全等級的信息系統采用不同的防護等級，讓系統在對應的安全防護等級下工作。2019 年，在新修訂的《網絡安全法》的指導下，國家對《信息安全技術 網絡安全等級保護基本要求》等標準進行了修訂，被稱為網絡安全等級保護制度 2.0（簡稱等保 2.0）。等保 2.0 制度發布后，迅速在廣電網絡安全、重點行業工控系統安全、電力監控系統安全、民航網絡安全等方面得到了深入的研究和廣泛的運用 。隨著視頻監控系統面臨的網絡安全威脅不斷增加，如何解決其面臨的網絡安全問題引起了越來越多的關注 。國內不少網絡安全廠商也針對視頻監控系統網絡安全提出專門的解決方案，地方政府對公共安全視頻監控系統的安全防護也越來越重視，開始公開采購等保測評服務，評估視頻監控系統的安全防護能力。但是在系統地分析視頻監控系統面臨的網絡安全風險，構建符合等保要求的系統安全架構等方面的研究還不夠深入，提出具體解決方案的研究也不多。

因此，為應對日益嚴峻的網絡安全威脅，提升視頻監控系統安全防護等級，并針對風險點進行精準安全加固已經變得刻不容緩。本文針對視頻監控系統的特點，采用網絡安全等級防護技術 + 管理的體系防護思想，根據等保 2.0基本要求，圍繞視頻終端、網絡邊界、監控平臺、安全運維管理等關鍵環節，參照“一個中心，三重防護”的要求建立安全防護體系，能有效提升視頻監控系統的整體防護能力，保證視頻監控系統的穩定安全運行。

1

網絡安全等級保護 2.0

1.1　網絡安全等級保護制度

網絡技術飛速發展，網絡威脅也不斷升級，對個人、企業、機構乃至國家的安全都構成嚴重威脅。信息安全是總體國家安全觀的一項重要組成部分，為實現全面的網絡安全防護，需要制度、技術、人才等多方面的綜合保證。網絡安全等級保護制度是《網絡安全法》中明確的基本制度，是開展網絡建設和網絡安全防護工作的基本遵循，極大地推動了我國網絡安全工作的法制化和正規化水平 。等保 2.0 在等保1.0 的基礎上，將保護的重點從信息系統安全轉移到網絡安全上，采用“一個中心，三重防護”的防護理念和分類結構，統一了安全防護的標準框架，基于縱深防御和精細防御的防護思想，綜合密碼技術、可信驗證、安全審計和態勢感知等技術，建立各個級別的全過程的可信驗證，提升了安全保障體系的主動防護能力。

1.2　網絡安全等級保護安全通用要求

安全通用要求是等保 2.0 針對所有的等級保護對象提出的要求，以實現對應等級的安全保護。安全通用要求從技術和管理兩個方面分別提出了明確的安全控制規范和具體的安全管理要求 。

1.2.1　技術要求

（1）安全物理環境。要求在物理位置選擇、物理訪問控制等方面滿足等保要求，提供防盜竊、防破壞、防雷擊、防火、防水和防潮、防靜電等設備；提供溫 / 濕度控制、電力供應和電磁防護等設施。

（2）安全通信網絡。要求所有的網絡架構，包括廣域網、城域網、局域網等，其通信傳輸設備和可信驗證機制滿足等保要求。

（3）安全區域邊界。采用邊界防護、訪問控制等措施，具備局部入侵和惡意代碼防范能力，建立安全審計和可信驗證機制，明確系統邊界和區域邊界。

（4）安全計算環境。對系統內的所有對象進行身份鑒別、訪問控制和安全審計；提供入侵和惡意代碼防范措施，提供可信驗證機制，確保數據完整性和保密性；提供數據備份與恢復、剩余信息和個人信息保護功能，確保系統處于安全的計算環境。

