视频监控网络整体安全解决方案 (1)

('视频监控网络整体安全解决方案深信服科技股份有限公司2018年6月目录第1章项目背景...........................................................................................................3第2章视频监控网络安全现状描述...........................................................................3第3章视频监控网络安全需求...................................................................................53.1访问控制要求................................................................................................53.2入侵防范........................................................................................................63.3病毒防护........................................................................................................63.4补丁管理........................................................................................................73.5脆弱性检测....................................................................................................73.6安全审计........................................................................................................73.7边界接入安全................................................................................................83.8全网安全风险感知........................................................................................8第4章整体安全解决方案...........................................................................................94.1安全体系架构................................................................................................94.2设计原则......................................................................................................104.2.1合规性设计原则................................................................................104.2.2安全技术体系设计............................................................................124.3整体安全方案拓扑......................................................................................144.3.1视频监控网络与边界安全方案设计（横向）................................164.3.2视频监控网络边界安全方案设计（纵向）....................................194.3.3系统应用区安全方案设计................................................................29第5章方案价值.........................................................................................................325.1部署简单......................................................................................................325.2使用方便......................................................................................................325.3贴近用户......................................................................................................325.4功能强大......................................................................................................32第6章设备清单.........................................................................................................33第1章项目背景近年来，随着“平安城市”、“数字城市”、“智慧城市”等城市信息化概念的提出，国家、政府大力推进了视频监控系统的建设，逐渐形成了覆盖整个城市和各地区的视频监控网络，实现数字化监测与信息共享、治安重点区域实时监控，全面提升对突发案件、群体性事件和重大保卫活动的监控力度和响应能力。可在第一时间掌握重要视频监控区域的异常情况，达到实时监控管理、主动报警、威慑诸如犯罪及为事后取证提供依据等监控目的。视频监控网络设备的种类与数量不断上升，在治安、交通、智能楼宇等领域发挥日益重要的作用,大数据分析、警用地理、车辆识别等核心应用正在向视频监控网络迁移,视频监控网络事实上已成为一张承载海量终端与海量数据的物联网。视频监控网络设备数量巨大、物理部署范围广泛，且前端设备大都部署在道路、街区或其它隐蔽场所等极易被黑客利用，进而侵入到整个网络，导致核心业务系统无法正常运行、大量保密信息被窃取，因此建立完善的设备安全准入和设备监管机制成为了安全体系建设的重要课题。第2章视频监控网络安全现状描述视频摄像头作为视频监控网络重要组成部分，基数大且部署分散，品牌多样，目前无技术工具自动统计。另外对于大型机构一般采取分布式管理，权限分散，无集中式管理平台，且无法贯彻落实视频网络建设要求；视频监控设备部署地点大都暴露在道路、街区等公共场所，极易被恶意侵入，进而侵入到整个网络，导致核心业务系统无法正常运行、大量保密信息被窃取。视频摄像头、交换机、路由器、防火墙、视频网业务服务器、运维终端等是视频监控网络全部组成部分，无技术手段鉴别是否存在非视频监控网终端的接入，无法规避由此引发的安全事件；视频监控网络对流量稳定性要求极高，但是不排除因为终端问题导致的异常访问流量发生，影响视频监控网络的稳定运行。另外大型机构视频监控网络数据网络结构复杂且庞大，不同区域互联方式不同，有直连、专线、VPN等，当出现安全事件时，目前采用命令行逐级排查，耗时耗力，缺乏快速定位手段；视频监控网络边界接入环境复杂，边界接入平台多种多样，边界接入设备缺乏有效的认证与监管；网络中可能存在互联网通路，大大扩展了视频监控网络的网络边界，且其安全性较差，容易遭到破解，是对网络边界完整性的重大破坏。视频监控网络中的监控PC终端大都为windows系统，缺乏有效的防病毒和补丁管理措施、usb外设管理措施，病毒和恶意代码可通过usb接口对监控终端进行感染，由于监控终端之间没有隔离措施，病毒会在整个监控网络中肆意传播。通过非法接入的笔记本可对监控平台（windows）进行漏洞扫描，由于缺乏补丁管理和安全加固措施，可利用漏洞（例如：弱密码、溢出）获取服务器权限并进行控制，进而非法获取视频信息。通过远程控制删除录像信息，修改配置，使摄像头无法正常工作，进而在监控区域内进行非法活动。随着WEB技术的发展，应用系统的上线、开发和变更越来越频繁，应用系统的本身安全脆弱性。第3章视频监控网络安全需求结合视频监控网络安全现状，规划视频监控网络、内部网络信息安全保障体系，应涵盖了应用平台计算环境安全、区域边界安全、通信网络安全、安全管理等方面，保障视频监控网络的安全性、保密性、可用性，具体网络安全需求如下：3.1访问控制要求视频监控网络网络边界、内部网络中应采取有效的访问控制措施，防止非法访问，黑客攻击的发生，特别在前置摄像头与核心汇聚交换设备之间防护来自前置摄像头的安全威胁，如采用防火墙技术进行安全防护，各安全边界接入必须能够进行细粒度的访问控制能力，严格控制访问者的权限包括：\uf06c源、目的IP控制，能够进行源、目的IP的访问控制\uf06c服务端口控制。