2018年05月21日 星期一
协会动态
优秀安防企业
优秀论文
您当前所在的位置:首页 > 协会动态 > 优秀论文
信息系统安全三级标准下的视频监控网络安全防护体系构建
时间:2018-04-17 [ ] 浏览次数:111 来源: 视力保护色:

信息系统安全三级标准下的视频监控网络安全防护体系构建

唐作莉

贵州警察学院, 贵州省贵阳市


  要        视频监控系统的安全是一个系统的安全问题,安全问题的解决不能仅仅依靠智能设备的安全来解决,需要整个系统中前端设备、后端设备、系统平台一起联动形成纵深防御体系。

关键词: 信息系统安全等级保护;安全评估;访问控制;运维审计


1 前言

视频监控系统作为安防领域的重要应用系统,是公安部门视频监控设备运营的重要平台。虽然平安城市视频监控系统在系统安全设计、建设、维护的规范性上相对比较好,但从安防行业整体来看,黑客活动仍然日趋频繁,APT攻击、WEB应用攻击、拒绝服务攻击事件呈大幅增长态势。且业内对于视频监控系统的安全意识还比较薄弱,视频监控行业的信息安全整体都面临严峻挑战。针对视频监控数据的攻击一旦得逞,必将引发国家重大的经济损失和政治影响。

本文将主要围绕视频专网区(视频联网基础平台及对应的存储平台)为切入点进行展开,对照信息系统安全等级保护基本要求进行安全建设。整体上采用“事前检测、事中防护、事后追溯”的防护理念,通过安全技术以及安全管理体系建立起可靠有效的纵深立体化安全防护体系。

2   纵深立体化安全防护体系建设

2.1 网络加固部署示意图



2.2建立边界网络纵深防护

边界访问控制是实现可信网络的首要前提,根据源IP地址,源端口,目的IP地址,目的端口和协议五元组进行判断,符合访问控制策略的将被允许,否则将被禁止,从而限制了对网络的非法访问。

在网络边界处直连部署下一代防火墙,建立边界的网络纵深防护体系。从边界安全防护五元组策略的角度进行有效建设,并对目标网络系统漏洞、协议弱点、病毒蠕虫、间谍软件、恶意攻击、流量异常等威胁的一体化深度防御,在提升信息网络的抗攻击能力同时,加强对基础网络的安全控制和监控手段,来提升基础网络的安全性,从而为上层应用提供安全的运行环境。


2.2.1 合规要求

通过建立边界网络纵深防护,并配合落地符合单位业务安全的访问控制策略,即可满足《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》(三级)针对“结构安全”、“访问控制”、“入侵防范”、“恶意代码防范”项的合规要求。

GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》

网络安全

访问控制

a)在网络边界部署访问控制设备,启用访问控制功能;

b)根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;

c)对进出网络的信息内容进行过滤,实现对应用层HTTPFTPTELNETSMTPPOP3等协议命令级的控制;

d) 在会话处于非活跃一定时间或会话结束后终止网络连接;

e) 限制网络最大流量数及网络连接数;

f)重要网段应采取技术手段防止地址欺骗;

g)按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;

 

网络安全

结构安全

a)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;

b)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;

入侵防范

a) 在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;

b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。

恶意代码防范

a) 在网络边界处对恶意代码进行检测和清除;

b) 维护恶意代码库的升级和检测系统的更新。


2.2.2  典型部署

下一代防火墙一般支持三种部署模式,分别是透明模式、路由模式、混合模式。系统会根据进入设备的数据包,自动选择正确的应用模式进行处理。


2.2.3   实现以下三面的功能功能

控制访问的合规性

网络边界安全建设的首要因素就是访问控制,控制的核心是访问行为,所以通过防火墙五元组实现对非许可访问的杜绝,限制非法用户对网络资源的使用方式。对于内网中重要的应用服务器和数据库资源,防火墙需通过合理的策略有效鉴别出合法的业务访问,和可能的攻击访问行为,并分别采取必要的安全控制手段,保障关键的业务访问。

■  合理划分安全区域

部署防火墙后,管理员通过梳理各网络的的安全级别及方向,对网络进行合理的划分,在保证网络正常通信的同时提高网络的安全性,也可将各系统根据各个环节访问特点的不同隔离为不同的计算环境(网页服务器群、数据库群、安全维护群等),这样有利于实现控制措施。

■  有效防范内外威胁

基于视频应用的开放性,使得单位信息网络往往面临众多的外联单位或采集点的外部威胁,因此如何防范外部的攻击是边界网络安全建设的重要要素,在访问控制的基础上,提升系统对抗攻击的能力,防火墙内嵌攻击特征及防病毒模块,检测及防御常见的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击。