（5）安全管理中心。建立統一的網絡管理系統，實現系統管理、審計管理、安全管理和集中管控功能。

1.2.2　管理要求

（1）安全管理制度。建立規范的安全策略和管理制度，明確制度的制定、發布、評審和修訂流程。

（2）安全管理機構。根據不同的網絡安全等級，明確設置安全崗位，配備網絡安全人員，明確授權和審批權限，建立溝通和合作機制以及審核和檢查制度。

（3）安全管理人員。對網絡管理人員的錄用、教育培訓、離崗進行全流程管理，對外部訪問人員進行動態跟蹤管理。

（4）安全建設管理。根據等級保護要求開展網絡的定級和備案，在涉及網絡安全的方案設計、安全產品采購、軟件開發、工程實施、測試

驗收、系統交付和使用等關鍵環節進行管理控制。

（5）安全運維管理。覆蓋安全運維全過程，包括對環境、資產、設備維護、風險、網絡安全、系統運維等進行管理，以及網絡運維中的系統備份與恢復、安全事件處置、應急預案等。

2

視頻監控系統及其面臨的安全威脅

視頻監控系統包括前端設備、傳輸網絡、控制系統和顯示存儲系統 4 個部分。前端設備負責獲取監控區域的圖像、聲音、震動等信息，主要包括攝像機、周界報警設備、圖像編碼設備以及配套的云臺、供電等；傳輸網絡負責將前端設備的信號傳輸至控制系統，主要包括交換機、有線 / 無線傳輸線路、信號調制 / 解調設備以及網絡安全設備等；控制系統負責視頻信號切換控制、前端設備控制以及顯示控制等，主要包括視頻矩陣、圖像處理平臺等；顯示存儲系統主要負責監控信息的顯示與存儲，主要包括顯示大屏、硬盤錄像機、磁盤陣列等。視頻監控系統組成及網絡結構如圖 1 所示。

圖 1　視頻監控系統組成及網絡結構

2.1　前端設備面臨的威脅

前端設備在整個視頻監控系統中規模最大，大量的前端設備分散部署在視頻監控系統的邊緣，相比于傳統的內網設備，極度缺乏監管，是整個系統中最危險的風險點。由于前端設備的認證方式簡單，通過簡單的仿冒技術即可能非法接入系統，且系統中存在著大量特有漏洞，容易被攻擊和利用。

2.2　傳輸網絡面臨的威脅

按照視頻監控系統網絡結構可將其劃分為前端設備接入網絡、前端設備級聯網絡、系統與其他業務互聯網絡，各網絡以及網絡間的區域邊界都存在一定的風險威脅。

（1）前端設備接入網絡與邊界。視頻監控系統前端設備分散部署，勢必存在大量分散的暴露面，只需要攻陷一臺前端設備即可對視頻監控系統展開攻擊，因此對于前端設備的接入網絡，以及前端設備與控制系統的邊界需進行安全防護和數據管控。

（2）前端設備級聯網絡與邊界。對于大型級聯視頻監控網絡而言，存在不同園區間，乃至跨城區級別網絡間數據對接，前端各層次間的視頻流數據相互流轉，在傳輸中極易受到攻擊，導致網絡中斷、信號外泄、數據篡改等安全風險。

（3）視頻監控系統和其他平臺的網絡與邊界。視頻監控系統網內部按照相關的分區原則，劃分相關的安全域，如業務數據中心、視頻網指揮中心、安全運維區域、前端接入區域；視頻監控系統還可能與人員管理系統、資產管理系統等相互連接。系統中不同的安全區域有著不同的管理和安全保護要求，存在交叉連接、數據泄露等安全風險。

2.3　控制系統和顯示存儲系統面臨的威脅

控制系統主要處理各類與應用相關的操作，是視頻內容查看、視頻信息采集、視頻數據交換的核心樞紐；顯示存儲系統存放著大量的視頻監控信息，是整個視頻監控系統的核心和要害部位。但是，控制系統和顯示存儲系統存在著大量操作系統常見漏洞和監控業務平臺的特有漏洞，容易被攻擊和利用，同時缺乏對內部用戶的權限管理，存在部分用戶非法導出視頻、重要資料泄密等安全風險。

2.4　系統管理面臨的安全威脅

由于安全制度建設的滯后和設備管理員缺乏專門的安全培訓，視頻監控系統在系統管理上同樣面臨諸多安全威脅。普遍存在信息安全制度不完善，制度執行不嚴格，安全防護應急預案預想不全面、內容不完整、操作性不強、更新不及時等問題；系統部署、策略配置、參數設置等主要依賴廠商或系統集成商，對第三方人員缺乏嚴格的管控制度，存在敏感信息泄密或誤操作的風險；用戶權限管理不嚴格，賬號共享、弱口令、未定期更改密碼等問題普遍存在，存在越權、權限濫用等安全威脅。