对访问视频管理服务器的端口进行控制，其它视频端口默认关闭，动态开放\uf06c访问时间控制。能够控制客户端访问视频资源的时间\uf06c访问行为权限管理。能够根据用户名/用户组、IP/IP段进行视频资源的访问控制，包括：摄像头访问范围、云台控制、历史视频录像查询、历史视频录像播放、日志查询、视频数据库修改等进行权限控制\uf06c单向访问控制。关闭双向视频通讯。3.2入侵防范应对视频监控网络中网络攻击行为进行实时的检测和分析，及时的发现异常行为，降低安全事件的发生率。如采用入侵防御系统进行安全检测和防护。3.3病毒防护病毒、木马一致是威胁网络安全的头号杀手，在视频监控网络中存在大量的终端、服务器，一旦感染恶意病毒、木马，将严重影响视频监控资源系统的稳定运行。应对视频监控网络终端、服务器，采用防病毒安全措施，防止恶意病毒、木马的传播。同时，为了保证内网视频监控终端在接收视频数据时不被木马、病毒感染，视频监控浏览软件无论采用浏览器方式还是客户端软件方式，都应具备以下防护手段：\uf06c视频监控终端禁止执行来自外部的涉及操作系统、文件系统或运行其它应用进程的指令\uf06c视频监控终端对接收到的视频流仅允许进行解码播放，不允许执行视频流内任何指令\uf06c视频监控终端应安装必要的防病毒软件\uf06c支持网络防病毒，用于windows视频服务器和视频监控终端的统一病毒防护。3.4补丁管理视频监控网络中的视频服务器和视频监控终端为windows操作系统，需要定期更新系统补丁，支持补丁统一管理，用于windows视频服务器和视频监控终端的统一补丁管理。3.5脆弱性检测可实现对设备定期的脆弱性检测，及时发现高危漏洞和弱密码漏洞。3.6安全审计由于在视频监控网络中，大量的访问用户从不同时间、地点访问视频监控资源，如不对用户网络访问行为进行有效的安全记录，当发生安全事件时，很难去追溯和定责。因此，应加强高清视频监控网络安全审计能力，记录用户访问的身份、行为、访问过程等内容信息，为事后分析取证提供数据支撑。3.7边界接入安全视频监控网络安全接入平台的设计需要满足第三方信息通信网对外部图像资源的安全浏览，并与第三方信息通信网之间的数据需要通过视频交换平台进行数据的共享和传输。视频监控网络与第三方信息通信网应严格按照信息网边界接入平台建设的技术规范实现边界安全防护。因此采用必要的安全隔离设备，对视频监控网络进入第三方信息通信网的数据进行隔离。另外，视频监控网络中存在部分PC终端，而这些终端都为windows操作系统，需要对这些终端进行注册管理，达到与其他设备统一管理，如果存在安全漏洞或者配置不完善，则容易遭受蠕虫病毒攻击、黑客攻击或泄漏重要信息，给内部网络带来安全隐患。要求对该设备进行行为审计、“一机两用”行为监测、外设端口控制等做有效管理。要保证内网的安全性，就必须对终端计算机上的漏洞情况进行分析，打上所需要的补丁，以及时修补计算机上存在的漏洞，从而提高计算机自身的系统安全性。3.8全网安全风险感知应具备对全网安全风险可视，具备对内部横向攻击、违规操作、异常流量、异常行为等进行感知分析，风险预警。能帮助用户发现、识别、提取视频监控网络内部署的应用系统，如人脸识别、车牌自动识别等。能及时发现未经授权上线的应用、发生异常的应用等，帮助用户有效管理应用。支持异常行为分析，异常行为可以通过报警由用户查看，探测同时连接视频网的高危行为。应能对视频监控网络中的设备、系统、应用进行定期的安全检测，尽早地发现存在的安全漏洞，并进行修补，从而降低漏洞被利用的风险，降低安全隐患。支持对非法通讯行为暴露在用户监视之下，在网络内部的攻击、扫描、探测等行为能够被用户有效管控。第4章整体安全解决方案4.1安全体系架构关于通用视频监控网络项目安全设计思想是：依照国家等级保护的相关要求，利用密码、代码验证、可信接入控制等核心技术，在既定框架下实现对信息系统的全面防护。整个体系模型如下图所示：信息安全保障体系架构4.2设计原则4.2.1合规性设计原则本项目在满足公共安全视频监控联网平台的实际安全需求基础上，采取技术和管理相结合的安全防护措施，将安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。(一)构建分域控制体系在总体架构上将按照分层、分区、分域保护思路进行，从结构上根据企业的情况划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施；并通过统一的基础支撑平台来实现对整个平台基础安全设施的集中管理，构建分域的控制体系。