一 :系统概述

常见的网络视频监控系统主要由前端的网络摄像机、接入网关和后端的NVR、存储、流媒体服务器或业务应用软件组成。

首先来了解他们的概念

网络摄像机:

通过将摄像机连接到互联网,实现远程监控和管理,用户可以通过互联网实时查看摄像头拍摄的画面.

包括运动检测、人脸识别、车牌识别等智能算法,能够自动触发警报或者进行特定事件的记录和分析。

将录像存储到云端或者本地存储设备,确保数据安全和灵活性,提供密码保护、数据加密等措施,确保监控数据不被未授权访问。

下图为海康威视摄像机后台管理页面:

物联网等保测评-网络监控系统_等保测评

接入网关:

接入网关是物联网系统中的一个关键组件,负责连接终端设备(如传感器、摄像机等)与云平台或其他网络。

他可以将不同终端设备使用的各种通信协议转换成统一的标准协议,并对从终端设备收集的数据进行预处理、过滤和聚合,还可以监控摄像机的设备状态。

接入网关其实就是一个小型的安全网关,包含访问控制、入侵检测、终端准入等功能。

NVR:

网络硬盘录像机的缩写。NVR最主要的功能是通过网络接收IPC(网络摄像机)设备传输的数字视频码流, 并进行存储、管理多个网络摄像头,是网络视频监控系统的存储转发部分,其核心功能是视频流的存储与转发。

业务应用软件:

是指为特定的物联网应用场景开发的应用程序,例如视频监控管理软件、智能家居控制应用、工业自动化系统等。在摄像监控中,业务应用软件可以提供用户界面和管理工具,使用户能够实时查看摄像头画面、设置监控区域、配置警报规则等。它们通常支持多种平台,如PC、手机和平板电脑,以便用户随时随地监控和管理物联网设备。

二:系统整体架构

了解物联网每个组件的概念后,我们来将他们组装起来,成为一个完整的网络架构

下图是一个完整的视频监控系统架构图:

物联网等保测评-网络监控系统_等保测评_02

现场感知层:主要由摄像机和接入网关组成,有些场景,可能没有接入网关,直接接入交换机。接入网关其实就是一个小型的安全网关,包含访问控制、入侵检测、终端准入等功能。

网络传输层:将摄像机采集的数据通过网络传输至处理应用层,网络类型包括无线网络、移动通信网络、互联网等。

处理应用层:负责将传输过来的数据进行存储、分析,比如NVR或存储服务器;集中管理感知层的接入网关和摄像机,比如管理客户端、视频监控安全管理平台;还负责为业务应用系统提供API接口方便调用视频流,比如流媒体服务、道路交通事件自动取证系统、客流统计系统、智能视频分析系统等。

三:系统等保测评
3.1接入控制

a)应保证只有授权的感知节点可以接入。

指标解读:目的是避免外来摄像机或非摄像机设备可以不经认证直接接入网络中,可以把摄像机当作普通终端电脑来理解,一般都是准入控制来实现。

测评对象:网络全局中的接入网关、防火墙、视频监控安全管理平台等设备

测评方法:核查摄像机是否能够需要数字证书认证、MAC地址认证、共享密钥认证等认证方式接入网络中,若在接入网关实现,需要核查接入网关的相关策略,比如有的接入网关需要MAC地址认证,如果摄像机的MAC地址在白名单中,摄像机可以接入,否则无法接入。有的接入控制在网络中的准入控制设备实现的,认证策略也是MAC地址免认证,那么也是可以符合的。还有的可能是接入网关需要验证摄像机的数字证书或ID,验证通过后才能接入,实现的方式都大同小异。

3.2身份鉴别

a)应保证只有赋予管理员权限的用户才能访问摄像机和网关等设备的管理后台界面

用户名和密码:管理员用户需使用独一无二的用户名和强密码进行识别。这样可以确保只有经过授权的用户才能登录管理后台界面。

口令安全策略:管理员密口令长度,复杂度,有效时限都需要进行设置,并且需要限制后台失败登录次数和IP访问次数。

IP地址白名单:限制允许访问管理后台界面的IP地址,只允许特定IP地址的管理员用户进行访问。

审计和监控:定期审计管理员账户的使用情况,检查是否有异常活动或未授权的访问。同时监控登录尝试次数和登录来源,及时发现异常行为。

双因素认证:为管理员账户启用双因素认证,这样除了用户名和密码外,还需要使用另一方式(如手机短信验证码、身份验证器应用等)进行验证,进一步提高安全性。

3.3入侵防范

a)应能够限制与感知节点通信的目标地址,以避免对陌生地址的attack行为;

指标解读:主要为了避免摄像机对特定IP地址发起DDOS攻击。

测评对象:网络传输层的防火墙、安全接入网关等、路由表

测评方法:核查摄像机是否单独划分VLAN或子网,VLAN或子网或是否存在相关访问控制策略,比如摄像机的网段是192.168.1.0/24,在网关(防火墙)限制源地址192.168.1.0/24的any端口仅能访问目的地址的any的any端口,这样避免三层VLAN默认互通导致摄像机的网段和其它网段可以相互访问。如果视频监控系统是独立物理组网,那么也是符合的。还有一种场景,比如摄像机未划分单独的网段,但是每个摄像机上未配置默认网关,仅配置了指向安全接入网关、防火墙等设备的静态路由,个人认为,也是符合要求的。

b)应能够限制与网关节点通信的目标地址,以避免对陌生地址的attack行为。

指标解读:主要为了避免接入网关对特定IP发起DDOS攻击。

测评对象:网络传输层的防火墙、安全接入网关等、路由表

测评方法:核查接入网关是否单独划分VLAN或子网,VLAN或子网或是否存在相关访问控制策略,如果视频监控系统是独立物理组网,那么也是符合的。核查静态路由,是否限制网关的通信地址。

四.尾语

物联网测评的难点在于,如何判断感知节点和网关节点,这点如果弄清楚了,测评起来相对顺利。视频监控系统仅仅只是物联网的其中一种典型系统,和RFID、 家庭物联网等场景还是有一些不同的,建议实际测评中要多了解多想想,不要犯教条主义,不要完全照搬测评要求,原则上只要能实现基本要求的措施,都应该可以,但是这对测评人员的能力 要求比较高。