■  并发连接限制策略

针对内网业务系统及网络可用性和连续性的防护,下一代防火墙从边界防护的角度对当前主流的拒绝服务进行检测和阻断(如:ARP攻击、UDP Flooding、SYN Flooding等),对保护的应用服务器具备连接限制,当发现对服务器的访问数量过高或网络流量过大,防火墙自动丢弃超出部分的连接请求,保障整个网络的稳定性。

2.3建立统一运维管控平台

视频专网区中的服务器及各种网络设备的不断增加,对设备的管理必须经过各种认证过程。在一个设备的帐号被多个管理人员或外包人员共享的情况下,引发了如帐号管理混乱、授权关系不清晰等各类安全问题,并加大了内控审计的难度。

建议部署运维审计系统(堡垒机),建立的统一运维管控平台,通过内网运维区核心交换机上做访问控制,并集合运维审计系统自身的双因子认证引擎,来弥补网络内各系统以往单一认证的登陆方式,并封杀其他一切运维管理通道,通过系统进行统一实名帐户管理与单点登录。对各种字符终端协议(SSH、TELNET等)、文件传输协议(FTP、SFTP等)、图形终端协议(RDP等)与web协议(http、https)等进行实时监控与历史查询溯源,满足单位运维内控的同时也减轻了运维工程师的日常批量运维的工作量。

2.3.1  合规要求

通过建立的统一运维管控平台,并配合落地符合单位运维安全的访问控制策略,即可满足《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》(三级)针对“身份鉴别”、“安全审计”、项的合规要求。

GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》

主机安全

7.1.3.1

身份鉴别

a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;

b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;

c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;

e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。

f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

主机安全

7.1.3.3

安全审计

a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;

c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

d)应能够根据记录数据进行分析,并生成审计报表;

e)应保护审计进程,避免受到未预期的中断;

f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。

2.3.2  典型部署

根据单位网络拓扑情况,推荐采用无需改变网络拓扑结构的物理旁路模式部署,为了保证统一运维入口和集中管理,需要在运维资产区域的入口交换机上配置ACL,实现:允许运维区域访问运维审计系统,允许系统访问运维资产区域,禁止其他任何来源ip直接访问运维资产区域。


2.3.3  实现效果

■  双因子认证,满足合规要求

通过运维系统的部署,解决传统运维过程中单一口令认证模式,可基于不同的用户设置不同的双因子认证模式,如用动态令牌、USBkey、短信认证、谷歌认证等。并且单个用户同时使用2种认证方式,如同时使用AD/LDAP用户名+AD/LDAP密码+动态口令登录系统、同时使用AD/LDAP用户名+AD/LDAP密码+短信口令登录系统。

■   单点登录,方便快捷高效

通过在运维资产区域的入口交换机上配置ACL,所有运维用户通过HTTPS访问运维审计系统的WEB单点登录页面,即可访问被授权范围的各类资产,无需再次手工登录,均由系统代为登录,并且登录后无需再进行主机与帐户的选择,简单方便,间接的减轻了运维工程师的工作量。

■  自动改密,更有效的运维把控

重要资产周期性改密是运维过程的一个重要环节,而批量修改主机的密码和记住主机的密码是最重要也是最繁琐的任务,一旦发生密码遗失和泄露,将带来的风险无法估量。运维审计系统的建设具备完善的自动改密功能,自动修改SSH、telnet、RDP、SFTP、FTP协议的主机密码,无需安装改密客户端、无需开启特殊端口。密码文件加密保存,须运维管理员和密码管理员同时解密才能查看到主机的密码。

■  运维会话审计,溯源到责任人

通过运维审计系统进行的运维过程,会通过系统自身实时记录并存储,包括访问起始和终止时间、用户名、用户IP地址、用户MAC地址、目标资产主机IP、目标资产主机MAC、协议类型等,并通过实时监控和历史会话查看直观的反馈真实操作过程,并能通过实名制的登陆账户名溯源到任意一次运维责任人。



参 考 文 献

[1]李超. 信息系统安全等级保护实务. 北京东黄城根北街16号, 科学出版社, 2013

[2]王滨. 智能安防系统安全的现状与挑战.《信息安全研究》, 2017 , 3 (3) :277-280.

 

更多
联系电话:0851-85401175 、85401439    仿表
技术支持:88必发   黔ICP备10003997号-1   站点统计:2262004    今天:5182

贵公网安备 52010202000555号