(二)构建纵深的防御体系安全防御采用统一身份管理、访问控制、入侵检测、病毒防范、安全审计、防病毒、传输加密、集中数据备份等多种传统技术和措施，并结合虚拟机间防护、虚拟机病毒防护等新的技术手段，实现业务应用的可用性、完整性和保密性保护，并在此基础上实现综合集中的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力。(三)保证一致的安全强度对于平台计算环境和区域边界，可以采用分级的办法，在通信网络上则采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。(四)实现高效的安全运营体系信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全感知安全大数据平台，实现对平台的整体信息资产、安全事件、安全风险、访问行为等的统一分析与监管，通过关联分析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对安全事件的发生。(五)建立可控的风险管控体系进行持续、多维度安全监测如对资产、价值、漏洞、威胁等方面，结合安全风险评估模型进行综合评估，实时地了解所有的业务系统以及其相关资产所面临的安全风险，实现全方位的预警通报，并有助于快速故障定位，当有异常情况或征兆时能够及时给管理员提示，以便管理员及时采取应对措施，降低安全事件影响范围，建立一套完整的检测、预警、通告、协同处置的风险管控体系。4.2.2安全技术体系设计4.2.2.1安全设计框架安全体系主要包括：物理安全、网络安全、主机安全、应用安全、数据安全、安全管理…安全系统包含多网络区域：视频监控主网、系统应用区、前端设备接入区、第三方对接信息网络、互联网等系统。通过可视化监测、资产管理、运行监测、安全控制、病毒防护和补丁管理、运维安全等维度解决视频监控网络安全问题。4.3.2安全区域边界界定公共安全视频监控建设联网平台的边界主要包含两大类：纵向边界和横向边界：(一)南北向边界（纵向纬度）南北向边界区主要实现企业互联下级子单位与视频监控主网的安全接入。(二)东西向边界（横向纬度）横向边界区主要实现视频监控网络与第三方对接新消息网络，如互联网以及物业总部甚至政府机构等之间的安全接入，主要包含：（1）第三方对接信息网络的边界交互平台区：视频监控网络横向连接第三方对接信息网络（边界平台）；（2）互联网边界的交互平台区：视频监控网络横向连接互联网；4.3.3系统应用区域划分通过公共安全视频监控联网平台的安全区域的南北向和东西向边界分析可以勾勒出整个应用平台的安全域划分，如下：视频监控主网：平台应用系统服务器域、网络管理系统服务器域、运维管理系统域、视频云计算数据中心域、视频解析中心、安全运维区域、外联区域；下级单位视频监控网络域：存储系统域、安全运维管理域、灾备中心域、外联区域。前端视频采集域：前端探头汇聚域等。4.3整体安全方案拓扑图安全系统总体拓扑图公共安全视频监控联网项目安全设计主要思路依据国家等级保护的相关要求，视频监控网络网络上公共视频监控系统应根据实际情况建成等保二级以上的信息系统。视频监控网络各区域平台网络内部安全域主要划分为：纵向边界区、横向边界区、系统应用区和前端接入区四部分：纵向边界区主要实现视频监控网络基于主网到下级节点单位的安全连接和访问控制。横向边界区主要实现视频监控网络与第三方对接网络、互联网之间的安全交互。通过建设第三方网络边界接入平台、互联网边界交互平台等，保障视频监控网络与其他网络间的安全连接以及资源的安全共享。系统应用区主要包括视频图像信息共享平台与各区域网络相关的网络设备、终端、服务器、云平台、应用系统、数据库等。该区应遵循满足业务发展、适度防护的原则，采用入侵防御、网络审计、全网安全感知、视频安全接入系统、漏洞扫描、补丁管理、防病毒、日志审计、系统加固等安全技术措施进行安全防护，提升系统应用区的整体安全水平。前端接入区主要包括前端接入的摄像机及其他设备。建立前端安全防护机制，实现对前端接入资源的有效识别和安全管理。4.3.1视频监控网络与边界安全方案设计（横向）4.3.1.1安全边界整体框架拓扑：图安全边界总体框架图4.3.1.1.1视频监控网络与第三方网络边界接入平台安全设计视频监控网络与第三方网络之间的边界接入平台数据链路与视频链路。图与第三方网络边界交互平台（数据链路）拓扑图1.边界包过滤边界包过滤能够提供对数据包的进/出网络接口、协议（TCP、UDP、ICMP、以及其他非IP协议）、源地址、目的地址、源端口、目的端口、以及时间、用户、服务（群组）的访问过滤与控制功能，对进入或流出的区域边界的数据进行安全检查，只允许符合安全策略的数据包通过，同时对连接网络的流量、内容过滤进行管理。2.边界入侵防范边界入侵代码防范可在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。3.