3

視頻監控系統安全體系架構設計

等保 2.0 根據系統對應的等級保護要求，按照“一個中心，三重防護”的架構建立相應的防護體系。在安全管理中心內綜合審計管理、系統管理、安全管理等，實現系統的集中管控，達到“一個中心”的要求。以安全物理環境、安全區域邊界和安全通信網絡為重點，通過身份鑒別、訪問控制、數據完整性、個人信息保護等技術手段實現“三重防護”。根據視頻監控系統面臨的網絡威脅，依據等保 2.0 中的通用安全要求，針對視頻監控系統本身的特點，設計了基于等保 2.0 的視頻監控系統安全體系。

3.1　安全管理中心

安全管理中心協調“三重防護”中的各項安全防護手段，包含系統管理、安全管理和審計管理 3 項內容，配合安全態勢感知與顯示技術，可以對視頻監控系統的安全防護策略和安全機制進行統一管理。

3.1.1　系統管理

系統管理包括對視頻監控系統的資源和運行狀態進行控制、配置和可信管理。集中管控視頻監控系統中的安全設備與安全組件，監控網絡鏈路、終端設備等運行狀況；集中處理網絡資源配置，對數據和設備配置進行備份和恢復。同時，對系統管理員的身份進行鑒別，對涉及網絡安全和數據安全的關鍵操作進行控制、記錄和審計。

3.1.2　安全管理

實現環境管理、資產管理、網絡和系統安全管理，建立設備維護流程和制度，定期對設備進行維護管理；建立統一的配置管理、密碼管理、變更管理等措施，區分不同用戶，設定用戶權限，定時注銷過期賬戶；對系統中可能存在的惡意代碼等進行防范，識別與修復視頻監控系統的安全漏洞，并定期開展安全風險測評；制定安全事件處理制度和應急預案，分析與處理安全應急事件，以及進行應急預案演練。

3.1.3　審計管理

在安全中心建設運維審計系統，對分布在視頻監控系統中的各個部分進行集中管理。審計管理采用賬號管理、身份認證、資源管理、實時監控、智能運維、全過程審計等技術，實現系統運維的全時監管與控制，增強系統運維的合規性，避免各種誤操作、惡意操作對系統安全的影響。

3.1.4　態勢感知與顯示

主動探測和采集視頻監控系統前端、傳輸、控制及顯示記錄等設備的數據，通過數據挖掘與大數據分析評估網絡安全狀況，形成統一的網絡安全態勢，定位網絡脆弱環節及發現潛在的威脅和攻擊。通過聯動防護等措施實現視頻監控系統智能化主動防御，實現對視頻監控系統所面臨的安全風險的預警。

3.2　三重防護手段

3.2.1　安全物理環境

視頻監控系統前端設備分布范圍廣泛，大多采取分布式管理，存在多級負責，多部門管理，是安全物理環境防護的重點。按照等保要求，需加強防盜竊和防破壞設施，配置防雷擊、防火、防水和防潮、防靜電等措施。其中防雷措施是視頻監控系統防護的一個重點和難點。安裝在建筑物高處的設備需要配置避雷針等設備，系統中的信號線路和電力線路需要配備防雷設備，防止雷電引入機房，造成更大損失。

按照等保要求，需要對系統狀態進行持續的監控和分析，及時發現網絡中接入設備的行為異常情況，如協議異常、訪問行為異常等問題，以及設備離線和失聯狀態等異常情況，及時提出告警。在建設中，可以在安全管理中心配置設備探測系統，通過對視頻監控網絡內的所有前端設備進行主動探測、被動監聽和手動設置等手段發現與識別視頻監控系統中的攝像頭、控制終端、視頻錄像機等接入設備信息，包括設備 IP 和 MAC 地址、品牌、型號等設備屬性進行識別與監管。同時對弱密碼風險、高危險漏洞、異常網絡流量進行自動識別和報警。

