2020年01月04日 星期六
協會動態
優秀安防企業
優秀論文
您當前所在的位置:首頁 > 協會動態 > 優秀論文
信息系統安全三級標準下的視頻監控網絡安全防護體系構建
時間:2018-04-17 [ ] 瀏覽次數:3841 來源: 視力保護色:

信息系統安全三級標準下的視頻監控網絡安全防護體系構建

唐作莉

貴州警察學院, 貴州省貴陽市


  要        視頻監控系統的安全是一個系統的安全問題,安全問題的解決不能僅僅依靠智能設備的安全來解決,需要整個系統中前端設備、后端設備、系統平臺一起聯動形成縱深防御體系。

關鍵詞: 信息系統安全等級保護;安全評估;訪問控制;運維審計


1 前言

視頻監控系統作為安防領域的重要應用系統,是公安部門視頻監控設備運營的重要平臺。雖然平安城市視頻監控系統在系統安全設計、建設、維護的規范性上相對比較好,但從安防行業整體來看,黑客活動仍然日趨頻繁,APT攻擊、WEB應用攻擊、拒絕服務攻擊事件呈大幅增長態勢。且業內對于視頻監控系統的安全意識還比較薄弱,視頻監控行業的信息安全整體都面臨嚴峻挑戰。針對視頻監控數據的攻擊一旦得逞,必將引發國家重大的經濟損失和政治影響。

本文將主要圍繞視頻專網區(視頻聯網基礎平臺及對應的存儲平臺)為切入點進行展開,對照信息系統安全等級保護基本要求進行安全建設。整體上采用“事前檢測、事中防護、事后追溯”的防護理念,通過安全技術以及安全管理體系建立起可靠有效的縱深立體化安全防護體系。

2   縱深立體化安全防護體系建設

2.1 網絡加固部署示意圖



2.2建立邊界網絡縱深防護

邊界訪問控制是實現可信網絡的首要前提,根據源IP地址,源端口,目的IP地址,目的端口和協議五元組進行判斷,符合訪問控制策略的將被允許,否則將被禁止,從而限制了對網絡的非法訪問。

在網絡邊界處直連部署下一代防火墻,建立邊界的網絡縱深防護體系。從邊界安全防護五元組策略的角度進行有效建設,并對目標網絡系統漏洞、協議弱點、病毒蠕蟲、間諜軟件、惡意攻擊、流量異常等威脅的一體化深度防御,在提升信息網絡的抗攻擊能力同時,加強對基礎網絡的安全控制和監控手段,來提升基礎網絡的安全性,從而為上層應用提供安全的運行環境。


2.2.1 合規要求

通過建立邊界網絡縱深防護,并配合落地符合單位業務安全的訪問控制策略,即可滿足《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》(三級)針對“結構安全”、“訪問控制”、“入侵防范”、“惡意代碼防范”項的合規要求。

GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》

網絡安全

訪問控制

a)在網絡邊界部署訪問控制設備,啟用訪問控制功能;

b)根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;

c)對進出網絡的信息內容進行過濾,實現對應用層HTTPFTPTELNETSMTPPOP3等協議命令級的控制;

d) 在會話處于非活躍一定時間或會話結束后終止網絡連接;

e) 限制網絡最大流量數及網絡連接數;

f)重要網段應采取技術手段防止地址欺騙;

g)按用戶和系統之間的允許訪問規則,決定允許或拒絕用戶對受控系統進行資源訪問,控制粒度為單個用戶;

 

網絡安全

結構安全

a)應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網或網段,并按照方便管理和控制的原則為各子網、網段分配地址段;

b)應避免將重要網段部署在網絡邊界處且直接連接外部信息系統,重要網段與其他網段之間采取可靠的技術隔離手段;

入侵防范

a) 在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP 碎片攻擊和網絡蠕蟲攻擊等;

b) 當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應提供報警。

惡意代碼防范

a) 在網絡邊界處對惡意代碼進行檢測和清除;

b) 維護惡意代碼庫的升級和檢測系統的更新。


2.2.2  典型部署

下一代防火墻一般支持三種部署模式,分別是透明模式、路由模式、混合模式。系統會根據進入設備的數據包,自動選擇正確的應用模式進行處理。


2.2.3   實現以下三面的功能功能

控制訪問的合規性

網絡邊界安全建設的首要因素就是訪問控制,控制的核心是訪問行為,所以通過防火墻五元組實現對非許可訪問的杜絕,限制非法用戶對網絡資源的使用方式。對于內網中重要的應用服務器和數據庫資源,防火墻需通過合理的策略有效鑒別出合法的業務訪問,和可能的攻擊訪問行為,并分別采取必要的安全控制手段,保障關鍵的業務訪問。

■  合理劃分安全區域

部署防火墻后,管理員通過梳理各網絡的的安全級別及方向,對網絡進行合理的劃分,在保證網絡正常通信的同時提高網絡的安全性,也可將各系統根據各個環節訪問特點的不同隔離為不同的計算環境(網頁服務器群、數據庫群、安全維護群等),這樣有利于實現控制措施。

■  有效防范內外威脅

基于視頻應用的開放性,使得單位信息網絡往往面臨眾多的外聯單位或采集點的外部威脅,因此如何防范外部的攻擊是邊界網絡安全建設的重要要素,在訪問控制的基礎上,提升系統對抗攻擊的能力,防火墻內嵌攻擊特征及防病毒模塊,檢測及防御常見的病毒、蠕蟲、后門、木馬、僵尸網絡攻擊以及緩沖區溢出攻擊和漏洞攻擊。