边界入侵检测入侵检测：配备入侵检测类设备，实现对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、暴力破解、高级威胁攻击等网络入侵行为的有效防范。4.边界完整性保护边界完整性保护可对内部网络中出现的内部用户未通过准许私自联到外部网络，以及外部用户未经许可违规接入内部网络的行为进行检查和控制。5.集中监控审计部署集中监控与审计设备，实现安全监控、集中管理与审计，建议级联部署，将下级节点单位信息上报视频主网。6.边界安全隔离与可信数据交换边界安全隔离与可信数据交换可完成指挥信令的双向流动，以及视频流单向/双向流入第三方接入交互网络的安全隔离与控制，同时还应可采用两头落地的“数据交换”模式，实现网络间的基于文件和数据库同步的数据安全交换和高强度隔离。图与第三方网络边界交互平台（视频资源接入链路）拓扑图为全面保证视频链路的功能性和安全性，该视频链路边界技术要求如下：1.访问控制：配备防火墙设备，实现视频监控网络与第三方网络之间的安全连接和访问控制。2.安全审计：配备审计类设备，实现对链路中网络流量信息和设备日志信息的全面审计。3.安全隔离：视频监控网络与第三方网络之间禁止通信协议交互，必须采用视频安全接入系统（一体机设备）作为核心隔离设备，实现内外网数据的交互。6.视频控制信令格式检测：对于视频控制信令，要按照预先注册的信令类型、格式和内容，对控制信令进行“白名单”方式的格式检查和内容过滤，仅允许符合格式要求的控制信令数据通过，对不符合格式的数据进行阻断和报警。7.视频数据格式检测：对于视频数据，按照预先注册的视频数据格式，对所传输的视频数据进行实时分析和过滤，对不符合格式的视频数据进行阻断和报警。8.视频数据与视频控制信令分别处理和传输：视频数据和视频控制信令必须按照不同的安全策略严格区分，分别进行处理和传输。其中，视频控制信令双向传输、视频数据单向传输。9.数据安全：对进入第三方网络的数据进行完整性保护和合规性检查。利用完整性保护技术保证导入数据的完整性，确保导入第三方网络的数据未经破坏、篡改。通过对导入数据格式和内容合规性检查，及时发现和阻止违反安全策略的数据传输并告警。10.视频数据病毒木马检测：采取必要的安全技术和防范措施，防止视频数据夹杂恶意代码进入视频传输网络。4.3.2视频监控网络边界安全方案设计（纵向）视频监控网络由于其相对封闭性对比完全开放的互联网而言其安全系数相对较高；但是在相对可信的专网环境下一旦出现病毒（如勒索病毒）、木马、僵尸主机等将会在专网环境中快速传播，造成不可控的损失。同时，也存在非法访问、越权访问、非法下联等恶意数据访问行为，将会为网络安全带来了极大的隐患。通过在视频监控网络中的纵向边界部署下一代防火墙与视频安全接入系统设备，通过下一代防火墙与视频安全接入系统的联动功能，很好实现对视频网内前端视频边界的可视化监测、资产管理、运行监测、安全控制、病毒防护和补丁管理等多方面入手，全面解决视频监控网络资产管理、设备故障、非法入侵等问题，帮助用户全方位解决视频监控网络安全运行问题，实现视频监控网络可知、可控、可管理4.3.2.1视频监控网络纵向边界安全隔离需要在前置摄像头与汇聚接入交换机、核心汇聚交换设备之间都架构下一代防火墙,以防护来自前置摄像头的安全威胁风险，以保护视频监控网络的内网资源主要涉及视频监控系统各类用户在接入系统过程中网络和系统的边界安全，主要通过身份认证、访问控制等安全技术措施，实现粗粒度控制下合法访问者对网络和系统的访问。对于视频监控系统各安全域与视频监控网络间链路：1、下一代防火墙设置访问控制策略，严格过滤进出平台系统的数据报文请求；2、下一代防火墙部署透明模式，简化下一代防火墙的配置，提高安全性与抗攻击性；3、所有安全设备串行部署，保证安全强度。通过在全网的重要边界部署下一代防火墙，实现对于网络边界的统一的访问控制、入侵防范和恶意代码防范等要求。在视频监控网络的汇聚与核心接入边界位置部署下一代防火墙，用于阻止和降低边界外部安全带来的威胁和风险。下一代防火墙可以进行访问控制基于IP/端口号对数据流量进行禁止或允许。基于卓越的应用和用户识别能力，对数据流量和访问来源进行精细化辨识和分类，可以从同一个端口协议的数据流量中辨识出任意多种不同的应用，或从无意无序的IP地址中辨识出有意义的用户身份信息，针对识别出的应用和用户施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略，实现直接、准确、精细的管理。防火墙可以实现地域访问控制，通过对访问者的IP地址进行归属地判断，判断所属国家或地区是否能够对业务进行访问。下一代防火墙设备内置全球IP地址库，地址库由三部分组成：黑名单、白名单和全球地址库。访问者的IP首先会根据IP黑名单进行匹配，如果此IP是黑名单的IP则直接拒绝访问；根据IP白名单进行匹配，如果此IP是白名单的IP则直接允许访问；如果不在黑白名单中，则通过IP地址库进行匹配，得出此IP的归属地，然后根据用户配置的此国家或是地区的访问策略进行拒绝或允许访问。