3.2.2　安全區域邊界

保證區域邊界安全，實現對不同安全等級區域出入流量的管控和檢查，避免威脅橫向擴散導致損失擴大化。

（1）邊界訪問控制。在視頻終端接入監控平臺、視頻終端上下級聯、監控平臺與其他核心業務系統等重要網絡區域邊界部署防火墻，設置合理的安全規則。通過映射隱藏監控服務器的真實地址，對該敏感區域的資源進行有效保護；在防火墻上關閉不必要的端口和策略，以及限制只有授權的主機才能對防火墻進行配置更改，杜絕越權訪問，防止各類非法攻擊行為。

（2）流量控制。準確識別網絡中的流量，將正常視頻流量和異常流量區分開來。系統部署流量監控設備，通過旁路抓取或串聯部署的方式，實現精準訪問控制，實現對在網設備進行上下行流量監控，及時發現流量異常的接入設備，并進行問題定位。

（3）邊界完整性檢查。部署終端接入管理設備，對視頻監控系統的所有節點進行統一登記管理，對內部設備違規外聯、內部設備跨區域使用和外部未注冊設備違規接入進行及時識別與阻斷，維護網絡邊界完整性。

（4）邊界安全審計。為及時分析發現跨區域的安全威脅，在視頻監控系統各安全區域邊界部署安全設備，特別是對經過前端設備和控制系統邊界的數據進行監視、分析和審計，保證區域邊界安全。

3.2.3　安全通信網絡

為了保證系統網絡帶寬滿足業務需求，應該對網絡關鍵節點的網絡處理性能進行測算，特別是無線傳輸鏈路和骨干鏈路的網絡處理能力和網絡帶寬。合理規劃網絡結構，保證網絡的健壯性，避免將重要網絡區域部署在邊界處，核心交換節點、防火墻等設備在必要時需采用雙機熱備。根據方便管理和控制的原則劃分不同的網絡區域，將網絡劃分成不同的虛擬局域網，將不同網絡區域進行可靠的技術隔離，保證網絡結構安全。

在通信傳輸上，為了保證數據的保密性和完整性，在傳輸節點之間設置密鑰協議或身份認證協議，特別是采用無線傳播的鏈路，可以增加信道加密設備進行加密處理。同時，根據等保要求，需要基于可信根對傳輸設備和系統軟件進行可信驗證，并確保設備和軟件等關鍵節點始終處于可信驗證狀態下，實時收集并向安全管理中心上報可信性驗證結果。

3.3　安全防護系統建設架構

按照“一個中心，三重防護”的架構，重點圍繞視頻終端、網絡邊界、監控平臺、安全運維管理等關鍵環節，通過合理構建網絡拓撲，核心節點和匯聚節點采用雙機熱備，不同的業務服務器區劃分不同的網絡區域，增加視頻安全網關、應用層防火墻、外聯監控系統，建設安全管理中心和安全態勢顯示平臺，實現系統管理、安全管理和審計管理 3 項內容，并和“三層防護”進行動態聯動，實現對終端的安全準入、邊界的安全隔離和平臺的安全防護。系統架構如圖 2 所示。

圖 2　視頻監控系統安全防護系統建設架構

4

結　語

為解決視頻監控系統日益嚴重的網絡安全威脅，本文在研究網絡安全等級保護 2.0 要求的基礎上，分析了視頻監控系統的結構和面臨的安全威脅。按照等保 2.0“一個中心，三重防護”的要求，分析了安全管理中心需要實現的重點管理內容，研究了安全物理環境、安全區域邊界和安全通信網絡的具體要求，建立了視頻監控系統的安全體系架構，為視頻監控網絡提供全面的安全防護技術支持。

隨著視頻監控系統技術的進一步發展，視頻監控已逐漸實現前端“智能化”，后端“云化”。為滿足小型商用和家庭用戶的需求，越來越多的廠家提出“一體化”的解決方案，通過“智能終端 + 公共網絡 + 監控云”的模式快速構建小型的云化視頻監控系統，大大降低了視頻監控系統建設的難度和成本，但由此引發的視頻監控數據和個人隱私泄露等問題也同樣不容忽視，需要就此開展進一步的研究。