■  并發連接限制策略

針對內網業務系統及網絡可用性和連續性的防護,下一代防火墻從邊界防護的角度對當前主流的拒絕服務進行檢測和阻斷(如:ARP攻擊、UDP Flooding、SYN Flooding等),對保護的應用服務器具備連接限制,當發現對服務器的訪問數量過高或網絡流量過大,防火墻自動丟棄超出部分的連接請求,保障整個網絡的穩定性。

2.3建立統一運維管控平臺

視頻專網區中的服務器及各種網絡設備的不斷增加,對設備的管理必須經過各種認證過程。在一個設備的帳號被多個管理人員或外包人員共享的情況下,引發了如帳號管理混亂、授權關系不清晰等各類安全問題,并加大了內控審計的難度。

建議部署運維審計系統(堡壘機),建立的統一運維管控平臺,通過內網運維區核心交換機上做訪問控制,并集合運維審計系統自身的雙因子認證引擎,來彌補網絡內各系統以往單一認證的登陸方式,并封殺其他一切運維管理通道,通過系統進行統一實名帳戶管理與單點登錄。對各種字符終端協議(SSH、TELNET等)、文件傳輸協議(FTP、SFTP等)、圖形終端協議(RDP等)與web協議(http、https)等進行實時監控與歷史查詢溯源,滿足單位運維內控的同時也減輕了運維工程師的日常批量運維的工作量。

2.3.1  合規要求

通過建立的統一運維管控平臺,并配合落地符合單位運維安全的訪問控制策略,即可滿足《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》(三級)針對“身份鑒別”、“安全審計”、項的合規要求。

GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》

主機安全

7.1.3.1

身份鑒別

a) 應對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別;

b) 操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點,口令應有復雜度要求并定期更換;

c) 應啟用登錄失敗處理功能,可采取結束會話、限制非法登錄次數和自動退出等措施;

d) 當對服務器進行遠程管理時,應采取必要措施,防止鑒別信息在網絡傳輸過程中被竊聽;

e) 應為操作系統和數據庫系統的不同用戶分配不同的用戶名,確保用戶名具有唯一性。

f) 應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。

主機安全

7.1.3.3

安全審計

a)審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶;

b)審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件;

c)審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等;

d)應能夠根據記錄數據進行分析,并生成審計報表;

e)應保護審計進程,避免受到未預期的中斷;

f)應保護審計記錄,避免受到未預期的刪除、修改或覆蓋等。

2.3.2  典型部署

根據單位網絡拓撲情況,推薦采用無需改變網絡拓撲結構的物理旁路模式部署,為了保證統一運維入口和集中管理,需要在運維資產區域的入口交換機上配置ACL,實現:允許運維區域訪問運維審計系統,允許系統訪問運維資產區域,禁止其他任何來源ip直接訪問運維資產區域。


2.3.3  實現效果

■  雙因子認證,滿足合規要求

通過運維系統的部署,解決傳統運維過程中單一口令認證模式,可基于不同的用戶設置不同的雙因子認證模式,如用動態令牌、USBkey、短信認證、谷歌認證等。并且單個用戶同時使用2種認證方式,如同時使用AD/LDAP用戶名+AD/LDAP密碼+動態口令登錄系統、同時使用AD/LDAP用戶名+AD/LDAP密碼+短信口令登錄系統。

■   單點登錄,方便快捷高效

通過在運維資產區域的入口交換機上配置ACL,所有運維用戶通過HTTPS訪問運維審計系統的WEB單點登錄頁面,即可訪問被授權范圍的各類資產,無需再次手工登錄,均由系統代為登錄,并且登錄后無需再進行主機與帳戶的選擇,簡單方便,間接的減輕了運維工程師的工作量。

■  自動改密,更有效的運維把控

重要資產周期性改密是運維過程的一個重要環節,而批量修改主機的密碼和記住主機的密碼是最重要也是最繁瑣的任務,一旦發生密碼遺失和泄露,將帶來的風險無法估量。運維審計系統的建設具備完善的自動改密功能,自動修改SSH、telnet、RDP、SFTP、FTP協議的主機密碼,無需安裝改密客戶端、無需開啟特殊端口。密碼文件加密保存,須運維管理員和密碼管理員同時解密才能查看到主機的密碼。

■  運維會話審計,溯源到責任人

通過運維審計系統進行的運維過程,會通過系統自身實時記錄并存儲,包括訪問起始和終止時間、用戶名、用戶IP地址、用戶MAC地址、目標資產主機IP、目標資產主機MAC、協議類型等,并通過實時監控和歷史會話查看直觀的反饋真實操作過程,并能通過實名制的登陸賬戶名溯源到任意一次運維責任人。



參 考 文 獻

[1]李超. 信息系統安全等級保護實務. 北京東黃城根北街16號, 科學出版社, 2013

[2]王濱. 智能安防系統安全的現狀與挑戰.《信息安全研究》, 2017 , 3 (3) :277-280.

 

更多
聯系電話:0851-85611319、85603233    通信地址:貴陽市南明區蟠桃宮蟠桃大廈20樓1號
技術支持:愛瑞科網絡   ICP備案號:黔ICP備11001522號   站點統計:2444605    今天:1087

貴公網安備 52010202000555號

2019白小姐特马救世报