下一代防火墙包含入侵防御针功能，可以对风险数据进行识别与阻断；下一代防火墙可支持深入到网络数据内部，识别并进行攻击代码特征匹配，过滤有害数据流量，丢弃有害数据包，并进行记录，用于事后分析。除此之外，下一代防火墙可综合考虑应用程序在网络传输中的异常情况，来辅助识别入侵和攻击。比如，用户或用户程序违反相关安全条例、数据包出现的时段和位置异常、信息系统或应用程序存在漏洞或者弱口令且正在被利用等现象。下一代防火墙支持已知病毒特征匹配，但是它并不仅仅依赖于已知病毒特征。通过入侵防御系统可实现对敏感信息的安全防护，特别是系统底层漏洞防护，防止黑客盗取数据；4.3.2.2视频监控网络前端摄像头终端安全准入视频摄像头分布范围广泛，通常分布式管理，权限分散，无集中式管理平台，且无法贯彻落实视频网络安全建设要求视频监控网络中的前置摄像头存在大量弱口令、溢出等安全漏洞隐患，通过一套系统即可检测并发现异常报警，部署可实现：4.3.2.2.1设备管理IPC准入设备以入网设备信息绑定、杜绝非法入侵和运行监测为主要设计理念，实现对视频监控系统视频网设备的准入控制管理。秉承“不改变网络、不依赖网络设备、部署简单”的特性，兼容各种复杂的网络环境，解决非法设备随意接入视频监控系统二期视频网的问题，达到“信任接入、接入可知、接入可管”的管理规范。自动发现网络中的设备，识别设备类型、版本、漏洞等信息，并能根据IP和MAC地址进行单个或批量绑定。设备发现并入库自动发现网络中的前置摄像头设备，识别ip地址、mac地址、设备类型、品牌、风险等信息，并生成资产库。4.3.2.2.2非法设备发现并阻断通过设备资产管控、网络行为管控、视频应用管控三个层面实现安全控制，只有通过认证的IP、MAC地址，并且网络行为符合视频监控网络业务需求，所使用符合视频监控网络应用的行为才能放行，其他IP、MAC地址和流量全部阻断。4.3.2.2.3流量监测通过对特定连接的流量监测实现运行监测功能。一旦摄像头出现被遮挡、涂抹的问题，IPC准入设备通过对流量的变化进行分析，识别问题并告警，管理人员可以通过调用摄像头画面的方式进行问题确定及处理。上述安全措施能够有效对网络、主机和数据起到安全防范功能，但对非法用户访问、合法用户通过调看视频后非法外泄、恶意翻拍等行为则无力防范。因此有必要在上述安全措施的基础上对政府共享用户增加用户认证和对视频数据访问的管理控制，保证共享平台的原始视频、图片等的数据不外泄，有效应对恶意翻拍。用户认证和图像加水印功能均通过视频图像共享管理系统实现，对政府共享用户认证方式采用读取二代身份证信息，水印采用WEB网页或客户端上盖上一层透明蒙板的方式，水印显示访问人员信息。4.3.2.3全网安全感知预警平台在视频监控网络中的关键节点旁路部署威胁检测探针，对数据流量进行镜像采集，将异常风险进行采集并上传到安全感知平台基于大数据、机器学习、人工智能技术进行分析。对未知安全风险进行预警和大屏展示。针对被动安全保障体系难以新型威胁和APT攻击，以及缺乏看到看懂的感知环节的不足，本方案提出了基于行为检测和关联分析技术、对全网流量进行安全监测的可视化和预警检测解决方案。方案设计体现适用性、前瞻性、可行性的基本原则，实现安全效果可评估、安全态势可视化。主要基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策”的思路进行设计实现的。全网安全感知平台实现技术架构：基于深信服STA探针等数据源，构建全网态势感知系统。本方案通过部署安全防护和检测系统对网络中的安全要素进行采集，并通过风险监测建模实现对异常行为的检测和展示。采集层：通过安全监测系统实现对视频监控网络进行全流量的采集，包括数据包、协议、会话、系统信息、资产信息、攻击日志、漏洞信息、软件信息等；实现层：对采集的信息进行风险建模检测异常行为并通过管理分析技术确定已发生或潜在安全威胁。检测技术包括：攻击特征的检测、非法访问的检测、异常行为的检测、可疑行为的检测、漏洞检测以及资产信息的检测。分析技术包括：上下文关联分析、异常协议分析、异常行为分析、访问路径关联分析、安全事件关联分析以及联合云端安全即服务的自动化智能分析以及人工分析确认。展现层：将分析的数据经过有效分析通过图形化的方式直观展现，实现安全态势可感知、安全威胁可预警、一场行为可追溯的效果。基于业务风险的预警：整体安全态势：结合攻击趋势、有效攻击、业务资产脆弱性对全网安全态势进行整体评价，以业务系统的视角进行呈现，可有效的把握整体安全态势进行安全决策分析；全网态势感知：展示专网终端和服务器被外网攻击的实时动态图，实现全网安全攻击态势大屏展示；失陷业务系统/资产：通过外发异常流量、网页篡改监测、黑链检测等检测技术确定业务系统/资产是否已被攻击，并将资产存在的后门进行检测，并向管理员告知已失陷的安全事件；安全事件关联分析：将下一代防火墙及安全检测探针的安全事件进行关联分析，结合黑客攻击链进行关联分析，并确定更加高级的安全威胁。监测平台与边界防火墙联动：当STA检测平台的病毒、木马、僵尸、WEB攻击、异常行为检测等安全模块监测到攻击行为时，自动触发报警事件到安全感知平台，安全感知平台下发策略与专网边界防火墙进行联动，通知边界防火墙拦截异常的恶意流量，避免黑客接入视频监控网络内网。4.3.3系统应用区安全方案设计依据等级保护要求，将平台分成业务应用系统区、安全运维管理区、视频云区等，在各区域边界部署下一代防火墙产品，起到区域隔离和接入安全控制的目的，下一代防火墙内置了视频监控设备特有的漏洞和攻击库，能够有效的识别和防御视频监控系统的漏洞和攻击。部署下一代应用层安全防护设备对病毒木马、黑客入侵、DDOS攻击、异常流量等安全威胁进行监测和防护，实现对应用服务的网络层访问控制。采用安全隔离设备，实现接入平台与监控业务之间的安全隔离。边界攻击往往来自于应用层攻击，黑客将攻击流量潜藏在正常的流量中，例如通过视频监控、指令控制等行为将木马、蠕虫等攻击流量散布到监控管理中心和业务服务端。专网边界下一代防火墙通过应用层智能识别，识别出监控网络中的路口监控流量、监控控制流量、以及非法的恶意流量。同时基于视频监控网络只上传无下载的业务流量特性，下一代防火墙制定详细的安全策略，限制任何监控视频流量的下行和外发。下一代防火墙需要对对接入的视频数据进行严格的安全检查：数据源检查：保证数据源的合法性，防止非法数据进来；格式检查：以保障视频数据格式的正确，去除无用的“脏数据”；协议检查：保证视频应用协议的合法性；木马/病毒防护：保障视频数据中不含非法的木马/病毒，保障平台与内网安全。4.3.3.1视频监控网络安全运维管理设计黑客的攻击手段多种多样，网络安全环境日益变化，攻防关系的不对等导致网络安全事故频发，因此网络安全建设及管理变得尤为重要。等级保护标准、《网络安全法》等相关法律法规对网络安全运维都有一定的要求，安全运维区设计如下：1、网络安全审计：对视频监控网络中网络设备的运行状况、网络流量、用户访问操作行为等进行日志审计记录。审计记录应涵盖访问的日期、时间、用户、事件类型、事件是否成功及其他与审计相关的信息。部署数据库审计、日志审计设备各1台。2、数据库审计：通过部署数据库审计系统，保护对数据库非法操作及时告警与审计；保障非法操作的准确溯源；保护数据库中账号安全；统计分析安全现状，根据分析结果指导数据库安全策略；实现对用户行为、用户事件及系统状态加以审计，范围覆盖到每个用户，从而把握数据库系统的整体安全。3、威胁感知平台：威胁感知平台是基于行为和关联分析技术对全网的流量进行安全检测的可视化预警检测平台。方案设计体现适用性、前瞻性、可行性的基本原则，实现安全效果可评估、安全态势可视化。威胁感知平台可以和防火墙等安全设备进行联动，对防火墙的日志数据等进行采集及联动分析。4、视频安全接入系统平台：平台由设备管理、行为管理、应用管理、告警管理、权限管理、用户管理、系统管理、日志管理等八大功能组成，轻松实现视频设备内资产一目了然、设备前端视频设备故障实时报警、非法入侵及时阻断。5、漏洞扫描定期对视频监控网络中运行的网络设备、操作系统、数据库、中间件、应用系统等IT资源进行漏洞扫描，及时发现存在的漏洞，降低漏洞被利用的风险。部署漏洞扫描系统1套。6、操作系统补丁管理对视频监控网络中终端、主机操作系统进行补丁管理，定期更新补丁库及时修复存在的系统漏洞。7、防病毒对终端、主机上的重要文件、程序、进行扫描检测，及时发现各种蠕虫、病毒、木马、恶意软件传播行为等病毒威胁，并进行有效的阻断或隔离，定期更新防病毒系统特征库。部署防病毒软件1套。8、日志审计对视频监控网络中各类网络设备、安全设备、操作系统等产生的大量日志数据、运行状态数据进行收集和关联分析，及时发现安全威胁。部署日志审计设备各1台。第5章方案价值5.1部署简单除了安全隔离网闸与边界下一代防火墙安全防护设备外，本方案的涉及设备的部署不需要改变已有网络结构，不用在网络内串接设备，不用在系统上安装代理，可以很方便的完成部署。5.2使用方便本方案部署的系统内置了主流视频监控设备资产特性及网络协议，用户部署后即可实现监测和报警功能。5.3贴近用户本方案部署的系统是通过与众多政府、企业客户及视频监控设备厂商深入交流研究后开发的，功能贴近用户需求、产品使用贴合用户习惯，已经得到众多用户认可。5.4功能强大本方案部署的系统从可视化监测、资产管理、运行监测、安全控制、病毒防护和补丁管理等多方面入手，全面解决视频监控网络资产管理、设备故障、非法入侵等问题，帮助用户全方位解决视频监控网络安全运行问题，实现视频监控网络可知、可控、可管理。第6章设备清单注：如下参数配置仅供参考（为通用常见配置），具体看客户的详细需求均可做调整变动！！！！序号设备名称性能要求数量单位预算单价预算总价',)